Geschrieben am 22.05.2022 von:
Patrick Weber
IT-Security Consultant | IT-Manager
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
Nachdem Microsoft bereits 2017 versuchte die Firma hiQ daran zu hindern, Nutzerdaten von seiner Plattform LinkedIn per sogenanntem „Screen Scraping“ (eine Form des Data Minings) zu sammeln und der Fall sogar bis zum US Supreme Court wanderte, ist Microsoft nun auch in der erneuten Prüfung durch das Bundesberufungsgericht gescheitert. hiQ darf nach US-Recht die Daten der LinkedIn-Nutzer abgrasen und verarbeiten.
Aber auch das europäische Datenschutzrecht steht einem solchen Vorhaben nicht grundsätzlich im Weg. Wichtig ist, dass die Datensammlung auf einer Rechtsgrundlage basiert. Hier kommt in den meisten Fällen eine sorgsame Abwägung zwischen berechtigtem Interesse des Datensammlers und der betroffenen Personen nach Art. 6 Abs. 1 f) DSGVO in Betracht. Wichtig ist jedoch, dass betroffene Personen grundsätzlich gem. Art. 14 DSGVO über die Verarbeitung ihrer Daten informiert werden müssen.
Die Wahrung der Informationspflichten kann sich jedoch, je nach vorhandenen Daten, als schwierig erweisen. So teilt z. B. nicht jeder Nutzer seine E-Mail-Adresse öffentlich in seinem Social-Media-Profil und andere Informationsformen können sich als teuer und aufwändig erweisen. Das bedeutet aber nicht automatisch, dass der Ausschlussgrund des unverhältnismäßigen Aufwands nach Art. 14 Abs. 5 b) DSGVO einschlägig ist. So sah es zumindest die polnische Aufsichtsbehörde, als sie 2019 ein Bußgeld gegen einen Datensammler verhängte, der von rund 6.000.000 betroffenen Personen, nur die etwa 90.000 Personen informierte, von denen eine E-Mail-Adresse vorlag. Die Firma argumentierte, dass das Versenden von Briefen zu teuer sei, aber die Aufsichtsbehörde sah alternative Möglichkeiten in Internet- und Fernsehwerbung. Auch in der Fachliteratur wird eine enge Auslegung der Ausschlussgründe nach Art. 14 Abs. 5 DSGVO gefordert. Firmen, die personenbezogene Daten per Data Mining verarbeiten, sollten sich also gut überlegen, wie sie die betroffenen Personen über die Verarbeitung informieren können.
Aber auch darüber hinaus gibt es einige datenschutzrechtliche Fallstricke. So kann bei der Menge an anfallenden Daten auch eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO erforderlich sein. Umso mehr, wenn man die Fälle betrachtet, bei denen solche Datenbanken schlecht geschützt über das Internet verfügbar waren und gehackt wurden.