Google und Bing bieten im Rahmen ihrer Maps-Plattformen auch die Möglichkeit, die Korrektheit von Adressen zu prüfen.
Nehmen wir also einen Online-Shop an, der die Adresseingabe seines Kunden mit Hilfe von Bing oder Google überprüft.
Klar, dass der Shop die informierte Einwilligung des Kunden einholen muss. Aber wie steht es um die Freiwilligkeit? Lehnt der Kunde ab, kann er seine Bestellung nicht abschließen.
Kann der Shop die Einwilligung dennoch verlangen mit der Begründung, dass seine Verarbeitungsprozesse nun einmal korrekte Adressen voraussetzen?
Muss er sich entgegen halten lassen, dass es für die Adressprüfung DSGVO-konforme Lösungen gibt? Oder ist er in der Wahl seiner Mittel frei und kann sagen, ich habe mich nun einmal für Bing oder Google entschieden und benötige die Ergebnisse für meine Verarbeitung?
(Technisch kann man mit Hilfe eines Proxies versuchen, dass der Browser des Kunden nicht unmitelbar mit Bing/Google in Verbindung tritt. Mir geht es aber um die grundsätzliche Frage, ob der Shop in der Wahl seiner Mittel frei ist oder ob er sich vorhalten lassen muss, dass es eben auch DSGVO-konforme Lösungen gibt. Ich möchte hier nicht diskutieren, ob selbst bei Einsatz eines Proxies personenbezogene Daten an Bing/Google übermittelt werden.)
Verlangen kann er viel, doch die Einwilligung wäre in dem Fall nicht wirksam, da sie eine “freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung” sein muss (Art.4 Nr.11 DSGVO). Ein solches Verlangen führte in der Folge zu einer fehlenden Rechtsgrundlage und zu rechtswidrigen Übermittlungen.
Die grundsätzliche Antwort lautet: Der Shop ist in der Wahl seiner Mittel frei, sofern er DSGVO-konforme Lösungen einsetzt. Wobei ich “konform” als “übereinstimmend” verstehe - die datenschutzrechtlichen Anforderungen erfüllend.
Aus Performancegründen wird man BING/Google direkt aus dem Browser aufrufen lassen. Aber selbst wenn es über den Shop als Proxy läuft, bleibt die Anschrift selbst!
Warum muss es denn Bing oder Google sein, ich bin sicher es gibt Alternativen.
Ansonsten ggf andere Rechtsgrundlage wie Vertragserfüllung? Ich halte es für nachvollziehbar wenn man sicher gehen will das man eine korrekte Adresse hat und das ist sicher auch im Interesse des Käufers.
Alternativ wäre das berechtigte Interesse aber den Vertrag halte ich immer noch für praktikabel.
Als Voraussetzungen für die Übermittlungen an US-Unternehmen sehe ich zunächst die Standardvertragsklauseln für Verantwortliche (Shop) und Auftragsverarbeiter (Bing, Google). Das berechtigte Interesse ist in Art.49 nicht als Bedingung genannt und fällt somit als Rechtsgrundlage weg. Für einen Vertrag muss die Übermittlung erforderlich sein. Das heißt, die Vertragserfüllung ist ohne diese Übermittlung nur mit unverhältnismäßig großen Schwierigkeiten oder mit einem unvertretbar höheren Aufwand verbunden. Eine solche Erforderlichkeit kann ich nicht erkennen. Warum ist eine Adressvalidierung (bei einem US-Unternehmen) erforderlich, wenn ein Betroffener das gleiche Interesse an der Erfüllung des Vertrages hegt und davon ausgegangen werden kann, dass die korrekte Adresse angegeben wird?
@anzolino: Darauf zielte meine ursprüngliche Frage ab: Kann sich der Shop-Betreiber darauf zurückziehen, dass er nun einmal gerne Bing/Google nutzen möchte? Oder ist ihm zuzumuten, sich nach einer DSGVO-gerechten Lösung umzusehen, die es auch gibt?
Erwischt! “nach einer DSGVO-gerechten Lösung”. Die Lösung hätte immer im Rahmen der Zulässigkeit zu sein. Ist das der Dienst der Wahl nicht, darf er nicht eingesetzt werden.
Das ist bei den “üblichen Verdächtigen” (und dann auch noch Drittland) schwerer bis gar nicht hinzubekommen. Wer das weiß, darf die nicht nehmen, sondern hätte immer solche Dienste auszuwählen, die das Einhalten der Vorschriften leichter machen.
D., der erst Richtung Microsoft und Google empfehlen wird, wenn die sich sehr, sehr ändern.
Auch wenn ich nicht aus der Branche bin: bei der Adressprüfung sehe ich ein berechtigtes Interesse des Shops (zB Eingabefehler, Fehlversand, Rechnungsstellung) und da eine korrekte Adresse auch im Interesse des (normalen) Kunden ist, sehe auch kein Hinderniss bei einer Abwägung - Art 6 I f) DS-GVO sehe ich als Rechtsgrundlage.
Ein zweiter Schritt und etwas anderes ist, ob (und wie) dazu die Daten in die USA dürfen. Ein “gern haben wollen” ist keine Grundlage. Und da keine anderen Instrumente genannt wurden: Einwilligungen kann man ja mal versuchen - nur dürften die Aufsichtsbehörden das bei einem Shop kaum als Ausnahme sehen und ob man sein Geschäft auf einen künftig zu gewinnenenden Rechtsstreit bauen will …
Wobei ich mich beim Suchen gefragt habe, ob all die Anbieter nicht etwa doch genau den schmuddeligen Weg über Microsoft oder Google nutzen.
@UlrichW: Die Antwort darauf hatte ich im ersten Post mit der “grundsätzlichen Antwort” gegeben. Will der Shop-Betreiber nicht rechtswidrig handeln, muss er DSGVO-konforme Lösungen einsetzen.
@anzolino: Ja hattest Du, Danke. Ich hatte meine ursprüngliche Frage nur noch einmal wiederholt, weil sie ein wenig aus dem Fokus geraten war ;- )
Es gibt aber auch Fälle, in denen Daten zur Vertragserfüllung übermittelt werden müssen. Etwa im Zusammenhang mit Flugbuchungen. Nach welchem Artikel ist es hier gestattet?
Wenn der Datenschutz irgendeine Rolle spielt, hätte diese Frage schon am Anfang gestellt werden müssen. (Hätten die Entscheider schon überlegen müssen. Wenn nicht, dann ist es egal.)
D., der auf solche Fragen eigentlich nie Argumente geliefert bekommt.
Die rechtmäßige Grenze sehe ich in der Erforderlichkeit. Eine absolute Notwendigkeit kann ich für eine Adressvalidierung zur Erfüllung des Vertrages nicht erkennen. Zum Einen gehe ich davon aus, dass Betroffene die eigene oder die Adresse der Abholstation korrekt angeben können. Zum Anderen würde eine solche Erforderlichkeit bedeuten, dass eine Validierung bei sämtlichen Verträgen von allen Verantwortlichen durchgeführt werden muss. Und das habe ich noch nicht erlebt. Eine Erforderlichkeit wird außerdem ausgeschlossen, wenn weniger eingriffsintensive Alternativen bestehen. Ist die Erforderlichkeit nicht gegeben, muss eine andere Rechtsgrundlage des Art.6 die Verarbeitung begründen.
Zusätzlich zu den Rechtsgrundlagen in Art.6 sind die Grundsätze des Art.5 zu beachten. https://www.datenschutz-wiki.de/DSGVO:Art_5
Für die Verarbeitung in Drittstaaten (zB USA) gelten die Artikel 44-49. Das Kurzpapier Nr.4 der Datenschutzkonferenz erläutert die Artikel kurz. Allerdings wurde das Papier nach der Ungültigkeitserklärung des EU-US Privacy Shields nicht aktualisiert. Der Verweis darauf ist inkorrekt, für die USA existiert kein Angemessenheitsbeschluss. https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_4.pdf