Freiwilligkeit bei Einwilligung

UlrichW · 1. April 2022 um 23:46

Google und Bing bieten im Rahmen ihrer Maps-Plattformen auch die Möglichkeit, die Korrektheit von Adressen zu prüfen.

Nehmen wir also einen Online-Shop an, der die Adresseingabe seines Kunden mit Hilfe von Bing oder Google überprüft.

Klar, dass der Shop die informierte Einwilligung des Kunden einholen muss. Aber wie steht es um die Freiwilligkeit? Lehnt der Kunde ab, kann er seine Bestellung nicht abschließen.

Kann der Shop die Einwilligung dennoch verlangen mit der Begründung, dass seine Verarbeitungsprozesse nun einmal korrekte Adressen voraussetzen?

Muss er sich entgegen halten lassen, dass es für die Adressprüfung DSGVO-konforme Lösungen gibt? Oder ist er in der Wahl seiner Mittel frei und kann sagen, ich habe mich nun einmal für Bing oder Google entschieden und benötige die Ergebnisse für meine Verarbeitung?

(Technisch kann man mit Hilfe eines Proxies versuchen, dass der Browser des Kunden nicht unmitelbar mit Bing/Google in Verbindung tritt. Mir geht es aber um die grundsätzliche Frage, ob der Shop in der Wahl seiner Mittel frei ist oder ob er sich vorhalten lassen muss, dass es eben auch DSGVO-konforme Lösungen gibt. Ich möchte hier nicht diskutieren, ob selbst bei Einsatz eines Proxies personenbezogene Daten an Bing/Google übermittelt werden.)

haderner · 2. April 2022 um 10:16

Der Shop braucht Rechtsgrundlagen. Das kann eine Einwilligung sein. Aber zunächst: welche personenbezogenen Daten werden (in die USA) übermittelt?

anzolino · 2. April 2022 um 12:38

Verlangen kann er viel, doch die Einwilligung wäre in dem Fall nicht wirksam, da sie eine “freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung” sein muss (Art.4 Nr.11 DSGVO). Ein solches Verlangen führte in der Folge zu einer fehlenden Rechtsgrundlage und zu rechtswidrigen Übermittlungen.

Die grundsätzliche Antwort lautet: Der Shop ist in der Wahl seiner Mittel frei, sofern er DSGVO-konforme Lösungen einsetzt. Wobei ich “konform” als “übereinstimmend” verstehe - die datenschutzrechtlichen Anforderungen erfüllend.

UlrichW · 2. April 2022 um 17:17

@haderner: Die IP-Adresse und die Anschrift (PLZ, Ort, Straße) des Besuchers.

haderner · 3. April 2022 um 11:46

Hm. Wieso die IP? Erfolgt die Daten-Übermittlung durch den User oder durch den Shop?

UlrichW · 3. April 2022 um 15:25

@hardener

Aus Performancegründen wird man BING/Google direkt aus dem Browser aufrufen lassen. Aber selbst wenn es über den Shop als Proxy läuft, bleibt die Anschrift selbst!

joeDS · 4. April 2022 um 07:23

Warum muss es denn Bing oder Google sein, ich bin sicher es gibt Alternativen.

Ansonsten ggf andere Rechtsgrundlage wie Vertragserfüllung? Ich halte es für nachvollziehbar wenn man sicher gehen will das man eine korrekte Adresse hat und das ist sicher auch im Interesse des Käufers.

Alternativ wäre das berechtigte Interesse aber den Vertrag halte ich immer noch für praktikabel.

haderner · 4. April 2022 um 19:03

Die Adresse ist klar.
Aber bei der (direkten) Übermittlung der IP-Adresse bleibt wohl nur eine Einwilligungslösung als Weg.

anzolino · 5. April 2022 um 07:41

Als Voraussetzungen für die Übermittlungen an US-Unternehmen sehe ich zunächst die Standardvertragsklauseln für Verantwortliche (Shop) und Auftragsverarbeiter (Bing, Google). Das berechtigte Interesse ist in Art.49 nicht als Bedingung genannt und fällt somit als Rechtsgrundlage weg. Für einen Vertrag muss die Übermittlung erforderlich sein. Das heißt, die Vertragserfüllung ist ohne diese Übermittlung nur mit unverhältnismäßig großen Schwierigkeiten oder mit einem unvertretbar höheren Aufwand verbunden. Eine solche Erforderlichkeit kann ich nicht erkennen. Warum ist eine Adressvalidierung (bei einem US-Unternehmen) erforderlich, wenn ein Betroffener das gleiche Interesse an der Erfüllung des Vertrages hegt und davon ausgegangen werden kann, dass die korrekte Adresse angegeben wird?

UlrichW · 5. April 2022 um 11:38

@anzolino: Darauf zielte meine ursprüngliche Frage ab: Kann sich der Shop-Betreiber darauf zurückziehen, dass er nun einmal gerne Bing/Google nutzen möchte? Oder ist ihm zuzumuten, sich nach einer DSGVO-gerechten Lösung umzusehen, die es auch gibt?

Domasla · 5. April 2022 um 13:53

Erwischt! “nach einer DSGVO-gerechten Lösung”. Die Lösung hätte immer im Rahmen der Zulässigkeit zu sein. Ist das der Dienst der Wahl nicht, darf er nicht eingesetzt werden.

Das ist bei den “üblichen Verdächtigen” (und dann auch noch Drittland) schwerer bis gar nicht hinzubekommen. Wer das weiß, darf die nicht nehmen, sondern hätte immer solche Dienste auszuwählen, die das Einhalten der Vorschriften leichter machen.

D., der erst Richtung Microsoft und Google empfehlen wird, wenn die sich sehr, sehr ändern.

haderner · 5. April 2022 um 18:18

Auch wenn ich nicht aus der Branche bin: bei der Adressprüfung sehe ich ein berechtigtes Interesse des Shops (zB Eingabefehler, Fehlversand, Rechnungsstellung) und da eine korrekte Adresse auch im Interesse des (normalen) Kunden ist, sehe auch kein Hinderniss bei einer Abwägung - Art 6 I f) DS-GVO sehe ich als Rechtsgrundlage.

Ein zweiter Schritt und etwas anderes ist, ob (und wie) dazu die Daten in die USA dürfen. Ein “gern haben wollen” ist keine Grundlage. Und da keine anderen Instrumente genannt wurden: Einwilligungen kann man ja mal versuchen - nur dürften die Aufsichtsbehörden das bei einem Shop kaum als Ausnahme sehen und ob man sein Geschäft auf einen künftig zu gewinnenenden Rechtsstreit bauen will …

Wobei ich mich beim Suchen gefragt habe, ob all die Anbieter nicht etwa doch genau den schmuddeligen Weg über Microsoft oder Google nutzen.

anzolino · 5. April 2022 um 20:27

@UlrichW: Die Antwort darauf hatte ich im ersten Post mit der “grundsätzlichen Antwort” gegeben. Will der Shop-Betreiber nicht rechtswidrig handeln, muss er DSGVO-konforme Lösungen einsetzen.

UlrichW · 6. April 2022 um 22:46

@anzolino: Ja hattest Du, Danke. Ich hatte meine ursprüngliche Frage nur noch einmal wiederholt, weil sie ein wenig aus dem Fokus geraten war ;- )

Es gibt aber auch Fälle, in denen Daten zur Vertragserfüllung übermittelt werden müssen. Etwa im Zusammenhang mit Flugbuchungen. Nach welchem Artikel ist es hier gestattet?

Wo ist die rechtmäßige Grenze (Artikel?)?

UlrichW · 6. April 2022 um 22:50

Ja, Bing/Google Maps ist halt stets zur Hand und relativ bequem einzubinden. Rechtmäßige Angebote sind schwerer zu finden und teurer.

daimos · 7. April 2022 um 06:50

Wieso nicht DuckDuckGo oder Startpage als Suchmaschine? Wieso nicht OpenStreetMap?

Domasla · 7. April 2022 um 08:54

Weil… weil… weil… äh…

Wenn der Datenschutz irgendeine Rolle spielt, hätte diese Frage schon am Anfang gestellt werden müssen. (Hätten die Entscheider schon überlegen müssen. Wenn nicht, dann ist es egal.)

D., der auf solche Fragen eigentlich nie Argumente geliefert bekommt.

anzolino · 7. April 2022 um 09:16

Art.6 definiert die Rechtsgrundlagen der Verarbeitung, die Vertragserfüllung regelt Art.6 Abs.1 lit.b.

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, […] erforderlich

https://www.datenschutz-wiki.de/DSGVO:Art_6

Die rechtmäßige Grenze sehe ich in der Erforderlichkeit. Eine absolute Notwendigkeit kann ich für eine Adressvalidierung zur Erfüllung des Vertrages nicht erkennen. Zum Einen gehe ich davon aus, dass Betroffene die eigene oder die Adresse der Abholstation korrekt angeben können. Zum Anderen würde eine solche Erforderlichkeit bedeuten, dass eine Validierung bei sämtlichen Verträgen von allen Verantwortlichen durchgeführt werden muss. Und das habe ich noch nicht erlebt. Eine Erforderlichkeit wird außerdem ausgeschlossen, wenn weniger eingriffsintensive Alternativen bestehen. Ist die Erforderlichkeit nicht gegeben, muss eine andere Rechtsgrundlage des Art.6 die Verarbeitung begründen.
Zusätzlich zu den Rechtsgrundlagen in Art.6 sind die Grundsätze des Art.5 zu beachten.
https://www.datenschutz-wiki.de/DSGVO:Art_5

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte die “Leitlinien 2/2019 für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Erbringung von Online-Diensten für betroffene Personen”. Neben dem leicht verständlichen Text sind auch Beispiele enthalten.
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_de_0.pdf

Für die Verarbeitung in Drittstaaten (zB USA) gelten die Artikel 44-49. Das Kurzpapier Nr.4 der Datenschutzkonferenz erläutert die Artikel kurz. Allerdings wurde das Papier nach der Ungültigkeitserklärung des EU-US Privacy Shields nicht aktualisiert. Der Verweis darauf ist inkorrekt, für die USA existiert kein Angemessenheitsbeschluss.
https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_4.pdf

LfD RLP hat ein schönes Prüfschema für Übermittlungen in Drittstaaten gebastelt:
https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Pruefschritte_Datenuebermittlung_in_Drittlaender_nach_Schrems_II.pdf
via https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/

UlrichW · 7. April 2022 um 16:26

Ich wollte hier eigentlich eine juristische Frage besprechen ;- )

UlrichW · 7. April 2022 um 16:34

@ anzolino

Vielen Dank für die ausführliche (und für meine Bedürfnisse erschöpfende) Antwort!