Die Verarbeitung von „Sinus-Geo-Milieu“-Daten beschäftigt österreichische Behörden und Gerichte nun bereits seit geraumer Zeit. Unter „Sinus-Geo-Milieu“-Daten werden Daten verstanden, mit deren Hilfe eine Gesellschafts- und Zielgruppen-Typologie basierend auf sozialen Milieus erstellt und sodann in den geografischen Raum umgelegt wird.
Ausgangsfall
Im gegenständlichen Verfahren verarbeitete ein Verantwortlicher die von einem liefernden Adressverlag erhaltenen „Sinus-Geo-Milieu“-Daten. Diese enthielten Angaben über die Wahrscheinlichkeit, mit der jedem Haushalt ein jeweils dominantes Milieu zugeordnet werden konnte. Konkret wurden Betroffene nach ihrer sozialen Lage/Schicht und nach ihrer Grundorientierung wie zB Modernisierung/Tradition und in Milieus zB wie „Konservative“, „Performer“ oder „Hedonisten“ eingeteilt.
Eine betroffene Person, die dem Milieu „Postmaterielle“ zugewiesen worden war, erhob Beschwerde an die Datenschutzbehörde („DSB“), da sie keine Zustimmung zur Verarbeitung ihrer personenbezogenen Daten erteilt habe und daher ein Verstoß gegen Artikel 5 und 9 DSGVO vorliege.
Der Verantwortliche argumentierte einerseits, dass die gegenständlichen Daten nicht einer konkreten natürlichen Person, sondern lediglich Wohnadressen/Gebäuden zugeordnet und auf sämtliche dort wohnhafte Personen übertragen werden könnten. Es handle sich daher lediglich um „anonyme geografische Kriterien“ und nicht um personenbezogene Daten. Schon gar nicht würden personenbezogenen Daten besonderer Kategorie (Artikel 9 DSGVO) vorliegen, da es sich um bloße geografische Kriterien handle und die Sinus-Geo-Milieus keine weltanschaulichen Überzeugungen darstellen.
Der Verantwortliche brachte andererseits vor, er hätte sich darauf verlassen dürfen, dass der ihm die Daten liefernde Adressverlag die von der DSB genehmigten Verhaltensregeln einhalten werde, die entsprechenden Einwilligungen der betroffenen Personen eingeholt habe und er selbst dies nicht mehr überprüfen hätte müsse. Die Verhaltensregeln sahen nämlich eine Verpflichtung des liefernden Adressverlags zur Einholung der Einwilligungen vor. Die DSB hätte durch die Genehmigung einen Vertrauenstatbestand und Rechtfertigungsgrund geschaffen.
Personenbezogene Daten besonderer Kategorien gemäß Artikel 9 DSGVO
Im vorliegenden Fall wurden namentlich bezeichneten Personen, die somit bereits identifiziert sind, Sinus-Geo-Milieus zugeordnet, welche bestimmte Wahrscheinlichkeitsaussagen enthielten. Der VwGH qualifizierte diese Daten als Informationen „über“ die jeweilige identifizierte Person, wobei unerheblich ist, ob diese auch tatsächlich zutreffen oder ob es sich bei Sinus-Geo-Milieus bloß um mathematisch-statistische Modelle handelt. Durch die Verknüpfung der – zuvor nur Gebäuden zugeordneten – Sinus-Geo-Milieus mit natürlichen Personen liegen personenbezogene Daten vor.
Da ein indirekter Hinweis auf eine weltanschauliche Überzeugung vorlag und in der Rechtsprechung bereits Daten über eine vermutete politische Vorliebe das Risiko negativer Folgen beinhalten, unterstellt der VwGH diese personenbezogenen Daten außerdem den besonderen Schutzvorschriften nach Artikel 9 DSGVO.
Kein Vertrauen auf behördlich genehmigte Verhaltensregeln gemäß Artikel 40 DSGVO
Der VwGH stellte klar, dass genehmigte Verhaltensregeln lediglich der Selbstbindung dienen und die Anwendung der DSGVO in der Praxis erleichtern, nicht aber das Schutzniveau der DSGVO unterschreiten sollen. Er sprach aus, dass Verhaltensregeln nicht die Verarbeitung von sensiblen Daten genehmigen könnten, ohne dass die Vorgaben des Artikel 9 DSGVO eingehalten würden. Die Verhaltensregeln können weder eine rechtmäßige Verarbeitung ohne Vorliegen eines Ausnahmetatbestands ermöglichen, noch bilden sie selbst einen Ausnahmetatbestand nach Artikel 9 Abs 2 DSGVO. Unternehmen dürfen sich im Ergebnis also nicht darauf verlassen, dass liefernde Adressverlage die entsprechenden Einwilligungen tatsächlich eingeholt haben und sich dadurch ihrer Verantwortung entziehen.
Fazit
Der VwGH hat mit dieser Entscheidung klargestellt, dass auch statistisch erhobene Daten, welche nur geografisch zugeordnet werden, personenbezogen sein können, sofern eine Zuordnung zu einer natürlichen Person erfolgt. Auch genügen bereits indirekte Hinweise auf sensible Informationen, damit Unternehmen den erhöhten Schutzvorschriften des Artikel 9 DSGVO verpflichtet sind.
Auch behördlich genehmigte Verhaltensregeln, nach denen der vorgereihte Adressverlag zur Einholung der Einwilligungen verpflichtet ist, entbinden nachfolgende Datenverarbeiter nicht von ihrer eigenen datenschutzrechtlichen Verantwortlichkeit. In der Praxis ist daher erhöhte Sorgfalt bei der Auswahl der Vertragspartner geboten.
Für Fragen stehen Ihnen das KWR Datenschutzteam und das New Technologies & Digitalisierungs-Team gerne zur Verfügung.