Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung („DSGVO“) in Kraft. Mit ihr wird vor allem der Grundsatz der Transparenz der Datenverarbeitung in den Vordergrund gestellt. Immer häufiger stellen Unternehmen fest, dass die Anforderungen der DSGVO an Transparenz, Datensicherheit und Datenschutz durch technische Voreinstellungen (Privacy-by-Design und Privacy-by-Default) nicht nur eine Pflicht, sondern auch eine Chance für Unternehmen darstellen können, um Prozesse der Datenverarbeitung auch für eigene Zwecke zu optimieren.
Diese Chance versuchen verschiedene Unternehmen durch sog. Login-Allianzen zu ergreifen. Mittels dieser Allianzen soll Nutzern ein einheitliches Kundenkonto für den Login bei verschiedenen Anbietern zur Verfügung gestellt werden. Die Konzerne Axel Springer, Allianz, Daimler, Deutsche Telekom, Lufthansa, die Bundesdruckerei und Deutsche Bank und weitere Partner nennen ihre Login-Allianz dabei „Verimi“. Als Konkurrenz dazu tritt die Login-Allianz der Mediengruppe von RTL-Deutschland, ProSiebenSat.1 und United Internet und weiterer Partner auf. Beiden Allianzen ist bewusst, dass ihr Erfolg vor allem von Größe und Teilnehmerzahl abhängt und sind daher für weitere Partner offen. So ist die Partnerschaft mit Zalando ein wichtiger Schritt für ProSiebenSat1 und Co.
Was sind Login-Allianzen?
Login-Allianzen ermöglichen durch einmalige Registrierung die Erlangung einer Art „digitalen Schlüssels“, mittels dessen der Login bei allen Partnern einer Login-Allianz und deren Angeboten, Webseiten, Apps usw. erfolgen kann. Dieses Verfahren wird auch als „Single Sign-On“-Verfahren bezeichnet. Der Nutzer spart damit viel Zeit und soll auch nicht mehr dem Druck ausgesetzt werden bei jeder Online-Betätigung erst ein Kundenkonto eröffnen oder seine vollständigen Daten eingeben zu müssen.
Die Single-Sign-On-Lösung ist bisher vor allem aus dem US-Markt bekannt. Facebook, Amazon und Google bieten für zahlreiche Dienste den Login mittels des jeweiligen Kundenkontos an. Dadurch erhalten die US-Big-Player erhebliche Datenmengen, die aus Sicht von Werbetreibenden sehr wertvoll sind. Diese Daten auf dem deutschen Markt wollen die Partner der Login-Allianzen nun ebenfalls nutzen. Zudem wird den Big-Playern am US-Markt häufig Intransparenz vorgeworfen. Die Login-Allianzen versuchen genau diesen Vorwurf zu vermeiden und deshalb z.B. übersichtliche Privacy-Center zu schaffen.
Wie sind Login-Allianzen aus Sicht der DSGVO zu bewerten?
Nach der DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich unzulässig. Erforderlich ist daher immer eine rechtliche Erlaubnis (sog. Verbot mit Erlaubnisvorbehalt). Werden also beispielsweise personenbezogene Daten zu Werbezwecken verarbeitet, um also zum Beispiel personalisierte Werbeangebote zu erstellen, ohne dass eine solche rechtliche Erlaubnis vorliegt, verstoßen die beteiligten Unternehmen gegen die DSGVO – ein Verhalten, dass in jedem einzelnen Fall eine bußgeldbewehrte Ordnungswidrigkeit darstellt.
Eine mögliche Rechtsgrundlage bietet dabei die Einwilligung der Nutzer in die Datenverarbeitung gemäß Artikel 6 Abs. (1) lit. a) DSGVO. Stimmt der Nutzer also vor der Datenverarbeitung einer solchen Verarbeitung zu, ist sie rechtmäßig, sofern die Voraussetzung einer ordnungsgemäßen Einwilligung eingehalten werden. Wichtig ist dabei vor allem, dass eine Einwilligung ausdrücklich und vor Beginn der Datenverarbeitung erfolgen muss (Opt-In). Die Verarbeitung von Daten ist also nicht so lange zulässig, bis der Nutzer widerspricht (Opt-Out), sondern darf erst erfolgen, wenn der Nutzer vorher ausdrücklich zugestimmt hat.
Mit dem Single-Sign-On verfolgen die Partner der Login-Allianzen das Ziel, den Einwilligungsprozess transparenter und übersichtlicher zu gestalten. Dabei besteht die Möglichkeit eine einmalige Einwilligung für die Datenverarbeitung durch alle beteiligten Unternehmen einzuholen (etwa bei Registrierung). Gerade bei solchen Mehrfacheinwilligungen ist jedoch genau auf die Rechtmäßigkeitsanforderungen der DSGVO zu achten, häufig können gerade diese Mehrfacheinwilligungen gegen den Grundsatz der Transparenz verstoßen. Daneben besteht die Möglichkeit, bei der Registrierung die Daten einmalig einzugeben und dann bei jedem Login bei einem der Partner der Allianz selbst darüber zu entscheiden, welche Daten diesem jeweiligen Partner zur Verfügung gestellt werden sollen. Dieses Ziel scheinen die Login-Allianzen zu verfolgen.
Bei den Rechtmäßigkeitsanforderungen an solche Einwilligungen wird der Transparenzgrundsatz besonders deutlich. So verlangt die DSGVO, dass der Nutzer in einer einfachen und verständlichen Sprache darüber aufgeklärt wird, worin er einwilligt. Zudem muss er darüber informiert werden, dass eine einmal erteilte Einwilligung jederzeit widerrufen werden kann und ihm zudem weitere Betroffenenrechte (v.a. auf Löschung, Widerspruch, Berichtigung und Datenübertragbarkeit) zustehen.
Die von den Login-Allianzen geplanten „Privacy Center“ sollen den Kunden genau diesen Überblick leicht verständlich verschaffen. Der Kunde soll selbst entscheiden können, welche Daten er an welches Unternehmen überträgt und zudem darüber bestimmen können, welche Daten zwischen den einzelnen Unternehmen einer Allianz übertragen werden dürfen. Durch den „OpenID Connect Standard“ soll es genügen, dass der Kunde im Rahmen des Login bei einem der Partner E-Mail-Adresse und Passwort eingibt und im Anschluss nach erfolgter Authentifizierung ein Dialogfenster erscheint, das dem Nutzer genau anzeigt, welche Daten vom jeweiligen Unternehmen zu welchen Zwecken verarbeitet werden sollen.
Privacy-by-Design und Privacy-by-Default: Diese geplante Vorgehensweise unter Verwendung eines Privacy-Center und dem Open-ID-Connect-Verfahren kann – abhängig von der konkreten Ausgestaltung – nicht nur die Anforderungen an den Transparenzgrundsatz, sondern bietet auch in einem weiteren zentralen Punkt eine gute Möglichkeit, die Anforderungen der DSGVO in der Praxis umzusetzen: Denn im Rahmen der Ausgestaltung des Privacy Center sind die jeweiligen Unternehmen gemäß dem Grundsatz „Privacy-by-Default“ verpflichtet, bei ihrem Online-Angebot datenschutzfreundliche technische Voreinstellungen zu wählen. Gerade diese Anforderungen könnten die deutschen Login-Allianzen gegenüber den US-amerikanischen Big-Playern im Rahmen der Gestaltung der Privacy-Center erfüllen.
Koppelungsverbot: Im Zusammenhang mit der Erteilung von Einwilligungen wird häufig das Problem des sogenannten Koppelungsverbots diskutiert. Unabhängig davon, ob die DSGVO ein echtes Koppelungsverbot enthält, ist jedenfalls unzweifelhaft, dass Einwilligungen in Datenverarbeitungen nur dann rechtmäßig sind, wenn sie freiwillig erteilt werden. Eine solche Freiwilligkeit kann unter Umständen dann nicht mehr angenommen werden, wenn die Nutzung von Online-Angeboten nur dann möglich ist, wenn zugleich in die Verarbeitung personenbezogener Daten eingewilligt wird. Durch die Möglichkeit, im Privacy-Center zu wählen, welche Daten den jeweiligen Unternehmen zur Verfügung gestellt werden, können diese Anforderungen erfüllt sein und ein Verstoß gegen das Kopplungsverbot ausgeschlossen werden, wenn der Nutzer – wie bislang geplant – auch ohne Einwilligung in die Verarbeitung seiner Daten bei einem Unternehmen dessen Angebot (also etwa eine Webseite oder eine App) vollständig nutzen kann, ohne vorher seine Daten (wie etwa sein Alter, Wohnort etc.) dem jeweiligen Unternehmen zur Verfügung zu stellen. Diese Daten verbleiben dann im Privacy Center und werden nicht an die betreffenden Unternehmen übermittelt.
Grundsatz der Datensicherheit: Die DSGVO enthält auch den Grundsatz der Datensicherheit. Das Single-Sign-On Verfahren birgt dabei Chancen und Risiken. Zum einen senkt ein einheitliches Passwort das Risiko des Vergessens erheblich. Andererseits wird das Risiko für die Datenverarbeitung zugleich erhöht, da im Falle einer Kenntniserlangung durch Unbefugte diese mittels des Passworts zugleich Zugang zu mehreren Benutzerkonten des jeweiligen Betroffenen bei mehren Partner-Unternehmen der jeweiligen Login-Allianz erlangen können.
Im Fall der Verwendung mehrerer unterschiedlicher Passwörter werden diese allerdings vom Nutzer auch seltener geändert, da es für den Nutzer schwieriger ist, die Übersicht über seine verschiedenen Passwörter zu behalten. Heute gehört es jedoch zur Sicherheitsempfehlung nahezu jeden Anbieters, Passwörter regelmäßig zu ändern. Dieser Sicherheitsanforderung kann bei der Verwendung eines einheitlichen Passworts leichter durch den Nutzer nachgekommen und so die Datensicherheit verbessert werden. Geschieht dies jedoch nicht, bleibt es bei dem mit der Verwendung eines einheitlichen Passwortes für mehrere Nutzerkonten verbundenen höheren Risikos für die Datensicherheit. Die Anbieter von Login-Allianzen sollten daher in jedem Fall regelmäßige Passwort-Änderungen zur Pflicht erheben und diese so weit wie möglich auch durch geeignete Maßnahmen technisch erzwingen.
Datenspeicherung nur in der EU: Ein letzter Vorteil der Login-Allianzen besteht darin, dass im Rahmen der so ermöglichten zentralen Verwaltung und Speicherung personenbezogener Daten besser sichergestellt werden kann, dass die Daten nur innerhalb der EU gespeichert und verarbeitet werden. Die Risiken von Datenübertragungen etwa in die USA und die aktuell bestehende Unsicherheit über die Rechtmäßigkeit solcher Datenübertragungen in der Zukunft, entfallen damit.
Fazit
Login-Allianzen deutscher Unternehmen können – abhängig von ihrer konkreten Ausgestaltung – eine rechtssichere und transparente Alternative zur Verarbeitung von personenbezogenen Daten darstellen. Bei korrekter technischer und rechtlicher Ausgestaltung können sie den Grundsätzen von Transparenz und Freiwilligkeit genügen und damit personalisierte Werbung legitimieren. Allerdings sollten die beteiligten Unternehmen darauf achten, dass Nutzern wirklich in jedem Fall leicht verständlich erklärt wird, dass Daten für Zwecke der personalisierten Werbung genutzt werden und welche Möglichkeiten bestehen, um eine solche Datenverarbeitung zu verhindern. Nur wenn die Anforderungen an Transparenz und Datensicherheit auch DSGVO-konform umgesetzt werden, können die beteiligten Unternehmen die erhofften Vorteile durch Login-Allianzen erreichen, ohne hohe Bußgeldzahlungen zu riskieren.
Im Blick behalten müssen die an Login-Allianzen beteiligten Unternehmen allerdings die Frage, ob zwischen ihnen im Hinblick auf die verarbeiteten personenbezogenen Daten eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO besteht. Wenn und soweit dies der Fall ist, müssen die Unternehmen einen diesbezüglichen Vertrag schließen, der die gemäß Art. 26 DSGVO bestehenden inhaltlichen und formalen Anforderungen erfüllt. Wird ein solcher Vertrag nicht abgeschlossen, stellt dies ebenfalls eine Ordnungswidrigkeit dar, die mit einem Bußgeld geahndet werden kann.