Zulässige Verarbeitung personenbezogener Daten
Der erste Weg – wie oben bereits erwähnt – ist die Einwilligung des Betroffenen, die zusammen mit anderen Erklärungen vorgenommen werden kann – zum Beispiel in den AGB. In diesem Fall muss die Einwilligung dann aber besonders hervorgehoben werden. Diese Möglichkeit steht einem Unternehmen, das Kundendaten auf legale Weise nutzen möchte, in vielen Fällen offen und ist dann eine sichere Methode, auch die beschriebenen Anwendungen der Analyse sozialer Bindungen von Privatkunden auszuschöpfen.
Abzuwägen ist dabei, ob die Einwilligung verpflichtend oder optional formuliert werden soll. Wird sie verpflichtend formuliert, so wird dies gegebenenfalls potenzielle Kunden abschrecken. Ist sie optional, so besteht die Gefahr, dass nur wenige Kunden in die Verarbeitung ihrer Daten einwilligen und so der Wert der Daten insgesamt stark abnimmt. Gerade bei der Betrachtung sozialer Netzwerke spielt die Vollständigkeit der Daten eine große Rolle.
Der zweite Weg ist in §28 BDSG beschrieben: Die Nutzung von personenbezogenen Daten ist auch zulässig, wenn sie ein „Mittel für die Erfüllung eigener Geschäftszwecke“ darstellt. In diesem Fall ist eine Einwilligung der betroffenen Person nicht notwendig.
Nach §28 (1) ist die Datenverarbeitung zulässig, wenn diese in direktem Zusammenhang mit dem Vertrag zwischen dem Betroffenen und dem Nutzer der Daten steht, das heißt zum Beispiel wenn die Datennutzung Voraussetzung für die Erfüllung des Vertrages ist. Daraus ergibt sich aber auch, dass die Erlaubnis nicht mehr gegeben ist, wenn der Zweck des Vertrages erfüllt ist. Da die Nutzung von Kundenverbindungsdaten, wie sie oben beschrieben wurde, normalerweise nicht direkt für die Vertragserfüllung notwendig ist, ist für diesen Fall die Regelung nicht anwendbar.
§28 (2) BDSG sieht jedoch eine weitere Möglichkeit vor: Bei „berechtigten Interessen“ des Unternehmens ist die Verarbeitung personenbezogener Daten ebenfalls zulässig. Dabei ist entscheidend, vor der Verarbeitung der Daten konkret festzulegen, wozu die Daten verwendet werden sollen. Die Daten müssen für die Wahrung der berechtigten Interessen notwendig sein, es reicht also nicht aus, wenn es nur hilfreich wäre, die Daten zu nutzen, die Ziele aber auch ohne Verarbeitung der personenbezogenen Daten erreicht werden könnten.
Die meisten der in diesem Artikel genannten Anwendungen der Analyse sozialer Bindungen können einen Anlass für ein „berechtigtes Interesse“ gemäß §28 (2) bilden. Beispielsweise kann das für Anwendungen im Risikocontrolling und für Betrugserkennung und –management zutreffen, aber auch für Marketing und CRM, wenn dargelegt werden kann, dass ein bestimmter Zweck nur mit Hilfe der Nutzung von Netzwerkdaten erfüllt werden kann.