Rechtmäßigkeit
Die Definition der Rechtmäßigkeit findet sich in Art. 6 Absatz 1DSGVO.Sie lautet wie folgt:
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Einhaltung ihrer Aufgaben vorgenommene Verarbeitung. |
Während die Zwecke der Verarbeitung festgelegtund eindeutig (siehe Art. 5 Absatz 1 Buchstabe b) und daher auch hinreichend eng und spezifisch sein müssen, handelt es sich bei den oben genannten Zweckeneindeutig umKategorien von Zwecken.(Wo das Wort Zweck ausdrücklich verwendet wurde, ist es daher kursiv geschrieben).Sie werden gemeinhin als Rechtsgrundlagen[1]bezeichnet und sind durch ihre Stellung in Artikel 6 gekennzeichnet; so wäre beispielsweise die Einwilligung die Rechtsgrundlage von Art. 6 Absatz 1 Buchstabe a.
Die Datenschutz-Grundverordnung enthält zwei Artikel, die weitere Anforderungen an die Rechtmäßigkeit für zwei verschiedene Fälle festlegen: sensible Daten und Daten über strafrechtliche Verurteilungen.Im Einzelnen sind dies die Folgenden:
Art. 9 DSGVO besagt, dass die Verarbeitung besonderer Kategorien von Daten grundsätzlich verboten ist, und nennt 10 Ausnahmen von dieser Regel.Die Ausnahmen sind in ihrer Struktur vergleichbar mit den Rechtsgrundlagen des Art. 6.Der Artikel legt fest, dass Daten besonders sensibel sind, wenn sie Aufschluss geben über:
- rassische oder ethnische Herkunft,
- politische Meinungen,
- religiöse oder philosophische Überzeugungen,
- Mitgliedschaft in einer Gewerkschaft,
oder es sich um Daten folgender Kategorien handelt:
- genetische Daten,
- biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person,
- Daten zur Gesundheit oder
- Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person.
Für diese Daten gelten strengere Anforderungen, damit ihre Verarbeitung als rechtmäßig angesehen werden kann.So erfordert die Verarbeitung solcher sensibler Daten anstelle der einfachen Einwilligung gemäß Art. 6 Absatz 1 Buchstabe a eine anspruchsvollere Stufe der Einwilligung, die als ausdrückliche Einwilligung bezeichnet wird (siehe Art. 9 Absatz 2 Buchstabe aDSGVO).
Wie Art. 9 für besonders sensible Daten gilt, schränkt Artikel 10 DSGVO die Verarbeitung von „Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln“ weiter ein.Insbesondere muss die Verarbeitung, um rechtmäßig zu sein, entweder „nur unter behördlicher Aufsicht erfolgen oder, wenn [sie] nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zulässig ist, angemessene Garantien für die Rechte und Freiheiten der betroffenen Personen vorsehen“.
Es gibt mehrere Artikel und Erwägungsgründe in der DSGVO, die das Konzept der Einwilligung (Art. 6 Absatz 1 Buchstabe aDSGVO) näher erläutern.Die wichtigsten sind die Folgenden:
- Art. 4 Absatz 11, der die Einwilligung definiert;
- Art. 7, der die Bedingungen für die Einwilligungauflistet; und
- Art. 8, der die Bedingungen für die Einwilligung des Kindes in die Dienste der Informationsgesellschaft regelt.
In Anbetracht der Tatsache, dass die Einwilligung ein komplexes Konzept ist, hat der Europäische Datenschutzausschuss maßgebliche Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679[2] herausgegeben.
Neben der Einwilligung ist auch das Konzept des berechtigten Interesses desVerantwortlichen(Art. 6 Absatz 1 Buchstabe fDSGVO) nur schwer vollständig zu verstehen.Entscheidend ist hier die Einschränkung „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen“.Dies bedeutet, dass die berechtigten Interessen des Verantwortlichen mit den Interessen der betroffenen Personen abgewogen werden müssen.Um festzustellen, ob dies der Fall ist, muss der Verantwortliche eine so genannte Abwägungsprüfung durchführen. Wie dies zu tun ist, wird in Teil II dieser Leitlinien unter „Wichtigste Instrumente und Maßnahmen“beschrieben. Sie stützt sich in erster Linie auf die maßgebliche Stellungnahme 06/2014 der Artikel-29-Datenschutzgruppe zum Begriff des berechtigten Interesses des für dieVerarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG[3].Diese Stellungnahme basiert zwar auf der Datenschutzrichtlinie, die der DSGVO vorausging, ist aber generell auf die Auslegung von Art. 6 Absatz 1 Buchstabe fDSGVO anwendbar.Sie wird als weiterführende Lektüre zu diesem Thema empfohlen.
Verarbeitung nach Treu und Glauben
Bei der gesamten DSGVO geht es wohl um Verarbeitung nach Treu und Glauben.Im Folgenden werden einige Artikel der Datenschutz-Grundverordnung genannt, die dies besonders gut veranschaulichen.
Ein Bereich, in dem Verarbeitung nach Treu und Glauben offensichtlich ist, betrifft die Anforderungen an die Transparenz.Hier besagt Art. 12 Absatz 1, dass der Verantwortliche „der betroffenen Person Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln hat;dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.“Dies verbietet offensichtlich die unlautere Praxis, die erforderlichen Informationen in einer Form bereitzustellen, die für die betroffenen Personen unzugänglich ist.
Ebenso kann die Einwilligung nicht stillschweigend erfolgen, sondern erfordert vielmehr eine ausdrückliche „Erklärung oder eine sonstigeeindeutige bestätigende Handlung“ (siehe Art. 4 Absatz 11DSGVO).In demselben Artikel heißt es weiter, dass die Einwilligung freiwillig, für den bestimmten Fall, in informierter Weiseund unmissverständlich abgegeben werden muss“.Darüber hinaus muss eine betroffene Person in der Lage sein, ihre Einwilligung jederzeit und ohne Angabe von Gründen genauso einfach zu widerrufen, wie sie erteilt wurde.Diese strengen Anforderungen an die Einwilligung verbieten direkt viele manipulative Praktiken, einschließlich des „Nudging“[4]von betroffenen Personen.
Mehrere Rechte der betroffenen Person können direkt mit Verarbeitung nach Treu und Glauben in Verbindung gebracht werden.Dazu gehören:
- Das Recht auf Berichtigung (Art. 16 DSGVO), um zu verhindern, dass betroffene Personen aufgrund unrichtiger Daten negative Folgen erleiden;
- Das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das die Verantwortlichen daran hindert, Daten weiter zu verwenden, die als unrichtig gemeldet wurden oder sich auf eine Verarbeitung beziehen, der die betroffene Person widersprochen hat;
- Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO), das verhindert, dass Nutzer, die ihre Beziehung zu dem Verantwortlichen ändern, in eine „Lock-in“-Situation geraten und einen möglichen Verlust (z. B. von Investitionen[5]) erleiden;
- Das Widerspruchsrecht (Art. 21 DSGVO), bei dem im Falle einer Rechtsgrundlage nach Art. 6 Absatz 1 Buchstabe fDSGVO die betroffenen Personen ihre besondere Situation darlegen können, in der ihre Interessen gegenüber den berechtigten Interessen des Verantwortlichen überwiegen;
- Das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht (Art. 22 DSGVO), die auch das Recht auf ein menschliches Eingreifen seitens des Verantwortlichen vorsieht (siehe Absatz 3).
Ein weiteres Indiz für eine Verarbeitung nach Treu und Glauben ist, dass der Verantwortliche die Sichtweise der betroffenen Personen berücksichtigen muss.Dies geht beispielsweise aus Erwägungsgrund 50 der Datenschutz-Grundverordnung hervor, in dem gefordert wird, die berechtigten Erwartungen der betroffenen Personen zu berücksichtigen, wenn es um die Feststellung geht, ob ein Zweck gemäß Artikel 6 Absatz 4 vereinbar ist. Dies wird auch in der Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) deutlich, bei der die Verantwortlichen gegebenenfalls die Meinung der betroffenen Personen oder ihrer Vertreter einholen müssen (Artikel 35 Absatz 9 DSGVO).
Transparenz
In mehreren Artikeln der Datenschutz-Grundverordnung wird der Grundsatz der Transparenz näher erläutert.Dazu gehören die Folgenden:
- In den Artikeln 12 bis 14 wird detailliert beschrieben, welche Informationen die Verantwortlichen den betroffenen Personen im Voraus zur Verfügung stellen müssen.
- Art. 15 beschreibt die Informationen, die den betroffenen Personen auf Anfrage erteilt werden müssen, einschließlich des vollständigen Zugangs zu ihren Daten.
- Art. 34 beschreibt, wie betroffene Personen über Datenschutzverletzungen informiert werden müssen, wenn diese wahrscheinlich zu einem hohen Risiko führen.
- Art. 38 Absatz 4benennt den Datenschutzbeauftragten des Verantwortlichen als Anlaufstelle für betroffene Personen.
- Art. 12 und 19 beschreiben die Informationen, die die Verantwortlichen betroffenen Personen geben müssen, die eines ihrer Rechte ausüben.
- Art. 30 Verzeichnisse über die Verarbeitung und 35 Datenschutz-Folgenabschätzung beschreiben die Informationen, die den Aufsichtsbehörden vorgelegt werden müssen. (Letzteres nur, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko führt).
- Art. 58 Absatz 1legt fest, wie die Verantwortlichen gegenüber den Aufsichtsbehörden transparent sein müssen, indem sie Rede und Antwort stehen (Buchstabe a), Inspektionen und Audits zulassen (Buchstabe b) und Zugang zu ihren Räumlichkeiten gewähren (Buchstabe f).
- Art. 33 beschreibt die Meldung von Verstößen an die Aufsichtsbehörden.
In Anbetracht der Bedeutung der Transparenz in der Datenschutz-Grundverordnung hat der Europäische Datenschutzausschuss in seinen Leitlinien zur Transparenz im Rahmen der Verordnung (EU) 2016/679 (wp260rev.01)[6] eine maßgebliche Auslegung der damit verbundenen Pflichten vorgelegt.Diese werden zur weiteren Lektüre empfohlen.
References
1Der Begriff Rechtsgrundlage wird in der Datenschutz-Grundverordnung ausführlich verwendet und hier als bevorzugter Begriff empfohlen.In der Literatur wird auch der Begriff lawful basis verwendet. ↑
2EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.0, angenommen am 4.Mai 2020, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en (zuletzt besucht am 22.05.2020). ↑
3Artikel 29 Datenschutzgruppe, 844/14/EN, WP217, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, angenommen am 9. April 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (zuletzt besucht am 22.05.2020). ↑
4Siehe zum Beispiel Weinmann, M., Schneider, C. & Brocke, J.v. Digital Nudging. Bus Inf Syst Eng 58, 433-436 (2016). https://doi.org/10.1007/s12599-016-0453-1 (zuletzt besucht am 22.05.2020). ↑
5Ein Paradebeispiel für einen möglichen Investitionsverlust ist die Sammlung von persönlichen Fotos. ↑
6EDSA, Leitlinien für Transparenz gemäß der Verordnung 2016/679 (wp260rev.01), https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227 (zuletzt besucht am 22.05.2020). ↑