Wenn wir uns nun auf einzelne Datensätze und nicht auf Datenbanken konzentrieren, sollten wir nicht mehr von Rechten sui generis sprechen, da das Szenario ein völlig anderes wäre. Wir sprechen jetzt über den Verkauf/Kauf von Daten als solchen. Wie bereits erwähnt, ist dies nur rechtmäßig, wenn es sich bei den Daten überhaupt nicht um personenbezogene Daten handelt. Forscher, die bereit sind, die gesammelten Daten zu verkaufen, sollten daher die Datensätze vor dem Verkauf anonymisieren (siehe ““dentifizierung“, „Pseudonymisierung“ und „Anonymisierung“ in Teil II, Abschnitt „Hauptkonzepte“). Der Grund dafür ist, dass anonyme Daten nicht unter die Anforderungen der Datenschutz-Grundverordnung fallen (wie im vorherigen Abschnitt beschrieben).
Wenn eine Anonymisierung nicht möglich ist, stellt sich die Frage, ob der Zugang zu personenbezogenen Daten Dritten zu kommerziellen Zwecken gewährt werden könnte oder ob ein Forscher gegen Zahlung eines Entgelts Zugang zu einer solchen Datenbank erhalten könnte – und zwar über eine Lizenz für die Nutzung der Daten oder die gemeinsame Nutzung der gesamten Datenbank. Diese Frage erfordert eine sorgfältige Prüfung zumindest der folgenden Faktoren:
- Der Verkauf oder Kauf von Zugang zu personenbezogenen Daten gilt als „Verarbeitung“ im Sinne von Art. 4 Absatz 2, da es sich um eine Form der „Verbreitung“ oder der Bereitstellung von Daten an Dritte handelt. Wie bei allen anderen Arten der Verarbeitung müssen auch hier die Anforderungen der DSGVO eingehalten werden;
- Die häufigste Rechtsgrundlage für die Verarbeitung zu einem anderen Zweck als dem, für den die personenbezogenen Daten ursprünglich erhoben wurden, ist die Einwilligung der betroffenen Person oder ein Gesetz der Union oder eines Mitgliedstaats, das in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zur Wahrung der in Artikel 23 Absatz 1 genannten Ziele darstellt[1];
- Wenn diese Bedingungen nicht zutreffen (…), müssen die Verantwortlichen, um festzustellen, ob die Verarbeitung für einen anderen Zweck mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, eine Vereinbarkeitsprüfung laut den Vorgaben der Artikel-29-Datenschutzgruppe[2] durchführen. Bei einer solchen Prüfung sind unter anderem die folgenden Kriterien zu berücksichtigen (Artikel 6 Absatz 4):
- jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung (dies wird als „Verbindungsfaktor“ bezeichnet);
- der Kontext, in dem die Daten erhoben wurden, insbesondere die Beziehung zwischen den betroffenen Personen und dem Verantwortlichen (der „Kontextfaktor“);
- die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten verarbeitet werden, z. B. biometrische Daten (der „Datenfaktor“);
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen (der „Folgenfaktor“), d. h. die Wahrscheinlichkeit und Schwere negativer Folgen, die der betroffenen Person durch die Weiterverarbeitung entstehen könnten;
- das Vorhandensein geeigneter Garantien, zu denen Verschlüsselung oder Pseudonymisierung gehören können (der „Garantiefaktor“), d. h. wie die Daten gesichert werden können.
All diese Faktoren sind erforderlich, um zu beurteilen, ob der Zweck der neuen Verarbeitung mit dem Zweck der ursprünglichen Verarbeitung, für die die Daten ursprünglich erhoben wurden, vereinbar ist. Je enger die Verbindung zwischen dem ursprünglichen Zweck und dem Zweck der weiteren Verarbeitung ist und je geringer die möglichen negativen Folgen sind, desto größer ist die Wahrscheinlichkeit, dass die Übermittlung der Datenbank rechtmäßig ist. Viele der oben genannten Faktoren können jedoch eindeutig gegen die Rechtmäßigkeit einer unbewilligten Offenlegung einer Datenbank sprechen, was im Folgenden erläutert wird:
- Wenn die Offenlegung in keinem Zusammenhang mit dem ursprünglichen Projekt steht (z. B. wenn Ihr Forschungsprojekt abgeschlossen ist und Sie anschließend feststellen, dass Sie die Daten zu Geld machen möchten), ist der Verknüpfungsfaktor nicht gegeben.
- Der Kontextfaktor kann dahingehend ausgelegt werden, dass je vorhersehbarer, d. h. offensichtlicher, der Zweck der Weiterverarbeitung (aus Sicht der betroffenen Personen) ist, desto wahrscheinlicher ist es, dass er als mit dem ursprünglichen Zweck vereinbar und somit als rechtmäßig im Sinne von Artikel 6 angesehen wird. Wenn die betroffenen Personen nicht darüber informiert wurden, dass die Daten an einen Dritten weitergegeben werden sollen, und die betroffenen Personen nicht eingewilligt haben, wird der Kontextfaktor eindeutig gegen die Rechtmäßigkeit der Verarbeitung sprechen.
- Der Datenfaktor kann dahingehend interpretiert werden, dass je sensibler die Daten sind, desto unwahrscheinlicher es ist, dass die weitere Verarbeitung (hier der Verkauf) mit dem ursprünglichen Zweck vereinbar ist. Mit anderen Worten: Enthält der Datensatz besondere Kategorien personenbezogener Daten, wie z. B. biometrische Daten oder Daten über die sexuelle Ausrichtung der betroffenen Person, kann die Offenlegung an Dritte nur erfolgen, wenn ein Rechtsgrund für eine solche Verarbeitung gemäß Art. 9 des GDRP vorliegt. Art. 9 verbietet die Verarbeitung dieser „besonderen Kategorien“, es sei denn, es liegen besondere Umstände vor, wie z. B. die ausdrückliche Einwilligung in die Verarbeitung (Art. 9 Absatz 2 Buchstabe a).
- Der Folgefaktor legt nahe, dass die potenziellen Auswirkungen des Verkaufs des Datensatzes auf die betroffenen Personen berücksichtigt werden müssen, um festzustellen, ob der Verkauf mit dem ursprünglichen Zweck, für den die Daten verarbeitet wurden, vereinbar ist. In der Regel kaufen Unternehmen Daten, um ihren Kundenstamm zu erweitern. Folglich werden sie versuchen, die betroffenen Personen für ihre kommerziellen Zwecke zu kontaktieren. Ein solcher Eingriff in das Recht des Kunden auf Privatsphäre ist wahrscheinlich als erhebliche „Auswirkung“ zu betrachten, die gegen die Rechtmäßigkeit der Offenlegung einer Datenbank spricht.
- Der Garantiefaktor erfordert unterschiedliche Überlegungen. Generell gilt: Je höher die Risiken für die betroffenen Personen sind, desto stärker müssen die Garantien sein. Das bedeutet, dass die Daten so gut wie möglich verschlüsselt, geschützt und pseudonymisiert werden sollten.
Daher ist es am besten, vor der Gewährung des Zugangs zu personenbezogenen Daten die Einwilligung der betroffenen Person einzuholen oder sicherzustellen, dass ein Gesetz der Union oder eines Mitgliedstaats Anwendung findet, das in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zur Wahrung der in Artikel 23 genannten Ziele darstellt. Liegt einer dieser Umstände nicht vor, wäre die Rechtmäßigkeit der Verarbeitung nicht zu rechtfertigen.
Das bedeutet auch, dass Fragen von den beteiligten Parteien und zwischen ihnen aufgeworfen werden müssen, um die Vereinbarkeit prüfen zu können. Darüber hinaus sollten die Verträge die Übertragung zwischen den Parteien unterstützen, um sicherzustellen, dass die rechtlichen Pflichten jeder Partei erfüllt werden.
Einige Beispiele für die Prüfung der Vereinbarkeit
Eine Weiterverarbeitung ist möglich Eine Bank hat mit einem Kunden einen Vertrag über die Bereitstellung eines Bankkontos und eines persönlichen Kredits abgeschlossen. Am Ende des ersten Jahres verwendet die Bank die persönlichen Daten des Kunden, um zu prüfen, ob er für eine bessere Art von Darlehen und einen Sparplan in Frage kommt. Sie teilt dies dem Kunden mit. Die Bank kann die Daten des Kunden erneut verarbeiten, da die neuen Zwecke mit den ursprünglichen Zwecken vereinbar sind. Eine Weiterverarbeitung ist nicht möglich Dieselbe Bank möchte die Daten des Kunden auf der Grundlage desselben Vertrags über ein Bankkonto und einen Privatkredit an Versicherungsunternehmen weitergeben. Diese Verarbeitung ist ohne die ausdrückliche Einwiligung des Kunden nicht zulässig, da der Zweck nicht mit dem ursprünglichen Zweck vereinbar ist, für den die Daten verarbeitet wurden.[3] |
Quellenangaben
1Siehe Artikel 6 Absatz 4 der Datenschutz-Grundverordnung ↑
2A29WP, Stellungnahme 03/2013 zur Zweckbindung, angenommen am 2. April 2013 (WP 203). Unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf (Zugriff: 27. Mai 2020) ↑
3Quelle: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-DSGVO/purpose-data-processing/can-we-use-data-another-purpose_en (abgerufen am 27. Mai 2020) ↑