Sobald Forscher/Innovatoren zu den Verantwortlichen der in sozialen Netzwerken erhobenen Daten werden, müssen sie so schnell wie möglich über die Rechtsgrundlage entscheiden, die die weitere Verarbeitung dieser Daten rechtfertigt. Noch vor der Wahl der Rechtsgrundlage(n) für die Verarbeitung muss der Verantwortliche jedoch prüfen, ob die Verarbeitung personenbezogene Daten besonderer Kategorien betrifft. In diesem Fall sollte sich der Verantwortliche der Tatsache bewusst sein, dass die Verarbeitung gemäß Artikel 9 Absatz 1 DSGVO untersagt ist, sofern nicht einer der in Artikel 9 Absatz 2 beschriebenen Umstände vorliegt.
Sobald der Verantwortliche zu dem Schluss gekommen ist, dass keine Daten besonderer Kategorien betroffen sind oder die Ausnahmegründe angemessen berücksichtigt wurde, wählt er die geeignete Rechtsgrundlage für die Datenverarbeitung aus. Dies muss sehr sorgfältig geschehen, da die Rechtsgrundlage während der Verarbeitung nicht geändert werden kann. Hier sind einige Kriterien, die zu diesem Zweck beachtet werden sollten:
- Die Notwendigkeit oder Nützlichkeit der Verwendung der aus den sozialen Netzwerken gewonnenen Daten zur Erreichung des Zwecks oder Interesses der Verarbeitung muss im Hinblick auf die gewählte Rechtsgrundlage hinreichend gerechtfertigt sein.
- Der Verantwortliche muss sorgfältig abwägen zwischen (1) der verwendeten Berechtigungsgrundlage und (2) den möglichen Risiken, die sich aus der Datenverarbeitung ergeben.
- Darüber hinaus sollte der Verantwortliche alle angemessenen Garantien in Betracht ziehen, um sicherzustellen, dass die Interessen, Rechte und Freiheiten der betroffenen Person angemessen gewahrt werden. Diese Abwägung muss besonders sorgfältig erfolgen, wenn die Einwilligung der betroffenen Person als Rechtsgrundlage für die Verarbeitung dient.
Die folgenden Tabellen geben einen kurzen Überblick über die verschiedenen alternativen Rechtsgrundlagen gemäß Artikel 6 und die Umstände, die die durch Artikel 9 Absatz 1 DSGVO geschaffenen Ausnahmen umgehen, sowie deren Bezug zur Verarbeitung von Daten aus sozialen Medien.
Die Einwilligung ist die herkömmlichste Rechtsgrundlage für die Datenverarbeitung im Zusammenhang mit sozialen Netzwerken. Wenn ein Verantwortlicher jedoch personenbezogene Daten zu Forschungszwecken verarbeiten möchte, kann das öffentliche Interesse eine ausgezeichnete Option sein. Leider setzt es voraus, dass bestimmte Bedingungen gelten (siehe Unterabschnitt „Datenschutz und wissenschaftliche Forschung“, Abschnitt „Hauptkonzepte“ des allgemeinen Teils dieser Leitlinien). Das berechtigte Interesse hingegen ist eine alternative geeignete Rechtsgrundlage für die Verarbeitung in diesem Zusammenhang, aber man kann nicht davon ausgehen, dass sie immer geeignet ist[1]. Sie ist wahrscheinlich am besten geeignet, wenn die Verantwortlichen die Daten von Personen in einer Weise verwenden, die sie vernünftigerweise erwarten würden und die die geringstmöglichen Auswirkungen auf den Datenschutz oder den Schutz der Privatsphäre hat, oder wenn es eine zwingende Rechtfertigung für die Verarbeitung gibt.[2]
Mögliche Rechtsgrundlagen (Art. 6 DSGVO) | |
Rechtsgrundlagen für die Verarbeitung | Nutzung im Rahmen von sozialen Netzwerken |
6.1.a Einwilligung | Wahrscheinlich die beliebteste Rechtsgrundlage für die Datenverarbeitung, obwohl ihre weit verbreitete Anwendung zunehmend in Frage gestellt wird[3](siehe folgender Abschnitt) |
6.1.e Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde | Kann anwendbar sein, aber die folgenden Vorsichtsmaßnahmen sollten beachtet werden: – Der im öffentlichen Interesse liegende Zweck muss klar erkennbar sein, ebenso wie die Verbindung zur Forschung, – Es ist zu begründen, warum die Nutzung von Daten aus sozialen Medien für die verfolgten Ziele notwendig oder höchst wünschenswert ist. -Grundlage für die Verarbeitung ist das Unionsrecht oder das Recht eines Mitgliedstaats, dem der Verantwortliche unterliegt. |
6.1.f die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt | Kann anwendbar sein und ist in der Tat die beste Alternative zur Einwilligung als Rechtsgrundlage. Dabei sind die folgenden Vorsichtsmaßnahmen zu beachten: – Der Verantwortliche muss eine angemessene Abwägung zwischen (1) dem verfolgten berechtigten Interesse und (2) den Auswirkungen auf die Grundrechte und -freiheiten der betroffenen Person vornehmen und begründen; diese Abwägung muss mit besonderer Sorgfalt erfolgen, wenn Daten von Minderjährigen betroffen sind |
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) | |
Rechtsgrundlage | Nutzung im Rahmen von sozialen Netzwerken |
9.1.a Einwilligung | Wird häufig verwendet |
9.2.e Die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,öffentlich gemacht wurden | Kann anwendbar sein, im Hinblick auf die folgenden Garantien ist jedoch besondere Vorsicht geboten: – Beachtung des Grundsatzes der Zweckbindung (Art. 5.1.b DSGVO) unter Berücksichtigung der Erwartungen der betroffenen Person und des Kontextes (soziales Netzwerk und Wirkung des Profils), in dem die Daten veröffentlicht wurden[4]; – Maßnahmen zur Aggregation, um die Möglichkeiten der Re-Identifizierung zu verringern |
9.2.g Die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich, | Kann anwendbar sein, sofern der Verantwortliche die folgenden Vorsichtsmaßnahmen beachtet: – Das verfolgte öffentliche Interesse sowie die anwendbaren Vorschriften müssen klar angegeben werden; – Es muss hinreichend begründet werden, dass die Recherche über soziale Netzwerke für diesen Zweck notwendig oder sehr geeignet ist; – Es muss besonders darauf geachtet werden, dass Maßnahmen zum Schutz vor unzulässigen Eingriffen in die Grundrechte der betroffenen Personen entwickelt werden. |
9.2.j die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich. | Ist uneingeschränkt anwendbar. Sie hat den Vorteil, dass der Grundsatz der Zweckbindung weniger streng ist (vgl. Artikel 5 Absatz 1 Buchstabe b DSGVO) und dass sie die Verarbeitung von Daten unabhängig von der Einwilligung der betroffenen Personen ermöglicht, sofern der Verantwortliche die folgenden Garantien einhält: – Der Zweck muss klar erkennbar sein (Archivierung, wissenschaftliche Forschung, historische Forschung oder statistische Zwecke); – Sie muss die Verhältnismäßigkeit der Datenverarbeitung im Hinblick auf den beabsichtigten Zweck rechtfertigen; – Sie sollte die Nützlichkeit des Einsatzes von sozialen Netzwerken in der Forschungbegründen; – Maßnahmen müssen entwickelt werden, um unangemessene Auswirkungen auf die Grundrechte der betroffenen Personen zu vermeiden, wobei der Schwerpunkt auf (1) einem ausreichenden Aggregationsniveau und (2) anderen Garantien zur Vermeidung einer erneuten Identifizierung liegt – Die Vorschriften von Art. 89 DSGVO sind strengstens einzuhalten |
Quellenangaben
1Z. B. können sich Behörden nur dann auf berechtigte Interessen berufen, wenn sie die Daten aus einem anderen berechtigten Grund als der Erfüllung ihrer Aufgaben als Behörde verarbeiten, sodass die „öffentliche Aufgabe“ in diesen Fällen eine bessere Rechtsgrundlage darstellt (ICO: Legitimateinterests, unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/). ↑
2ICO: Legitimateinterests, unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/ ↑
3Zur Datenverarbeitung zu Gesundheitszwecken im amerikanischen Datenschutzsystem siehe Charlotte A. Tschider, The consentmyth: improvingchoiceforpatientsofthefuture (2019) 96 Washington University Law Review 1506. ↑
4Kürzlich verhängte die spanische Datenschutzbehörde eine Geldstrafe gegen Equifax, weil das Unternehmen von offiziellen Quellen veröffentlichte Bonitätsdaten für seine eigenen Dateien verwendet hatte, was einen Verstoß gegen den Grundsatz der Zweckbindung darstellt, da es sich um eine unvereinbare Verwendung der Daten handelt, obwohl es sich um öffentlich zugängliche Daten handelte. Das Kriterium dieser Entschließung kann auch anwendbar sein, wenn von der betroffenen Person selbst veröffentlichte Daten verwendet werden, sofern die aus diesen Daten abgeleiteten Verwendungen unvereinbar sind. ↑