Die Einwilligung ist die erste der sechs in Artikel 6 aufgeführten Grundlagen für die rechtmäßige Verarbeitung personenbezogener Daten. Gemäß Artikel 6 Absatz 1 Buchstabe a[1]ist eine solche Verarbeitung rechtmäßig, wenn die betroffene Person ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Werden also Daten für mehrere Zwecke verwendet, muss die Einwilligung für jeden Zweck gesondert erteilt werden. Eine spezifische Einwilligung ist der Schlüssel zur Vermeidung einer unwirksamen Einwilligung. Denn „wenn eine Datenverarbeitung mehrere Zwecke hat, muss für jeden einzelnen Zweck eine Einwilligung eingeholt werden. Die Spezifität der Einwilligung fördert die Transparenz, da die betroffene Person über jeden Zweck der Datenverarbeitung Bescheid weiß, erhöht ihre Kontrolle über diese Zwecke und schützt vor einer schleichenden Ausweitung der Funktionen.“[2]
Das Erfordernis der Spezifizität ist besonders wichtig im Falle der Weiterverwendung von Daten aus sozialen Netzwerken. Die Endnutzer sozialer Netzwerke sind sich oft nicht bewusst, dass ihre Daten für andere Zwecke verwendet werden als die, die sie mit der Bereitstellung dieser Daten verfolgen. Die meisten sozialen Netzwerke stellen jedoch sicher, dass die betroffenen Personen ihre Einwilligung zu dieser Weiterverarbeitung erteilen, und ihre Entwicklerrichtlinien werden diese Frage sicherlich abdecken. Forscher und Entwickler, die die von sozialen Netzwerken erhaltenen Daten zu Forschungszwecken verarbeiten wollen, könnten eine neue Einwilligung von den betroffenen Personen einholen. Das ist natürlich schwierig und nicht immer notwendig. Sie könnten sich auf die ursprüngliche Einwilligung stützen, die die betroffene Person dem sozialen Netzwerk gegeben hat. Die Forscher/Innovatoren sollten jedochsicherstellen, dass die geplante Verarbeitung im Rahmen der ursprünglich von der betroffenen Person erteilte Einwilligung erlaubt ist, oder eine alternative Rechtsgrundlage finden (indem sie beispielsweise eine neue Einwilligung einholen oder ein berechtigtes Interesse oder ein öffentliches Interesse als Alternative angeben). Die Konsultation der Nutzungsbedingungen des sozialen Netzwerks und der ursprünglich eingeholten Einwilligung ist eine ausgezeichnete Möglichkeit, um zu prüfen, ob die sekundäre Verwendung von Daten als mit den Zwecken, für die die Daten ursprünglich erhoben wurden, vereinbar angesehen werden kann (siehe Unterabschnitt „Grundsatz der Zweckbindung“, Abschnitt „Grundsätze“des allgemeinen Teils dieser Leitlinien).
Wenn die Forschung die Verwendung von Daten umfasst, die von verschiedenen sozialen Netzwerken erhoben wurden, sollten sich die Forscher auf die Entwicklung von Mechanismen zur Bewertung des Datenschutzrisikos innerhalb des Anbieters und eventuell zwischen den Anbietern konzentrieren, die personenbezogene Daten berücksichtigen, die für alle Datenverarbeitungstätigkeiten für ein konkretes soziales Netzwerk bzw. für alle von einer betroffenen Person genutzten OSN offengelegt werden.
Da die Forscher Daten verarbeiten, die sie nicht von der betroffenen Person erhalten haben, müssen sie der betroffenen Person die in Artikel 14 geforderten Informationen zur Verfügung stellen, es sei denn, es liegt einer der in Punkt 5 genannten Umstände vor (siehe Unterabschnitt „Recht auf Information“ im Abschnitt über die Rechte der betroffenen Person in diesen Leitlinien).
Kasten: Der Fall der gelöschten Daten
Einige Nutzer sozialer Netzwerke stellen Daten auf ihren Plattformen ein und löschen sie anschließend. Wenn diese Daten vor der Löschung von einem Forscher abgerufen wurden, ist nicht klar, ob die ursprüngliche Einwilligung des Nutzers zur Verwendung seiner Daten erhalten bleibt. Je nach Sensibilität der Daten und der Analyse sollten die Forscher im Voraus vereinbaren, wie sie mit diesem Problem umgehen wollen. So kann es beispielsweise nicht notwendig sein, die Zählung eines Beitrags aus einer Zeitreihe zu löschen, aber es kann unethisch sein, einen einzelnen Beitrag zu zitieren, der inzwischen gelöscht wurde. Diese Frage ist jedoch noch nicht geklärt. Daher sollten Forscher bei der Verwendung gelöschter Daten weiterhin vorsichtig sein. Siehe: Social Media Research Group, Using social media for social research: An introduction, Mai 2016, S. 17 unter: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/524750/GSR_Social_Media_Research_Guidance_-_Using_social_media_for_social_research.pdf |
Checkliste: Einwilligung
☐ Die Verantwortlichen können nachweisen, dass sie nach Abwägung der Umstände der Verarbeitung zu dem Schluss gekommen sind, dass die Einwilligung die geeignetste Rechtsgrundlage für die Verarbeitung ist. ☐ Die Verantwortlichen haben sich vergewissert, dass die von der betroffenen Person dem sozialen Netzwerk erteilte Einwilligung die Art der Verarbeitung abdeckt, zu der sie bereit ist. ☐ Anderenfalls müssen die Verantwortlichen die betroffenen Personen um eine erneute Einwilligung bitten. |
Quellenangaben
1EDSA: Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf ↑
2Joyee De S., Imine A. (2019) On Consent in Online Social Networks: Privacy Impacts and Research Directions (Short Paper). In: Zemmari A., Mosbah M., Cuppens-Boulahia N., Cuppens F. (eds) Risks and Security of Internet and Systems. CRiSIS 2018. Lecture Notes in Computer Science, vol 11391. Springer, Cham. https://doi.org/10.1007/978-3-030-12143-3_11 ↑