Berücksichtigung, auf welcher Rechtsgrundlage die Verarbeitung personenbezogener Daten durch das Gerät oder System zulässig ist
Home » Standort- und Nachverfolgungsdaten » Chancen nutzen – Geschäftsverständnis und datenschutzplan » Berücksichtigung, auf welcher Rechtsgrundlage die Verarbeitung personenbezogener Daten durch das Gerät oder System zulässig ist

Die letzten Entwürfe der e-Datenschutz-Verordnung enthalten mehrere Rechtsgrundlagen, die zur Legitimierung der Datenverarbeitung dienen könnten. Im Allgemeinen wird die Einwilligung wahrscheinlich weiterhin eine Schlüsselrolle bei der Verarbeitung von Daten durch elektronische Kommunikationen spielen. Artikel 8 der vom Rat verabschiedeten Fassung der e-Datenschutz-Verordnung[1] enthält jedoch alternative Rechtsgrundlagen für die Nutzung der Verarbeitungs- und Speicherfunktion von Endgeräten und jede Erhebung von Informationen aus Endgeräten der Endnutzer, auch über deren Software und Hardware:

  • a) sie ist für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig;
  • c) sie ist für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig;
  • d) sie ist für die Messung des Webpublikums nötig, sofern diese Messung vom Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft oder von einem Dritten oder von Dritten gemeinsam im Namen des Betreibers des gewünschten Dienstes der Informationsgesellschaft oder gemeinsam mit diesem durchgeführt wird, sofern gegebenenfalls die in Artikel 26 oder 28 der Verordnung (EU) 2016/679 festgelegten Bedingungen erfüllt sind;
  • da) sie ist nötig, um die Sicherheit der Dienste der Informationsgesellschaft oder der Endgeräte des Endnutzers aufrechtzuerhalten oder wiederherzustellen, Betrug zu verhindern oder technische Störungen zu verhindern oder zu erkennen, solange dies für diesen Zweck erforderlich ist; oder
  • e) sie ist für eine Software-Aktualisierung erforderlich ist, sofern bestimmte Voraussetzungen erfüllt sind.

Handelt es sich bei der Verarbeitung nur um die Erhebung von Informationen, die von Endgeräten des Endnutzers ausgesendet werden, um eine Verbindung zu einem anderen Gerät oder zu Netzanlagen herzustellen, so ist sie zulässig, wenn Bedingungen wie die in Artikel 8. Absatz 2 des Entwurfs der e-Datenschutz-Verordnung genannten Bedingungen anwendbar sind (d. h. a) sie erfolgt ausschließlich zum Zwecke der Herstellung einer Verbindung und für die dazu erforderliche Dauer oder b) der Endnutzer hat seine Einwilligung gegeben oder c) sie ist für statistische Zwecke erforderlich, die zeitlich und räumlich auf das für diesen Zweck erforderliche Maß begrenzt sind, und die Daten werden anonymisiert oder gelöscht, sobald sie für diesen Zweck nicht mehr benötigt werden, d) sie ist für die Erbringung eines vom Endnutzer gewünschten Dienstes erforderlich.) und die entsprechenden Garantien erfolgreich umgesetzt wurden (siehe Artikel 8 Absatz 2 Buchstabe d des Entwurfs der e-Datenschutz-Verordnung[2].

Kasten 2: Weiterverwendung von personenbezogenen Daten

Eine der umstrittensten Fragen im Bereich des Datenschutzes ist die Weiterverwendung personenbezogener Daten und die Möglichkeit, auf dieser Grundlage eine rechtmäßige Verarbeitung vorzunehmen. Diese Frage wurde in Dokumenten wie der Gemeinsamen Stellungnahme 03/2021 des EDSA und des EDSB zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über europäische Daten- Governance (Daten-Governance-Gesetz) eingehend untersucht. Kurz gesagt bekräftigen der EDSA und der EDSB, dass jede Verarbeitung personenbezogener Daten, auf die in dem Vorschlag Bezug genommen wird, in voller Übereinstimmung mit der DSGVO erfolgen muss und somit mit angemessenen Datenschutzgarantien einhergeht. Dies bedeutet, dass bei der Weiterverwendung personenbezogener Daten stets die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz sowie der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung, der Integrität und der Vertraulichkeit gemäß Artikel 5 DSGVO beachtet werden sollten (73). Der Entwurf der e-Datenschutz-Verordnung des Rats enthält eine Klausel zu diesem Thema, nämlich Artikel 8, Buchstaben g und h.

Darüber hinaus kann es vorkommen, dass die Daten schließlich auf einer anderen Rechtsgrundlage verarbeitet werden, z. B. im öffentlichen Interesse. Dies ist keineswegs unmöglich, wenn die Umstände dies nahelegen und die Verarbeitung auf dem Unionsrecht oder dem Recht der Mitgliedstaaten beruht, das geeignete und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person vorsieht. Entwickler sollten jedoch bedenken, dass solche alternativen Grundlagen nur anwendbar sind, wenn der Verantwortliche eine Behörde ist. Außerdem kann das öffentliche Interesse in jedem Mitgliedstaat unterschiedlich geregelt sein. Verantwortliche sollten sich dieses Umstandes bewusst sein.

Andererseits können personenbezogene Daten für Zwecke wiederverwendet werden, die mit denen, für die sie ursprünglich erhoben wurden, vereinbar sind. So kann der Entwickler im Prinzip bereits vorhandene Daten für die Entwicklung des Geräts verwenden, ohne neue Daten zu erheben. Der für die Verarbeitung Verantwortliche muss jedoch sicherstellen und sorgfältig dokumentieren, dass dieser Zweck tatsächlich mit dem ursprünglichen Zweck vereinbar ist (siehe den Teil dieser Leitlinien über die gesetzlich vereinbare Verwendung von Daten).[3]

Darüber hinaus können personenbezogene Daten auch weiterverwendet werden, nachdem sie anonymisiert wurden. Das heißt, zuvor vorhandene personenbezogene Daten können in nicht personenbezogene Daten umgewandelt werden. Damit fällt die Verarbeitung nicht in den Anwendungsbereich der DSGVO Sie kann dennoch unter die e-Datenschutz-Verordnung fallen, wenn diese in Kraft tritt. In diesem Fall ist die Weiterverwendung von anonymen Daten zulässig. In diesem Zusammenhang sollte der Verantwortliche jedoch bedenken, dass der technische Prozess, der darin besteht, personenbezogene Daten einer Anonymisierungstechnik zu unterziehen, an sich eine Verarbeitung personenbezogener Daten darstellt. Diese Verarbeitung kann als mit dem ursprünglichen Zweck der Verarbeitung vereinbar angesehen werden, sofern das Verfahren wirklich anonymisierte Informationen im Sinne der Definition der Artikel-29-Datenschutzgruppe erzeugt.[4] (siehe die Abschnitte „Anonymisierung“ und „Pseduonymisierung“ im Teil „Hauptkonzepte“ dieser Leitlinien)

Die Rechtsgrundlage, die die Verwendung von Standort-/Begegnungsdaten rechtfertigt, sollte in jedem Fall sinnvolle Garantien enthalten. Sie sollte eine klare Zweckbestimmung und eindeutige Beschränkungen für die Weiterverwendung personenbezogener Daten enthalten sowie eine klare Identifizierung des/der beteiligten Verantwortlichen. Die Datenkategorien sowie die Stellen (und die Zwecke, für die die personenbezogenen Daten offengelegt werden dürfen) sollten ebenfalls angegeben werden. Falls die Daten für mehr als einen Zweck verwendet werden, sollte der Verantwortliche angeben, welche Datenkategorien für welche Zwecke verwendet werden. Darüber hinaus ist es wichtig, den Zeitraum festzulegen und mitzuteilen, während dem die Daten gespeichert werden. Außerdem dürfen die Informationen nicht dazu verwendet werden, die Art oder die Merkmale eines Endnutzers zu bestimmen oder ein Profil eines Endnutzers zu erstellen. Je nach Grad des Eingriffs sollten unter Berücksichtigung der Art, des Umfangs und der Zwecke der Verarbeitung zusätzliche Garantien vorgesehen werden. Siehe hierzu Artikel 8 e-Datenschutz-Verordnung.

Checkliste:

 Die Entwickler haben geprüft, ob sie über eine Rechtsgrundlage verfügen, die eine rechtmäßige Datenverarbeitung ermöglicht.

 Die Verantwortlichen haben den EU- oder nationalen Rechtsrahmen in Bezug auf die Verwendung personenbezogener Daten überprüft.

 Wenn personenbezogene Daten für vereinbare Zwecke verwendet werden, hat der Verantwortliche eine Vereinbarkeitsprüfung durchgeführt und sichergestellt, dass die Verwendungen vereinbar sind.

 Wenn die Daten für einen anderen als den ursprünglich angegebenen Zweck verwendet werden, ist das Tool so konzipiert, dass der Nutzer über diese Verwendung informiert wird.

 Das Tool ist so konzipiert, dass die Weiterverwendung personenbezogener Daten nur dann zugelassen wird, wenn sie durch das Unionsrecht oder das Recht der Mitgliedstaaten begründet ist, das eine Liste eindeutiger rechtlich vereinbarer Zwecke festlegt, für die die Weiterverarbeitung rechtmäßig zugelassen werden kann, oder wenn sie eine notwendige und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft darstellt.

 

 

Quellenangaben

1https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf

2https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf

3Gemeinsame Stellungnahme 03/2021 des EDSA und des EDSB zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über europäische Daten- Governance (Daten-Governance-Gesetz), 77.

4Artikel-29-Datenschutzgruppe, Stellungnahme 5/2014 zu Anonymisierungstechniken. Angenommen am 10. April 2014, Seiten 7­–8, unter https://iapp.org/media/pdf/resource_center/wp216_Anonymisation-Techniques_04-2014.pdf.

 

Skip to content