Teil 1 unserer Blog-Serie zur DSGVO.
Am 14. Februar ist dieses Jahr nicht nur Valentinstag. Am 25. Mai endet die Übergangsfrist von der alten EU-Datenschutzrichtlinie auf die neue EU-DSGVO, die damit zu diesem Datum vollständig in Kraft tritt. Dies bedeutet auch, dass die neue Bußgeldbewehrung bei Datenschutzverstößen ab diesem Tag greift. Grund genug, die grundlegenden Inhalte der DSGVO einmal näher zu betrachten und sie sowohl in Bezug zu Digitalen Diensten zu setzen als auch anhand aktueller Beispiele zu illustrieren, was sich bereits jetzt an Veränderungen abzeichnet, zu denen die DSGVO führen wird. Der Blog des Fraunhofer IESE startet mit diesem Artikel in eine vierteilige Artikelserie zur DSGVO.
Die Datenschutzrichtlinie der EU (1995/46/EG) ist angesichts der fortschreitenden Digitalisierung und der immer stärker datenbezogenen und explosionsartig wachsenden Menge von digitalen Diensten in die Jahre gekommen. Die Richtlinie, deren Umsetzung im Bundesdatenschutzgesetz verankert ist, stammt aus dem Jahr 1995 und damit genau aus dem Jahr, in dem HTML 2.0 erstmalig als Standard für Internet-basierte Informationsdienste veröffentlicht wurde. Zeit also, diese Richtlinie gründlich zu überarbeiten, um personenbezogenen Daten und deren Verarbeitung im Zeitalter der Digitalisierung gerecht zu werden. In der neuen EU-Datenschutzgrundverordnung, kurz DSGVO (2016/679/EU), wird dies neu geregelt. Gleichzeitig wird die Richtlinie zu einer Verordnung aufgewertet. Eine Besonderheit ist, dass für die DSGVO das Marktortprinzip gilt. Das heißt, dass auch Anbieter von Diensten, deren Firmensitz sich außerhalb der EU befindet, den Regularien unterliegen, wenn sie ihren Dienst innerhalb der EU anbieten.
Die folgenden Abschnitte zu den Grundsätzen der DSGVO mögen auf den ersten Blick etwas trocken erscheinen – schwere Kost sozusagen. Wer sich jedoch hier durcharbeitet, wird mit einer ganzen Reihe von aktuellen Beispielen zu Auswirkungen der DSGVO und aktueller Rechtsprechung dafür belohnt und kann diese in den richtigen Verständniskontext setzen.
Was sind personenbezogene Daten und was ist deren Verarbeitung? (Artikel 4 DSGVO)
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte natürliche Person beziehen. Beispiele hierfür sind Name, Adresse, Telefonnummer, Geburtsdatum, Geschlecht etc. Ebenso geht es bei personenbezogenen Daten um Informationen, die mit identifizierbaren natürlichen Personen in Bezug gesetzt werden können. Hierzu gehören beispielsweise Kennnummern (unabhängig davon, ob es sich um eine Online-Kennnummer, ein Kfz-Kennzeichen, eine Kfz-Fahrgestellnummer, eine IP-Adresse handelt), Standortdaten oder Merkmale, die Ausdruck beispielsweise der genetischen, psychologischen, physiologischen, wirtschaftlichen, kulturellen oder sozialen Identität natürlicher Personen sind. Kurz gesagt: praktisch ALLES, was datentechnisch mit natürlichen Personen in Verbindung steht. Die Definition von personenbezogenen Daten ist in Artikel 4 DSGVO zu finden. Die natürliche Person, um deren Daten es bei der Verarbeitung geht, wird als betroffene Person bezeichnet.
Die Verarbeitung personenbezogener Daten schließt eine ganze Reihe von Aktivitäten zu den Daten ein. Dazu gehören das Erheben und Erfassen, die Organisation, das Ordnen, die Speicherung, Anpassung oder Veränderung, das Auslesen, Abfragen, die Verwendung, die Verarbeitung, die Offenlegung durch Übermittlung oder andere Art der Bereitstellung, sowie der Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von solchen Daten. Kurz gesagt: praktisch ALLES, was man mit Daten so »tun« kann oder könnte. Die Definition von Verarbeitung personenbezogener Daten ist ebenfalls in Artikel 4 DSGVO zu finden. In Artikel 4 DSGVO sind noch eine Reihe weiterer wichtiger Definitionen wie z.B. Auftragsverarbeiter, Einwilligung etc. verankert. Dort wird auch das so genannte Profiling definiert. Profiling schließt jede Art der automatisierten Verarbeitung personenbezogener Daten ein, die auf bestimmte persönliche Aspekte einer natürlichen Person Bezug nehmen und eine Bewertung, Analyse oder Vorhersage zum Ziel haben. Profiling kann beispielsweise auf Aspekte wie wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen oder Aufenthaltsort einer natürlichen Person abzielen. Das Unternehmen oder die Organisation, die personenbezogene Daten verarbeitet, wird als Verantwortlicher bezeichnet.
Die Grundsätze der Verarbeitung personenbezogener Daten (Artikel 5 DSGVO)
Die DSGVO formuliert in Artikel 5 einige wichtige Grundsätze für die Verarbeitung personenbezogener Daten. Die Verarbeitung muss den Prinzipien der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz folgen. Dabei darf die Verarbeitung nur mit Zweckbindung erfolgen, das heißt nur für festgelegte, eindeutige und legitime Zwecke dürfen personenbezogene Daten erhoben und verarbeitet werden. Sie dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Ausnahmen bestehen in wenigen Fällen wie z.B. für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder statistische Zwecke. Das Prinzip der Datenminimierung sieht vor, dass die Erhebung und Verarbeitung von personenbezogenen Daten angemessen und auf das für den Zweck der Verarbeitung notwendige Maß beschränkt ist. Ebenso gilt, dass personenbezogene Daten sachlich richtig und – falls erforderlich – auf dem neuesten Stand sein müssen. Es gilt also das Prinzip der Richtigkeit der Daten. Ebenso wird eine Speicherbegrenzung von personenbezogenen Daten in den Grundsätzen festgelegt. Diese besteht darin, dass eine Form der Speicherung erfolgen muss, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Verarbeitungszwecke erforderlich ist. Eine längere Speicherung ist nur zulässig, wenn es ein berechtigtes öffentliches Interesse gibt oder wiederum bei Vorliegen eines wissenschaftlichen oder statistischen Zwecks. Auch dann müssen zwingend entsprechende technische und organisatorische Maßnahmen zu Datenschutz und Datensicherheit zum Schutz der Rechte und Freiheiten der betroffenen Person getroffen werden. Der Grundsatz der Integrität und Vertraulichkeit fordert eine angemessene Sicherheit der personenbezogenen Daten. Dies schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen ein.
Wann darf eine Verarbeitung personenbezogener Daten erfolgen? (Artikel 6 DSGVO)
Für die Verarbeitung von personenbezogenen Daten gilt das sogenannte »Verarbeitungsverbot mit Erlaubnisvorbehalt«. Die Verarbeitung von personenbezogenen Daten ist damit im Wesentlichen an sechs alternative Bedingungen gekoppelt.
- Zunächst ist die Verarbeitung von personenbezogenen Daten nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung dazu für einen oder mehrere bestimmte Zwecke gegeben hat.
- Weiterhin ist die Verarbeitung für die Erfüllung eines Vertrags, der mit der betroffenen Person geschlossen wurde, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, zulässig.
- Die Verarbeitung personenbezogener Daten ist ebenso zulässig, wenn eine entsprechende rechtliche Verpflichtung dazu besteht.
- Die Verarbeitung personenbezogener Daten ist auch zulässig, wenn dies für den Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.
- Auch kann die Verarbeitung erforderlich sein, weil dem für die Verarbeitung Verantwortlichen eine Aufgabe im öffentlichen Interesse obliegt oder die Ausübung öffentlicher Gewalt erfolgt.
- Letztlich ist es zulässig, dass die Verarbeitung zur Wahrung von berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erfolgt, sofern nicht die Interessen und Grundfreiheiten der von der Verarbeitung betroffenen Person überwiegen.
Bedingungen für die Einwilligung zur Verarbeitung personenbezogener Daten (Artikel 7 DSGVO)
Die Bedingungen für die Einwilligung zur Verarbeitung personenbezogener Daten werden in Artikel 7 DSGVO beschrieben. Dieser beinhaltet auch die ersten wichtigen Neuerungen der DSGVO gegenüber der alten Datenschutzrichtlinie. Wenn die Verarbeitung von personenbezogenen Daten auf einer Einwilligung beruht, muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person diese Einwilligung gegeben hat. Wenn die Einwilligung zur Verarbeitung durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, z.B. allgemeine Geschäftsbedingungen (AGB) oder allgemeine Versicherungsbedingungen (AVB), so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Dabei muss sie von den anderen Sachverhalten klar zu unterscheiden ist. In der Praxis bedeutet dies unter anderem, dass beispielsweise eine Einwilligung zur Verarbeitung von personenbezogenen Daten klar von den allgemeinen Geschäftsbedingungen unterscheidbar sein muss. Einmal gegebene Einwilligungen dürfen jederzeit widerrufen werden. Die betroffenen Personen müssen vor der Abgabe der Einwilligung über die jederzeitige Möglichkeit zum Widerruf in Kenntnis gesetzt werden. Außerdem muss der Widerruf der Einwilligung so einfach möglich sein, wie es die Erteilung der Einwilligung war. Die Einwilligungen zur Verarbeitung personenbezogener Daten müssen außerdem freiwillig erfolgen. Dabei muss berücksichtigt werden, ob die Erfüllung eines Vertrags einschließlich der Erbringung einer Dienstleistung von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die reine Erfüllung des Vertrags nicht erforderlich ist. Dies bedeutet eine klare Trennung zwischen der Verarbeitung der zur Erfüllung eines Vertrags erforderlichen Daten (Prinzip der Datenminimierung) ohne gesonderte Einwilligung und der Verarbeitung aller weiteren – vielleicht für den Dienstanbieter interessanten – Daten. Letzere erfordern eine gesonderte und freiwillige Einwilligung zur Verarbeitung mit einem bestimmten Zweck. Somit wird durch die DSGVO eine Trennung von AGB und weiteren Einwilligungen zur Verarbeitung nicht vertragsrelevanter personenbezogener Daten festgeschrieben.
Besondere Kategorien personenbezogener Daten (Artikel 9 DSGVO)
Artikel 9 DSGVO beschäftigt sich mit den sogenannten besonderen Kategorien von personenbezogenen Daten. Hierzu zählen unter anderem Daten, aus welchen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Weiterhin gehört dazu die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Verarbeitung solcher besonderen Kategorien von personenbezogenen Daten ist untersagt. Ausnahmen hierzu bilden unter anderem die ausdrückliche Einwilligung für einen oder mehrere Zwecke durch die betroffene Person. Ebenso besteht hier eine Ausnahme zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person, wenn die betroffene Person körperlich oder rechtlich nicht im Stande ist, eine entsprechende Einwilligung zu geben. Eine weitere Ausnahme ist, wenn die betroffene Person die relevanten Daten bereits durch eigene Aktivitäten öffentlich gemacht hat. Weitere Ausnahmen bestehen im Bereich des Arbeitsrechts und der Arbeitsmedizin oder auf Grund von öffentlichem Interesse.
Und was bedeutet das alles in der Praxis für Nutzer auch von Digitalen Diensten? Einige Beispiele.
Nach dem vielleicht etwas trockenen Teil zu den Inhalten der Verordnung folgen nun einige Beispiele aus dem Alltagsleben, die insbesondere die Wirkung der Artikel 5, 6, 7 und 9 DSGVO, die oben zusammengefasst und erläutert wurden, plastisch machen und greifbar illustrieren sollen.
Aktuelle App-Updates und Datennutzung
Vielleicht ist Ihnen in den letzten Wochen bei dem einen oder anderen App-Update aufgefallen, dass Sie beispielsweise nicht mehr vor dem Download einer App oder eines App-Updates in die Nutzung Ihres Standorts (was technisch per GPS-Position, per Mobilfunkdaten oder IP-Adresse geschehen kann) einwilligen müssen, um die App überhaupt erst installieren zu können. Diese Einwilligung wird nun erst nach dem Start der App abgefragt und es steht Ihnen frei, ob Sie einwilligen oder nicht. Dies war beispielsweise zuletzt bei mir so der Fall bei meiner Wetter-App. Dennoch kann ich die App jetzt auch bei nicht erfolgter Einwilligung nutzen. Es erfolgt außerdem der Hinweis, dass die Einwilligung jederzeit unter „Einstellungen/Berechtigungen“ verändert, neu gegeben oder auch wieder entzogen werden kann.
Online-Shops und Datensammlung
Schauen wir uns einmal Online-Shops an: Online-Shops dürfen natürlich, wenn Sie eine Bestellung aufgeben, Ihre Adressdaten an das oder die zustellenden Logistikunternehmen weitergeben, da sonst der Bestell- und Liefervertrag nicht erfüllt werden kann. Hier ist also keine gesonderte Einwilligung erforderlich. Anders sieht es bei der aktuell häufig verpflichtenden Angabe einer Telefonnummer zur Lieferadresse aus. Oft wird diese mit der Begründung „kann die Zustellung erleichtern“ eingefordert. Dies erscheint fraglich, da die Telefonnummer nicht wirklich erforderlich ist, um den Liefervertrag zu erfüllen. Und es ist in der Praxis auch zweifelhaft, ob dies wirklich die Zustellung erleichtert. Wenn der Zusteller niemanden antrifft und dann (trotz Zeitdruck!) wirklich die übermittelte Telefonnummer wählt, klingelt möglicherweise das Telefon auf der anderen Seite der Haustür, die gerade nicht geöffnet wurde.
Daten einfach vom einen Dienst zum anderen übertragen? Ohne Einwilligung?
Im September 2016 wollte man, nachdem WhatsApp von Facebook aufgekauft wurde, die Mobilfunknummern der WhatsApp-Nutzer an Facebook übertragen bzw. abgleichen – auf Basis einer Änderung in den WhatsApp AGB. Der Hamburger Datenschutzbeauftragte wurde aktiv, indem er Facebook dieses Prozedere untersagte. Facebook zog dagegen vor Gericht und unterlag im April 2017 vor dem Verwaltungsgericht Hamburg. Facebook wurde verpflichtet, ein rechtmäßiges Einwilligungsverfahren (ordnungsgemäß und transparent) einzuführen, welches Nutzer vor eine entsprechende Wahl stellt, oder den Abgleich der Telefonnummern zu unterlassen.
Ähnliches erlebten Sparkassen in Hessen und Thüringen im August 2017. Zum Zweck der Komfortregistrierung der Sparkassenkunden beim Bezahldienst Paydirekt, dem deutschen PayPal-Konkurrenten, wollte man per Änderung in den AGB die Stammdaten aller Kunden an Paydirekt übertragen. Paydirekt ist ein Joint Venture, an dem die Sparkassen, aber auch andere Banken beteiligt sind. Mit der Komfortregistrierung sollte der geneigte Paydirekt-Neukunde einfach nur noch ein Passwort festlegen und einmal bestätigen müssen um sich beim Bezahldienst anzumelden. Auch hier prüften sofort die zuständigen Landesdatenschutzbehörden. In einer ersten Einschätzung zweifelt der Landesdatenschutz Thüringen an der Freiwilligkeit dieser Einwilligung nach Bundesdatenschutzgesetz (BDSG) §4a Absatz 1, welcher mit Artikel 7 DSGVO inhaltlich weitgehend deckungsgleich ist. Der konformere und transparentere Weg wäre es gewesen, vor der Paydirekt-Registrierung eine Einwilligung vom konkret anmeldewilligen Nutzer zur Übertragung der Stammdaten aus dem Sparkassen-Konto an Paydirekt beispielsweise per Einwilligungsbutton einzuholen. Dabei bliebe dem Nutzer die Wahl, ob er die Standardregistrierung oder eben die Komfortregistrierung mit Übertragung aller Stammdaten wünscht.
Auswertung von Kontodaten aus Compliance-Gründen
Die Speicherung Ihrer Kontobewegungen durch die Bank (alle Zahlungsein- und -ausgänge) in Form von Transaktionen unterliegt beispielsweise der rechtlichen Verpflichtung der Bank. Sie muss jederzeit einen korrekten Nachweis über den Verbleib Ihres Geldes erbringen können. Daneben bestehen aus Gründen der Compliance hoheitliche Verpflichtungen, Analysen zur Aufdeckung von Geldwäsche oder organisierter Kriminalität auch aus Hinweisen aus Kontotransaktionen durchzuführen.
Wurden Sie geblitzt?
Sind Sie mit Ihrem Auto zu schnell gefahren und werden geblitzt. Unabhängig davon, ob der Blitzer von einer Kommune, einer Polizeibehörde oder gar einem privaten Unternehmen in öffentlichem Auftrag betrieben wird, darf eine entsprechende Kennzeichenabfrage im Kfz-Register erfolgen. Die so gewonnenen Daten zum Kfz-Halter und dessen Adresse dürfen zur Verfolgung der Ordnungswidrigkeit verwendet werden. Hatten Sie im Moment des Blitzes eine weitere Person auf dem Beifahrersitz neben sich sitzen? Diese wird auf dem Beweisfoto, das mit dem Bußgeldbescheid per Post zugestellt wird, nicht zu erkennen sein. Andernfalls würden die Grundrechte und Grundfreiheiten dieser Person eingeschränkt.
Und wenn es mir mal richtig schlecht geht?
Stellen Sie sich vor – wir wollen hoffen, dass dies niemals passiert – Sie haben einen Unfall, liegen schwerverletzt und bewusstlos auf der Straße. Sie haben schon eine digitale Gesundheitskarte. Diese gibt Auskunft über Ihre Vorerkrankungen, eventuelle Medikamentenunverträglichkeiten und besondere gesundheitliche Risikofaktoren. Nach Artikel 9 DSGVO dürfen solche Daten nicht verarbeitet werden, also auch nicht ausgelesen bzw. verfügbar gemacht werden. Es es sei denn, die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich und die betroffene Person kann aus körperlichen Gründen (z.B. Bewusstlosigkeit) oder aus rechtlichen Gründen ihre Einwilligung dazu nicht mehr geben. Somit darf der neben Ihnen knieende Notarzt auf diese Daten wegen des vorliegenden Notfalls eben doch zugreifen. So kann er deutlich schneller und zielgerichteter die richtigen lebenserhaltenden Maßnahmen für Sie einleiten – welch ein Segen!
Wen geht die politische Überzeugung etwas an?
Ein Politiker, der für seine Partei ein öffentliches Amt bekleidet, hat seine politische Überzeugung damit durch eigene Initiative öffentlich gemacht, weshalb die Verarbeitung dieser Information nicht mehr seiner ausdrücklichen Einwilligung nach Artikel 9 DSGVO bedarf. So dürfen beispielsweise Presse oder andere Medien diese Informationen in ihrer Berichterstattung verwenden.
Zusammenfassung und Ausblick
Die vier wichtigsten Take-aways des ersten Teils der Serie sind:
- Verarbeitung personenbezogener Daten ist zulässig, wenn es eine vertragliche Grundlage gibt zu deren Erfüllung Daten verarbeitet werden müssen und dann auch dürfen.
- Erhebung und Verarbeitung personenbezogener Daten, die über das vertraglich notwendige Minimum hinausgeht, bedarf einer freiwilligen Einwilligung der betroffenen Person.
- Eine einmal gegebene Einwilligung darf jederzeit widerrufen werden. Der Widerruf muss dabei so einfach möglich sein wie die Einwilligung.
- Besondere Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, politische oder religiöse Überzeugung, unterliegen einem besonderen Schutz.
Nachdem die Grundsätze der DSGVO in diesem Teil erläutert und mit praktischen Beispielen illustriert wurden, wenden wir uns in Teil 2 der Serie den Rechten der betroffenen Person und den Pflichten der Verantwortlichen für die Verarbeitung personenbezogener Daten zu. Teil 2 erscheint am 21. Februar 2018 auf diesem Blog.
Rechtlicher Hinweis
Die Inhalte dieses Artikels und der Artikelserie zur DSGVO stellen keine Rechtsberatung dar.
Sie repräsentieren lediglich die Auslegung und technische Interpretation der Inhalte der DSGVO nach dem Verständnis des Autors.
Uwe sagt:
Hallo wenn man dies mit dem Blitzer liest, muss es doch gegen die DSGVO verstoßen. Diese Daten werden an verschiedene Personen weitergeleitet. Einer bearbeitet die Bilder der andere sucht die Adresse, wiederum schiesstdie Bilder.? Sie werden doch da durch eine menge Hände gereicht. Das verstösst doch gegen das Gesetz? Betriebe werden in die Mangel genommen und dies hier nicht.?
Michael Ochs sagt:
Danke für Ihren Kommentar. Die von Ihnen angesprochene Behandlung der Blitzerfotos würde tatsächlich nicht gegen das Gesetz verstoßen. Die Verarbeitung, auch durch mehrere Hände gehend, würde unter den Erlaubnistatbestand Art. 6 (1) lit. e DSGVO „die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“ fallen. Viele Grüße, MO
michael schuy sagt:
Wenn Halter und Fahrer nicht identisch sind, wird der Halter über den Standort des Fahrers informiert, was gegebenenfalls zu präkären Situationen führen kann, wenn sich herausstellt, dass ein Ehepartner sich in der nähe eines zb exfreundes befunden hat, aber zu Hause etwas anderes erzählt hat. Wie sieht das rechtlich aus?
Michael Ochs sagt:
Danke für Ihren Kommentar. Die von Ihnen beschriebene Situation lässt sich nicht so einfach vermeiden. Dies ist jedoch nicht erst seit Gültigkeit der DSGVO so. Die Ordnungsbehörde wendet sich immer zunächst an den/die Halter/in des Fahrzeugs, obwohl diese/r nicht in der Haftung ist, falls diese/r nicht gefahren ist. In einem solchen Fall könnte man in Erwägung ziehen, als verantwortliche/r Fahrer/in direkt mit der Behörde Kontakt aufzunehmen, den Verstoß zuzgegeben und versuchen zu erreichen, dass ein etwaiger Bußgeldbescheid direkt an den/die Fahrer/in gesendet wird. Ob dies von Erfolg gekrönt sein wird, ist schwer zu sagen – ein Versuch wäre es jedoch wert. Viele Grüße, MO