Die neue europäische Datenschutz-Grundverordnung (konsolidierte Fassung v. 15.12.2015, DSGVO-E) gibt vor, auf die Selbstbestimmung der Bürger zu setzen („EU-Datenschutzreform: Einigung im Trilog„, CRonline News v. 16.12.2015). In Wahrheit jedoch setzt sie auf den Maßstab der “berechtigten Interessen“. Dabei nähert sich Europa an die USA an, da „reasonable expectations“ der Betroffenen über die Rechtmäßigkeit der Datenverarbeitung entscheiden. „Reasonable expectations of privacy“ sind seit Katz vs. USA (US-Supreme Court-Urteil v. 18.12.1967, Az. 389 U.S. 347) der Maßstab, an dem sich das gesamte amerikanische Datenschutzrecht ausrichtet.
Niedrige Anforderungen an ein „berechtigtes Interesse“
Liest man den Text des DSGVO-E gründlich, wird deutlich: Die Einwilligung wird zum Auslaufmodell, da sie als Grundlage für eine rechtmäßige Datenverarbeitung in vielen Fällen nicht mehr anerkannt wird (vgl. Härting, „Trilog erfolgreich, Einwilligung tot“, LTO v. 16.12.2015). Zugleich lässt Art. 6 Abs. 1 lit. (f) DSGVO-E „berechtigte Interessen“ in erstaunlichem Umfang für eine Datenverarbeitung genügen:
“processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.”
(Hervorhebung hinzugefügt)
Jedes – wie auch immer geartete – “berechtigte Interesse” reicht grundsätzlich aus, um die Datenverarbeitung zu legitimieren. Eine Ausnahme gilt, wenn die Datenschutzinteressen der Betroffenen überwiegen. Das ist eine sehr ähnliche Regelung wie § 28 Abs. 1 Satz 1 Nr. 2 BDSG:
„Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig … soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“.
(Hervorhebungen hinzugefügt)
Berechtigte Drittinteressen
Die Anforderungen an ein “berechtigtes Interesse” sind nicht allzu streng. So reicht es beispielsweise für die Weitergabe von Daten an Dritte aus, dass Dritte ein „berechtigtes Interesse“ geltend machen können. Dies ist insbesondere für den Adresshandel von erheblicher Bedeutung.
Redliche Erwartungen der Betroffenen
Bei der Auslegung des Begriffs „berechtigter Interessen“ nähert sich Erwägungsgrund 38 Satz 1 bis 4 DSGVO-E in erstaunlichem Maße US-amerikanischen Vorstellungen des Privatsphäreschutzes an. Denn die „redlichen Erwartungen“ der Betroffenen werden zum zentralen Bezugspunkt der Abwägung. Daten, deren Verarbeitung die Betroffenen „redlicherweise erwarten“ dürfen, stehen dem Zugriff des Datenverarbeiters nach Art. 6 Abs. 1 lit. (f) DSGVO-E weitestgehend offen:
“The legitimate interests of a controller, including of a controller to which the data may be disclosed, or of a third party may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on the relationship with the controller. Legitimate interest could exist for example when there is a relevant and appropriate relationship between the data subject and the controller in situations such as the data subject being a client or in the service of the controller.
At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the data that processing for this purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing.”
(Hervorhebung hinzugefügt)
Pauschale Erlaubnisse
Erwägungsgrund 38 Satz 6 DSGVO-E erlaubt – pauschal – die Datenverarbeitung, sofern es um die Bekämpfung von Betrug geht:
„The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned.”
Ebenso pauschal erlaubt Erwägungsgrund 39 Satz 1 und 2 DSGVO die Datenverarbeitung zu Zwecken der Daten- und IT-Sicherheit:
“The processing of data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted data, and the security of the related services offered by, or accessible via, these networks and systems, by public authorities, Computer Emergency Response Teams – CERTs, Computer Security Incident Response Teams – CSIRTs, providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems.”
(Hervorhebung hinzugefügt)
Direktwerbung
Erwägungsgrund 38 Satz 7 DSGVO-E stellt klar, dass die Datenverarbeitung zu Zwecken der Direktwerbung von einem berechtigten Interesse getragen sein kann (aber nicht muss):
„The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.”
(Hervorhebung hinzugefügt)
Konzerne
Der Begriff des Konzerns ist dem BDSG fremd. Die Weitergabe von Daten durch ein Konzernunternehmen an ein Unternehmen desselben Konzerns stellt eine Übermittlung an Dritte dar (§ 3 Abs. 4 Nr. 3 und Abs. 8 Satz 2 BDSG), die denselben strengen Regeln unterworfen ist wie die Übermittlung von Daten an konzernfremde Dritte.
In Art. 3 Abs. 16 DSGVO findet sich eine Definition des Begriffs des Konzerns („group of undertakings“):
„group of undertakings means a controlling undertaking and its controlled undertakings”.
Nach Erwägungsgrund 38 a DSGVO-E können “interne Verwaltungszwecke” ein “berechtigtes Interesse” sein, das die Übermittlung von Daten innerhalb des Konzerns legitimiert:
„Controllers that are part of a Group of undertakings or institution affiliated to a central body may have a legitimate interest to transmit personal data within the group of undertakings for internal administrative purposes, including the processing of clients‘ or employees‘ personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected.”
(Hervorhebung hinzugefügt)
Allgemein zugängliche Informationen; Rechtsverfolgung und Rechtsverteidigung
Art. 9 Abs. 2 lit. (e) und (f) DSGVO-E erlauben bei besonders sensiblen Daten eine Verarbeitung, wenn der Betroffene die jeweiligen Informationen publik gemacht hat oder wenn es um Daten geht, deren Verarbeitung zur Rechtsverfolgung oder Rechtsverteidigung erforderlich ist. Aus dieser Regelung wird man ableiten können, dass eine solche Form der Datenverarbeitung regelmäßig berechtigten Interessen des Datenverarbeiters dient, auch wenn es sich um Daten handelt, die nicht unter dem besonderen Schutz des Art. 9 DSGVO-E stehen (vgl. auch Art. 19 Abs. 1 Satz 2 DSGVO-E). Die Verarbeitung ist somit in der Regel durch Art. 6 Abs. 1 lit. (f) DSGVO-E legitimiert.
__________
Anzeige:
__________
Widerspruch des Betroffenen
Die niedrigen Anforderungen an ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. (f) DSGVO-E werden in Art. 19 Abs. 1 DSGVO-E durch ein Widerspruchsrecht des Betroffenen kompensiert:
“The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to the processing of personal data concerning him or her which is based on points (e) or (f) of Article 6(1), including profiling based on these provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims.”
(Hervorhebung hinzugefügt)
Wird das Widerrufsrecht ausgeübt, heißt dies noch nicht, dass die Datenverarbeitung rechtswidrig wird. Es erhöhen sich jedoch die Anforderungen, da es fortan „zwingende“ Gründe für die Datenverarbeitung geben muss. Fehlt es an einem „zwingenden berechtigten Interesse“, muss die Datenverarbeitung beendet werden.
Widerspruch bei der Direktwerbung
Bei der Direktwerbung sieht Art. 19 Abs. 2 und 2 a DSGVO-E ein umfassenderes Widerspruchsrecht vor. Der Widerspruch führt ausnahmslos dazu, dass die Nutzung der Daten des Betroffenen zu Zwecken der Direktwerbung eingestellt werden muss:
“Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to the processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct Marketing.
Where the data subject objects to the processing for direct marketing purposes, the personal data shall no longer be processed for such purposes.”
(Hervorhebung hinzugefügt)
Fazit
Der DSGVO-E gibt vor, auf die Selbstbestimmung der Bürger zu setzen, setzt in Wahrheit auf den Maßstab der “berechtigten Interessen“. Dabei nähert sich das europäische Datenschutzrecht dem amerikanischen Recht begrifflich an: Die „vernünftigen Erwartungen“ der Bürger, die nach amerikanischem Recht über die Rechtmäßigkeit der Datenverarbeitung entscheiden, werden auch hierzulande zu einem zentralen Maßstab.