Wer bin ich – und wen geht das etwas an

– Vorbereitung zur Umsetzung der DSGVO – Teil 2 -


Besondere Kategorien personenbezogener Daten

Dass die Datenverarbeitung einer Erlaubnis bedarf, ist bereits nach Art. 5 durch den Begriff der Rechtmäßigkeit akzentuiert. Art. 9 verstärkt diesen Grundpfeiler durch ein ausdrückliches Verarbeitungsverbot. Liegt eine in Absatz 1 genannte Datenkategorie vor, so ist eine Verarbeitung also verboten!

Schöne neue Welt, in der einfache Konzepte einfache Lösungen anbieten!? Das ist eine Rechnung ohne Juristen, oder fairer, eine Rechnung, die an der Komplexität gesellschaftlicher Realität vorbeigeht.

Drei Prinzipien der Erlaubnis sollen hier unterschieden werden:

  ●   Einwilligung und Freigabe,
  ●   Praktikabilität und Interessenabwägung,
  ●   Höherrangige Interessen

Wenn ich „Ja“ sage, dann dürfen die Daten auch verarbeitet werden, wobei dies „ausdrücklich“ geschehen muss. Inwieweit sich dies von der „normalen“ Einwilligung unterscheidet, erschließt sich eindeutig weder aus dem Verordnungswortlaut noch aus den Erwägungsgründen. Ein „Mehr“ als eine „eindeutige bestätigende Handlung“, die auch mündlich, durch Anklicken eines Kästchens oder Auswahl technischer Einstellungen (Erwägungsgrund 32 zur „einfachen“ Einwilligung) erfolgen kann, wäre etwa eine datenbezogene Erklärung: Im Ergebnis verpflichten besonders geschützte Daten zu einem erhöhten Informations- und Erklärungsaufwand.

Interessant ist in diesem Zusammenhang die Variante einer „Freigabe“: Wer die Daten selber „offensichtlich öffentlich gemacht hat“ (Art. 9 Abs. 2 e)), muss mit ihrer Nutzung rechnen, jedenfalls solange er sie nicht untersagt. Das Verbot der Nutzung greift in diesem Fall also nicht. Auf die sozialen Netzwerke wird hier nicht ausdrücklich Bezug genommen, im Fall einer Plattform mit über 1 Milliarden potentiellen Lesern müssten allerdings gute Gründe (z.B. entsprechende Einstellungen der Privatsphäre auf dem Netzwerk) für ein Nutzungsverbot angeführt werden.
 

Musterklausel

Ich willige in die Verwendung meiner Angaben zur … (z.B. rassischen und ethnischen Herkunft) zu Zwecken … (z.B. der Vermittlung von Beschäftigungsangeboten) im Wege der … (z.B. Bereitstellung für von Ihnen ausdrücklich benannten oder freigegebenen Arbeitgebern) ausdrücklich ein.

 

Was nötig ist

In einem Arbeitsverhältnis müssen auch sensible Daten verarbeitet werden, sei es zur Berechnung der Urlaubsansprüche Schwerbehinderter, sei es zur Abführung von Steuern an eine Kirche. Dies wird von Art. 9 Abs. 2 b) berücksichtigt. Doch Vorsicht: Einschränkend erwähnt die Vorschrift ausdrücklich über das Unionsrecht hinaus das Recht der Mitgliedsstaaten und vor allem Tarifverträge und Betriebsvereinbarungen („Kollektiv-vereinbarung“). Auch nach diesen muss die Verarbeitung also zulässig sein. Die Prüfung erfolgt hier also notwendig in vier Schritten

Wenn eine Einwilligung nicht (mehr) möglich ist

Erkrankung oder Unfall können eine Einwilligungshandlung vorrübergehend oder dauerhaft ausschließen. Wenn die sensiblen Daten in diesem Fall z.B. für eine Behandlung erforderlich sind („Schutz lebenswichtiger Interessen“), dann wird das Verbot aufgehoben. Das explizite Erwähnen dieser Ausnahme in der Kombination von Einwilligungsunfähigkeit und lebenswichtigen Interessen führt instruktiv vor Augen, welchen Stellenwert die DSGVO den Datenschutz selbst in einem solchen Fall einräumt.
 

Prüfungsschema

●   DSGVO
●   Sonstiges Unionsrecht
●   Nationales Recht
●   Kollektivvereinbarungen (TV und Betriebsvereinbarungen)


Wenn ein Verfahren die Nutzung erfordert

Genannt sind hier gerichtliche und außergerichtliche sowie Verwaltungsverfahren. Erfordert ein Verfahren die Datennutzung, so ist sie hinzunehmen. Abgewogen werden die Abwehr- und die Durchsetzung rechtlicher Ansprüche mit dem Schutz der sensiblen Daten. Die aus § 28 Abs. 6 Nr. 3 BDSG bekannte Regelung wird vom BDSG2018 nicht mehr verwendet oder konkretisiert. Die Rechtsprechung zum BDSG (z.B. OLG Köln 2016) die einen Schadensersatzanspruch für den allzu sorglosen Umgang mit der Ausnahme-regelung zusprach, mahnt zur Acht-samkeit. Selbstverständlich dürfen sensible Daten nicht erst zum Zweck der Rechtsverfolgung -rechtswidrig- erhoben werden. Eine Weitergabe muss den strengen Vorgaben der Zweckbindung Rechnung tragen und ermöglicht eine Nutzung sodann auch nur für eigene Zwecke.
 

Take away
Noch 5 Monate: die DSGVO fordert ab 25. Mai 2018 die strenge Einhaltung des Datenschutzes für sensible Daten: Privates muss privat bleiben und meine Meinung geht niemanden etwas an.


Wenn NGOs intern Daten sammeln

Organisationen ohne Gewinnerzielungsabsicht dürfen Daten über (auch ehemalige) Mitglieder und regelmäßige Kontakte sammeln. Ausdrücklich genannt sind Organisationen, die sich für die Ausübung von Grundfreiheiten einsetzen (Erwägungsgrund 51 a.E.). In jedem Fall müssen „geeignete Garantien“ als Grundlage für die Verarbeitung gegeben sein.

Wenn höherrangiges Interesse im Spiel ist

Öffentliches Interesse geht dem Datenschutz in vielen Fällen vor. Diese sind nicht ausdrücklich genannt, daher muss man sich mit den Beispielen (wie dem Arbeits- und Sozialrecht, Archiv-, Forschungs- und Statistikzwecken) sowie den „Leitplanken“ behelfen:
Die Rechtfertigung muss in angemessenem Verhältnis zum verfolgten Ziel stehen, der Wesensgehalt des Rechts auf Datenschutz muss gewahrt und angemessene und spezifische Maßnahmen zur Wahrung von Grundrechten und Interessen der betroffenen Person müssen getroffen worden sein. Diese Anhäufung unbestimmter Rechtsbegriffe eröffnet eine unüberschaubare Spielwiese für juristische (und rechtspolitische) Diskussionen und wird die Gerichte daher sicher noch ausführlich beschäftigen.

Der als eigener Punkt behandelte Gesundheits- und Sozialbereich ist einerseits besonders sensibel, erfordert andererseits in besonderem Maße die, z. B. vorbeugende, Verarbeitung von Daten. Die „Gewährleistung der öffentlichen Gesundheit und der Verwaltung von Leistungen der öffentlichen Gesundheit“ (Erwägungsgrund 52) etwa wird als übergeordnetes Interesse eingestuft. Zu Gesundheitszwecken verarbeitete Daten dürfen allerdings nur von Fachpersonal oder unter dessen Verantwortung und soweit dieses Personal dem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegt verarbeitet werden.

Zusammengefasst: Der für besondere Kategorien personenbezogener Daten errichtete Schild ist konzeptionell zwar solide, aber aus Gründen der Praktikabilität mit zahlreichen, v.a. im Bereich des öffentlichen Interesses erheblichen Schneisen versehen.
 

Erhöhte Anforderungen
Wer umfangreich besondere Kategorien personenbezogener Daten verarbeitet muss eine Datenschutz-Folgenabschätzung durchführen (Art. 35, Abs. 3 B) und einen Datenschutzbeauftragten bestellen (Art. 37, Abs. 1 C)
 


In den folgenden Beiträgen werden wir uns damit beschäftigen

  • wie der Datenverarbeiter eine Einwilligung zur Datennutzung bekommen kann,
  • wann Daten ohne Einwilligung verwenden werden dürfen,wie mit Daten von Mitarbeitern umzugehen ist,
  • welche Routinen bei der Verarbeitung bereitgestellt werden müssen (Information, Berichtigung, Löschung, Sperrung),
  • welche Rolle der Speicherort (z.B. in der Cloud oder in Drittstaaten) spielt,ob und ggf. wie die Einhaltung der Datenschutzvorgaben durch eine Zertifizierung sichergestellt,
  • und wie gegen Maßnahmen der Datenschutzbehörden vorgegangen werden kann.

     

Datenschutz als Wettbewerbsvorteil

Das kostet mich nur Zeit und Geld“, ist eine nachvollziehbare, aber voreilige Einstellung zum Datenschutz. Unabhängig davon, dass die Vernachlässigung von Datenschutz sehr viel teurer werden kann, sprechen auch einige gute Gründe für seine Berücksichtigung:
Datenschutz umfasst auch Datensicherheit, also z.B. die Frage der Verfügbarkeit. Ohne Zugriffsmöglichkeit auf Daten würden auch in unserer Kanzlei die Räder stillstehen. Andererseits wäre das Kompromittieren der Daten, also etwa unberechtigte Zugriffsmöglichkeit oder gar unbemerktes Verändern oder Löschen ein GAU. Sind Informationen in Kenntnis der ggf. vorliegenden Sensibilität und ihres Personenbezuges systematisch erfasst, verzeichnen wir bei geregelter Zugriffsmöglichkeit ein weiteres klares Plus für unsere tägliche Arbeit. Schließlich ist die Darstellung eines professionellen Umganges mit Informationen nach außen nicht nur ein Zeichen für verantwortungsvollen Umgang mit „Datengold“, sondern auch ein Nachweis von Qualitätsmanagement. 

Wer Herr(in) seiner Daten ist, hat einen klaren Vorteil!


Dr. Peter Kath, Fachanwalt für Informationstechnologierecht und Arbeitsrecht, Kanzlei Hohenstein