Dürfen datenschutzrechtliche Betroffenenrechte durch Mitgliedsstaaten eingeschränkt werden?
Der Europäische Datenschutzausschuss hat im Rahmen der 42. und 43. Sitzung zahlreiche Dokumente noch im vergangenen Jahr verabschiedet. Dieses Potpourri an Dokumenten umfasst neben einem Strategiedokument für den Zeitraum 2021 bis 2023 unter anderem weitere Dokumente wie die vorliegende Richtlinie 10/2020.
Die Richtlinie thematisiert die Möglichkeiten der Beschränkungen von Betroffenenrechten gem. Art 23 DSGVO. Der Adressat der Richtline sind eher weniger Unternehmen, sondern die gesetzgebenden Organe der Mitgliedsstaaten.
Hintergrundinformationen
Die Richtlinie wurde am 18. Dezember 2020 veröffentlicht und kann bis zum 12. Februar 2021 öffentlich kommentiert werden. Es handelt sich um einen 17-Seiten starken Entwurf, der vom Europäischen Datenschutzausschuss angenommen wurde und somit bereits Wirkung entfaltet.
Die Richtlinie stellt eine Analyse sämtlicher Beschränkungen des Art. 23 DSGVO vor, wobei Kriterien und Merkmale für insbesondere gesetzgebende Organe vermittelt werden, nach welchen sich Einschränkungen der Betroffenenrechte gem. Art. 12 bis 22 DSGVO sowie Art. 34 DSGVO orientieren müssen. Der Prüfungsmaßstab sind einerseits die Grundrechte sowie auch datenschutzrechtlichen Prinzipien. Auf eine Beschränkung der Betroffenenrechte kann sich nur berufen werden, sofern die in Art. 23 DSGVO geschützten Ziele verfolgt werden und es kann nie zu einer vollständigen Aussetzung der Betroffenenrechte führen.
Welche Beschränkungen können sich aus Gesetzgebungsverfahren gem. Art. 23 DSGVO ergeben?
Im Rahmen des Art. 23 DSGVO wird eine abschließende Liste von zehn Gründen für potentielle Beschränkungen z.B. die nationale oder öffentliche Sicherheit, Schutz der betroffenen Person oder Rechte und Freiheiten anderer Personen oder Ausnahmen zur Durchsetzung zivilrechtlicher Ansprüche vorgesehen. Interessant sind hierbei einige wenige Anmerkungen, die der Ausschuss bereithält. Ein Beispiel möchten wir Ihnen nicht vorenthalten, da auf einen Schutz der Identität eines mutmaßlichen Opfers, Zeugens oder Whistleblowers verwiesen wird, um diese Personen vor Vergeltungsmaßnahmen zu schützen.
Es ist erforderlich, dass Beschränkungen der datenschutzrechtlichen Betroffenenrechte in Gesetzgebungsmaßnahmen der Unions- oder Mitgliedsstaaten festgelegt werden. Zudem müssen die Umstände und Voraussetzungen der Rechte und Pflichten für die Betroffenen vorhersehbar sein, da Verantwortliche sich andernfalls nicht auf die Ausnahmen des Art. 23 Abs. 1 DSGVO berufen dürfen.
Ein pauschaler Ausschluss oder eine pauschale Beschränkung von Betroffenenrechten widersprechen dem Wesensgehalt des Datenschutzrechtes. Dieser Wesensgehalt umfasst verschiedene Ziele, wobei die Richtlinie eine verstärkte Kontrolle der betroffenen Personen über Sie betreffende personenbezogene Daten als eins der Hauptziele betont. Sofern der Wesensgehalt maßgeblich beeinträchtigt wird, ist die Einschränkung rechtswidrig und keine weiteren Prüfungsschritte für die Legislative zur Einführung etwaiger Beschränkungen erforderlich.
Welche Verweise gibt es auf die derzeitige Pandemie?
Das Kriterium der Vorhersehbarkeit bezieht sich auf Gesetzgebungsmaßnahmen, die zeitlich begrenzt und auch dauerhaft sein können, sofern der Grundsatz der Erforderlichkeit und Verhältnismäßigkeit beachtet wird.
Sofern datenschutzrechtliche Maßnahmen retroaktiv implementiert werden oder die Voraussetzungen einer Beschränkung nicht abschließend beschrieben werden, z.B. bezüglich eines zeitlich beschränkten Ausnahmezustandes zum Schutz der öffentlichen Gesundheit, wird das Kriterium der Vorhersehbarkeit nicht vollständig beachtet. Es reicht laut des Europäischen Datenschutzausschusses nicht aus, dass wir in einer Pandemie leben, sondern sämtliche Restriktionen sollten einem wichtigen objektiven öffentlichen Interesse der Union oder Mitgliedsstaaten dienen und bestehende Prüfmaßstäbe sind weiterhin anzuwenden.
Fazit zur Relevanz der Richtlinie
Die Richtlinie engt das Korsett an Regeln für etwaige Beschränkungen, die von Mitgliedsstaaten der Europäischen Union gem. Art. 23 DSGVO festgelegt werden können, noch weiter ein. Viele Aspekte sind größtenteils selbsterklärend und insbesondere in Gesetzgebungsverfahren Standard. Neu ist somit nur, dass einige wenige weitere Anforderungen an etwaigen Beschränkungen den Mitgliedsstaaten auferlegt werden.