Seit Januar 2012 wird in Europa die Datenschutz-Grundverordnung verhandelt (wir berichteten). Mit ihr sollen umfassende und dem Internetzeitalter angemessene Datenschutzstandards innerhalb der Europäischen Union geschaffen werden. Nachdem das Europäische Parlament den Verordnungsentwurf im März 2014 verabschiedet hat, ist nun der Rat der Europäischen Union am Zug. Nun wurde bekannt, dass die Regierungen im EU-Ministerrat angeblich daran arbeiten, Grundprinzipien des Datenschutzes auszuhöhlen.
Im Kern beabsichtigt die Ratsarbeitsgruppe, die sich mit der Reform des europäischen Datenschutzrechts befasst und die Entscheidungen der Innen- und Justizminister vorbereitet (Gruppe „Informationsaustausch und Datenschutz“, DAPIX), folgende Änderungen:
Aufweichung der Zweckbindung
Einer der wesentlichen Grundsätze des Datenschutzes ist die Zweckbindung. Sie stellt sicher, dass Daten grundsätzlich nur für den Zweck verarbeitet werden dürfen, zu dem sie erhoben worden sind. Erhebt ein Unternehmen für die Erstellung eines Online-Kundenkontos beispielsweise die E-Mail-Adresse des Nutzers, darf diese nicht ohne Weiteres für die Zusendung eines Newsletters verwendet werden. Die Bedeutung der Zweckbindung hat bereits das Bundesverfassungsgericht im Volkszählungsurteil hervorgehoben:
„Die Verwendung der Daten ist auf den gesetzlich bestimmten Zweck begrenzt.“ (BVerfGE 65, 1, 45).
Auch europarechtlich ist der Grundsatz der Zweckbindung in Art. 6 Abs. 1 lit. b der EU-Datenschutzrichtlinie (95/46/EG) verankert.
Nun soll die Zweckbindung einer Datenverarbeitung scheinbar gelockert werden. Unter der Datenschutz-Grundverordnung sollen Unternehmen personenbezogene Daten zukünftig schon dann für andere Zwecke verarbeiten können, wenn ihre berechtigten Interessen schwerer wiegen als die des Betroffenen. Dies sieht der Vorschlag der DAPIX-Gruppe zu Artikel 6 Ziffer 4 vor:
„Where the purpose of further processing is incompatible with the one for which the personal data have been collected, the further processing must have a legal basis at least in one of the grounds referred to in points (a) to (e) of paragraph 1. Further processing for incompatible purposes on grounds of legitimate interests of the controller or a third party shall be lawful if these interests override the interests of the data subject.”
Medienberichte sprechen in diesem Zusammenhang von einem „Freibrief zum Datensammeln“. Aber trifft das überhaupt zu?
Die bisherige Rechtslage
Die neue Regelung erlaubt eine zweckändernde Datenverarbeitung, wenn die berechtigten Interessen der verantwortlichen Stelle oder eines Dritten diejenigen des Betroffenen überwiegen. Im Kern geht es also um eine Interessenabwägung. Diese ist Voraussetzung für eine erlaubte Zweckänderung.
Wirft man einen Blick in das Bundesdatenschutzgesetz, wird man feststellen, dass es auch dort keine absolute Zweckbindung gibt. Die Zweckbindung ist als Grundsatz ausgestaltet, von dem abgewichen werden kann. So sieht § 28 Abs. 2 Nr. 2 lit. a BDSG beispielsweise vor:
„Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig, soweit es erforderlich ist, zur Wahrung berechtigter Interessen eines Dritten und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat.“
Diese Abweichung vom Zweckbindungsgrundsatz entspricht im Grundsatz der Regelung, wie sie von der DAPIX-Gruppe in Artikel 6 Ziffer 4 vorgeschlagen wurde. Eine wesentliche Verschlechterung gegenüber der Rechtslage unter dem Bundesdatenschutzgesetz wäre mit den neuen Regelungen also nicht verbunden.
Eine andere Frage ist, ob sich die neuen Regelungen auf die strenge Zweckbindung in anderen Gesetzen auswirken würden (bspw. im Hinblick auf Sozialdaten in § 67c Abs. 2 SGB X). Insoweit sollte es Raum für nationale Bestimmungen geben, die strengere Regelungen für die Zweckbindung vorsehen.
Verabschiedung vom Gebot der Datensparsamkeit
Nach dem Vorschlag der DAPIX-Gruppe soll der Grundsatz der Datensparsamkeit aus dem Verordnungstext gestrichen werden. Artikel 5 Ziffer 1 lit. c erlaubt das Erheben von Daten, wenn es „nicht exzessiv“ ist. Der ursprüngliche Verordnungsentwurf hatte noch vorgesehen, die Datenverarbeitung auf das notwendige Minimum zu beschränken („limited to the minimum necessary“). Die neue weniger restriktive Formulierung bedeutet in der Tat einen leisen Abschied vom Gebot der Datensparsamkeit. Datenerhebungen wären zukünftig zulässig, solange sie nicht im Übermaß erfolgen.
Bei allem Unmut über die neue Formulierung sollte nicht vergessen werden, dass die Grundsätze der Datenvermeidung und Datensparsamkeit aus § 3a BDSG schon bislang eher eine unverbindliche, weil praktisch nicht zwangsweise durchsetzbare Zielvorgabe darstellen. Ein Verstoß gegen die Vorgaben hat weder die Rechtswidrigkeit der Datenverarbeitung zur Folge noch ist er nach den §§ 43, 44 BDSG bußgeld- oder strafbewehrt.
Konzernprivileg
Eine Erleichterung dürften die Vorschläge der DAPIX-Gruppe für Konzernunternehmen mit sich bringen. Das Bundesdatenschutzgesetz kennt bislang kein Konzernprivileg. Es betrachtet verbundene Unternehmen im Verhältnis zueinander nicht als Einheit, sondern als Dritte und damit selbstständige verantwortliche Stellen. Die konzernweite Übermittlung und Nutzung personenbezogener Daten erfordern daher stets die Einwilligung des Betroffenen oder eine ausdrückliche gesetzliche Erlaubnis. Häufig behilft sich die Praxis mit dem Konstrukt der Auftragsdatenverarbeitung oder der Interessenabwägung über § 28 BDSG.
Der neue Erwägungsgrund 38a) im Enwurf der Datenschutzgrundverordnung sieht nun vor, dass Konzernunternehmen ein berechtigtes Interesse an einem konzernweiten Datenaustausch haben, soweit dieser internen administrativen Zwecken dient. Damit wäre ein Konzernprivileg geschaffen. Zwar unterläge dieses gewissen Einschränkungen, würde die Datenverarbeitung in Unternehmensgruppen oder Konzernen jedoch erheblich erleichtern.
Die Idee des Konzernprivilegs ist indes nicht neu. Bereits der Entwurf des Europäischen Parlaments zur Datenschutz-Grundverordnung wollte dieses mit Art. 22 Abs. 3a einführen. Dort heißt es:
„Der für die Verarbeitung Verantwortliche hat das Recht, personenbezogene Daten innerhalb einer Unternehmensgruppe in der EU, zu der der für die Verarbeitung Verantwortliche gehört, zu übermitteln, wenn die Verarbeitung für berechtigte interne administrative Zwecke von verbundenen Geschäftsbereichen in der Unternehmensgruppe erforderlich ist, und ein angemessenes Niveau des Datenschutzes sowie die Interessen der betroffenen Personen im Rahmen von internen Datenschutzbestimmungen oder gleichwertigen Verhaltensregeln im Sinne von Artikel 38 hinreichend berücksichtigt werden.“