Der Siegeszug der Clouddienstleister ist unübersehbar. Während es früher üblich war, Software zu kaufen und auf den eigenen Firmenservern (on premise) zu installieren, setzen sich immer mehr die Angebote durch, bei denen die Software lediglich auf Zeit gemietet wird und auf den Rechnern des Anbieters ausgeführt wird. Stichwort: Software as a Service (SaaS). Dies erscheint einerseits effizient, da eigene Personalressourcen im IT-Bereich geschont werden können, und andererseits kalkulierbar, da der Softwareeinsatz mit einem fixen Zahlungsbetrag für einen bestimmten Zeitraum verbunden ist.

Daten sind das (nicht mehr ganz so) neue Öl

Logische Folge dieser Entwicklung ist, dass immer mehr Verträge zur Auftragsverarbeitung für diese Art der IT-Dienstleistung abgeschlossen werden. Gleichzeitig wachsen aber auch die Begehrlichkeiten seitens der Softwareanbieter, auf den bei Ihnen lagernden Datenschatz zugreifen zu können – zu eigenen Zwecken. Sie verlassen somit die Rolle des Auftragsverarbeiters und wollen gleichzeitig auch Verantwortliche sein. Dies versuchen sie vermehrt durch eine entsprechende Gestaltung ihrer Auftragsverarbeitungsverträge durchzusetzen.

Besonders praxisrelevant ist die Weiterverwendung zu Test- und Entwicklungszwecken, aber auch bei „Big Data“-Anwendungen wie dem maschinellen Lernen (sog. „Künstliche Intelligenz“) soll ein Datenzugriff erfolgen dürfen. Ist dies zulässig?

Erlaubte Zweckänderung

Dies wäre dann der Fall, wenn man die Nutzung der Daten durch den Softwareanbieter als bloße Zweckänderung im Sinne von Art. 6 Abs. 4 DSGVO ansehen könnte. Eine Zweckänderung ist insofern privilegiert, als dass sie das in Art. 5 Abs. 1 lit. b) DSGVO verankerte Gebot der Zweckbindung durchbricht: Daten dürfen demnach doch ausnahmsweise für einen anderen als den Zweck, für den sie erhoben worden sind, verarbeitet werden. Fünf Aspekte sind dabei zu berücksichtigen (Kompatibilitätstest):

  1. Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
  2. der Zusammenhang, in dem die personenbezogenen Daten erhoben wurden,
  3. die Art der personenbezogenen Daten,
  4. die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen und
  5. das Vorhandensein geeigneter Garantien, etwa Verschlüsselung oder Pseudonymisierung.

Nach bestandenem Kompatibilitätstest ist aber weiterhin auch noch eine reguläre Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Datenverarbeitung erforderlich. Mangels Einwilligung ist diese regelmäßig in einem berechtigten Interesse des Softwareanbieters zu suchen (Art. 6 Abs. 1 lit. f) DSGVO). Es dürfte einleuchten, dass es aufgrund der Verschiedenartigkeit der zum Einsatz kommenden Software einerseits und der möglicherweise betroffenen sehr sensiblen Daten andererseits insoweit keine pauschale Antwort geben kann.

Wichtig ist zunächst festzustellen, dass die Beurteilung der Zulässigkeit einer Zweckänderung der Datenverarbeitung aus der Perspektive des Betroffenen zu erfolgen hat. Inwieweit muss er mit einer weiteren Verarbeitung rechnen? Ergibt sich die „Folgeverarbeitung“ als quasi nächster logischer Schritt? Stellt sich die Weiterverwendung der Daten für den Betroffenen als schwerwiegender Eingriff in sein Recht auf informationelle Selbstbestimmung dar, wie dies zum Beispiel bei Gesundheitsdaten der Fall wäre? Dies wäre dann nur mit einer expliziten Einwilligung des Betroffenen möglich. Genauso ist es, wenn die Weiterverarbeitung mit nachteiligen Folgen für ihn verbunden wäre. Ist die Weiterverarbeitung für ihn hingegen nicht spürbar, spricht dies eher für eine zulässige Zweckänderung.

Softwareentwicklung eher unkritisch

Bei der Weiterentwicklung der Software wird man zumindest von einem engen Zusammenhang zwischen der Weiterverarbeitung und der Auftragsverarbeitung sprechen können. Der Betroffene profitiert als Endanwender von der Verbesserung und Weiterentwicklung der Software selbst. Auch dass die Daten nicht an einen Dritten gelangen, spricht für eine geringe Eingriffsintensität. Dabei dürfte es auch eine Rolle spielen, an welchem Ort die Weiterverarbeitung stattfindet: In einem Land ohne angemessenes Datenschutzniveau muss die Interessenabwägung eher zugunsten der Betroffenen ausfallen.

In jedem Fall muss die Weiterverarbeitung transparent dargestellt werden, und der Softwareanbieter muss angemessene technische organisatorische Maßnahmen vorweisen können. Art. 6 Abs. 4 DSGVO führt explizit die Verschlüsselung und die Pseudonymisierung auf – aber natürlich stellt auch die Anonymisierung der Daten eine geeignete und immer vorzugswürdige Maßnahme dar. Der Softwareanbieter ist als zweiter Verantwortlicher auch für die Erfüllung der Betroffenenrechte zuständig. In diesem Zusammenhang ist auch eine etwaige gemeinsame Verantwortlichkeit von Softwareanbieter und Unternehmen nach Art. 26 DSGVO zu prüfen.

Eine Verarbeitung von besonderen personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f) DSGVO) scheidet hingegen von vornherein aus.

Gegenbeispiel: Trainingsdaten für KI-Module aus mehreren Gründen problematisch

Definitiv nicht von einer zulässigen Zweckänderung umfasst wäre das Training von Modulen künstlicher Intelligenz mit Hilfe von biometrischen Daten in einem Drittland ohne angemessenes Datenschutzniveau, die z.B. bei einer Zutrittskontrolle von Mitarbeitern erhoben wurden. Außer bei den besonders gem. Art. 9 Abs. 1 DSGVO geschützten Daten ist natürlich auch im Beschäftigungskontext Vorsicht geboten, in dem die Einholung einer wirksamen Einwilligung aufgrund des angenommenen Abhängigkeitsverhältnisses und der darauf beruhenden mangelnden Freiwilligkeit oft scheitert.

Tücken im Kleingedruckten

Daneben sind noch weitere Punkte bei der Ausgestaltung des Auftragsverarbeitungsvertrages zu beachten. Oft sind die Formulierungen zur Datennutzung nebulös gehalten, und Softwareanbieter wollen sich nicht auf die geschilderte Interessenabwägung verlassen, sondern lassen sich lieber von ihren Kunden vertraglich zusichern, dass entsprechende Einwilligungen zur Weiternutzung vorliegen. Dies sollten Sie mit Ihrem Berater besprechen. Denn wenn Sie einer Klausel im Auftragsverarbeitungsvertrag zustimmen, die z.B. Ihrem Personalsoftwaredienstleister die Nutzung Ihrer Mitarbeiterdaten zu dessen eigenen Zwecken erlaubt, ohne dass diese Datenweitergabe durch die DSGVO legitimiert wäre, begehen Sie einen Datenschutzverstoß, der sowohl ein Bußgeld als auch Schadensersatzansprüche nach sich ziehen kann. Interessant ist die Frage ebenfalls für die Geschäftspartner des Unternehmens, deren Daten innerhalb der Auftragsverarbeitung genutzt werden. Diese haben generell kein Interesse daran, dass ihre Daten – personenbezogen oder nicht – weiterverwendet werden. Dies dürfte insbesondere bei der Verwendung als Trainingsdaten für fremde KI-Module gelten.

Wie sich Aufsichtsbehörden und Gerichte hierbei positionieren, wird spannend bleiben. Nicht zuletzt die zu erwartende Entscheidung des EuGH über das Data Privacy Framework wird auch und gerade für die hier behandelte Frage eine wesentliche Weichenstellung darstellen.