Das viel beschworene "berechtigte Interesse" empfiehlt sich nicht als letzter Ausweg, um personenbezogene Informationen zu erheben und zu verarbeiten. Dies stellt der Europäische Datenschutzausschuss (EDSA) in seinen am Mittwoch veröffentlichten Leitlinien zur Auslegung des Artikel 6 der Datenschutz-Grundverordnung (DSGVO) klar. Für die rechtmäßige Nutzung persönlicher Daten benötigen Verantwortliche prinzipiell eine Rechtsgrundlage. Der Verweis auf berechtigte Interessen ist – etwa neben der informierten Einwilligung – eine von sechs möglichen einschlägigen Voraussetzungen. Was aber darunter fällt, ist seit Jahren heftig umstritten. Oft stellen Zuständige auf diese "Legitimation" ab, wenn ihnen nichts anderes mehr einfällt. So stellte etwa WhatsApp voriges Jahr von einer "Zwangseinwilligung" auf "berechtigtes Interesse" um.
Der EDSA will mit seinen Vorgaben zum "berechtigten Interesse", die Interessierte noch bis zum 20. November im Rahmen einer öffentlichen Konsultation kommentieren können, Klarheit schaffen. Um sich auf ein berechtigtes Interesse berufen zu können, muss der für die Datenverarbeitung Verantwortliche mehrere Bedingungen gleichzeitig erfüllen, heben die Datenschützer hervor. Nachzuweisen sei die Notwendigkeit, Informationen zur Verfolgung einschlägiger Interessen zu verarbeiten. Die Interessen oder Grundfreiheiten und -rechte des Einzelnen hätten zudem keinen Vorrang vor den berechtigten Interessen des Verantwortlichen oder eines Dritten, sodass in jedem Fall eine sorgfältige Abwägung erforderlich sei.
Interessen könnten nur als legitim angesehen werden, wenn sie "rechtmäßig, klar und präzise formuliert, real sowie gegenwärtig sind", führt der EDSA aus. Davon lasse sich etwa dann ausgehen, wenn beide Seiten in einem Kunden- oder Dienstverhältnis stehen. Eine Verarbeitung könne dagegen nicht als notwendig angesehen werden, "wenn es vernünftige, ebenso wirksame, aber weniger aufdringliche Alternativen zur Erreichung der verfolgten Interessen gibt". Dabei sei auch der Grundsatz der Datenminimierung zu prüfen. Letztlich müssten die Auswirkungen der Datenverarbeitung auf die "vernünftigen Erwartungen" Betroffener sowie der potenzielle Einsatz zusätzlicher Schutzmaßnahmen berücksichtigt werden.
Habeck wettert gegen Datenschutzbürokratie
Eine ordnungsgemäße Bewertung der Wahrung der Rechte nach der einschlägigen DSGVO-Klausel "ist keine einfache Angelegenheit", betont das Gremium. Wie das in der Praxis aussehen könnte, spielt der Ausschuss in einer Reihe spezifischer Kontexte wie Betrugsprävention, Informationssicherheit und Direktmarketing durch. Für gezielte Werbeansprache sei der Spielraum schon dadurch begrenzt, dass die E-Privacy-Richtlinie in der Regel Einwilligung erfordere, heißt es. Auch sonst dürfte die Abwägungsprüfung bei "aufdringlichen Profiling- und Tracking-Praktiken", die einzelne Personen über mehrere Webseiten, Standorte, Geräte oder Dienste hinweg verfolgen, "kaum positive Ergebnisse erbringen". Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider verspricht sich von den Hinweisen "mehr Rechtssicherheit".
Auch die geplante Mini-Reform zur besseren Durchsetzung der DSGVO hat der EDSA kommentiert. Er begrüßt grundsätzlich Vorschläge, der federführenden Datenschutzbehörde zu ermöglichen, in einfachen und unkomplizierten Fällen weitgehend allein zu entscheiden. Parallel hat sich Bundeswirtschaftsminister Robert Habeck (Grüne) bei seiner Herbstprojektion zur deutschen Wirtschaftsleistung kritisch gegenüber dem Föderalismus beim Absichern der Privatsphäre geäußert. "Besonders die Datenschutzbürokratie müssen wir drastisch reduzieren", forderte er.
Die Zuständigkeit von 17 Datenschutzbehörden allein hierzulande sei für Wissenschaft und Wirtschaft oft eine Hürde, die Innovationen verhindere. Nötig ist laut Habeck, dass einzelne Länder die Federführung für bestimmte Themen übernehmen. Sonst müssten Unternehmen jedes Mal neu verhandeln, "wie sie anonymisierte Daten nutzen können". Derzeit würden zu oft "woanders die Schätze zusammengetragen", während "wir in Europa unsere Nuggets quasi unbearbeitet wegschließen". Für anonymisierte Daten von Maschinen gilt die DSGVO aber gar nicht, sie dürfen prinzipiell frei verarbeitet werden.
(nie)
English (US) ·