Stärkung der Rechte von Einzelpersonen gegenüber Unternehmen

Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER

Die Normen demokratischer Gesellschaften sollen einen Ausgleich zwischen möglicherweise widersprüchlichen Interessen gewährleisten. Die meisten wichtigen Texte enthalten jedoch eine Ausrichtung – ich sprach oben von Philosophie –, die eine Partei zum Nachteil einer anderen bevorzugt, entweder weil die Autorität, die diese Texte durchsetzt, eine neue Richtung vorgeben möchte oder weil nach einigen Abweichungen in eine bestimmte Richtung, die zu einem asymmetrischen Verhältnis zwischen den Parteien geführt haben, die Notwendigkeit einer Neuausrichtung erkannt wurde. Die DSGVO ist zweifellos ein Instrument, um den Einzelnen angesichts allmächtiger Unternehmen, die sich nicht mehr groß um die Wahrung der Privatsphäre scheren, seine Rechte zurückzugeben.  

Kapitel III der Verordnung befasst sich ausschließlich mit den „Rechten der betroffenen Person“. Der Verantwortliche ist dafür verantwortlich, die Ausübung dieser Rechte zu ermöglichen. Er muss „so schnell wie möglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, antworten. Gegebenenfalls kann diese Frist unter Berücksichtigung der Komplexität und der Anzahl der Anträge um zwei Monate verlängert werden“ (Art. 12-3). Man könnte daher schlussfolgern, dass man drei Monate Zeit hat, um auf einen Antrag zu antworten, und dass allein diese Frist viele Antragsteller abschrecken kann. Tatsächlich ist dies jedoch nicht der Fall; zum einen, weil diese Fristverlängerung durch eine „Notwendigkeit“ oder „Komplexität“ gerechtfertigt sein muss, zum anderen, weil der Antragsteller innerhalb eines Monats über die Gründe für die Fristverlängerung informiert werden muss (wiederum Art. 12-3). Hält der Verantwortliche den Antrag für unbegründet, obliegt es ihm, diese Unbegründetheit nachzuweisen (Art. 12-5).

Artikel 13 listet alle Informationen auf, die bei der Erhebung personenbezogener Daten bereitgestellt werden müssen. Dies ist eine revolutionäre Entwicklung: Wir können sie nicht akzeptieren, ohne zuvor die Integrität der Bestimmungen der Verordnung zu gewährleisten. Niemand wird sich auf seine Größe, seinen Ruf oder seine Dienstaltersstufe verlassen können, um Internetnutzer zur Offenlegung seiner Daten zu bewegen.

Daher muss das Unternehmen vorab Folgendes bereitstellen:

– die Identität und Kontaktdaten des für die Verarbeitung Verantwortlichen;

– die Kontaktdaten des Datenschutzbeauftragten (in Strukturen, in denen dies obligatorisch ist, werden wir darauf zurückkommen);

– die Zwecke, für die die Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für diese Verarbeitung;

– die Empfänger der Daten, auch wenn eine Übermittlung in ein Drittland geplant ist.

Nach Erhalt der Daten (im Text steht „zum Zeitpunkt …“) muss noch Folgendes mitgeteilt werden:

– die Haltbarkeitsdauer;

– das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung, Datenübertragbarkeit (wir werden auf jedes dieser Rechte zurückkommen);

– das Recht, bei den Aufsichtsbehörden Beschwerde einzulegen;

– die Folgen einer Nichtbereitstellung der Daten;

– die Folgen der Bereitstellung von Daten, insbesondere im Hinblick auf automatisierte Entscheidungsfindung oder Profiling.

Wenn die Daten nicht bei der betroffenen Person erhoben wurden, gelten die gleichen Pflichten, zusätzlich wird die Angabe der Quelle, aus der die personenbezogenen Daten stammen, verlangt. Diese Angabe ist nicht erforderlich, wenn die Daten zu Archivierungs-, Forschungs- oder statistischen Zwecken im öffentlichen Interesse verarbeitet werden.  

Sobald die Daten von der betroffenen Person übermittelt wurden, entgehen ihr diese nicht mehr (was für eine Änderung gegenüber der derzeitigen Praxis). Tatsächlich schafft die DSGVO zunächst (wieder) ein Auskunftsrecht (Art. 15). Dieses Auskunftsrecht besteht in Frankreich bereits, ist jedoch wenig bekannt und kompliziert umzusetzen. Hier umfasst es alle in Artikel 13 genannten Informationen. Der Zugang erfolgt durch Übermittlung auf einfache Anfrage: „Der Verantwortliche stellt eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung“ (Art. 15-3). Diese Kopie ist kostenlos (für eine zusätzliche Kopie können angemessene Gebühren erhoben werden). Wenn die Anfrage elektronisch eingereicht wird, wird die Antwort in derselben Form bereitgestellt, es sei denn, die Anfrage ist anders.

Zweites ausdrücklich verankertes Recht: das Recht auf Berichtigung (Art. 16). Dieses Recht betrifft Daten, die im Hinblick auf den Zweck der Verarbeitung unrichtig und unvollständig sind.

Die Bedeutung des dritten Rechts ist in den letzten zehn Jahren, seit dem Aufkommen von Web 2.0 und sozialen Netzwerken, allmählich deutlich geworden. Seither ist uns die Bedeutung von Daten bewusst, und Datensammlungen werden organisiert und vervielfältigt. Da Informationen über uns in unbekannten Händen sind, wurde die Forderung nach einem Recht auf Löschung (oder dem Recht auf Vergessenwerden) formalisiert. Frankreich unternahm 2010 mit der Verabschiedung der Charta zum Recht auf Vergessenwerden einen Versuch, doch Facebook und Google weigerten sich, diese zu unterzeichnen. Erst der Gerichtshof der Europäischen Union rief dieses Recht auf Vergessenwerden im Juni 2014 ins Leben. Daraufhin mussten die wichtigsten digitalen Akteure, darunter Google, Verfahren einführen, darunter die Veröffentlichung eines Online-Formulars, mit dem Internetnutzer dieses Recht geltend machen können. Dank dieses Formulars konnten Hunderttausende Menschen ihre Ergebnisse aus ihrer Datenbank löschen lassen.

Die DSGVO verankert dieses Recht auf europäischer Ebene und legt es in einfacher Weise dar (Artikel 17). Auf Verlangen der betroffenen Person ist der Verantwortliche verpflichtet, die personenbezogenen Daten „so schnell wie möglich“ zu löschen:

– wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind;

– wenn die Einwilligung widerrufen wird;

– wenn Widerspruch gegen die Verarbeitung vorliegt.

Die betroffene Person muss ihren Antrag nicht begründen. Die einzigen Einschränkungen dieses Löschungsrechts sind:

– zur Erfüllung einer rechtlichen Verpflichtung aus dem Unionsrecht oder dem Recht eines Mitgliedstaats;

– die Ausübung gesetzlicher Rechte;

– aus Gründen der öffentlichen Archivierung, der wissenschaftlichen Forschung oder Statistik sowie der öffentlichen Gesundheit;

– und schließlich „die Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit“ (Art. 17-3a). Man fragt sich, was die Meinungs- und Informationsfreiheit damit zu tun hat. Hatten Lobbys, die die Interessen der Medien vertraten, Einfluss? Oder war es einfach die Allmacht der Medien – so stark wie die der Daten –, die den Verfassern des Textes auferlegte?

Darüber hinaus besteht ein „Recht auf Einschränkung der Verarbeitung“, insbesondere solange die Richtigkeit der Daten überprüft wird oder die Verarbeitung unrechtmäßig ist, die betroffene Person aber deren Löschung ablehnt (Art. 18). Die Einschränkung muss der betroffenen Person ebenso wie die Verarbeitung selbst mitgeteilt werden (Art. 19).        

Mit dem „Recht auf Datenübertragbarkeit“ ermöglicht die DSGVO Einzelpersonen, die Daten, die sie einer Organisation bereitgestellt haben, „in einem strukturierten, gängigen und maschinenlesbaren Format“ abzurufen (Art. 20-1). Sie können dies entweder für den eigenen Gebrauch oder zur Übertragung an eine andere Organisation tun. Sie können sogar die direkte Übertragung ihrer Daten von einem Verantwortlichen an einen anderen verlangen. Die CNIL legt fest, dass „abgeleitete, berechnete oder geschlussfolgerte“, d. h. von der Organisation erstellte Daten, nicht angefordert werden können (dies ist vom Auskunftsrecht zu unterscheiden). Die abgerufenen Daten können jedoch „sekundär“ Informationen über Dritte enthalten.

Die WP29, eine europäische Arbeitsgruppe, die gemäß Artikel 29 der europäischen Richtlinie von 1995 eingerichtet wurde und an der Klärung der DSGVO arbeitet, bevor sie in den Europäischen Datenschutzausschuss umgewandelt wird, empfiehlt den Upload-Mechanismus für die Datenübertragung im Rahmen des Rechts auf Datenübertragbarkeit. In jedem Fall muss die Bereitstellung leicht zugänglich und sicher sein. Derzeit ist kein spezifisches Format angegeben, aber „die WP29 ermutigt Branchenakteure und Berufsverbände, an einer Reihe interoperabler Standards und Formate zu arbeiten, um diese Voraussetzungen des Rechts auf Datenübertragbarkeit zu erfüllen.“

Der Verantwortliche wird aufgefordert, das Recht auf Datenübertragbarkeit klar zu kommunizieren, vor der Übermittlung der angeforderten Daten ein Authentifizierungsverfahren durchzuführen und diesen Dienst kostenlos anzubieten, es sei denn, die Anfrage ist offensichtlich unbegründet oder exzessiv, „insbesondere aufgrund ihres repetitiven Charakters“. Es sei darauf hingewiesen, dass die im Rahmen des Rechts auf Datenübertragbarkeit übermittelten Daten nicht aus der Originaldatei gelöscht werden müssen.

Jeder hat das Recht, jederzeit Widerspruch einzulegen (Art. 21). Dieser Widerspruch kann sich auf jede Verarbeitung beziehen, insbesondere auf die Prospektion (Art. 21-2) und sogar auf wissenschaftliche oder historische Forschung, „es sei denn, die Verarbeitung ist für die Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich“ (Art. 21-6). Es ist denkbar, dass dieses Recht vor allem gegen kommerzielle Zwecke genutzt wird.

Schließlich regelt die DSGVO das Profiling. „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“ (Art. 22). Zulässig ist dies im Rahmen eines Vertrags oder wenn es auf einer ausdrücklichen Einwilligung beruht. In diesen Fällen gewährleistet der Verantwortliche „die Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person“.