Revolutionäre Grundsätze der Datenverarbeitung unter der DSGVO

Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER

Wenn wir uns die vor 2018 geltenden Praktiken ehrlich ansehen, ist Artikel 5 sowohl dem Wortlaut als auch dem Geist nach revolutionär.

„Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“ (Absatz 1a). Zwar ist die Rechtmäßigkeit des Verfahrens anzuerkennen, doch muss man einräumen, dass die Kriterien der Transparenz und nach Treu und Glauben kaum beachtet wurden. Niemand, dessen Daten erfasst wurden, wurde über die Methoden und Zwecke dieser Erfassung informiert. Wenn wir diese neue Bestimmung nun einhalten müssen – und das ist der Fall –, sind erhebliche Änderungen erforderlich, sowohl in Bezug auf die Perspektive als auch auf die Praxis.

Absatz 1b desselben Artikels 5 reicht aus, um uns zu verblüffen, oder besser gesagt, noch mehr aufzuklären: „Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.“ Mit anderen Worten: Ein Marketingleiter bleibt für die von ihm erhobenen Daten verantwortlich, auch wenn sich deren Verwendung im Laufe der Zeit ändert. Und diese Änderung darf nicht im Widerspruch zu den Gründen stehen, die zu Beginn der Erhebung angegeben wurden. Der Begriff „festgelegte, eindeutige Zwecke“ könnte an sich, wenn er von einem Richter im strengen Sinne verstanden wird, die erhobenen personenbezogenen Daten auf eine einzige Verwendung reduzieren.

Auch Absatz 1c ist nicht schlecht: „Personenbezogene Daten müssen dem Zweck der Verarbeitung angemessen, erheblich und auf das für diese Zwecke notwendige Maß beschränkt sein (Datenminimierung).“ Schluss mit Sammelstrategien und flächendeckenden Suchaktionen, um möglichst viele Informationen zu erhalten. Jede Maßnahme muss auf ein spezifisches Ziel ausgerichtet sein – und zwar ausschließlich auf dieses Ziel. Die Philosophie des Textes spiegelt sich auch hier wider: Es geht darum, die Verbreitung personenbezogener Daten so weit wie möglich zu begrenzen, damit niemand behaupten kann, ohne seine Zustimmung Informationen über ihn erhalten zu haben.

Auch die Aufbewahrungsfrist ist geregelt (Artikel 5 Absatz 1 Buchstabe e): Sie darf „den für die Zwecke der Verarbeitung erforderlichen Zeitraum nicht überschreiten“. Dies bedeutet, um es klarzustellen, die Vernichtung der Daten nach der Verwendung; das ist, das müssen wir zugeben, nicht unsere Gewohnheit.

Die Rechtmäßigkeit der Verarbeitung hat nun eine Grundlage, die in Artikel 6 in Erinnerung gerufen wird und sechs Bedingungen auflistet, von denen mindestens eine erfüllt sein muss. Da die letzten vier nichtkommerziellen Fragen gewidmet sind, sind für uns nur die ersten beiden von Belang. Entweder „hat die betroffene Person in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt“, oder „die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen“. Es ist also klar: Für die Verwendung personenbezogener Daten sind eine Einwilligung oder ein Vertrag unabdingbar. Für Minderjährige unter 16 Jahren – ein Alter, das die Mitgliedstaaten auf 13 Jahre senken können (Frankreich hat sich gerade für eine numerische Volljährigkeit mit 15 Jahren entschieden) – muss die Einwilligung des Trägers der elterlichen Verantwortung erteilt werden (Art. 8-1). Bei der Ansprache von Kindern müssen die Begriffe dem Alter entsprechend gewählt werden, um das Verständnis zu erleichtern (Art. 12-1).

Im Streitfall liegt die Beweislast für die Einwilligung beim Verantwortlichen und nicht bei der Person, die sich geschädigt fühlt (Art. 7). Und in den dichten Zeilen der DSGVO ist alles vorgesehen, um der Aufsichtsbehörde die Möglichkeit zu geben, zu entscheiden, ob und wofür tatsächlich eine Einwilligung erteilt wurde.

Es gibt keinen Raum mehr für Zweideutigkeiten, die seit zwanzig Jahren von allen ausgenutzt werden: „Wird die Einwilligung der betroffenen Person im Rahmen einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, so muss das Ersuchen um Einwilligung in einer Form erfolgen, die es deutlich von diesen anderen Angelegenheiten unterscheidet, in verständlicher und leicht zugänglicher Form und in klarer und einfacher Sprache formuliert sein“ (Art. 7-2). Diese Einwilligung kann jederzeit widerrufen werden. Und es ist verboten, die Nutzung dieser Möglichkeit zu erschweren: „Der Widerruf der Einwilligung ist ebenso einfach wie die Erteilung der Einwilligung“ (Art. 7-3).

Dies ist zumindest in Frankreich nichts Neues, wird aber in Artikel 9 klar bekräftigt: Eine Verarbeitung, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheit oder sexuelle Orientierung der betroffenen Personen offenbaren würde, ist verboten (Art. 9-1), außer in zehn spezifischen Fällen im Zusammenhang mit dem Arbeitsrecht oder dem öffentlichen Interesse. Eine dieser Ausnahmen ist interessant und überraschend, da sie vom Schutzcharakter des Textes abweicht: wenn die Daten „von der betroffenen Person offensichtlich öffentlich gemacht“ werden (Art. 9-2e). In diesem Fall können sogenannte sensible Informationen preisgegeben werden, die angesichts des vorherrschenden Exhibitionismus viele Menschen betreffen können.