In den letzten Tagen wurde in der Öffentlichkeit über einer Verwässerung des geplanten Datenschutzrechts und entsprechend negativ zu bewertende Änderungsvorschlage im Rat der Europäischen Union berichtet. Das schlimmste „Änderungswasser“ fließe vor allem aus deutschen Quelle.
Der Kollege Thomas Stadler hat nun bereits zweimal zu der derzeitigen Diskussion und meines Erachtens absolut verzerrenden Berichterstattung rund um die Verhandlungen zur Datenschutz-Grundverordnung geblogged und seine (meines Erachtens zu begrüßende) Kritik dargelegt: einmal hier und einmal dort . Ich selbst habe auf einen bisher im Prinzip gar nicht angesprochenen, aber für die Praxis immens wichtigen Änderungsantrag hingewiesen und wollte eigentlich nichts zu der allgemeinen Diskussion „gute Nation/böse Nation“ im Rat der Europäischen Union schreiben.
Jetzt möchte ich aber doch etwas inhaltliches(!) zu der Diskussion um die angebliche Abschaffung des Zweckbindungsgrundsatzes durch die Änderungsanträge im Rat schreiben. Mir geht es dabei gar nicht um die Diskussion, ob man den Zweckbindungsgrundsatz stärken oder abschwächen oder gar abschaffen möchte. Darüber kann und sollte man auf jeden Fall diskutieren. Mir geht es hierbei um eine schlicht falsche Darstellung der Zusammenhänge, vor allem mit Blick auf die aktuell geltende Rechtslage. Denn ich finde eine ausgewogene Berichterstattung, die den Anspruch hat, die Leser vollumfänglich zu informieren, darf bzw. sollte nicht tendenziös erfolgen. Also, nun mein kurzer Beitrag zu diesem fast schon als „Missbrauch“ zu bezeichnende tendenziös negative Berichtserstattung zur Datenschutzgrundverordnung und der Rolle Deutschlands.
Kennt die EU-Grundrechtecharta (PDF) den Zweckbindungsgrundsatz?
Ja. In Art. 8 Abs. 2 heißt es: „Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.“ (Hervorhebung durch mich)
Aber: hier wird eine Zweckänderung ja gerade nicht ausgeschlossen. Auch die Weiterverarbeitung erfolgt ja zu irgendeinem bestimmten Zweck. Klar, dieser ist dann ein anderer als jener der der Erhebung der Daten zugrunde lag. Aber er ist dennoch „festgelegt“. Damit ist Art. 8 Abs. 2 Genüge getan.
Kennt die aktuell geltende Datenschutz-Richtlinie das Verbot einer zweckändernden Verarbeitung?
Nein. Art. 6 Abs. 1 b) legt fest, dass personenbezogene Daten für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen.
Zunächst einmal: der komplette zweite Halbsatz wäre überflüssig, wenn eine zweckändernde Weiterverarbeitung nicht zulässig wäre. Diese ist vielmehr gerade möglich. Die Weiterverarbeitung darf nicht in einer mit der Zweckbestimmung nicht zu vereinbarenden Weise erfolgen. Die „Weise“ ist aber etwas anderes als die reine Gegenüberstellung „ursprünglicher Zweck – neuer Zweck“. Es geht um die Umstände der Weiterverarbeitung. Dazu gehört auch der Zweck, aber auch Grundlage der Weiterverarbeitung oder getroffene Datensicherheitsmaßnahme (vgl. dazu auch die Stellungnahme von Sebastian Brüggemann und mir).
Verbietet das deutsche Datenschutzrecht eine zweckändernde Verarbeitung?
Nein, absolut nicht. § 28 Abs. 2 BDSG sieht vielmehr gerade die Möglichkeit der „Übermittlung oder Nutzung für einen anderen Zweck“ vor. Und dann auch noch nach § 28 Abs. 2 Nr. 2 BDSG „soweit es erforderlich ist, a) zur Wahrung berechtigter Interessen eines Dritten“. Also, die Zweckänderung ist bereits derzeit(!) absolut zulässig und gesetzlich nicht etwa verboten (auch nicht wenn es um die Wahrung von Interessen Dritter geht), sondern gerade erlaubt.
Leider leider erwähnt diesen gesetzlichen Ist-Zustand in der öffentlichen Debatte und bei der Bewertung der Änderungsanträge der deutschen Delegation gegenüber den Lesern kaum jemand. Das ist wirklich schade. Denn nur so erhält man als nach Informationen suchender Leser ein Gesamtbild, oder? Die Datenschutzreform ist meines Erachtens für uns alle in Europa eine wirklich tolle Chance, ein Gesetz zum Umgang mit personenbezogenen Daten zu schaffen, das weltweite Standards setzen. Ja, wir sollten inhaltlich diskutieren. Bitte soviel wie möglich. Wir sollten den Datenschutz vorran bringen. Aber wir sollten die Reform nicht nutzen, um fundamentale Positionen völlig ab von der Realität zu zementieren.
Das das BDSG in diesem Punkt den meisten anderen nationalen Gesetze „unterlegen“ ist, müsste man aber auch sagen. In Österreich gibt es das zB nicht, auch in Irland nicht..
Die Debatte in Deutschland (insb. die „Industrienahe“) wird hier extrem germanozentrisch und nicht Europäische geführt.
Anstatt auf dem (entgegen der öffentlichen Gebetsmühle nicht besonders strengen) BDSG herumzureiten wäre es mal wichtiger zu überlegen welche Zweckänderungen die Grundrechtecharte hergibt..
Bei den „Klassikern“ sehe ich da auch kein Problem:
– Strafverfolgung
– Rechtsverfolgung
– …
Aber der derzeitige Vorschlag (insb. Art 5, 6(3a) und 6(4)) würde auch erlauben Gesundheitsdaten für kommerzielle Statistiken (Welches Krankenhaus verschreibt welche Arzneimittel?) verwendet werden, Bankdaten für Werbezwecke oder mein Surfverhalten für Kreditauskunfteien …
Das kann ja keiner wirklich wollen, oder?
– Typos (Handy)
Hallo Max, danke für deinen Kommentar. Klar, das BDSG darf da nicht das Maß der Dinge sein und ist es auch nicht. Daher ja auch meine Verweise auf die Charta und die Richtlinie. Und dabei ist mir grundsätzlich auch nur für die öffentliche Wahrnehmung und das Verständnis wichtig, dass beide Instrumente die zweckändernde Verarbeitung verbieten. Was dann im Einzelfall gewollt sein kann oder nicht, let’s discuss. Beste Grüße
Dazu wollte ich mich jetzt mal zurückhalten, aber nach deiner Meinung hätte dieser Satzteil null Bedeutung:
Wenn ich ohnehin eine Einwilligung oder gesetzliche Grundlage brauche (ein Element) dann kann mir das das andere Element (Zweckbindung) nicht „killen“, sonst bräuchte Art 8(2) diese Element überhaupt nicht benennen.
Nach deiner Meinung würde es strukturell wegen der Einwilligung bzw. der gesetzlichen Grundlage (also im Extremfall ein „legitimes Interesse“ für Direktmarketing) immer zur Aufhebung der Zweckbindung kommen. Das heißt nichts anderes, als das ein Element des Art 8(2) ein anderes „auslöscht“.
Das ist leider auch das Rational hinter Artikel 6(4) des VO-Vorschlags.
Die Frage die nur niemand beantworten kann ist, warum wir dann überhaupt die Zweckbindung in Art 8(2) haben? Wohl nicht als Zierobjekt.. 😉
Was jedoch gehen würde ist eine Verhältnismäßigkeit nach CFR im Gesetz vorzunehmen, also zB bei:
– Zustimmung (Aufgabe des Grundrechts)
– Überwiegende öffentliche Interessen (Strafverfolgung, etc).
– Überwiegende private Interessen (zB Rechtsdurchsetzung)
Hier hat aber „Direktmarketing“ oder „Scoring“ (also die derzeitige Definition von „legitimen Interessen“) nichts verloren, weil das schafft die Voraussetzungen des Art 52 GRC nie..
Wäre aber sicher unterhaltsam den EuGH damit zu beschäftigen, nur hald wegen Rechtssicherheit für Bürger und Unternehmer eher bedenklich…
Hi Max, dann hast du mich missvertanden. Mit dem „Genüge getan“ ist nur der Punkt der Zweckbindung in Art. 8 (2) der Charta gemeint, nicht dass dadurch der komplette Art. 8 (2) erfüllt ist. Natürlich benötigen wir parellel eine gesetzliche Grundlage oder Einwilligung.
Mein Punkt ist nur: ich kann doch auch für festgelegte Zweck eine Weiterverarbeitung vornehmen, die sich von den „vorherigen“ Zwecken unterscheidet. Die „neuen“ Zwecke müssen festgelegt sein. Das geht aber auch bei einer Zweckänderung.
Beste Grüße
*gg* bald haben wir die Kommentarfelder 1 cm breit.. 😉
Nein, das hab ich schon verstanden – und genau das halte ich für nicht richtig.
Wenn es nur darum ging Daten für „irgendeinem bestimmten Zweck“ der aber jederzeit geändert werden kann, dann stellt sich die Frage nach dem Sinn dieser Bestimmung.. Das kann keiner (der diese Meinung vertritt) erklären… 😉
Lg aus Wien
Die von Ihnen geäußerte Kritik geht in Richtung „es darf nicht plakativ gesprochen werden“.
Aber der Punkt ist doch: Die dt. Regierung vertritt sehr wirtschaftsfreundliche Ansichten, kommuniziert aber datenschutzfreundliches Handeln in Richtung Volk.
Um diese Ansicht der Öffentlichkeit plastisch darzustellen wurde auf die „Abschaffung der Zweckbindung“ hingewiesen. Meines Verständnisses, weil die dt. Regierung mit dem Art. 6 Absatz 3a Eingaben zum „aufweichen“ des vorherigen Entwurfszustands der DS-GVO eingebracht hat. Dies sehe ich unabhängig von einem momentanen BDSG-Stand, sondern wie der Entwurf zuvor (vgl. konsolidierte Fassung bayerisches LDA) war.
Ihr Argument Art. 6 I b erlaube mit „und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen“ bereits Änderungen sehe ich als Kompensation nicht, da die eingebrachten Änderungen im neue Art. 6 Absatz 3a DS-GVO nicht nur eine zarte Nebenidee (6 I b), sondern „mit dem Lattenzaun“ eine rechtlich tragfähige Rechtsgrundlage für Zweckänderung darstellen soll.
Auch Themen wie das von ihnen angesprochene eingeschränkte Konzernprivileg gehen in die Richtung.
Hier sehe ich berechtigte Kritik an die Regierung diese Änderungen (Erfüllen von Lobbyforderungen) auch ehrlich zu kommunizieren, sich dem Meinungaustausch zu stellen und die Positionen offen zu verteidigen.
Hallo Tom, vielen Dank für Ihren Kommentar. Ob Art. 6 I b nur eine kleine Nebenidee oder Art „Mini-Ausnahme“ darstellen soll, darüber kann man wohl streiten bzw. müsste man die Gesetzgebungsmaterialien bemühen. Deckungsgleich an Art 6 I b und den vorgeschlagenen Änderungen ist doch aber dennoch: die Zweckänderung ist möglich. Ja, über die Voraussetzungen im einzelnen muss man diskutieren.
Kurz zu dem eingeschränkten Konzernprivileg: mir ist nicht bekannt, dass die Regierung hierzu falsche Angaben in der Öffentlichkeit gemacht hätte. Wahrscheinlich eher gar keine. Wenn sich die Regierung hierfür öffentlich rechtefrtigen soll (was man durchaus andenken kann), dann aber natürlich auch das Parlament, das ja ein entsorechendes Privileg sogar in die Artikel selbst aufgenommen hat und nicht nur in die Erwägungsgründe. Dazu habe ich aber keine Nachrichten gehört, etwa dass dem Parlament Wirtschaftsfreundlichkeit vorgworfen wird.
Viele Grüße
@Max Schrems
Peter Schaar hat in einem Vortrag am Montag bei der Veranstaltung ITechlaw Presidential Reception in Germany in Berlin ausgeführt, dass es in der Richtlinie 95/46/EG tatsächlich nie eine solche – jetzt behauptete – rigide Zweckbindung gegeben habe, da die maßgebliche englische Fassung an mehreren Stellen (z.B. Erwägungsgrund 28) wesentlich zurückhaltender und offener (z.B. „incompatible“) als die deutsche Übersetzung (z.B. „unvereinbar“) formuliert sei.
„(28) Whereas any processing of personal data must be lawful and fair to the individuals concerned; whereas, in particular, the data must be adequate, relevant and not excessive in relation to the purposes for which they are processed; whereas such purposes must be explicit and legitimate and must be determined at the time of collection of the data; whereas the purposes of processing further to collection shall not be incompatible with the purposes as they were originally specified.“
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:31995L0046&from=de
„(28) Die Verarbeitung personenbezogener Daten muß gegenüber den betroffenen Personen nach Treu und Glauben erfolgen. Sie hat den angestrebten Zweck zu entsprechen, dafür erheblich zu sein und nicht darüber hinauszugehen. Die Zwecke müssen eindeutig und rechtmäßig sein und bei der Datenerhebung festgelegt werden. Die Zweckbestimmungen der Weiterverarbeitung nach der Erhebung dürfen nicht mit den ursprünglich festgelegten Zwecken unvereinbar sein.“
http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:31995L0046&from=de
Danke für den Einwurf!
>> Generell dazu mal:
Die jetzt so oft dagegen gehaltene RL 95 ist:
a) nur ein Mindestmaß,
b) vor der GRC verabschiedet und
c) nicht die oft deutlich strengere nationale Umsetzung dar.
So sind in Österreich zB derzeit nur „überwiegende berechtigte Interessen“ (Unternehmen muss das Überwiegen Beweisen) vorgesehen, während die RL und nun auch die VO die Beweislast dem Betroffenen auferlegt – was in der Praxis ein extremer Unterschied ist.
Weiters muss man auch bedenken, dass die VO nun auch für Behörden gilt, also zB auch hier eine Zweckänderung bei „Legitimen Interessen Dritter“ möglich sein soll (Melderegister für Direktmarketing?).
Abgesehen davon geht es politische (und das ist den Medien das relevantere) auch darum, dass das „Versprechen“ der Politik nicht war, dass wir etwas „nicht viel schlimmeres“ als die RL bekommen, sondern ein deutlich stärkeres Datenschutzrecht.
Diese Punkte negiert man leider bei den auf Twitter so aktiven deutschen Anwälten etwas.. 😉
>> Im Detail aber:
Sie haben erst mal vollkommen Recht, dass die Zweckbindung nicht absolut sein kann/muss – wie alle Grundrechte kann man diese „verhältnismäßig“ einschränken. Unter Juristen kein Thema, auch wenn eine Dreistufige Verhältnismäßigkeitsprüfung sicher nie im Spiegel abgedruckt wird… 😉
Sie müssen aber zwischen einem „vereinbaren Weiterverarbeitung“ und einer „Zweckänderung“ unterscheiden.
Das erste ist in Hinblick auf Art 8(2) zwar sicher spannend, aber wohl irgendwie machbar.
Der Versuche einer Machbarkeit einer „vereinbaren Weiterverarbeitung“ findet sich in einem (extrem breiten, vagen und unklagbaren) Art 6(3a) des Ratsvorschlags. Hier habe ich vor allem Bedenken bezüglich der Bestimmtheit der direkt anwendbaren Vorschrift, weil in Wirklichkeit kein Mensch hier ein klares Substrat erhält („Multi-Faktor-Test“).
Davon zu trennen ist Art 6(4) der strukturell die Zweckbindung „aushebelt“ weil er sag: Wenn Sie einen Rechtfertigungsgrund nach Art 6(1) haben, dann müssen Sie sich um Art 5(1)(b), also die Zweckbindung, nicht mehr kümmern. Das ist in Hinblick auf Art 8(2) wohl nicht machbar (siehe Kommentar oben).
Pingback: Die Datenschutzreform wird missbraucht – ...
Lieber Carlo, diese Auslegung von Art. 8(2) GRC nenne ich mal sportlich… 😉
so kann man es auch nennen.. 😉
Pingback: Wochenrückblick: DS-GVO, AdBlock Plus, IT-Sicherheit - Telemedicus
Nein, absolut nicht. § 28 Abs. 2 BDSG sieht vielmehr gerade die Möglichkeit der „Übermittlung oder Nutzung für einen anderen Zweck“ vor. Und dann auch noch nach § 28 Abs. 2 Nr. 2 BDSG „soweit es erforderlich ist, a) zur Wahrung berechtigter Interessen eines Dritten“. Also, die Zweckänderung ist bereits derzeit(!) absolut zulässig und gesetzlich nicht etwa verboten (auch nicht wenn es um die Wahrung von Interessen Dritter geht), sondern gerade erlaubt.
Warum wird immer nur das BDSG für diese absurde Argumentation herangezogen? Schon mal einen Blick ins SGB geworfen?