Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Das Datenschutz-Dilemma der EU-Datenstrategie

Dr. Ulrich Baumgartner ist Partner bei BAUMGARTNER BAUMANN Rechtsanwälte in München.

ZD 2024, 541   Erst vor kurzem sind der Data Act (DA), der Data Governance Act (DGA) und weitere Rechtsakte der EU-Datenstrategie in Kraft getreten oder stecken - wie die geplante Verordnung über den europäischen Raum für Gesundheitsdaten - noch im Gesetzgebungsverfahren. Gleichwohl lässt sich bereits jetzt absehen: Das übergeordnete Ziel der EU-Kommission eines digitalen Binnenmarkts für Daten wird nur dann erreichbar sein, wenn die Vorschriften der DS-GVO weniger extensiv angewendet und durchgesetzt werden.

Erinnern wir uns: Mit ihrer Datenstrategie versucht die EU-Kommission, eine EU-weite und branchenübergreifende Datenweitergabe zum Nutzen von Unternehmen, Forschenden und öffentlichen Verwaltungen zu etablieren (vgl. https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_de). Übergeordnetes Ziel ist es, die globale Wettbewerbsfähigkeit und Datensouveränität Europas sicherzustellen. Zentrales Element dieser Strategie (vor allem des DGA, DA sowie der verschiedenen europäischen „Datenräume“) ist es, den Austausch und die wertschöpfende Nutzung von Daten zu ermöglichen.

Gegenläufiger Effekt der Datenschutzgesetze

Diesem für die Wettbewerbsfähigkeit Europas zentralen Ziel steht die aktuelle, extensive Interpretation des Anwendungsbereichs der Datenschutzgesetze - allen voran der DS-GVO - insbesondere durch die (deutschen) Datenschutz-Aufsichtsbehörden und Gerichte diametral entgegen. Zwar setzt die Anwendung der DS-GVO stets eine Verarbeitung personenbezogener Daten voraus, während die genannten EU-Rechtsakte unabhängig von einem Personenbezug für alle Arten von Daten greifen. In der Praxis sind evident nicht-personenbezogene Datensätze jedoch die Ausnahme. Deutlich häufiger finden sich gemischte Datensätze aus personenbezogenen und nicht-personenbezogenen Daten, die oft untrennbar miteinander verbunden sind. Mit Blick auf derartige Datensätze stellt Erwägungsgrund 7 und 34 DA folgerichtig fest, dass sie den Vorschriften der DS-GVO unterliegen. Dies führt in der Praxis zu kaum auflösbaren Konflikten, wie im Folgenden kurz am Beispiel des DA skizziert werden soll.

Das Zusammenspiel von Data Act und DS-GVO

Wie die übrigen EU-Rechtsakte der europäischen Datenstrategie enthält auch der Data Act in Art. 1 Abs. 5 DA eine Art Kollisionsregel. Danach gilt der DA „unbeschadet“ des europäischen und nationalen Datenschutzrechts (Satz 1). Im Fall eines „Widerspruchs“ zwischen DA und Datenschutzgesetzen, wenn also (auch) personenbezogene Daten verarbeitet werden, sollen Letztere den Vorrang genießen (Satz 3).

Diese generalklauselartigen Regelungen werden ergänzt durch verschiedene Vorschriften und Erwägungsgründe des DA: Nach Erwägungsgrund 7 ergänzt der Data Act die DS-GVO und lässt diese „unberührt“ (Satz 4). Weiter heißt es dort, dass die Anwendung und Auslegung des DA Regelungen der DS-GVO weder abschwächen noch einschränken dürfe (Satz 5). Vielmehr müsse jede im DA geregelte Verarbeitung personenbezogener Daten der DS-GVO entsprechen und insbesondere auf einer gültigen Rechtsgrundlage der DS-GVO beruhen (Satz 6). Insoweit erläutert Erwägungsgrund 7 DA in seinen ersten sechs Sätzen den Regelungsgehalt von Art. 1 Abs. 5 DA und enthält dabei wenig Überraschendes.

Höchst praxisrelevant sind dann jedoch die anschließenden Sätze aus Erwägungsgrund 7 DA, die Art. 4 Abs. 12 DA konkretisieren:

# Nach Satz 7 stellen die Vorschriften des DA keine Rechtsgrundlage für die Erhebung oder Generierung personenbezogener Daten durch den Dateninhaber dar.

# Der Dateninhaber sollte daher nur Zugang zu solchen personenbezogenen Daten gewähren, die er nach den Vorgaben der DS-GVO rechtmäßig („auf der Grundlage einer ... Rechtsgrundlage“) verarbeitet (Satz 9).

# Satz 10 stellt klar, dass sich dem DA keine datenschutzrechtliche Rechtsgrundlage für die Gewährung des Zugangs zu personenbezogenen Daten an Nutzer bzw. die Weitergabe solcher Daten an Dritte entnehmen lässt.

Dies bedeutet konkret: Dateninhaber dürfen zum einen nur dann Zugang zu personenbezogenen Daten nach Art. 4 DA gewähren oder solche Daten an Dritte weitergeben, wenn sie selbst für die Verarbeitung dieser Daten zu eigenen Zwecken eine datenschutzrechtliche Rechtsgrundlage nachweisen können (für eine datenschutzrechtlich unrechtmäßige Verarbeitung scheidet ein Datenzugangsanspruch also bereits aus diesem Grund aus). Zum anderen müssen Dateninhaber auch für den Verarbeitungsschritt der Offenlegung personenbezogener Daten gegenüber Nutzern, die nicht zugleich die betroffenen Personen sind, eine datenschutzrechtliche Rechtsgrundlage gem. Art. 6 Abs. 1 DS-GVO bzw. Art. 9 Abs. 2 DS-GVO nachweisen. Der DA enthält insoweit keine Erlaubnisnorm. Insbesondere lässt sich demnach über Art. 4 Abs. 1 DA bzw. Art. 5 Abs. 1 DA iVm Art. 6 Abs. 1 UAbs. 1 lit c DS-GVO keine Rechtsgrundlage herleiten. Mit anderen Worten: Die Anspruchsgrundlagen in Art. 4 und 5 DA stellen keine „rechtliche Verpflichtung“ zur Offenlegung personenbezogener Daten oder deren Weitergabe an Dritte iSd letztgenannten DS-GVO-Norm dar.

Dateninhaber werden in der Praxis aber oft nur schwer eine belastbare datenschutzrechtliche Rechtsgrundlage für das Teilen personenbezogener Daten nachweisen können: Praxisrelevant für Dateninhaber, die sich einem Anspruch auf Zugang zu personenbezogenen Daten ausgesetzt sehen, wird insoweit insbesondere die Rechtsgrundlage des Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO sein (zumal eine Einwilligung der betroffenen Personen oder eine „Vertragslösung“ oft ausscheiden dürfte). IRd dabei anzustellenden Interessenabwägung sind neben der Identität der Empfänger der Daten insbesondere deren künftige Verwendungszwecke zu berücksichtigen. So wird sich die genannte Rechtsgrundlage nur schwer begründen lassen, wenn der Datenempfänger offensichtlich rechtswidrige oder für die betroffene Person nachteilige Zwecke mit den Daten verfolgt.

Oftmals wird der Dateninhaber auch nicht über die für eine Prüfung von Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO erforderlichen Informationen verfügen und schon aus diesem Grunde keine Rechtsgrundlage nachweisen können. Noch höheren Hürden begegnen Dateninhaber, wenn besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO betroffen sind. Es liegt daher nahe, dass sich Dateninhaber - nicht zuletzt infolge der drohenden DS-GVO-Sanktionen - in vielen Fällen gegen eine Zugangsgewährung bzw. Weitergabe personenbezogener Daten entscheiden werden, um datenschutzrechtliche Risiken zu vermeiden.

Auch für Nutzer erwachsen aus dem DA datenschutzrechtliche Risiken im Zusammenhang mit Ansprüchen auf Zugang oder Weitergabe personenbezogener Daten: Handeln Unternehmen als Nutzer, so gelten diese als datenschutzrechtlich Verantwortliche (Erwägungsgrund 34 S. 6 DA). Als Verantwortliche benötigen sie daher ihrerseits eine datenschutzrechtliche Rechtsgrundlage für die Ausübung eines Zugangs- oder Weitergabeanspruchs und die damit verbundene Erhebung personenbezogener Daten (Erwägungsgrund 34 S. 7 DA). Unternehmen müssen als Verantwortliche zudem alle sonstigen DS-GVO-Pflichten erfüllen, wie zB die Informationspflichten nach Art. 13, 14 DS-GVO (Erwägungsgrund 34 S. 8 DA) - wofür ihnen in der Praxis oft die nötigen Informationen fehlen dürften. Dies lässt erwarten, dass auch Nutzer Ansprüche nach dem DA nur zögerlich geltend machen.

Zielkonflikt zwischen Datenschutzrecht und EU-Datenstrategie

Dieser kurze Blick auf den DA zeigt bereits deutlich: Ansprüche auf Zugang zu oder Weitergabe von Datensätzen, die (auch) personenbezogene Daten enthalten, kollidieren regelmäßig mit Datenschutzrecht. Es ist abzusehen, dass der klar geregelte Vorrang des Datenschutzrechts viele Dateninhaber (verständlicherweise) dazu bewegen wird, Zugangsansprüche abzulehnen, wenn deren Erfüllung DS-GVO-Sanktionen nach sich ziehen könnte. Damit droht einer der Eckpfeiler der EU-Datenstrategie in der Praxis leerzulaufen.

Ein Blick auf die geplanten Verordnungen über den europäischen Raum für Gesundheitsdaten sowie für die anderen geplanten Datenräume führt zu einem ähnlichen Befund. Schließlich zeigt auch die aktuelle Diskussion um die datenschutzrechtlichen Grenzen des Einsatzes Künstlicher Intelligenz, dass auch das Zusammenspiel von DS-GVO und der KI-VO alles andere als klar geregelt ist (instruktiv dazu etwa die jüngste Einordung des BayLDA, abrufbar unter: lda.bayern.de/de/ki.html).

Hintergrund dieses Zielkonflikts ist ein fundamentaler Richtungswechsel der Europäischen Union: Die DS-GVO stellt den Schutz natürlicher Personen und deren personenbezogener Daten in den Mittelpunkt. Die europäische Daten- und Digitalstrategie führt dagegen zu einer Verschiebung der Bedeutung des Datenschutzes - weg von einem rein personenbezogenen Ansatz und hin zu einer primär marktorientierten Zielsetzung und der Schaffung eines neuen Datenwirtschaftsrechts.

Anonymisierung als Schlüssel

Wie aber lässt sich dieses Dilemma auflösen? Der europäische Gesetzgeber hat diesen Zielkonflikt erkannt. Eine klare Lösung sucht man in den verschiedenen Rechtsakten der EU aber vergeblich. Immerhin finden sich Lösungsansätze. So erwähnt Erwägungsgrund 7 S. 12 DA die Aussonderung oder die Anonymisierung personenbezogener Daten als Möglichkeiten für Dateninhaber, Datenzugang auf datenschutzkonforme Weise zu gewähren.

Ein Aussondern personenbezogener Daten aus gemischten Datensätzen dürfte jedoch nur in Ausnahmefällen praktikabel sein. Der Schlüssel zu einem Gelingen der europäischen Datenstrategie unter gleichzeitiger Wahrung des (nach Art. 8 Abs. 1 GRCh verfassungsrechtlich verbürgten) Rechts auf Datenschutz liegt daher in der Anonymisierung personenbezogener Daten. Dies setzt jedoch voraus, dass die Anforderungen an eine Anonymisierung nicht nur klar definiert werden, sondern sich auch praxisnah und rechtssicher umsetzen lassen.

Davon kann heute angesichts der herrschenden Rechtsunsicherheit rund um das zentrale Konzept des Personenbezugs allerdings keine Rede sein. Im Gegenteil: Die überzogenen Anforderungen der europäischen und insbesondere der deutschen Datenschutzaufsichtsbehörden machen eine rechtssichere Anonymisierung heute oft unmöglich.

Das Gelingen der EU-Datenstrategie setzt daher voraus, dass sich die Aufsichtsbehörden (und ihnen folgend die untergerichtliche Rechtsprechung) von dem bisher vertretenen „Zero-Risk-Approach“ verabschieden und akzeptieren, dass sich die Frage, unter welchen Voraussetzungen personenbezogene Daten als hinreichend anonymisiert angesehen werden können, nur risikobasiert beantworten lässt. Dies lehnt die Mehrzahl der Aufsichtsbehörden nach wie vor ab. Dabei hat der EuGH in seiner Breyer-Entscheidung festgestellt (und seitdem regelmäßig wiederholt), dass kein Personenbezug vorliegt, wenn „das Risiko einer Identifizierung de facto vernachlässigbar ist“ (EuGH ZD 2017, 24 Rn. 46 mAnm Kühling/Klar = MMR 2016, 842 mAnm Moos/Rothkegel).

Ein solcher Kurswechsel ist überfällig. Er muss zwingend einhergehen mit klar definierten Kriterien für die Anonymisierung personenbezogener Daten. Nur wenn insoweit endlich Rechtssicherheit einkehrt, kann die europäische Digital- und Datenstrategie gelingen. Die DS-GVO steht dem nicht entgegen, wie ein Blick auf deren Schutzziele in Art. 1 Abs. 3 DA zeigt. Dort heißt es in weiser Voraussicht: „Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü