Das ist mal wieder nicht typisch!
PSP Case Study zur DSGVO: Praxisfall 26

DSGVO: Praktischer Fall

In datenschutzrechtlichen Pflichthinweisen, welche die Huber AG standardmäßig ihren E-Mails beifügt, heißt es „Für den Fall, dass wir mit Ihrem Arbeitgeber in einem vertraglichen Verhältnis stehen, gilt Folgendes: [...] Für den Fall, dass wir Sie als natürliche Person als Direktmarketing-Kontakt führen, gilt Folgendes: [...] Für den Fall, dass weder Sie noch ihr möglicher Arbeitgeber bislang in einem Verhältnis zur Huber AG standen, gilt Folgendes: [...]“. Herr Schulze schreibt eine Dissertation zum Thema „Wie gehen Unternehmen mit Datenschutz um?“ und hat auf einer Veranstaltung Frau Müller, Leiterin der Rechtsabteilung der Huber AG, kennengelernt. Nun wendet er sich mit einem Fragebogen an Frau Müller in der Hoffnung, dass diese ihn „pro bono“ bei seiner Feldforschung unterstützen kann. In seiner E-Mail gibt er seine private Adresse und Telefonnummer an. Frau Müller befindet sich zu dieser Zeit in Urlaub, sodass Herr Schulze eine Abwesenheitsnotiz mit dem Hinweis, dass sich ihre Vertretung um die Angelegenheit kümmern werde, verbunden mit den obigen Pflichthinweisen, erhält. Kurz darauf erhält Herr Schulze noch eine Nachricht von der Vertretung von Frau Müller, Frau Lehmann, dass sie sich die Unterlagen angesehen habe, aber dazu nichts sagen könne, sodass Herr Schulze bitte auf die Rückkehr von Frau Müller warten möge. Auch diese E-Mail enthält die obigen Pflichthinweise.

Der Fall beginnt damit, dass Pflichthinweise im Grundsatz bedingungsfeindlich sind. Nur dem Gesetzgeber steht es zu, die Subsumtionslast auf die Gesetzesadressaten abzuwälzen. Letztere dürfen diese nicht weiter auf die „heilige Kuh des Datenschutzrechts“, den Betroffenen, abwälzen. Vielmehr müssen die Verantwortlichen den Kopf für eine falsche Einordnung hinhalten. Warum soll es ihnen besser ergehen als den „Verwendern“ von AGB, die ja auch transparent, verständlich und klar sein müssen, wie es Art. 12 Abs. 1 DSGVO für die Pflichthinweise vorschreibt? Man kann also – auch wenn das für das Pendant der AGBs nicht uneingeschränkt gilt – mit gutem Grund behaupten, dass „verzweigende“ bzw. „konditionale“ Pflichthinweise die Voraussetzungen der DSGVO nicht erfüllen, selbst wenn der Betroffene den richtigen „Pfad“ solcher Verzweigungen in seiner konkreten Situation durchaus gut beurteilen könnte. Auch dass dieses Urteilsvermögen in besonderer Weise gegeben sein sollte, wenn der „typische“ Betroffene der Repräsentant eines Unternehmens ist und dem Verantwortlichen in dieser Eigenschaft gegenübertritt („unternehmerischer Verkehr“), wird wohl wenig helfen.

Datenverarbeitung ohne gehörige Pflichtinformationen

Ergänzend ist an dieser Stelle einzuflechten, dass unklar ist, ob bzw. unter welchen Umständen personenbezogene Daten, die unter Verstoß gegen die Informationspflichten der Art. 13 und 14 DSGVO erhoben wurden, als solche rechtswidrig („toxisch“) sind und nicht weiter verarbeitet werden dürfen. Dann wären auch sämtliche späteren Verarbeitungshandlungen – auch bei Dritten, an die die Daten weiterübermittelt wurden – rechtswidrig.

Eine kleine Passage des in Fall 1 erwähnten EuGH-Urteils vom Oktober 2015 könnte dahingehend zu verstehen sein: Die (ordnungsgemäße) Erfüllung der Informationspflicht soll danach die „Voraussetzung“ für die weitere Verarbeitung der übermittelten Daten sein. Dies wird aber „landläufig“ nur so verstanden, dass eine solche „Infizierung“ der erhaltenen Daten nur dann infrage kommt, wenn die Verarbeitung gegenüber dem Betroffenen „vollkommen intransparent“ ist, was immer das heißt, bzw. wenn dem Betroffenen eine Pflicht zur Bereitstellung der Daten vorgegaukelt oder eine Einwilligung des Betroffenen erschlichen wurde. Andere Autoren unterscheiden nach der Legitimationsgrundlage: Liegt eine gesetzliche Verpflichtung vor (Art. 6 Abs. 1 S. 1 lit. c DSGVO), sollen auch die unter Verstoß gegen Informationspflichten erhobenen Daten weiterverarbeitet werden dürfen (bzw. müssen), während dies im Falle einer Einwilligung nicht zulässig wäre.

Der ideale Verantwortliche weiß alles schon vorher

Was nun die verzweigenden und deshalb möglicherweise „unrichtigen“ Pflichthinweise als solche angeht, so weiß natürlich jeder, der sich mit der Realität beschäftigt, dass es nicht immer so einfach ist, diese in standardisierte (Unternehmens-) Abläufe zu pressen. Entsprechend schwierig ist es, die von der DSGVO aufgestellte strikte Forderung nach einer unbedingt richtigen Behandlung jeder einzelnen Fallgestaltung zu erfüllen, zumal vor dem Hintergrund aller bestehenden datenschutzrechtlichen Bewertungs- und Einordnungs-Unschärfen. Wie sich der Europäische Datenschutzausschuss das Vorgehen vorstellt, kann einem „Beispielsfall“ in dessen Empfehlungen vom November 2019 zum Thema „privacy by design/by default“ entnommen werden:

A controller is designing a privacy policy in order to comply with the requirements of transparency. The privacy policy cannot contain a lengthy bulk of information that is difficult for the average data subject to penetrate and understand, it must be written in clear and concise language and make it easy for the user of the website to understand how their personal data is processed. The controller therefore provides information in a multi-layered manner, where the most important points are highlighted. Drop-down menus and links to other pages are provided to further explain the concepts in the policy. The controller also makes sure that the information is provided in a multi-channel manner, providing video clips to explain the most important points of the information. The privacy policy cannot be difficult for data subjects to access. The privacy policy is thus made available and visible on all internal web-pages of the site in question, so that the data subject is always only one click away from accessing the information. The information provided is also designed in accordance with the best practices and standards of universal design to make it accessible to all. Moreover, necessary information must also be provided in the right context, at the appropriate time. This means, that generally a privacy policy on the website alone is not sufficient for the controller to meet the requirements of transparency. The controller therefore designs an information flow, presenting the data subject with relevant information within the appropriate contexts using e.g. informational snippets or pop-ups. For example, when asking the data subject to enter personal data, the controller informs the data subject of how the personal data will be processed and why that personal data is necessary for the processing.

Ganz einfach, oder? Doch die wohl hier durchscheinende Annahme, der Verantwortliche könne im Vorhinein selbst bei „offenen Kommunikationskanälen mit ungewissem Input“ alles wissen, was für die Pflichthinweise relevant ist, wird sogar von der DSGVO selbst in Zweifel gezogen: Art. 21 Abs. 1 DSGVO enthält eine Textpassage in Bezug auf Interessenabwägungen, die nahelegt, dass eine „typisierte Betrachtung“ durch den Verantwortlichen sich im Nachhinein „aus Gründen, die sich aus der besonderen Situation“ des Betroffenen ergeben, als falsch herausstellen kann. War in diesem Fall die ursprünglich vorgenommene typisierte Interessenabwägung, die sich durch einen Widerspruch und das Vorbringen des Betroffenen zu seiner „besonderen Situation“ nun als im Einzelfall objektiv unrichtig herausstellt, schon von Anfang an „falsch“? Der DSGVO kann man diesen Schluss eigentlich nicht entnehmen, im Gegenteil: Gerade der hier vorgesehene „Korrekturmechanismus“ der DSGVO im Rahmen der Interessenabwägung impliziert, dass die ursprüngliche Interessenabwägung – und damit auch der entsprechende Pflichthinweis – typisiert erfolgen durfte. Sonst hätte auch die Interessenabwägung als Fall der mutmaßlichen Einwilligung, die ja begrifflich gerade in Abwesenheit des Betroffenen erfolgt, gar keinen Sinn: Man müsste mit dem Betroffenen vorab dessen Interessen und „besondere Situation“ erörtern und kann dann auch gleich dessen ausdrückliche Einwilligung einholen (siehe dazu Fall 17).

In diesem Zusammenhang am Rande noch die Anmerkung, dass die Datenschutzkonferenz in ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ vom März 2019 der Auffassung ist, die Einräumung „überobligatorischer Widerspruchsrechte“, d. h. eines nicht an die Voraussetzungen des Art. 21 Abs. 1 DSGVO geknüpften jederzeit möglichen Widerspruchsrechts (wie im Falle des Art. 21 Abs. 2 DSGVO), könne bei der Abwägung im Rahmen der Interessenabwägung selbst ein Argument zugunsten des Verantwortlichen darstellen. Ähnliches gilt übrigens nach dem bayerischen Landesamt für Datenschutzaufsicht in seinem Tätigkeitsbericht 2017/2018 für besondere technische Vorkehrungen (Datenschutz durch Technikgestaltung) und für die Ausgestaltung der Sicherheit der Verarbeitung: Ein besonders guter Schutz der Daten streitet für die Interessenabwägung zugunsten des Verantwortlichen.

Prognose misslungen

Das Problem dieses Falles geht aber über die Frage von Pflichthinweisen, welche die Besonderheiten der konkreten Erhebungssituation nicht individuell berücksichtigen, hinaus. Vorliegend wurde im Rahmen des Designs eines „Autoreply“-Prozesses im Unternehmen von drei „typischen Fällen“ von Eingaben von Betroffenen ausgegangen, dann aber eine untypische E-Mail eingesandt, an die im Zuge des Prozessdesigns nicht gedacht wurde. Die Huber AG kann daher im Streitfall keine technischen und organisatorischen Maßnahmen nachweisen (Art. 24 Abs. 1 DSGVO), die sicherstellen, dass die individuelle Erhebungssituation (auf Basis der ihr jeweils vorliegenden konkreten, wenngleich möglicherweise lückenhaften Informationen) gemäß der DSGVO behandelt wird. Die Huber AG hat einfach nur „ihren Standardprozess darüber laufen lassen“. Was wäre aber nun auf dieser „systemischen Compliance-Ebene“ („systems and controls“) richtig gewesen? Dürfte die Huber AG, um die DSGVO in jedem Fall richtig zu erfüllen, keine datenschutzrechtlichen Pflichthinweise in einen E-Mail-Disclaimer aufnehmen? Müsste sie nicht vielmehr – je nach Größe – eine Vielzahl von „DSGVO-Spezialisten“ einstellen, die bei jeder eingehenden E-Mail erst einmal untersuchen, welche personenbezogenen Daten dort zu welchen Zwecken und in welchem Kontext enthalten sind, welche Legitimationsgrundlagen gegeben sind etc. (siehe dazu auch Fall 2), um dann Pflichthinweise für den Absender individuell zu fertigen? Lässt sich dieser individuelle Prozess (dereinst) anhand des Inhalts der empfangenen E-Mail durch Algorithmen aus dem Bereich der vielgerühmten künstlichen Intelligenz automatisieren?

Vermutlich wird man den Fall über die der DSGVO immanente Risikoabwägung lösen müssen. Denn sämtliche konkreten Pflichten des Verantwortlichen sind letztlich „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen“ zu ermitteln (Art. 24 Abs. 1 DSGVO). Einerseits ist also sicherzustellen und der Nachweis dafür zu erbringen, dass die Verarbeitung gemäß der DSGVO erfolgt, andererseits sind die Maßnahmen dafür relativ anhand der Risikogeneigtheit zu definieren. Was passiert also, wenn dabei etwas „durchs Raster fällt“? Ist dann die mindere Risikogeneigtheit – nur, aber immerhin – ein Argument beim späteren Nachweis des Verantwortlichen, „dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“ (Art. 82 Abs. 3 DSGVO)?

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden