Europäische Datenschutzgrundverordnung

Europäische Datenschutzgrundverordnung – Neue Zweckbindungsregel im Entwurf des Rates

Am 13. März 2015 stand wieder einmal die Europäische Datenschutzgrundverordnung auf der Agenda der Justiz- und Innenminister. Die Ratsgruppe hat dabei nicht nur eine partielle Einigung über den so genannten One-Stop-Shop erreicht. Gegenstand der Sitzung war auch Kapitel II der Datenschutzgrundverordnung. Dabei wurden eine Reihe von wichtigen Weichen gestellt, obgleich die Mitgliedstaaten noch zahlreiche Vorbehalte geäußert haben.

Grundlage der Sitzung waren die folgenden Dokumente des „Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)“.
Chapter II
One-Stop-Shop

Ein interner Vorschlag für Kapitel II der Arbeitsgruppe DAPIX vom 26. Februar 2015 wurde vorab von lobbyplag.eu veröffentlicht. Das vom Rat am Freitag behandelte Dokument unterscheidet sich aber von diesem Vorschlag in einigen wesentlichen Punkten. Damit hat der Rat teilweise auf Kritik der Datenschutzlobby am Vorschlag der DAPIX-Gruppe reagiert.

Europäische Datenschutzgrundverordnung – Änderungen in Artikel 6 (4)

Die vermutlich wichtigste Änderung  findet sich in Artikel 6 (4) des Entwurfs. In dieser Vorschrift geht es um die Frage, wann Zweckänderungen zulässig sind. Die Europäische Datenschutzgrundverordnung (wie die geltende Datenschutzrichtlinie) unterscheidet Zweckänderungen danach, ob sie mit dem ursprünglichen Zweck der Erhebung vereinbar sind oder nicht. Die Europäische Kommission hatte vorgeschlagen, dass mit der ursprünglichen Zweckbestimmung unvereinbare Zweckänderungen nicht unter der Interessenabwägung zulässig sein sollten. Unter der geltenden Datenschutzrichtlinie geht man jedoch davon aus, dass die Interessenabwägungsklausel grundsätzlich solche Zweckänderung erlaubt, wenn keine überwiegenden schutzwürdigen Interessen der Betroffenen entgegenstehen.
Ein neu eingefügter Artikel 6 (3a) definiert, wann eine Zweckänderung mit den ursprünglichen Zwecken vereinbar sein soll. Beispielsweise bei werbefinanzierten Internetdiensten dürfte dies in der Regel der Fall sein, wenn Daten für neue Werbemethoden verwendet werden sollen. Ansonsten sind die Kriterien jedoch eng formuliert.
Ein gutes Beispiel für die Grenzen der Zweckbindung sind Compliance-Prüfungen in Unternehmen. Hierfür werden in der Regel Daten verwendet, die nicht für diese Zwecke erhoben wurden. Mit den ursprünglichen Zwecken haben die Compliance-Prüfungen meistens nichts zu tun. Die Verwendung der Daten für Compliance-Prüfungen stützt sich nach heutigem Recht auf die Interessenabwägungsklausel, soweit nicht sektorspezifische Vorschriften bestehen.

Zweckbindungsgrundsatz wurde verschärft

Das Problem wurde erkannt und die DAPIX-Gruppe hatte vorgeschlagen, grundsätzlich (wie in der bisherigen Datenschutzrichtlinie) Zweckänderungen auf Grund einer Interessenabwägung zuzulassen (Artikel 6 (4) Satz 2). Im Rahmen der Vorbereitung der Ratssitzung wurde die Erlaubnis jedoch wieder eingeschränkt. Die Datenverarbeitung zu dem neuen Zweck soll nämlich nur das Unternehmen vornehmen dürfen, das die Daten erhoben hat („by the same controller“). Damit sind Datenweitergaben innerhalb von Konzernen oder an Dritte zu neuen Zwecken nicht gedeckt.
Die Konsequenzen einer solchen Verschärfung des Zweckbindungsgrundsatzes lassen sich kaum übersehen. Die Interessenabwägungsklausel hat es immer wieder erlaubt, Datenverarbeitung im Bereich der Privatwirtschaft zu modernisieren und an neue Anforderungen anzupassen. Diese – notwendige – Flexibilität würde der Vorschlag des Rates beenden, wenn er sich in den weiteren Verhandlungen über die Europäische Datenschutzgrundverordnung durchsetzt.

Der Autor

Europäische Datenschutzgrundverordnung

Dr. Ulrich Wuermeling LL.M., Rechtsanwalt und Partner, Latham & Watkins LLP und Vorsitzender des Datenschutzkongresses