DS-GVO/BDSG. David Klein
Читать онлайн книгу.
werden. Der Grundsatz Treu und Glauben findet sich in Konvention Nr. 108 des Europarates, ist in Art. 8 Abs. 2 S. 1 der Europäischen-Grundrechtecharta verbürgt und wurde durch Art. 6 Abs. 1 der DSRL i.V.m. ErwG 38 DSRL ausgefüllt.
28
Auch wenn das Gebot von Treu und Glauben unter der DS-GVO inhaltlich schwer zu fassen ist[30], verbietet es sich einfach, auf den im deutschen nationalen Recht bestimmten Begriff von Treu und Glauben zurückzugreifen. Ein solches Vorgehen widerspricht dem unionsrechtlichen Grundsatz, dass das Unionsrecht eine eigenständige Rechtsordnung aufstellt, „nach der sich die Befugnisse, Rechte und Pflichten der Rechtssubjekte sowie die zur Feststellung und Ahndung etwaiger Rechtsverletzungen erforderlichen Verfahren bestimmen.“[31]. Der Begriff von Treu und Glauben muss autonom für die DS-GVO als EU-Norm ausgelegt werden. Es kann nicht die Absicht des Gesetzgebers der EU gewesen sein, in Art. 5 Abs. 1 lit. a Var. 2 die vielseitigen Bedeutungsinhalte zu implementieren, die sich im Laufe der Zeit in der deutschen Rechtsordnung mit dem Begriff von Treu und Glauben entwickelt haben.[32]
29
In der englischen Sprachfassung des Art. 5 Abs. 1 lit. a wird an der Stelle der Begriff „fairly“ verwendet. Die deutsche Sprachfassung wäre an dieser Stelle weniger missverständlich, wenn sie hier den Begriff „fair“ verwendet hätte.[33] An anderen Stellen der deutschen Sprachfassung ist dies geschehen. So findet sich der Begriff „fair“ unter anderem in den Art. 13 Abs. 2, 14 Abs. 2 und Art. 40 Abs. 2 lit. a sowie in den ErwG 39 S. 4, 60 S. 1, 2 und 71 S. 6.
30
Inhaltlich ist die englische Sprachfassung, die eine „faire“ Verarbeitung fordert, aussagefähig. Eine „faire“ Verarbeitung ist in der Regel nur gegeben, wenn sie mit dem Wissen der betroffenen Person und nicht heimlich erfolgt.[34] Insoweit bedingen sich die Grundsätze der Rechtmäßigkeit und der der Transparenz. So wird es dem Grundsatz der „Fairness“ widersprechen, im Wege sogenannter „Freundschaftswerbung“ hinter dem Rücken der betroffenen Person Wissen für Werbezwecke zu erlangen, obwohl der Direkterhebungsgrundsatz des § 4 Abs. 2 BGSG a.F. nicht ausdrücklich in der DS-GVO normiert ist.[35] Auch dürfte die Verwendung verborgener Techniken, wie z.B. heimliche Videoüberwachung oder Spyware, regelmäßig treuwidrig sein.[36]
31
Große praktische Relevanz hat der Grundsatz von Treu und Glauben insbesondere dort, wo die DS-GVO nur sehr allgemeine Vorgaben enthält. Praktische Anwendungsfälle sind etwa das Scoring[37] oder die Videoüberwachung[38] auf Grundlage der DS-GVO. So dürfte ein Verstoß gegen den Zweckbindungsgrundsatz meist treuwidrig sein, etwa wenn Videomaterial, das zur Abwehr und Aufklärung von Straftaten aufgezeichnet wurde, zur Leistungskontrolle bei Beschäftigten eingesetzt wird.[39] Ebenso entspricht eine Datenverarbeitung nicht dem Grundsatz von Treu und Glauben, wenn sie unverhältnismäßig ist.[40] Dies ist dann der Fall, wenn es entweder an einem legitimen Zweck fehlt oder sie nicht zur Zweckerreichung das geeignete, erforderliche und angemessene Mittel darstellt.
32
Der Grundsatz der „fairen“ Verarbeitung ist auch Auslegungskriterium im Rahmen der Interessenabwägung des Art. 6 Abs. 1 lit. f. Dieser wird konkretisiert durch den ErwG 47 S. 1, wonach auf die „vernünftige Erwartungshaltung“ der betroffenen Person abzustellen ist. Eine Weitegabe personenbezogener Daten an Dritte zum Zwecke der werblichen Nutzung ohne vorherige Information dürfte damit in der Regel auch dem Grundsatz der Fairness widersprechen.[41]
3. Transparenz (Transparency)
33
Es gehört zu den datenschutzrechtlichen Grundpositionen, dass die Verarbeitung personenbezogener Daten nicht „hinter dem Rücken“ des Betroffenen stattfinden darf. Eine faire und transparente Verarbeitung setzt daher voraus, dass der Betroffene über die Existenz eines Verarbeitungsvorgangs und dessen Zwecke unterrichtet wird.
34
Der Zweck von Transparenzvorgaben besteht im Ausgangspunkt darin, eine informierte Entscheidung der betroffenen Personen zu fördern. Die betroffene Person kann durch Transparenz in die Lage zu versetzt werden, eine selbstbestimmte Auswahlentscheidung zu treffen und Einfluss auf das Zustandekommen einer Entscheidung in der Zukunft zu nehmen.[42] Begreift man Transparenz als Grundbedingung, um Vertrauen in informationstechnische Systeme aufzubauen und davon ausgehend eine informierte Entscheidung treffen zu können, so ist Transparenz die Grundlage für eine Nachvollziehbarkeit der Funktionsweise von algorithmischen Systemen durch seinen Nutzer.[43] Um diese Nachvollziehbarkeit auf Seiten der betroffenen Person zu erzeugen, werden die dazu notwendigen Informationen benötigt.[44]
35
Transparenz kann zu einer Selbstverpflichtung der datenschutzrechtlich Verantwortlichen führen. Machen sie nach außen transparent, welchen Grundsätzen die Verarbeitung personenbezogener Daten ihrer Systeme unterliegt, werden ihre Systeme dadurch mittelbar sowohl durch die rechtliche Verpflichtung gegenüber den betroffenen Personen als auch durch ihr Vertrauen an diese Grundsätze gebunden.[45]
36
Für betroffene Personen ist oftmals nicht nachvollziehbar und damit intransparent, durch welche Datenverarbeitungen deren Ergebnisse zustande kommen. Ohne die durch den Grundsatz der Transparenz geforderte Nachvollziehbarkeit einer Verarbeitung personenbezogener Daten, ist insbesondere die Verarbeitung personenbezogener Daten durch den Einsatz komplexer Verarbeitungssysteme für die betroffenen Personen nicht klar. Für die betroffenen Personen sind die Systeme und Funktionsweisen solcher Systeme mangels hinreichender Transparenz eine Blackbox[46].
37
In der Praxis dürfte sich diese Intransparenz durch eine dezentrale Datenhaltung der Verantwortlichen überwinden lassen.[47] Indem Nutzer Informationen darüber erhalten, welche Daten durch welchen Verantwortlichen verarbeitet und gespeichert werden, wird für Nutzer transparent, welchen Datenverarbeitungen sie unterliegen und welche Unternehmen zu welchen Zwecken ihre Daten erheben und verarbeiten.[48]
38
Dementsprechend beinhaltet der Grundsatz der Transparenz, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist. Dies fordert Art. 12. Auch ErwG 39 präzisiert das Transparenzgebot. Danach sollte für natürliche Personen Transparenz im Hinblick auf den Umstand bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden. Die Transparenz sollte sich unter anderem auch auf den Umfang der Datenverarbeitung, die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Rechte der betroffenen Person und die Risiken der Verarbeitung beziehen.
39
Besondere Bedeutung kommt dem Transparenzerfordernis in Situationen zu, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik den Betroffenen nicht ohne Weiteres erkennen lassen, ob, von wem und zu welchem Zweck ihn betreffende personenbezogene Daten erfasst werden. Der Grundsatz transparenter Verarbeitung personenbezogener Daten wird von der DS-GVO somit als Gebot verstanden, dass die betroffene Person die Verarbeitung nachvollziehen können muss.[49] Eine Pflicht zu kleinteiligen Information über jedes Detail der Verarbeitung im Voraus folgt aus dem Transparenzgrundsatz nicht.[50]
40
Die inhaltlichen Anforderungen ergeben sich vor allem aus den Informationspflichten der Art.