Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 76

38

Ob eine Datenverarbeitung für den jeweiligen Zweck erforderlich ist, lässt sich ganz generell anhand der Datenschutzgrundsätze gem. Art. 5 DSGVO ermitteln. So müssen – dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO folgend – personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

39

Auch wenn dieser Grundsatz keine Legaldefinition des Begriffs der „Erforderlichkeit“ beinhaltet, lassen sich aus ihm dessen wesentliche Elemente entnehmen: Zunächst ist der Begriff objektiv zu bestimmen; die personenbezogenen Daten müssen also objektiv dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Mithin schließt der Erforderlichkeitsgrundsatz auch im Rahmen der DSGVO eine Datenerhebung „ins Blaue hinein“ aus. Allerdings ist es dem Verantwortlichen unbenommen, die Zwecke einer Datenverarbeitung – im Rahmen des gesetzlich Erlaubten – selbst festzulegen und damit den zulässigen Umfang der Datenverarbeitung maßgeblich zu bestimmen.

40

Entscheidend für die Erforderlichkeit einer Datenverarbeitung ist also, ob sie für den verfolgten Zweck objektiv geboten ist (dann erforderlich) oder nicht (dann nicht erforderlich). Damit eine Datenverarbeitung für den verfolgten Zweck objektiv geboten ist, muss zwischen der beabsichtigten Datenverarbeitung und dem Datenverarbeitungszweck ein unmittelbarer sachlicher Zusammenhang bestehen.45 Ein solcher Zusammenhang ist jedenfalls dann gegeben, wenn der verfolgte Zweck ohne die Datenverarbeitung nicht erreicht werden könnte. Umstritten ist, ob Datenverarbeitungen auch dann als erforderlich anzusehen sind, wenn sie (nur) objektiv sinnvoll oder objektiv tauglich sind, um den verfolgten Zweck zu erreichen.46

Achtung

Der EuGH hat im Hinblick auf die Erforderlichkeit einer Datenverarbeitung gem. Art. 7 lit. f Datenschutzrichtlinie 95/46/EG („Verarbeitung auf Basis einer Interessenabwägung“) entschieden, dass sich die Ausnahmen und Einschränkungen im Hinblick auf den Schutz personenbezogener Daten gem. Art. 8 und Art. 7 GrCG auf das absolut Notwendige beschränken müssen.47 Teilweise wird dies in der datenschutzrechtlichen Literatur dahingehend ausgelegt, dass eine Datenverarbeitung für den verfolgten Zweck auch auf Basis der DSGVO ganz generell nur dann erforderlich sei, wenn ohne sie der Zweck nicht (rechtmäßig) erreicht werden könnte.48 Dies entspricht wohl auch dem Verständnis des Europäischen Datenschutzausschusses.49 Zudem scheint der EuGH die Erforderlichkeit der Datenverarbeitung an deren Verhältnismäßigkeit zu knüpfen.50

41

Unklar ist zudem, ob die Erforderlichkeit einer Datenverarbeitung nach der DSGVO und insbesondere ihrem Art. 5 Abs. 1 lit. c DSGVO auch bedingt, dass es keine Alternative zu der bestehenden/geplanten (Gestaltung der) Datenverarbeitung gibt, mit der der verfolgte Zweck ebenso erreicht werden könnte, bei der aber zugleich weniger Daten oder diese weniger „intensiv“ verarbeitet werden.51 Eine ausdrückliche Regelung hierzu beinhaltet die DSGVO jedenfalls nicht.

42

Nach hier vertretener Auffassung lässt eine „mildere“ Alternative die Erforderlichkeit einer bestehenden/geplanten Datenverarbeitung nur dann entfallen, wenn die Einführung/Durchführung dieser Alternative dem Verantwortlichen objektiv zuzumuten ist.52 So besagt der korrespondierende Erwägungsgrund zu Art. 5 DSGVO – Erwägungsgrund 39 –, dass personenbezogene Daten nur verarbeitet werden dürfen sollten, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Zwar erfasst diese Regelung ausdrücklich wohl nur die Frage, ob überhaupt personenbezogene Daten zu einem bestimmten Zweck verarbeitet werden dürfen oder nicht. Doch wenn Erwägungsgrund 39 festlegt, dass ein Verantwortlicher auch dann (überhaupt) personenbezogene Daten verarbeiten dürfen sollte, wenn er den Zweck auch ohne die Verarbeitung personenbezogener Daten erreichen könnte, ihm dies aber (nur) nicht zumutbar ist, muss auch die Verarbeitung von „mehr“ personenbezogenen Daten zulässig sein, wenn einem Verantwortlichen eine weniger „intensive“ Alternative nicht zumutbar ist. Mit anderen Worten: Wenn Erwägungsgrund 39 die Frage, ob überhaupt personenbezogene Daten verarbeitet werden dürfen, mit einem objektiven Zumutbarkeitskriterium für den Verantwortlichen verknüpft, muss dies auch für den Umfang der Datenverarbeitung gelten.

43

Welche Kriterien bei der Prüfung,53 ob eine schonendere Alternative für den Verantwortlichen objektiv zumutbar ist, zu berücksichtigen sind, bemisst sich nach dem jeweiligen Einzelfall. I. d. R. werden nach hier vertretener Ansicht u.a. die folgenden Kriterien zu berücksichtigen sein: (zusätzlicher/ersparter) Aufwand für den Verantwortlichen, der mit der Einführung/Durchführung dieser Alternative verbunden ist (z.B. an Zeit, Arbeit und Kosten), (nach-/vorteilhafte) Folgen der Alternative für den Verantwortlichen, die Bedeutung der Datenverarbeitung/des Verarbeitungszwecks für den Verantwortlichen, Vor- und Nachteile für die betroffenen Personen, insb. inwieweit die Alternative datenschutzschonender ist54 etc. Bei der Prüfung ist nach hier vertretener Ansicht die grundsätzliche Organisationsform und Arbeitsweise des Verantwortlichen zugrunde zu legen und dann nach den Gesamtumständen im Einzelfall zu beurteilen, ob eine schonendere Alternative objektiv zumutbar wäre.55

Achtung

Der EuGH hat – wie oben bereits dargestellt – im Hinblick auf die Erforderlichkeit einer Datenverarbeitung gem. Art. 7 lit. f Datenschutzrichtlinie 95/46/EG („Verarbeitung auf Basis einer Interessenabwägung“) entschieden, dass sich die Ausnahmen und Einschränkungen im Hinblick auf den Schutz personenbezogener Daten gem. Art. 8 und Art. 7 GrCG auf das absolut Notwendige beschränken müssen.56 Mithin sei nach Auffassung des EuGH zu prüfen, ob das berechtigte Interesse, also der verfolgte Zweck, vernünftigerweise ebenso wirksam mit weniger in die Grundrechte und Grundfreiheiten der betroffenen Person, vor allem nach Art. 7 und 8 GRCh, eingreifenden Mitteln erreicht werden könne.57 Nach hier vertretener Lesart kann aus diesen und den sich daran anschließenden Ausführungen aber nicht entnommen werden, dass – wenn es derartige Mittel gibt – diese nach Ansicht des EuGH auch zwingend unter allen Umständen eingesetzt werden müssen, damit die Datenverarbeitung erforderlich sein kann. Unter welchen Umständen eine Pflicht dazu nach Auffassung des EuGH besteht, geht nach hiesigem Verständnis aus dem Urteil nicht hervor, da es für Ausführungen hierzu auch keinen Anlass gab.58 Eine generelle Pflicht, zwingend das jeweils „schonendste“ Mittel einzusetzen, würde nach hier vertretener Ansicht jedenfalls gegen den (allgemeinen) Verhältnismäßigkeitsgrundsatz (vgl. hierzu z.B. Erwägungsgrund 4 S. 2, Art. 52 Abs. 1 S. 2 GRCh) und ggf. auch gegen die unternehmerische Freiheit nach Art. 16 GRCh verstoßen.

Leitlinien des Europäischen Datenschutzausschusses

44

Auch wenn der Europäische Datenschutzausschuss sich in seinen Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO schwerpunktmäßig mit der Frage der Erforderlichkeit einer Datenverarbeitung beschäftigt, bleibt es unklar, ob die europäischen Datenschutzaufsichtsbehörden einen ähnlichen wie den hier vertretenen oder einen strengeren Ansatz verfolgen.59

45

So führt der Europäische Datenschutzausschuss aus, dass in einem ersten Schritt auf objektiver Basis die jeweils durch eine Datenverarbeitung verfolgten Zwecke zu bestimmen seien. Im Anschluss daran sei in einem zweiten Schritt zu prüfen, ob realistische, weniger eingreifende Mittel existieren, um das jeweils verfolgte Ziel zu erreichen. Ist dies der Fall, ist die Datenverarbeitung nach Ansicht des Europäischen Datenschutzausschusses nicht erforderlich.60

46

Existieren schonendere Alternativen, müssen Verantwortliche nach hier vertretener Lesart der Leitlinien diese also nur dann einführen, wenn sie auch „realistisch“ sind. Leider enthalten die Leitlinien keine Hinweise darauf, wann eine schonendere Alternative „realistisch“ ist. Ganz generell verweist der Europäische Datenschutzausschuss in diesem Zusammenhang an vielen Stellen auf ein Toolkit des Europäischen Datenschutzbeauftragten zur Beurteilung der Erforderlichkeit von Maßnahmen, die das Grundrecht auf Schutz personenbezogener Daten einschränken.61 Doch richtet sich dieses Toolkit an die EU-Organe und beschäftigt sich zuvorderst mit der Frage, unter welchen Voraussetzungen Maßnahmen erforderlich sind, die das Recht auf Schutz personenbezogener Daten gem. Art. 8 GRCh einschränken. Deshalb lassen sich diese Ausführungen nach hier vertretener Ansicht zumindest nicht unmittelbar auf die vorliegende Frage übertragen.

46a

Darüber hinaus hat sich der Europäische Datenschutzausschuss auch im Rahmen seiner Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte mit der Erforderlichkeit einer Datenverarbeitung beschäftigt – und zwar im Hinblick auf die Videoüberwachung auf Basis von Art. 6 Abs. 1 lit. f DSGVO. Allerdings gehen nach hier vertretener Lesart auch aus diesen Leitlinien die genauen Voraussetzungen, unter denen ein Verantwortlicher nach Auffassung des EDSA eine schonendere Alternative einsetzen muss, nicht eindeutig hervor. Zwar könnte eventuell geschlussfolgert werden, dass der EDSA dort die Auffassung vertritt, dass ein Verantwortlicher (nur) dann schonendere Alternativen einsetzen muss, wenn diese „vernünftig“ sind.62 Doch bleibt es jedenfalls offen, wann schonendere Alternativen nach Ansicht des EDSA „vernünftig“ sind.

46b

Um zu ermitteln, ob im Einzelfall (überhaupt) weniger eingreifende, „schonendere“ Alternativen zu der bestehenden/geplanten Datenverarbeitung existieren, sollten Unternehmen vor diesem Hintergrund jedenfalls prüfen, ob die verfolgten Zwecke auch durch die Verarbeitung nicht-personenbezogener Daten, von weniger Daten,63 von weniger granularen oder von aggregierten Daten,64 von pseudonymisierten Daten,65 eine weniger „eingreifende“ Art und/oder eine geringere Frequenz der Datenverarbeitung66 erreicht werden könnten. Außerdem sollten Unternehmen, die Daten aus anderen Quellen erheben (wollen), prüfen, inwieweit eine Erhebung der personenbezogenen Daten bei der betroffenen Person möglich ist.67 Ebenso sollte untersucht werden, inwiefern die einzusetzende/eingesetzte Technologie state-of-the-art im Hinblick auf Datenvermeidung und -minimierung ist.68 In Abhängigkeit vom jeweiligen Einzelfall können aber auch noch andere Faktoren eine Rolle spielen.69

46c

Existieren weniger eingreifende, „schonendere“ Alternativen, bedeutet das nach hier vertretener Ansicht – wie oben erläutert – aber nicht automatisch, dass diese auch (anstelle der bestehenden/geplanten Datenverarbeitung) eingeführt werden müssen, damit die Datenverarbeitung erforderlich für den jeweils verfolgten Zweck sein kann. Eine solche Pflicht besteht nach hiesiger Auffassung nur unter den oben in Rn. 42f. genannten Bedingungen – insbesondere muss die Einführung/Durchführung der schonenderen Alternative dem Verantwortlichen objektiv zumutbar sein. Zur Reduzierung etwaiger Haftungsrisiken, wenn Datenschutzaufsichtsbehörden oder Gerichte der hier vertretenen Auffassung nicht vollumfänglich folgen sollten, ist Unternehmen – insbesondere vor dem Hintergrund des oben dargestellten Urteils des EuGH – aber zu empfehlen, den hier verfolgten Ansatz jedenfalls nicht „bis zum Anschlag“ auszureizen und wichtige/kritische Datenverarbeitungen ggf. mit den zuständigen Datenschutzaufsichtsbehörden abzustimmen.70

46d

Auf jeden Fall sollte sichergestellt werden, dass der Kreis der Personen, die Zugriff auf die personenbezogenen Daten erhalten, auf diejenigen beschränkt ist, die in Ausübung ihrer Aufgaben auf diese Daten zugreifen müssen.71

Praxishinweis

Unternehmen sollten insbesondere vor dem Hintergrund der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO die Prüfung von (schonenderen) Alternativen dokumentieren, ebenso wie die Gründe, warum das Unternehmen sich im Ergebnis für eine bestimmte Gestaltung der Datenverarbeitung entschieden hat und ggf. mögliche, schonendere Alternativen nicht eingeführt wurden/werden konnten.

46e

Sind personenbezogene Daten für den Zweck, für den sie verarbeitet werden, nicht mehr erforderlich, dürfen Verantwortliche sie für diesen grundsätzlich nicht mehr verarbeiten. Sofern die Daten nicht noch zulässigerweise für einen anderen Zweck verarbeitet werden dürfen, sind sie nach Maßgabe von Art. 17 DSGVO grundsätzlich zu löschen.72