Data Governance Act III: Datenaltruismus
Teil III dieser Blogserie beschäftigt sich mit dem Datenaltruismus. Er ist in Kapitel IV des Data Governance Act (DGA) vorgesehen. Die EU-Kommission hofft mit dieser neuen datenrechtlichen Kategorie, Einzelpersonen und Unternehmen zur freiwilligen Datenbereitstellung zum Wohl der Allgemeinheit bewegen zu können. Dass dieses Ziel mit den vorgeschlagenen Mitteln kaum erreicht werden kann, wurde bereits hier ausgeführt: Datenaltruismus: Wie die EU-Kommission eine gute Idee versemmelt.
Gesonderte Betrachtung verdient das Verhältnis der Neuschöpfung Datenaltruismus zum Datenschutzrecht. Denn einerseits definiert Art. 2 Nr. 10 DGA-E den Datenaltruismus als
"Einwilligung betroffener Personen zur Verarbeitung der sie betreffenden personenbezogenen Daten [...] für Zwecke von allgemeinem Interesse wie die wissenschaftliche Forschung oder die Verbesserung öffentlicher Dienstleistungen".
Andererseits postuliert Art. 1 II DGA-E, dass die Bestimmungen der DSGVO vom Data Governance Act unberührt bleiben.
Datenaltruismus soll nach der genannten Definition eine besondere Form der Einwilligung sein. An den Einwilligungsvoraussetzungen der DSGVO ändert der DGA-E jedoch tatsächlich nichts. Die Einwilligungsvoraussetzungen sind in Art. 4 Nr. 11 und 7 DSGVO sowie den dazugehörigen Erwägungsgründen 32, 33, 42 und 43 geregelt. Wann eine Einwilligung möglich und/oder erforderlich ist, folgt aus Art. 6 I a und IV, 8 I, 9 II a, 18 II, 22 II c und 49 I a DSGVO.
Jede Einrichtung, die sich auf den Datenaltruismus des DGA berufen will, muss also die Einwilligungsvoraussetzungen der DSGVO erfüllen.
Dies ist ein bisschen überraschend, denn es ist ja das erklärte Ziel des DGA, altruistische Datennutzungen zu fördern. Man hätte daher auf den Gedanken kommen können, es dem
- altruismuswilligen Verantwortlichen zu erleichtern, die Einwilligung einzuholen,
- altruismuswilligen Betroffenen zu erleichtern, die Einwilligung zu erteilen.
Denkbare Erleichterungen hätten sein können:
- Reduzierung formaler Anforderungen an die Einwilligungserteilung
- Verzicht auf Informationspflichten
- Verzicht auf Zweckbindung oder zumindest Ermöglichung einer weiten Zweckbestimmung ("broad consent") [ggf. kombiniert mit hoher Strafdrohung für den Missbrauchsfall]
- Einschränkung des Rechts zum Widerruf der Einwilligung oder zumindest Möglichkeit des Widerrufsverzichts
- Aufhebung von Löschpflichten
- Ausschluss der Ansprüche auf Auskunft, Berichtigung, Vervollständigung, Datenportabilität, usw.
- Klarstellung, dass die Einwilligung nicht regelmäßig überprüft werden muss
- Reduzierung von Dokumentationspflichten
- Verzicht auf bestimmte Begleitpflichten der DSGVO (Datenschutzbeauftragter, Datenschutz-Folgenabschätzung, usw.)
- Klärung/Festlegung der datenschutzrechtlichen Verantwortlichkeiten zwischen der datenaltruistischen Organisation und etwaigen weiteren Datennutzern
- Schaffung von Weiterverarbeitungstatbeständen oder zumindest Klarstellung, in welchen Fällen die Weiterverarbeitung als kompatibel anzusehen ist
- Konkretisierung privilegierter Verarbeitungszwecke (etwa durch Regelbeispiele), bei deren Verfolgung bestimmte Pflichten nicht gelten
Dies alles wollte der Normgeber offensichtlich nicht. Damit bleiben aber auch die Rechtsunsicherheiten bestehen, die die derzeit diskutierten Modelle altruistischen Datenteilens (Datenspende, Datentreuhand) belasten. Und auch die Schwächen des Instruments der Einwilligung werden nicht angegangen.
Auf der Grundlage einer DSGVO-Einwilligung sind die Dauerhaftigkeit und Nachprüfbarkeit altruistischer Datenverarbeitungen nicht gesichert.
Die Nachvollziehbarkeit der Datenverarbeitung ist aber zum Beispiel im Bereich wissenschaftlicher Forschung von höchster Bedeutung. Einwilligungen hingegen sind jederzeit widerruflich (Art. 7 III DSGVO) - mit der Folge, dass die Verarbeitung der betroffenen Daten ex nunc eingestellt werden muss. Alle personenbezogenen Daten unterliegen zudem dem Grundsatz der Speicherbegrenzung (Art. 5 I e DSGVO). Und die Daten sind unverzüglich zu löschen, sobald sie für den konkreten Erhebungszweck nicht mehr erforderlich sind (Art. 17 I a DSGVO). Das Damoklesschwert des Einwilligungswiderrufs schwebt somit ständig über der Datengrundlage altruistischer Datenverarbeitungen. Das ist nicht gut.
Bei einer "echten" Spende dürfte der Spender auch keinen Einfluss mehr auf die konkrete Datenverwendung im Einzelfall haben.
Dem steht aber der Zweckbindungsgrundsatz (Art. 5 I b DSGVO) entgegen. Danach muss der Verantwortliche im Moment der Einwilligung einen konkreten Verarbeitungszweck benennen. Wie spezifisch die Zweckfestlegung sein muss, ist umstritten. Der sogenannte "broad consent" ist in der DSGVO immerhin "für bestimmte Bereiche wissenschaftlicher Forschung" anerkannt (EG 33 Satz 2 DSGVO). Zu allgemeine Formulierungen oder Blankoerklärungen dürften aber jedenfalls unzulässig sein. Eine auf Vorrat angelegte Datenhingabe dürfte ebenfalls unzulässig sein (vgl. Ulrich Freiherr von Ulmenstein, in: PinG 2/2020, 47, 49).
Die Folge ist: Man darf "seine" Daten nicht ohne Zweckfestlegung ("Macht damit, was Ihr wollt") spenden. Man darf "seine" Daten aber wohl auch nicht pauschal einem weit formulierten Zweck ("der Wissenschaft gewidmet") zur Verfügung stellen. Dies sind schon erhebliche Einschränkungen für altruistisch gesonnene Menschen oder für Menschen mit Post-Privacy-Überzeugungen. Hier zeigt sich der Datenpaternalismus der DSGVO (instruktiv: Krönke, in: Der Staat 2016, 319). In Körperverletzung und Prostitution lässt sich leichter einwilligen als in die Hingabe von Daten.
Durch den DGA-E wird die Lage für Datenspendeempfänger eher noch verschlimmert. Für das "Europäische Einwilligungsformular für Datenaltruismus" wird eine Einwilligung nicht nur zu einem bestimmten Verarbeitungszweck gefordert, sondern zu einem "bestimmten Datenverarbeitungsvorgang" (= "specific data processing operation") gefordert. Eine Einwilligung in einen Vorgang ist viel enger als eine eine Einwilligung in einen Zweck - und in der Praxis wohl oft kaum möglich.
Hier fragt man sich, ob eine solche Verschärfung der Einwilligungsvoraussetzungen der DSGVO beabsichtigt ist oder an dieser Stelle lediglich schlampig formuliert wurde. Die entsprechende Formulierung in Art. 22 III DGA-E des Kommissionsvorschlages haben jedenfalls Rat und Europäisches Parlament in ihren jeweiligen Standpunkten durchgewunken.
Eine echte materiell-rechtliche Regelung im Geltungsbereich der DSGVO trifft Art. 19 II DGA-E. Danach stellt die datenaltruistische Organisation sicher, dass die Daten nicht für andere als die Zwecke von allgemeinem Interesse, für die sie die Verarbeitung erlaubt hat, verarbeitet werden. Diese Regelung zielt offenbar auf die Weitergabe der Daten durch die altruistische Organisation an einen weiteren Datennutzer. Dieser Datennutzer darf nach den Vorstellungen des DGA-E die Daten offenbar nur für Zwecke verarbeiten, die die altruistische Organisation zuvor erlaubt hat.
Die Regelung schließt Art. 5 I b und 6 IV DSGVO aus. Sofern der Datennutzer zum Verantwortlichen im Sinne der DSGVO wird, hätte er an sich die Befugnis die Daten für folgende Zwecke weiterzuverarbeiten (Art. 5 I b DSGVO):
- wissenschaftliche oder historische Forschungszwecke
- im öffentlichen Interesse liegende Archivzwecke
- statistische Zwecke
Und er hätte die Befugnis die Daten weiterzuverarbeiten, sofern sich die Weiterverarbeitung als mit dem ursprünglichen Erhebungszweck vereinbar erweist (Art. 6 IV DSGVO). Art. 19 II DGA-E schließt solche Weiterverarbeitungsmöglichkeiten aus.
Dies ist wertungswidersprüchlich: Liegen personenbezogene Daten bereits beim Verantwortlichen vor (weil dieser sie zu einem anderem Zweck erhoben hat und auch erheben durfte), darf er sie zu den genannten Zwecken weiterverarbeiten. Für nach dem DGA "gespendete" Daten sollen diese Lockerungen des Zweckbindungsgrundsatzes aber gerade nicht gelten. Im Gegenteil: Der Zweckbindungsgrundsatz wird durch Art. 19 II DGA-E noch verschärft.
Sollte also ein Datenspender, der sichergehen will, dass "seine" Daten wirklich der Wissenschaft, Archiven und der Statistik zur Verfügung stehen, lieber nicht den Weg über den Datenaltruismus wählen? Ein solches Ergebnis kann nicht im Sinne des DGA liegen, der ja die Datenverfügbarkeit gerade verbessern will.
Dass die DSGVO dokumentationsversessen ist, ist hinlänglich bekannt. Da die Pflichten des DGA nunmehr neben die Pflichten der DSGVO treten, kommt es zu einer irren Kumulation von Informations- und Dokumentationspflichten:
- Verarbeitungszwecke
DSGVO-Pflichten: Information der Betroffenen über Verarbeitungszwecke (Art. 13 I c und 14 I c); Information der Betroffenen über die Absicht der Weiterverarbeitung für einen andern Zweck (Art. 13 III und 14 IV); Auflistung der Verarbeitungszwecke im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 I b); systematische Beschreibung der Verarbeitungszwecke im Rahmen der Datenschutz-Folgenabschätzung (Art. 35 VII a); Auflistung der Verarbeitungszwecke im Rahmen der Konsultation der Behörden (Art. 36 III b).
DGA-Pflichten: Information der Betroffenen über Zwecke von allgemeinem Interesse für jede erlaubte Datennutzung (Art. 19 I lit. a); Beschreibung der Zwecke von allgemeinem Interesse, die mit der Datensammlung gefördert werden sollen, im Eintragungsantrag (Art. 17 IV h); Aufzeichnung der Verarbeitungszwecke entsprechend Erklärung der datennutzenden Personen (Art. 18 I c); Darlegung, in welcher Weise Zwecke von Allgemeininteresse gefördert wurden, im jährlichen Tätigkeitsbericht (Art. 18 II b); Liste aller von dritten Datennutzern verfolgten Zwecke von Allgemeininteresse im jährlichen Tätigkeitsbericht (Art. 18 II c).
- Verarbeitungsvorgänge
DSGVO-Pflichten: Information der Betroffenen über das Bestehen einer automatisierten Entscheidungsfindung (Art. 13 II f und 14 II g); systematische Beschreibung der geplanten Verarbeitungsvorgänge in der Datenschutz-Folgenabschätzung (Art. 35 VII a); Angaben zu den Zuständigkeiten in der Konsultation der Aufsichtsbehörden (Art. 36 III a).
DGA-Pflichten: Informationen über Tätigkeiten der Einrichtung im jährlichen Tätigkeitsbericht (Art. 18 II a); Zusammenfassung der Ergebnisse der erlaubten Datennutzungen im jährlichen Tätigkeitsbericht (Art. 18 II d).
- Verarbeitungszeit
DSGVO-Pflichten: Information der Betroffenen über die Speicherdauer (Art. 13 II a und 14 II a); Aufzeichnung der Löschfristen im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 I f).
DGA-Pflichten: Aufzeichnung über Verarbeitungszeitpunkte und -zeiträume (Art. 18 I b).
- Datenempfänger
DSGVO-Pflichten: Information der Betroffenen über die Empfänger oder Kategorien von Empfängern (Art. 13 I e und 14 I e); Auflistung der Kategorien von Empfängern im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 I d).
DGA-Pflichten: Aufzeichnung über alle Personen, denen die Möglichkeit zur Verarbeitung gegeben wurde (Art. 18 I a); Liste aller Datennutzer im jährlichen Tätigkeitsbericht (18 II c).
- Ort der Datenverarbeitung
DSGVO-Pflichten: Information der Betroffenen über Absicht der Drittstaatsübermittlung (Art. 13 I f und 14 I f); Unterrichtung der Betroffenen über Drittstaatenübermittlungen (Art. 49 I 4); Information der Betroffenen über Garantien für Drittstaatsübermittlungen (Art. 13 I f und 14 I f ); Auflistung der Drittstaatsübermittlungen im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 I e); Auflistung der Garantien für Drittstaatsübermittlungen im Verzeichnis der Verarbeitungstätigkeiten (30 I e); Mitteilung von Drittstaatenübermittlungen an die Aufsichtsbehörde (Art. 49 I 3);
DGA-Pflichten: Information der Betroffenen über etwaige Verarbeitungen außerhalb der Union (Art. 19 I lit. b); Auflistung der Hoheitsgebiete, in denen die Datennutzung stattfinden soll, in den Werkzeugen zur Einholung der Einwilligung (Art. 19 III).
- Garantien
DSGVO-Pflichten: Information der Betroffenen über Garantien für Drittstaatsübermittlungen (Art. 13 I f und 14 I f ); Nachweiserbringung, dass Verarbeitung gemäß DSGVO erfolgt (Art. 5 II und 24 I); allgemeine Beschreibung der technischen und organisatorischen Maßnahmen im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 I g); Aufführung geplanter Abhilfemaßnahmen in der Datenschutz-Folgenabschätzung (Art. 35 VII d); Angabe der Schutzmaßnahmen und -garantien im Rahmen der Konsultation der Aufsichtsbehörden (Art. 36 III c); Verzeichnis der Garantien für Drittstaatsübermittlungen (Art. 30 I e und 49 I 2).
DGA-Pflichten: Beschreibung der eingesetzten Garantien im jährlichen Tätigkeitsbericht (Art. 18 II c).
- Rechtsgrundlagen
DSGVO-Pflichten: Information der Betroffenen über die Rechtsgrundlage der Datenverarbeitung (Art. 13 I c und 14 I c); Information der Betroffenen über die mit der Verarbeitung verfolgten berechtigten Interessen (Art. 13 I d, 14 II b und 49 I 4); Information der Betroffenen über die Verpflichtung zur Datenbereitstellung (Art. 13 II e); systematische Beschreibung der verfolgten berechtigten Interessen in der Datenschutz-Folgenabschätzung (Art. 35 VII a); Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in der Datenschutz-Folgenabschätzung (Art. 35 VII b)
DGA-Pflichten: -
- Risiko
DSGVO-Pflichten: Bewertung der Risiken in der Datenschutz-Folgenabschätzung (Art. 35 VII c).
DGA-Pflichten: -
- Betroffene
DSGVO-Pflichten: Beschreibung der Kategorien Betroffener im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 I c).
DGA-Pflichten: -
- Daten
DSGVO-Pflichten: Information der Betroffenen über die Kategorien personenbezogener Daten (Art. 14 I d); Information der Betroffenen über Quelle der Daten (Art. 14 II f); Beschreibung der Kategorien personenbezogener Daten im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 I c).
DGA-Pflichten: -
- Name, Kontaktdaten, Rechtsstatus
DSGVO-Pflichten: Information der Betroffenen über Kontaktdaten des Verantwortlichen (Art. 13 I a und 14 I a); Information der Betroffenen über Name und Kontaktdaten des Vertreters (Art. 13 I a und 14 I a); Information der Betroffenen über Kontaktdaten des Datenschutzbeauftragten (Art. 13 I b und 14 I b); Aufführung des Namen und der Kontaktdaten des Verantwortlichen im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 I a); Aufführung der Kontaktdaten des Vertreters des Verantwortlichen im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 I a); Aufführung der Kontaktdaten des Datenschutzbeauftragten im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 I a); Aufführung der Kontaktdaten des Datenschutzbeauftragten im Rahmen der Konsultation der Aufsichtsbehörden (Art. 36 III d)
DGA-Pflichten: Bezeichnung der Einrichtung im Eintragungsantrag (Art. 17 IV a); Auflistung der Kontaktpersonen der Einrichtung im Eintragungsantrag (Art. 17 IV g); Auflistung der Anschriften von Hauptniederlassung und Zweigniederlassungen im Eintragungsantrag (Art. 17 IV e); Auflistung der Anschrift des gesetzlicher Vertreters im Eintragungsantrag (Art. 17 III und IV e); Bezeichnung von Rechtsstatus, Rechtsform und Registernummer der Einrichtung im Eintragungsantrag (Art. 17 IV b); Einreichung der Satzung der Einrichtung im Eintragungsantrag (17 IV c); Angabe der Webseite mit Informationen über die Einrichtung im Eintragungsantrag (Art. 17 IV f); Aufzeichnung über von Datennutzern gezahlten Gebühren im jährlichen Tätigkeitsbericht (Art. 18 II d); Informationen über die Einnahmequellen im jährlichen Tätigkeitsbericht (Art. 18 II e).
- Charakter und Finanzierung des Verantwortlichen
DSGVO-Pflichten: -
DGA-Pflichten: Nachweis im Eintragungsantrag, dass Einrichtung zur Verfolgung von Zielen von allgemeinem Interesse gegründet worden ist (Art. 16 a und 17 IV i); Nachweis im Eintragungsantrag, das Einrichtung ohne Erwerbszweck tätig (Art. 16 b und 17 IV i); Nachweis im Eintragungsantrag, dass Einrichtung rechtlich unabhängig ist (Art. 16 c und 17 IV i); Auflistung der Haupteinnahmequellen der Einrichtung im Eintragungsantrag (Art. 17 IV d)
- Berichte
DSGVO-Pflichten: Datenschutz-Folgenabschätzung (Art. 35).
DGA-Pflichten: Jährlicher Tätigkeitsbericht (Art. 18 II).
- Betroffenenrechte
DSGVO-Pflichten: Aufklärung der Betroffenen über ihre Betroffenenrechte (Art. 13 II b und 14 II c); Aufklärung der Betroffenen über ihr Recht zum Widerruf der Einwilligung (Art. 13 II c und 14 II d); Aufklärung der Betroffenen über ihr Recht zur Beschwerde bei der Aufsichtsbehörde (Art. 13 II d und 14 II e).
DGA-Pflichten: -
DSGVO-Compliance ist vielfach Paperwork. Durch den DGA wird der Schreibtisch des Verantwortlichen um weitere Schubladen mit umfangreichen Dokumentationen erweitert. Die DSGVO-Dokumentationen können dabei nicht einfach "abgeschrieben" werden. Sie müssen vielmehr den spezifischen DGA-Anforderungen angepasst werden. Und weitere, nicht in der DSGVO enthaltene Informationen müssen zusammengetragen und dem Betroffenen und der DGA-Behörde vorgelegt werden. Dies alles verursacht Erfüllungsaufwand, also Bürokratiekosten.
Höchst problematisch ist die doppelte Behördenstruktur, die durch den DGA geschaffen würde. Die Einhaltung der datenschutzrechtlichen Anforderungen würde weiterhin von den jeweils zuständigen Datenschutzaufsichtsbehörden kontrolliert. Die Einhaltung der DGA-Voraussetzungen würde von DGA-Behörden kontrolliert, die hierfür von den Mitgliedstaaten erst noch geschaffen werden müssen (Art. 20 I DGA-E). Datenschutzrechtliche Aufgaben werden von DGA-Behörde und Datenschutzbehörde "in Zusammenarbeit" wahrgenommen (Art. 20 III 1 DGA-E). Bei Fragen, die eine Prüfung der Einhaltung der DSGVO erfordern, "ersucht" die DGA-Behörde die Datenschutzbehörde um eine Stellungnahme oder einen Beschluss und richtet sich danach. Ein Kompetenzwirrwarr zwischen Datenschutz- und DGA-Behörden ist vorprogrammiert.
In Bezug auf den Datenaltruismus zeichnet sich der DGA vor allem durch seinen Kleinmut aus. Erleichterungen gegenüber der DSGVO sind für den Verarbeiter (und für den Betroffenen) nicht vorgesehen. Im Gegenteil: Neben die zahlreichen DSGVO-Pflichten treten weitere DGA-Pflichten. Die bestehenden Rechtsunsicherheiten in Bezug auf Datenspende und Datentreuhand werden nicht beseitigt. Im Gegenteil: Weitere Rechtsunsicherheiten in Bezug auf die Reichweite der Einwilligung, die Zweckbindung und die Weiterverarbeitung werden geschaffen. Auch beim Datenaltruismus bleibt die datenschutzrechtliche Rollenverteilung zwischen Dateninhaber, datenaltruistischer Organisation und Datennutzer ungeklärt.
Es fragt sich, was der "Goldstandard DSGVO" wert ist, wenn er als Vertrauensgrundlage für den Datenaltruismus nicht ausreicht, sondern weitere Pflichten aufgesattelt werden müssen.
In dieser Blogserie sind bislang erschienen:
- Blogserie: In der datenschutzrechtlichen Todeszone
- Der Data Governance Act I: Weiterverwendung von Daten des öffentlichen Sektors
- Der Data Governance Act II: Datenmittler
- Der Data Governance Act III: Datenaltruismus
- Der Data Governance Act IV: Dataismus
Wird fortgesetzt ...