Verarbeitung besonderer Datenkategorien: Erhöhte Anforderungen nur bei Auswertungsabsicht
Das VG Mainz weist für die Praxis mit einem klugen Kriterium einen normativen Ausweg aus der Sackgasse zu den engen Rechtsgrundlagen für die Verarbeitung besonderer Datenkategorien: Es kommt auf die Auswertungsabsicht an.
Hintergrund: (zu) enge Rechtfertigungsgrundlagen
Die Reichweite der strikten Anforderungen an die Verarbeitung besonderer Datenkategorien in Art. 9 DSGVO wird häufig und zu Recht diskutiert. Zwar verdienen sensible Daten erhöhten Schutz, die spezifischen Rechtfertigungsoptionen wie etwa die Einwilligung oder die Verfolgung eines besonderen öffentlichen Interesses sind aber nicht immer praxisgerecht. Die Regulierung hat zudem einen überschießenden Effekt, wenn auch nicht risikoträchtige Verarbeitungen erfasst werden. Das klassische Beispiel ist die Aufnahme einer Straßenszene, auf der ein Brillenträger erkennbar ist. Sollen hier die Regelungen zum Schutz von Gesundheitsdaten greifen?
Ansatz des VG Mainz: Rechtfertigungsgrundlage folgt Zwecksetzung
Im dem Verfahren mit dem Aktenzeichen 1 K 584/19.MZ ging es um die Videoüberwachung einer Werbetafel. Das Gericht nahm eine Interessenabwägung gemäß Art. 6 Abs. 1 lit. f) DSGVO vor und kam zum Ergebnis, dass die Gegeninteressen der aufgezeichneten Betroffenen das Interesse an der Aufzeichnung zum Schutz vor Vandalismus überwiegen. Die Verarbeitung sei damit rechtswidrig.
Der Clou der Entscheidung liegt in der Bewertung, warum die gesteigerten Anforderungen an die Verarbeitung besonderer Datenkategorien nicht greifen (Rz. 27 ff.):
„Zwar ist es bei einer personengenauen Auflösung der Kameraaufnahmen grundsätzlich möglich, dass besondere Kategorien personenbezogener Daten erfasst werden. Schließlich lassen sich durch das äußere Erscheinungsbild der gefilmten Personen möglicherweise ihre rassische und ethnische Herkunft (Hautfarbe, Haare), ihre politische Meinung (z.B. „Palästinensertuch“), ihre religiöse oder weltanschauliche Überzeugung (z.B. religiöse Kleidungsstücke wie Kopftuch oder Kippa), Gesundheitsdaten (z.B. Brille, Rollstuhl) oder die sexuelle Orientierung (z.B. homosexuelles Paar) erkennen. Allerdings geht es dem Kläger nicht darum, genau diese personenbezogenen Daten besonderer Kategorien zu erfassen. Der Kläger beabsichtigt mit der Videoüberwachung Strafprävention und Strafverfolgung. Bei der Überwachung erhält er einen Mischdatensatz aus besonders sensiblen und nicht-sensiblen Daten, wobei er keine Auswertungsabsicht in Bezug auf die sensiblen Daten hat. Ohne das Vorliegen einer solchen Auswertungsabsicht bestehen für die betroffenen Personen keine besonderen Risiken, sodass der Anwendungsbereich des Art. 9 Abs. 1 DSGVO nicht eröffnet ist.“ (Hervorhebungen hinzugefügt)
Binärer Meinungsstand
Der Ansatz des VG Mainz ist nicht neu:
Ansatz des EDSA: Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien zu Maßnahmen im Bereich der Videoüberwachung (Guidelines 3/2019) bereits klargestellt, dass Art. 9 DSGVO nur einschlägig sei, wenn das Videomaterial verarbeitet wird, „um besondere Datenkategorien abzuleiten“. Dagegen solle eine nur potentielle Betroffenheit solcher Daten im Rahmen der Interessenabwägung gemäß Art. 6 Abs. 1 lit. f) DSGVO berücksichtigt werden. Der EDSA erkennt dabei an, dass andernfalls eine Blockade droht: Einerseits werden bei der Videoüberwachung beinahe zwangsläufig besondere Datenkategorien erfasst, andererseits bietet Art. 9 Abs. 2 DSGVO praktisch keine Grundlage für Maßnahmen im Bereich der legitimen präventiven Videoüberwachung.
Trotzdem ist die zweckbezogene Auslegung des Art. 9 DSGVO nicht selbstverständlich, denn die Auswertungsabsicht ist zumindest kein ausdrückliches Tatbestandsmerkmal. Die Stimmen in der Literatur fallen daher in zwei Lager:
- Auswertungsabsicht erforderlich: Jene, die im Sinne des VG Mainz und des EDSA argumentieren, dass der Schutzzweck der Norm eine enge Rückkopplung von Zwecksetzung und besonderen Datenkategorien erfordere.
- Datenbestand entscheidend: Und jene, die es ausgehend vom Wortlaut ausreichen lassen, dass objektiv sensible Daten aus dem verarbeiteten Datenbestand „hervorgehen“ bzw. eine konkrete Nutzung besonderer Datenkategorien zumindest potentiell möglich wäre.
Erste Parallele: Bestimmung des Personenbezugs
Im Grunde führt dieser Streit zurück zu einer der großen Fragen des Datenschutzrechts:
- Relativer Personenbezug: Ist der Personenbezug relativ zu beurteilen, kommt es also auf die individuellen Kenntnisse und Absichten des Verantwortlichen an, die eine Verknüpfung zwischen Person und Information zulassen?
- Absoluter Personenbezug: Oder kommt es im Sinne eines absoluten Verständnisses nur darauf an, dass der Verantwortliche (oder gar nur ein Dritter) potentiell den Personenbezug herstellen kann?
Die absolute Position hatte zuletzt vor allem mit dem Argument wieder an Boden gewonnen, dass in einer vernetzten Welt eigentlich jeder theoretisch die Möglichkeit habe, „die Fäden zusammenzuführen“. Mag dies datenschutzrechtlich eine zumindest nachvollziehbare Position sein, um ein allgemeines Schutzniveau aufrechtzuerhalten, überzeugt in Bezug auf sensible Daten jedenfalls die relativierende Position. Denn die zusätzlichen Anforderungen des Art. 9 DSGVO sind in vielen operativen Szenarien nicht zu erfüllen, so dass eine verabsolutierende Sicht kein angemessenes Schutzniveau, sondern dysfunktionale Regulierung bedeutet.
Zweite Parallele: Aufgedrängte Daten
Daneben kann man eine Parallele zur zweifelhaften Notwendigkeit der Rechtfertigung bei der Verarbeitung „aufgedrängter“ Daten ziehen. Dies betrifft Konstellationen, in denen der Verantwortliche Daten erhält, nach denen er gar nicht gefragt hatte, z.B. bei ergänzenden Angaben über die in einem Formular abgefragten Details hinaus.
Auch bei solchen Daten fehlt dem Verantwortlichen eine Auswertungsabsicht. Gleichwohl muss er die Speicherung oder gar den Verarbeitungsvorgang der Löschung unerwünschter Daten rechtfertigen.
Insofern mag in vielen Fällen die Legitimation mit berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f) DSGVO helfen. Gerade die ist bei besonderen Datenkategorien aber nicht ausreichend. Aufgedrängte sensible Daten führen also in eine unter der DSGVO schwer auflösbare Rechtfertigungsfalle, wenn man keine Auswertungsabsicht als Regulativ vorsieht.
Fazit: Risikobasierte und zweckbezogene Anwendung der DSGVO
Der Ansatz des VG Mainz ist hochgradig praxisrelevant, denn „Mischdatensätze“ kommen häufig vor. Videoaufnahmen sind nur ein Beispiel. Im Extremfall könnten bereits Namensangaben als besondere Datenkategorie zur (vermeintlichen) ethnischen Herkunft angesehen werden. Damit würde faktisch jede Kundendatei zu einer Sammlung sensibler Daten.
Und die Rechtfertigung der Verarbeitung solcher Daten ist herausfordernd, wie folgendes Beispiel zeigt:
- Schon die Angabe eines Gasts zu seinen Lebensmittelallergien bei der Reservierung im Restaurant führt zu einer komplexen Prüfung unter Art. 6 und 9 DSGVO.
- Nennt er diese Daten vorsichtshalber einem Reiseveranstalter, obwohl der seinerseits gar keine Verpflegung anbietet oder organisiert, ist eine Rechtfertigung kaum mehr herzuleiten. Denn dann sind die Daten für den Verantwortlichen gar nicht für einen der Zwecke des Art. 9 DSGVO (oder § 22 BDSG) erforderlich. Und natürlich erscheint es bei Big-Data-Auswertungen diskutabel, warum die faktische Einbeziehung besonderer Datenkategorien der engen Regulierung unterfallen sollte, wenn gar keine risikogeneigte Rückkopplung zum individuell Betroffenen in Bezug auf die sensiblen Angaben erfolgen soll.
Das Kriterium der Auswertungsabsicht schafft hier ein nachvollziehbares und einzelfallgerechtes Korrektiv.
Dogmatisch kann man es gut herleiten, denn es entspricht dem risikobasierten Schutzkonzept der DSGVO und auch dem Schutzzweck des Art. 9 DSGVO. Dieser soll spezifische Risiken durch die Verarbeitung besonderer Datenkategorien adressieren. Solche bestehen aber nicht, wenn die Daten als ungeplanter „Beifang“ oder „Beiwerk“ in völlig risikofernen Zusammenhängen mitgenutzt werden. Zudem knüpft die Bedingung der Auswertungsabsicht direkt bei der Zuweisung der Verantwortlichkeit durch die Bestimmung der Verarbeitungszwecke an. Hier streitet die Zweckbindung dann für den Verantwortlichen, der keine Rechtfertigung leisten muss, wenn er in Bezug auf die Verarbeitung besonderer Datenkategorien keinen spezifischen Zweck verfolgt. Richtig verstanden wird das Schutzniveau in Bezug auf potentiell risikogeneigte Daten auch nicht unterminiert.
Entscheidend muss sein, dass die konkrete Verarbeitung die typischen Risiken tatsächlich auslösen kann. Nur wenn der Verantwortliche dies gerade bezweckt, gelten die Voraussetzungen jenseits der allgemeinen Rechtfertigung nach Art. 6 DSGVO, die stets einen Basisschutz gewährt.