Frage an Jan Philipp Albrecht von Georg V. bezüglich Recht
Sehr geehrter Herr Albrecht,
zu den neuen Eu-Datenschutzrichtlinien.
Inwiefern sollten Unternehmer bei der Weiterverarbeitung von Daten den Nutzer um Erlaubnis bitten müssen? Sollte der Nutzer ein explizites "Ja" geben müssen?
Freundliche Grüße
Georg Fritsch
Sehr geehrter Herr Fritsch,
vielen Dank für Ihre Anfrage zum Datenschutz. Bitte entschuldigen Sie die verspätete Antwort. Die Verhandlungen zur Datenschutzreform wurden im Dezember abgeschlossen und werden in einer der folgenden Plenarsitzungen vom ganzen Parlament abgestimmt. Die von mir verhandelte Datenschutzverordnung birgt erhebliche Vorteile für Verbraucherinnen und Verbraucher. Ein wichtiger Punkt war unter anderem auch die Verhandlung um die explizite Einwilligung der Nutzerinnen und Nutzer für die Verarbeitung der Daten.
Hier hatte es bereits lange die Auffassung einiger gegeben, das Konzept einer auf Einwilligung des einzelnen basierenden Datenschutzgesetzgebung sei angesichts der massenhaften Verarbeitung personenbezogener Daten nicht mehr zeitgemäß. Hingegen wird dieser Meinung schon seit jeher das Argument entgegen gehalten, dass eine auf Selbstbestimmung basierende Gesellschaft auch im digitalisierten Lebensalltag einer gewissen Entscheidungsmacht des Einzelnen über das Ausmaß der Offenbarung personenbezogener Informationen geben muss und die Frage nach dem Erlaubten in diesem grundrechtsrelevanten Bereich nicht entlang eines Mehrheitsgefühls für den Einzelnen getroffenen werden kann. Diese Auffassung schlägt sich im Sinne der höchstrichterlichen Weiterentwicklung des Datenschutzgrundrechts auch in der Formulierung von Artikel 8 der EU-Grundrechtecharta wieder, der eine Verarbeitung von personenbezogenen Daten nur für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage zulässt. Die Einwilligung bleibt daher ein entscheidender Grundpfeiler des Datenschutzes, der allerdings auch weiterhin durch zahlreiche andere Wege der Rechtmäßigkeit ergänzt wird.
Der Forderung von Kommission und Parlament, mit Blick auf die Einwilligung klarzustellen, dass diese in jedem Falle (und nicht nur wie bisher bei den sensiblen Daten) „explizit“ erfolgen muss, hatten sich die Mitgliedstaaten nicht angeschlossen. Auch der geeinigte Kompromisstext sieht nun zwar vor, dass weiterhin die Anforderung einer Explizitheit der Einwilligung nur in besonderen Fällen der Zustimmung erforderlich ist, allerdings konnten sich Kommission und Parlament insofern durchsetzen, dass bei jeder Einwilligung immer eine positiv bejahende Handlung erforderlich sein wird und ein Schweigen oder vorangekreuzte Kästchen keinerlei Zustimmung konstituieren können. Zudem wird keine Unterscheidung mehr zwischen einer „unwidersprüchlichen“ und „expliziten“ Einwilligung gemacht, sondern die Unwidersprüchlichkeit als eine Anforderung für alle Einwilligungssituationen eingefordert. Damit verabschiedet sich die Datenschutzverordnung von einem generell unterschiedlichen Niveau der Einwilligung und stellt im Gegensatz zur Richtlinie von 1995 klar, dass jede Einwilligung nur durch eine klare, aktive und unwidersprüchliche Handlung konstituiert werden kann. Darüber hinaus muss sie informiert und frei gegeben worden sein (Art. 4(8), Erwägungsgrund 25). Hierzu legt Art. 7 ausführlich dar, welche Bedingungen erfüllt werden müssen und dass die freie Zustimmung dann in der Regel in Zweifel gezogen werden muss, wenn sie zur Bedingung für die Ausführung eines Vertrages gemacht wird, obwohl sie hierfür nicht notwendig ist (Koppelungsverbot, Art. 7 Abs. 4).
Eine Weiterverarbeitung der Daten für einen anderen Zweck ist grundsätzlich nicht möglich, es sei denn spezielle Härtefälle treffen zu. Dies sind zum Beispiel Fälle von nationaler Sicherheit oder lebenswichtigen Interessen des Betroffenen.
Mit freundlichen Grüßen,
Jan Philipp Albrecht