EU-Kontrolleure stecken Grenzen der Datenverarbeitung ab
Die EU-Datenschutzbeauftragten erläutern in einer Stellungnahme das Prinzip, dass persönliche Informationen nur zu spezifischen, expliziten und legitimen Zwecken verarbeitet werden dürfen.
Die Artikel-29-Gruppe der EU-Datenschutzbeauftragten erläutert in einer umfangreichen Stellungnahme (PDF-Datei) an zahlreichen Beispielen das Prinzip, dass persönliche Informationen nur zu spezifischen, expliziten und legitimen Zwecken verarbeitet werden dürfen. Sie verdeutlichen auch in engen Grenzen zulässige Ausnahmen von dieser Regel.
Generell müssten Datenverarbeiter die Beziehung zwischen dem Zweck, zu dem persönliche Informationen gesammelt werden, sowie den Zielen weiterer Nutzungen im Blick haben, schreiben die Experten. Wichtig sei auch der Kontext, in dem die Daten erhoben werden, und die "Erwartungen" der Betroffenen, wie die Informationen zusätzlich eingesetzt werden. Auch müsse die Art der personenbezogenen Information sowie ihre Auswirkungen berücksichtigt werden. Der Schutz, den eine datenverarbeitende Stelle biete, um eine "faire" Nutzung sicherzustellen und Missbrauch zu verhindern, könne ausschlaggebend sein.
Zu vage oder allgemein sei es etwa, wenn eine Firma als Zweck dafür, wie sie personenbezogene Daten verwertet, angäben, das Nutzungserlebnis zu verbessern, Marketing zu betreiben, IT-spezifische Ziele anzustreben oder die künftige Forschung. Den Zweck möglichst präzise anzugeben müsse andererseits aber lange Beschreibungen nötig machen; übergenaue Datenschutzbestimmungen könnten sogar kontraproduktiv sein. Insbesondere zu sehr ins juristische Fachchinesisch tendierende Erklärungen oder Ausschlussklauseln für die Haftung seien wenig hilfreich für die Betroffenen.
Als problematisch schätzen die Datenschützer etwa die Praxis mancher Online-Händler ein, Einkäufern unterschiedliche Preise zuzuweisen abhängig vom verwendeten Betriebssystem. In so einem Fall würden verfügbare Daten über den Kunden unangemessen weiter verwendet und mit zusätzlichen Informationen für einen ganz neuen Zweck jenseits des Bestellwunschs zusammengeführt.
Die Datenschützer gehen in ihrer Stellungnahme auch darauf ein, wie die Prinzipien der Zweckbestimmung und der Einwilligung in die Nutzung persönlicher Informationen mit den Phänomenen Big Data und Open Data abgestimmt werden könnten. Im Grunde sei es hier möglich, die Ausführung zur weiteren Verarbeitung der Daten für "historische, statistische oder wissenschaftliche Zwecke" ins Feld zu führen. In solchen Fällen sollten die Informationen möglichst anonymisiert werden.
Unzufrieden ist die Gruppe mit dem Vorschlag der EU-Kommission, im Rahmen der laufenden Datenschutzreform die Möglichkeiten von Firmen, personenbezogene Informationen zu verarbeiten, unter dem Aufhänger deren "legitimer Interessen" auszuweiten. Das würde ihrer Ansicht nach bedeuten, dass es fast immer möglich wäre, einen rechtlichen Grund für die Datennutzung vorzugeben. Diese Bestimmung daher sei aus dem Entwurf zu streichen. (anw)