Aktuelle Entwicklungen im Datenschutz - Teil1: Datenverarbeitung

Das Datenschutzrecht hat sich in den letzten Jahren stark weiterentwickelt, um den Bedürfnissen und Herausforderungen im Umgang mit personenbezogenen Daten gerecht zu werden. Die Entwicklung des Datenschutzrechts ist eng mit der technologischen Entwicklung verbunden. In meiner Artikelserie stelle ich relevante Entwicklungen anhand aktueller Urteile vor. In diesem ersten Teil der Serie werfe ich dabei einen Blick auf die Datenverarbeitung.

Datenverarbeitung

Ein wichtiger Meilenstein war die Einführung der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union im Jahr 2018. Die DSGVO gilt EU-weit und legt einheitliche Standards für den Umgang mit personenbezogenen Daten fest. Sie hat auch Auswirkungen auf datengetriebene Geschäftsmodelle. Unternehmen müssen sicherstellen, dass sie die Zustimmung der betroffenen Personen für die Verarbeitung ihrer Daten einholen, ihre Daten sicher aufbewahren und nur für den vorgesehenen Zweck verwenden. Darüber hinaus müssen Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

Sensible Daten

Personenbezogene Daten müssen nach den Vorgaben der DSGVO dabei auf rechtmäßige Weise verarbeitet werden. Dabei liegt der DSGVO ein risikobasierter Ansatz zugrunde. Artikel 9 der DSGVO sieht für sensible Daten spezielle Regelungen vor. Dazu zählen ethnische Herkunft, politische Meinung und religiöse Überzeugung. Die Verarbeitung sensibler Daten ist an zusätzliche, restriktive Voraussetzungen geknüpft. Besonderen Schutz genießen dabei personenbezogene Daten, die indirekt die sexuelle Orientierung offenbaren.

Mit seinem Urteil vom 1. August 2022 sieht der EuGH auch personenbezogene Daten als besonders schutzwürdig an, aus denen auf die sexuelle Orientierung geschlossen werden kann. Anlass des Urteils war ein litauisches Gesetz zur Transparenz, das die Leiter von Behörden zur Veröffentlichung privater Interessen verpflichtet.

Vorratsdatenspeicherung

Das anlasslose Speichern von Telefon- und Internet-Verbindungsdaten ist rechtswidrig. Die deutsche Regelung, wie sie im Telekommunikationsgesetz verankert wurde, widerspricht damit europäischem Recht. Das hat der EuGH in seinem Urteil vom 20. September 2022 verkündet. Der BGH folgt in seinem Urteil vom 30. März 2023 diesem Beschluss.

Nach dem EuGH-Urteil dürfen Kommunikationsdaten nicht ohne Anlass gespeichert werden. Eine gezielte und zeitlich begrenzte Speicherung der Daten ist nur bei einer ernsten Bedrohung für die nationale Sicherheit möglich. Das ist etwa bei schwerer Kriminalität erlaubt.

Die Luxemburger Richter erläutern dazu: „Es ist nicht zulässig, dass die Anbieter von Diensten der elektronischen Kommunikation die Verkehrsdaten ab dem Zeitpunkt der Speicherung zur Bekämpfung von Straftaten des Marktmissbrauchs, u. a. von Insidergeschäften, präventiv ein Jahr lang allgemein und unterschiedslos auf Vorrat speichern.“ Eine Ausnahme macht der EuGH nur bei der Bekämpfung von „schwerer Kriminalität“. Was darunter neben Kinderpornografie zu verstehen ist, müssen nun die nationalen Gesetzgeber festlegen.

Öffentliches Interesse und Privatsphäre

Das Transparenzregister wurde im Zuge der Umsetzung der EU-Geldwäsche-Richtlinie eingeführt und enthält Eintragungen zu den sog. wirtschaftlich Berechtigten von Rechtseinheiten und deren Rechtsgestaltungen. Der freie öffentliche Zugang zum nationalen Transparenzregister verletzt die EU-Grundrechte von wirtschaftlich Berechtigten. Damit sind Teile der EU-Geldwäsche-Richtlinie ungültig, wie der EuGH in seinem Urteil vom 22. November 2022 entschieden hat. Das Urteil betrifft die Interessenkollision zwischen berechtigtem öffentlichem Interesse einerseits und der Privatsphäre von Gesellschaftern andererseits. Nach Auffassung der Richter greift die Richtlinie schwerwiegend in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten ein. Die Richter begründeten dies damit, dass sich die Richtlinie damit nicht beschränkt auf das absolut Erforderliche beschränkt und auch nicht in einem angemessenen Verhältnis zu ihren erklärten Zielen steht.

Kredit-Scoring

Mit Blick auf Vorschriften der DSGVO und des Bundesdatenschutzgesetzes BDSG werden die Praktiken von Auskunfteien beim sogenannten Kredit-Scoring diskutiert. Ein Urteil des EuGH beschäftigt sich mit der Auskunftei Schufa. Sie erstellt Score-Werte für die Kreditwürdigkeit von Personen. Mit dem Score berechnet sie die Wahrscheinlichkeit, mit der ein Kunde seinen Zahlungsverpflichtungen nachkommt. Dazu nutzt die Schufa Daten aus Quellen von Unternehmen unterschiedlicher Branchen, darunter Banken, Energieversorger und Telekommunikation.

Mit dem Score wird die Wahrscheinlichkeit berechnet, mit der ein Kunde seinen Zahlungsverpflichtungen nachkommt. Konkret befasste sich der EuGH mit der Frage, ob die Ablehnung eines Antrags aufgrund eines negativen Schufa-Score eine nach DSGVO verbotene automatisierte Entscheidung darstellt.

Nach Auffassung des EuGH verstößt die Schufa mit dem Erstellen von Score-Werten gegen die DSGVO. Zu diesem Ergebnis kam der Generalanwalt Priit Pikamäe in seinem Schlussantrag vom 16. März 2023. Ein Urteil soll in den nächsten Monaten folgen. Zwar sind die Gutachten des Generalanwalts nicht bindend, häufig jedoch folgen die Urteile folgen diesen Einschätzungen.

Nach der Veröffentlichung des Schlussantrags hat sich die Schufa entschieden, die Frist für das Löschen der Restschuldbefreiung künftig auf sechs Monaten zu verkürzen. Ob sie und andere Auskunfteien künftig vom EuGH zu weiteren Schritten verpflichtet werden, wird sich voraussichtlich im Sommer zeigen.

Wir beraten Unternehmen bei allen Aspekten um den Datenschutz. Dabei helfen wir ihnen, die aktuellen Entwicklungen im Blick zu behalten, relevante Themen zu identifizieren und vertraglich zu regeln.

Danielle Hertneck,
Fachanwältin für IT-Recht, Fachanwältin für Gewerblichen Rechtsschutz
hertneck@web-partner.de