Zum Inhalt springen Zur Navigation springen
Aufgedrängte Datenverarbeitung

Aufgedrängte Datenverarbeitung

Im Zeitalter der voranschreitenden Digitalisierung werden täglich eine Vielzahl von Daten ausgetauscht und verarbeitet. Darunter auch aufgedrängte Daten. Doch was genau verbirgt sich hinter diesem Begriff und wie sollten wir damit datenschutzrechtlich umgehen? Diese Fragen stehen im Mittelpunkt dieses Beitrags.

Was ist unter aufgedrängten Daten zu verstehen?

Bekommt man ungefragt, viel mehr oder etwas ganz anderes, als man eigentlich wollte, stellt sich die Fragen, wie man damit umgeht. Nicht nur im Zusammenhang mit dem Bereicherungsrechts stellt sich die Frage, ob man das Erhaltene nun einfach behält, schnell verbraucht, doch besser zurückgibt oder kurzerhand wegschmeißt. Schaufelt einem die Großtante ungefragt noch ein weiteres Stück Kuchen mit Sahne auf den Teller hat man wohl keine echte Wahl.

Bei Daten sieht es ähnlich aus. Tagtäglich werden wir – sei es im Bus durch den Sitznachbarn oder beim Surfen im Internet – ungefragt mit einer Vielzahl von Informationen überschwemmt, die wir gar nicht erfragt haben und in dieser Ausführlichkeit auch nicht unbedingt wissen wollten. Die Rede ist von „aufgedrängten Daten“.

Von aufgedrängten bzw. aufgezwungenen Daten spricht man also, wenn jemand Daten ohne eigenes Zutun erhält oder mehr Informationen bekommt, als er ursprünglich angefordert hat.

Wo begegnet man aufgedrängte Daten?

Von aufgedrängten Daten kann man gerade im beruflichen Kontext in vielen Situationen betroffen sein. Zu Verdeutlichung hier ein paar Beispiele:

  1. Freitextfelder:
    Insbesondere bei Kontaktformularen oder im Rahmen von Anmerkungsfunktionen kann man von Vornherein nicht immer zuverlässig unterbinden, welche Informationen letztlich eingetragen werden. Deshalb besteht immer das latente Risiko, dass dort personenbezogene Daten hinzugefügt werden, die unter Umständen gar nicht für die Datenverarbeitung erforderlich sind.
  2. Online-Bewerbungen:
    Das Allgemeine Gleichbehandlungsgesetz (AGG) verpflichtet Arbeitgeber unter anderem dazu, Mitarbeiter und Bewerber nicht aufgrund des Geschlechtes, der Religion, der Weltanschauung, des Alters, der sexuellen Identität, einer Behinderung oder der ethnischen Herkunft zu benachteiligen. Daher darf ein Arbeitgeber in der Stellenausschreibung kein Bewerbungsfoto anfordern. Oft wird bei Bewerbungen mit dem Lebenslauf dennoch ein (hübsches) Foto des Bewerbers übermittelt. Streng genommen handelt es sich bei dieser Information um aufgedrängte Daten, welche zudem nach dem AGG nicht als Entscheidungskriterium bei der Personalauswahl dienen dürfen.
  3. Automatische Datenerfassungen:
    Eine inhärente Eigenschaft von Videoüberwachungssystemen ist, dass sie auch sensible Daten über die aufgezeichneten Personen erfassen, selbst wenn der eigentliche Zweck der Überwachung ein anderer ist. Ohne sein Zutun erhält der Verantwortliche somit eine Vielzahl von personenbezogenen Informationen.
  4. E-Mail-Verkehr:
    Auch durch den Fehlversand von E-Mails können Personen unbeabsichtigt Informationen erhalten, die sie nicht angefordert haben.

Inwiefern ist bei aufgedrängten Daten die DSGVO anwendbar?

Bei aufgedrängten Daten ist neben dem Personenbezug für die Anwendbarkeit der DSGVO entscheidend, ob auch eine Datenverarbeitung anzunehmen ist.

Der sachliche Anwendungsbereich nach Art. 2 DSGVO ist in der Regel eröffnet, da die meisten Verarbeitungstätigkeiten zumindest teilweise automatisiert erfolgen. Damit das Datenschutzrecht mit all seinen Rechtsfolgen Anwendung findet, ist ein Verarbeitungsvorgang im Sinne von Art. 4 Nr. 2 DSGVO nötig. Darunter fällt auch die Erhebung personenbezogener Daten.

Wann ist von einer aufgedrängten Datenverarbeitung auszugehen?

Unter einem Datenverarbeitungsvorgang versteht die DSGVO ein erstmaliges und zielgerichtetes Zugreifen auf die personenbezogenen Daten des Betroffenen. Erforderlich ist also ein aktives Handeln des Verantwortlichen, um Information zu erlangen.

Grundsätzlich folgen auch die Aufsichtsbehörden dieser Ansicht.  Die Saarländische Beauftragte für Datenschutz und Informationsfreiheit führte im Zusammenhang mit den Informationspflichten des Verantwortlichen Folgendes aus:

„Ganz allgemein beschreibt das Erheben den Beginn eines Datenverarbeitungsprozesses. Es ist die Handlung, mit welcher der Verantwortliche erstmals ziel- und zweckgerichtet auf personenbezogene Daten zugreift, in der Absicht einer weiteren Verarbeitung dieser Daten. […] Ist dies nicht der Fall, d. h. besteht bei dem Verantwortlichen keine Verarbeitungsabsicht hinsichtlich der in seine Verfügungsmacht gelangten Daten, kann nicht von einer Datenerhebung gesprochen werden. Gelangen die Daten unverlangt bzw. nicht aufgrund einer gesetzlichen Übermittlungsanordnung in die Verfügungsmacht des Verantwortlichen oder werden sie ihm gar „aufgedrängt“, so wird man eine die Informationspflichten nach Art. 13 und 14 DSGVO auslösende Datenerhebung letztlich verneinen müssen.“

Daraus wird deutlich, dass die bloße Kenntnisnahme derart aufgedrängter Informationen per se keinen eigenständigen Verarbeitungsvorgang darstellt und der Erhalt dieser Daten zunächst auch keine datenschutzrechtlichen Konsequenzen nach sich zieht.

Löschen oder Speichern von aufgedrängten Daten

Wie eingangs erwähnt stellt sich aber die Frage, wie man mit diesem unerwünschten Datenbeifang umgeht. Denn irgendetwas muss man schließlich mit den Daten machen. In erster Linie gibt es zwei Optionen: (teilweise) Löschen oder Behalten. Beides stellt aber eine Form der Datenverarbeitung gemäß Artikel 4 Abs. 2 DSGVO dar.

Die Löschung gilt in diesem Zusammenhang jedoch nicht als gezielte Verarbeitung. Wenn die Daten schon nicht durch eine aktive Handlung erhoben wurden, dann kann auch die Löschung keine datenschutzrechtlichen Pflichten begründen.

Falls eine Löschung des gesamten Datensatzes nicht zielführend ist, wäre auch eine Unkenntlichmachung der vereinzelten überflüssigen Informationen – etwa durch Schwärzen – denkbar. Der Umstand, dass bei diesem Vorgang zwangsläufig der Inhalt der zu schwärzenden Stellen gezielt wahrgenommen wird, stellt für sich genommen keinen eigenständigen Verarbeitungsvorgang dar.

Entschließt man sich hingegen, die aufgedrängten Datens(ch)ätze behalten zu wollen oder landen diese in einer strukturierten Form in den eigenen Systemen oder Archiven, kommt die DSGVO zum Tragen. Jedenfalls im letzteren Fall kann man von einer sog. aufgedrängten Verantwortlichkeit sprechen.

Welche Rechtsgrundlagen kommen bei der aufgedrängten Datenverarbeitung in Betracht?

Werden die Daten abgespeichert, muss hierfür eine Rechtsgrundlage gem. Art. 6 DSGVO gefunden werden. Obendrein folgen Pflichten, wie v.a. die Erfüllung der Informationspflichten nach Art. 13 ff. DSGVO.

Erforderlich zur Erfüllung einer rechtlichen Verpflichtung?

Nach der Kenntnisnahme von aufgedrängten Daten ist also zu entscheiden, ob diese Daten für die weitere Bearbeitung der Angelegenheit oder für andere Zwecke erforderlich sind. Dies wird beispielsweise bei einem Fehlversand einer E-Mail nicht einfach so angenommen werden können.

Wenn aber versehentlich übermittelte personenbezogene Daten für eigene Geschäftszwecke des ungewollten Adressaten weiterverarbeitet wurden, bevor der Absender den Irrtum erkannt hat und darüber informieren konnte, können unter Umständen bereits gewisse Buchungsvorgänge veranlasst worden sein, welche nach der Rechtsprechung gesetzliche Aufbewahrungspflichten – z.B. gemäß § 147 AO oder § 257 HGB – ausgelöst worden sein.

In diesem Fall kann die zunächst unrechtmäßige Verarbeitung des aufgedrängten Datensatzes zu einer weiteren Datenverarbeitung für die Dauer der gesetzlichen Aufbewahrungspflichten beim Datenempfänger zum Zwecke der Erfüllung gesetzlicher Pflichten in der Regel aus Art. 6 Abs. 1 c) DSGVO führen. Das Löschen der Daten wäre in diesem Fall sogar ein Fehler.

Einwilligung oder berechtigtes Interesse?

Werden keine gesetzlichen Aufbewahrungsfristen ausgelöst, müsste auf jeden Fall darüber nachgedacht werden, die Einwilligung des Betroffenen gem. Art. 6 Abs.1 a) DSGVO einzuholen.

Wie immer kommt auch bei aufgedrängten Daten das berechtigte Interesse als eine Alternative in Betracht. Im Rahmen der Abwägung kann hier – je nach den genauen Umständen – argumentiert werden, dass die Person die personenbezogenen Informationen freiwillig übermittelt und somit absichtlich aufgedrängt hat. Zumindest für den Zeitraum von der Kenntnisnahme bis zur Löschung dürfte der Art. 6 Abs. 1 f) DSGVO als Rechtsgrundlage vertretbar sein.

Was gilt bei aufgedrängter Datenverarbeitung besonderer Kategorien personenbezogener Daten?

Prekärer wird das Ganze, wenn besonders sensible personenbezogene Daten aufgedrängt wurden. Werden derartige Daten verarbeitet, muss eigentlich unverzüglich die Einwilligung der betroffenen Person nach Art. 6 Abs. 1 a) i.V.m. Art. 9 Abs. 2 a) DSGVO eingeholt und entsprechende Pflichtinformationen zur Verfügung gestellt werden. Andernfalls ist die Bearbeitung zu beenden und die aufgedrängten sensiblen Daten sind zu löschen oder zu schwärzen.

Aber nicht immer ist eine Einwilligung von jedem Betroffenen einholbar. Im Hinblick auf Videoüberwachungssysteme stellt sich dies in der Realität nämlich äußerst schwierig dar.

Die Verwendungsabsicht bei der Videoüberwachung

Sobald die Aufnahmen einer Videoüberwachung Rückschlüsse auf besonders schützenswerte Daten zulassen, kann die Videoaufzeichnung in den Schutzbereich des Art. 9 DSGVO fallen. Dies wäre dann bereits bei einem zufällig durchs Bild laufenden Brillenträger der Fall.

Sofern nicht von Vornherein der Zweck der Videoüberwachung die Erhebung von Gesundheitsdaten war und demensprechend wahrscheinlich ein Ausnahmetatbestand gem. Art. 9 Abs. 2 DSGVO greift, wäre dies höchst problematisch.

Der Europäische Datenschutzausschuss (EDSA) nimmt daher an, dass Videoaufnahmen, die Menschen mit Brille oder etwa im Rollstuhl zeigen, nicht zwangsläufig „Gesundheitsdaten“ erfassen. Wenn die Gesundheitsdaten also gar nicht als solche verarbeiten werden sollen und sie – sozusagen – beiläufig anfallen, dann sollte Art. 9 DSGVO sinnvollerweise nicht angewendet werden.

Strenge Herangehensweise des EuGH

Allerdings vertritt der EuGH in der sog. „Meta Platforms“-Entscheidung (Urteil vom 04.07.2023, Az.: C-252/21) eine sehr viel strengere Ansicht.

Denn dieser hat (ganz beiläufig) entschieden, dass Art. 9 DSGVO sogar dann zu berücksichtigen ist, wenn die Daten aufgedrängt werden. Ein sensibles Datum, das bei der Erhebung nicht vom Rest des Datensatzes getrennt werden kann, reiche schon dafür aus, dass der komplette Datensatz dem Schutz von Art. 9 DSGVO unterfällt. Verarbeitungsabsicht hin oder her. Es spiele keine Rolle, ob der Verantwortliche mit dem Ziel handele, derartige sensible Daten zu erhalten und auszuwerten.

Weite Auslegung durch den EuGH

Bereits ein Jahr zuvor hatte der EuGH (Urteil vom 01.08.2022, Az. C-184/20) entscheiden, dass der Begriff der besonderen Kategorien personenbezogener Daten weit auszulegen sei. Damit seien auch solche Daten erfasst, aus denen sich indirekt eine sensible Information ergibt.

Begründet wird dies zum einen mit dem Wortlaut („hervorgehen“), auf der anderen Seite mit dem Schutzzweck der Vorschrift. Geschützt werden sollen die betroffenen Personen vor einem Eingriff in ihre Grundrechte, vor allem dem Grundrecht auf Achtung der Privatsphäre. Dieser Schutzzweck würde nach dem EuGH nicht erfüllt, wenn Daten preisgegeben werden, aus denen sich auch mittelbar sensible Daten ergeben.

Daher fallen auch solche Daten unter Art. 9 DSGVO, aus denen

„mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer natürlichen Person geschlossen werden kann“

und sich damit indirekt sensible Informationen ergeben.

Was bedeutet dies nun für aufgedrängte Daten im Rahmen einer Videoüberwachung?

Bei gleich zwei aufeinanderfolgenden Entscheidungen dürfte sich die viel gehegte Hoffnung, es handle sich um eine Einzelfallentscheidung, eigentlich verflüchtigt haben.

Die Tragweite dieser Entscheidungen – insbesondere im Bereich aufgedrängter Gesundheitsdaten bei Videoaufzeichnungen – ist aber derart unüberschaubar und die Konsequenzen so absurd wie unerwünscht, dass eine echte Auseinandersetzung mit dieser Thematik seitens der Aufsichtsbehörden bisher gemieden wurde, wie exemplarische die Stellungnahme der Hamburger Beauftragten für Datenschutz und Informationssicherheit zu der jüngeren EuGH-Entscheidung zeigt.

Sofern die Videoaufzeichnungen nicht gerade durch eine öffentliche Stelle und mit dem klaren Hinweis auf Art. 9 DSGVO erfolgen, dürfte sich also die Frage stellen, welcher anderer Ausnahmetatbestand greift. Auch wenn der Erwägungsgrund 52 den Anwendungsbereich des Art. 9 Abs. 2 f) DSGVO auf außergerichtliche Verfahren erstreckt, dürfte es eher fraglich, jedoch im Einzelfall vertretbar sein, ob die mittelbar erhobenen Gesundheitsdaten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.

Sollten bei aufgedrängten Gesundheitsdaten im Rahmen einer Videoüberwachung tatsächlich die Grundsätze der EuGH-Rechtsprechung entsprechend angewendet werden, wäre der Lösungsweg der vorgenannten Rechtsansicht über Art. 9 Abs. 2 f) DSGVO wohl in den meisten Fällen von Videoaufzeichnungen alternativlos.

Welches praktische Vorgehen empfiehlt sich bei aufgedrängten Daten?

Es zeigt sich, dass das Thema aufgedrängte Daten einen bunten Blumenstrauß an Problemen bereithält. Die Lösungen dafür reichen von:

  • Eher einfach handhabbar (Löschen oder Einholung einer nachträglichen und informierten Einwilligung)
  • über aufwendig (Berücksichtigung von Aufbewahrungsfristen bzw. Finden einer anderen Rechtgrundlage und Erfüllung der Informationspflichten)
  • bis hin zu fast unmöglich (Videoüberwachungssysteme).

Sensibilisierung für den Umgang mit aufgedrängten Daten

Im Unternehmens- bzw. Organisationskontext sollte darauf geachtet werden, dass alle Mitarbeitenden ausreichend auf diese Thematik evtl. auch mittels festgeschriebener Richtlinien sensibilisiert werden. Diese sollten aufgedrängte Daten zuverlässig erkennen oder aufspüren können und im zweiten Schritt überprüfen, ob sie von dem ursprünglichen Erhebungszweck noch gedeckt sind oder ein anderer Aufbewahrungszweck besteht.

Ist dem nicht so, sollte klar sein, dass die Daten sofort gelöscht oder geschwärzt werden. Im Zweifelsfall lohnt eventuell die Hinzuziehung des Datenschutzbeauftragten.

Klare Vorgaben bei der Übermittlung von Daten

Sollte die Löschung aber aus irgendwelchen Gründen nicht praktikabel sein, stellt sich die Frage nach einer Rechtsgrundlage. Sofern bei Freitextfeldern oder Stellenausschreibungen ganz klare, eng umgrenzte Vorgaben dazu gemacht werden, welche Daten benötigt werden und welche Daten unerwünscht sind, kann bei aufgedrängten personenbezogenen Daten eventuell der Art. 6 Abs. 2 f) (i.V.m. Art. 9 Abs. 2 e) DSGVO) angenommen werden.

Hier ist aber zu berücksichtigen, dass sich der EuGH in o.g. „Meta Platforms“-Entscheidung klar dazu positioniert hat, dass diese Ausnahme eng auszulegen ist. Bei Daten, die freiwillig selbst öffentlich gemacht wurden, muss aus den Umständen „klar eine eindeutige bestätigende Handlung“ hervorgehen, dass die Person tatsächlich die Absicht hatte, die betreffenden Informationen der Öffentlichkeit zugänglich zu machen.

Es gelten insoweit die ähnlichen Voraussetzungen, wie bei der Beurteilung, ob eine Einwilligung freiwillig abgegeben wurde. Je nachdem, wie detailliert die Informationen vor der Dateneingabe oder der Übermittlung ausgestaltet waren, wird man dies bejahen oder verneinen können.

Bei der Übersendung eines Bewerbungsfotos, auf dem Gesundheitsdaten ersichtlich sind, trotz ausdrücklichen Hinweises dürften beispielsweise die vorgenannten strengen Voraussetzungen des EuGH dennoch erfüllt sein, sofern natürlich überhaupt ein berechtigtes Interesse vorliegt.

Datensparsamkeit beachten!

Der sicherste Weg wird aber wie so häufig sein, getreu dem Zweckbindungs- und Datensparsamkeitsgebot den Erhalt von aufgedrängten Daten nach Möglichkeit von Vornherein zu minimieren.

Das bedeutet, wo es geht, auf Freitextfelder zu verzichten und mittels Privacy by Design wirklich nur erforderliche Daten abzufragen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.