Die Informationspflicht zwingt uns, Betroffene über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Die Vorgabe ist grundsätzlich begrüßenswert. Was aber, wenn genau diese Informationspflicht einen Ermittlungserfolg zunichtemachen würde? Kann der Grundsatz auch in Incident-Response-Fällen gelten?
Der Inhalt im Überblick
Der Alltag lässt sich regeln
Betroffene sind gem. Art. 13 Abs. 1 DSGVO „zum Zeitpunkt der Erhebung“ über die Verarbeitung der personenbezogenen Daten zu informieren. Hiermit ist zunächst ein engerer zeitlicher Zusammenhang gemeint. In den Alltagssituationen eines Unternehmens haben sich meist pragmatische Regelungen durchgesetzt. Je nach Bedarf wird der zeitliche Zusammenhang mal enger, mal weiter ausgelegt. Die übliche Aufklärung erfolgt dann meist über mehrere Informationsblätter, die der Verantwortliche Personal, Kunden etc. zur Verfügung stellt. Und wenn es einmal schwierig wird, hilft ein Blick in die Ausnahmen der Art. 13 und 14 DSGVO. Alles im Allem sind das also Auslegungsfragen, die wir in den Griff bekommen.
Und dann kam: Der Datenschutzvorfall
Es gibt aber Situationen, in denen uns das Gesetz im Stich lässt. Nehmen wir mal einen schweren Datenschutzvorfall an, bei dem eine IT-forensische Untersuchung im Rahmen eines Incident-Response-Mandats erforderlich wird. Der Vorfall dauert an, der oder die Täter müssen also in flagranti erwischt werden. Um dies zu gewährleisten, kann es erforderlich sein, zusätzliche Informationen zu erheben, wie bspw. Netzwerkverkehr. Bei einer solchen Erhebung werden zwangsläufig personenbezogene Daten, wie IP-Adressen und übermittelte Pakete, erhoben und verarbeitet. Diese zusätzlichen Daten können nicht von der ursprünglichen Aufklärung umfasst sein, da die Daten zu diesem Zeitpunkt noch nicht existierten. Streng genommen müsste also eine erneute Aufklärung erfolgen. Aber kann das richtig sein?
Hierzu zwei Beispiele:
- Angenommen ein interner Angreifer versucht illegitim Daten abzugreifen und soll dabei auf frischer Tat gefasst werden, da es bisher nur einen leichten Anfangsverdacht gibt. Wenn er vorab durch die Bereitstellung der Informationen nach Art. 13 DSGVO gewarnt wird, schlägt das Unterfangen mit Sicherheit fehl.
- Bei internen Angreifern wäre es aber immerhin noch möglich, sie überhaupt mit Informationen zu versorgen. Das wird bei einem externen Angreifer sehr viel schwieriger bis unmöglich. Ein Informationsblatt mit den relevanten Auskünften in dem Ordner ablegen, auf den er es abgesehen hat? Ein wohl eher abwegiger Gedanke.
Ausnahmen, wir brauchen Ausnahmen!
Im Sinne einer effektiven Gefahrenabwehr wäre es zweckwidrig, Personen, die sich bewusst und illegitim Daten beschaffen, durch eine Aufklärung zu warnen. Im zweiten Fall kann die Information mit Verweis auf EG 62 unterbleiben, da diese „unmöglich“ ist. Super – der zweite Fall ist gelöst. Und der erste? Problematisch, denn Art. 13 DSGVO enthält keine passende Ausnahme.
Immerhin hat der europäische Gesetzgeber erkannt, dass es Situationen geben kann, in denen eine Informierung zweckwidrig ist. So ist es den nationalen Gesetzgebern gem. Art. 23 Abs. 1 lit. d DSGVO gestattet, Bestimmungen zu erlassen, die „die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten“ sicherstellen. Von dieser Regelungsbefugnis hat der deutsche Gesetzgeber aber nur bedingt Gebrauch gemacht. §§ 32 und 33 BDSG sind Erweiterungen zu Art. 13 und 14 DSGVO. Gem. § 32 Abs. 1 Nr. 4 BDSG besteht keine Verpflichtung zur Information der Betroffenen, wenn dies
„die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen […]“
Im weitesten Sinne dient die Erhebung von Beweismaterial der Geltendmachung rechtlicher Ansprüche. Das Problem daran: auch wenn wir gewillt sind, den Anwendungsbereich des § 32 BDSG weit auszulegen, so ist dieser nur für Weiterverarbeitungen heranzuziehen. D.h. für Fälle, in denen eine Zweckänderung erfolgt. Im ersten Fall erheben wir aber neue Daten zu einem neuen Zweck. Eine direkte Anwendung ist daher ausgeschlossen, eine Analogie wäre in Betracht zu ziehen.
Analoge Anwendung?
Bevor wir aber das deutsche Gesetz analog anwenden, ist zu überprüfen, ob es bessere Optionen gibt. Dabei ist über Art. 14 Abs. 5 lit. b DSGVO nachzudenken. Demnach sind keine Informationen zu erteilen, wenn und
„soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt.“
Inhaltlich würde dies gut passen. Allerdings ist Art. 14 DSGVO für die Fälle relevant, bei denen die Daten nicht bei der Person selbst erhoben werden. Das ist in unserem Szenario aber gerade nicht der Fall. Somit kommt auch hier nur eine analoge Anwendung in Betracht. Für die Annahme einer Analogie ist Voraussetzung, dass eine Regelungslücke vorliegt, diese planwidrig ist und eine vergleichbare Interessenlage herrscht.
Regelungslücke bei EU-Gesetzen mit Öffnungsklausel?
Das erste Beispiel zeigt, dass der dingende Bedarf einer Regelung gegeben ist. Eine Lücke ist daher gegeben. Aber ist diese planwidrig? Der Umstand, dass bei dieser Frage zwei Gesetzgeber einbezogen werden müssen, erschwert eine klare Antwort. Der Europäische Gesetzgeber hat eine Öffnungsklausel in Art. 23 Abs. 1 lit. d DSGVO eingebaut, die potenziell in der Lage ist, diesen Konflikt aufzulösen. Hätte der nationale Gesetzgeber gehandelt, hätten wir keine Regelungslücke. Dies spricht gegen eine Planwidrigkeit. Allerdings darf der EU-Gesetzgeber nicht davon ausgehen, dass der nationale Gesetzgeber als „Lückenfüller“ agiert, um Versäumnisse oder geplante Lücken auszugleichen. Das europäische Gesetz muss für sich genommen abgeschlossen sein, was aber offensichtlich nicht der Fall ist. Die Planwidrigkeit lässt sich daher gut begründen.
Vergleichbare Interessenlage
Eine vergleichbare Interessenlage ist gegeben, da der Unternehmer, der Daten selbst erhebt, genauso schützenswert ist, wie derjenige Unternehmer, der die Daten von Dritten bezieht. Es ist kein Grund ersichtlich, warum hier eine Ungleichberechtigung vorzuziehen wäre. Das berechtigte Interesse der betroffenen Person an der Informationserteilung wird in aller Regel nicht überwiegen, wenn es um strafbare Handlungen geht. Die Schutzwürdigkeit des Angreifers hält sich stark in Grenzen.
Fassen wir zusammen
Somit dürfen wir feststellen:
- Eine Lösung über das BDSG scheidet aus.
- Das erste Beispiel lässt sich mit den vorhandenen Normen in direkter Anwendung nicht interessengerecht lösen. Würde der Verantwortliche unter den gegebenen Umständen seine legitimen Interessen verfolgen wollen, könnte er dies nur durch einen Verstoß gegen die Informationspflicht. Da der Europäische Gesetzgeber aber an anderer Stelle diese Konstellation bedacht hatte und kein Grund ersichtlich ist, warum eine Ungleichbehandlung interessengerecht wäre, ist damit eine Regelungslücke nachgewiesen.
- Die Regelungslücke ist planwidrig, da vergleichbare Fälle nicht berücksichtigt wurden. Es ist nicht mit vernünftigen Erwägungen begründbar, warum der Europäische Gesetzgeber die Ausnahme in Art. 14 DSGVO aufgenommen hat, nicht aber in Art. 13 DSGVO. Eine Analogie darf daher angenommen werden.
Die Begründung von Analogien im Datenschutzrecht sind ausgesprochen selten. Eine Annahme sollte vorab behutsam geprüft sein. Das Beispiel zeigt aber, dass sich ein interessengerechtes Ergebnis nur durch eine analoge Anwendung erzielen lässt.