Erforderlichkeit in der Datenverarbeitung
Vor wenigen Tagen hat mich ein Anbieter der Taxis und andere Mobility-Angebote digital verknüpft angeschrieben und über eine aktualisierte Datenschutzerklärung informiert. Die sei nötig, da das Unternehmen übernommen wurde. Da mich die Mail aufgefordert hat die neue Datenschutzerklärung zu lesen, habe ich mich direkt daran gemacht. Unnötig zu schreiben, dass ich nicht denke, dass die Absender wollen, dass man die Datenschutzerklärung liest.
Es gibt viele Themen, die man bei dieser Art Anbieter-Kommunikation diskutieren könnte. Etwa, dass die neue Datenschutzerklärung nicht direkt in der Mail aufgeführt ist. Der Klick auf die Webseite ist die erste Hürde, die schon einen Großteil der Kunden_innen davon abhält die Erklärung zu lesen. Auf der Webseite grüßt ein Cookie Consent Manager mit den einleitenden Worten “Wir und unsere 916 Partner speichern personenbezogene Daten, wie z. B. […]”. Die Datenschutzerklärung ist in einem Akkordeon-Menü strukturiert. Bedenkt man wie wenige weitere Klicks es auf einer normalen Webseite gibt, eine bemerkenswerte Wahl. Es entsteht der Eindruck, man wünscht sich eigentlich keine hohe Nutzung dieser Seite.
Was mir in dem konkretem Fall am meisten aufgefallen ist, ist die légère Nutzung des berechtigten Interesse (Art. 6 Abs. 1 Lit. f) als Begründung der Verarbeitung personenbezogener Daten. Nun ist das berechtigte Interesse mit Start der DSGVO schon immer ein Evergreen um zu begründen, dass man diese und jene Daten verarbeiten darf. Es drängt sich häufig der Verdacht auf, viele Datenverarbeiter wissen, wenn sie transparent Einwilligungen einholen würden, würden sie diese nicht erhalten. Das eigene berechtigte Interesse in einer Vertragsbeziehung darzustellen, würde das Tor für Verhandlungen über den Wert der genutzten Daten öffnen (Auch wenn übliche Kund_innen diesen Schritt vermutlich niemals gehen würden).
Das berechtigte Interesse ist eine Öffnungsklausel, die eingeführt wurde, um auch in nicht bedachte Szenarien Datenverarbeitungen zu ermöglichen. Der Wortlaut ist wie folgt:
“Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.” Was mich bei Art. 6 Abs. 1 Lit. f immer faziniert, ist, dass die Erforderlichkeit begründet sein muss.
Erforderlichkeit von Datenverarbeitung
Erforderlichkeit lässt sich hier in zwei Richtungen denken. Einerseits kann abgewogen werden, ob die Verarbeitung personenbezogener Daten überhaupt nötig ist. Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Lit. c) kommt hier zum Tragen. Es ist besser keine Daten zu verarbeiten als Daten unnötigerweise zu verarbeiten. An vielen Stellen werden personenbezogene Daten erhoben, obwohl dies nicht nötig ist. Ein bloßes Interesse an Daten reicht nicht. Auch wenn Daten erhoben werden, um sie vermeintlich zu einem Zweck zu verarbeiten, muss diese Verarbeitung sachlich richtg umgesetzt werden (Art. 5 Abs. 1 Lit. d). Ein Beispiel aus der Bildungspraxis sind etwa personenbezogene Daten, die im Namen der Wirkberichterstattung verarbeitet werden. Auf Basis eines Fragebogens zu Beginn und einem zum Ende einer Maßnahme soll ein Kompetenzgewinn bei der betroffenen Person nachgezeichnet werden. Egal ob die Maßnahme ein Wochenendseminar, eine Seminarwoche oder ein einjähriger Kurs war. Aus den Sozialwissenschaften wissen wir, dass mit so einer mangelhaften Erfassung keine nachhaltige Kompetenzveränderung nachvollzogen werden kann. Und dennoch erheben hunderte Bildungsträger für Sachberichte diese Daten. Wenn also die Daten nicht genutzt werden können, um sachlich richtige Aussagen treffen zu können, braucht es erst gar nicht diese Erhebung. Ein ähnliches Argument haben Hense, Hauschild, Mustać & Wagner Wagner erst kürzlich im Rahmen der schulischen Bewertung mit Hilfe von generativer KI gemacht.
Ein zweiter Punkt unter der die Erforderlichkeit diskutiert werden kann ist, ob es keine anderen Möglichkeiten gibt, die Datenverarbeitung zu legitimieren. Im Beispiel des Mobility-Anbieters sind einzelne Verarbeitungsvrogänge aufgesplittet und das berechtigte Interesse wird nachgeschoben für zusätzliche Verarbeitungen, die etwa über die rechtlichen Pflichten hinaus gehen und mehr Datenverarbeitungen erfordern als es mitunter zur Umsetzung der rechtlichen Pflichten erfordern. Paal und Pauly haben bereits 2018 geschrieben, dass Art. 6 Abs. 1 Lit. f nur genutzt werden kann, wenn die Datenverarbeitung nicht nach Art. 6 Abs. 1 Lit. a-e möglich ist (Paal & Pauly, 2018, Art. 6 Rd. 26). Noch dazu muss schon laut Text der DSGVO das berechtigte Interesse mit den Grundrechten und Grundfreiheiten der betroffenen Person abgewogen werden. Wie das methodisch zu bewerkstelligen ist hat das Langerecht Erfurt dargestellt (LG Erfurt, 19.11.2020 – 8 O 559/20, Rn 112).
- Beschreibung des berechtigten Interesse.
- Darstellen, dass die Datenverarbeitung für das berechtigte Interesse nötig ist.
- Darstellen, dass es keine sinnvolle Alternative anderer legitmierung.
- Abwägung der Grundrechte und Grundfreiheiten in dem “rechtliche, wirtschaftliche, aber auch ideelle Interessen und dabei vor allem betroffene Grundrechte oder Grundfreiheiten der Beteiligten […]” herausgerbeitet werden.
Im Fall des Mobility-Anbieters ist mir besonders ein Abschnitt aufgefallen. Es ist üblich, dass man bei diesen Mobility-Plattformen Fahrer_innen nach der Fahrt bewerten kann. Die Datenschutzerklärung führt ebenso aus, dass die fahrzeugführende Person mich als Kunde ebenfalls bewerten kann. Dies geschieht in beiden Fällen über die zur Verfügung gestellten App am Ende der Fahrt. Einerseits ist diese Funktion spannend, weil hier eine Maßnahme, die klassischer Weise in das Feld von Human Ressources und Personalentwicklung fällt, durch einen Dienstleister umgesetzt wird, der eben genau diese Funktion gegenüber den Fahrer_innen nicht ausführt. Diese sind nämlich bei Taxi-Unternehmen angestellt. Ob meine Bewertung dem Taxi-Unternehmen mitgeteilt wird um eine bedeutungsvolle Personalentwicklung umzusetzen, weiß ich nicht.
Der zweite Aspekt ist, dass nicht nur die Fahrer_in-Bewertung verarbeitet wird sondern auch die Routen-Daten, sowie Dauer und Länge der Tour. Das macht Sinn, weil mitunter Streitthema sein könnte, dass nicht die beste Route genutzt wurde. Schließlich richtet sich die Bezahlung bei Taxi-Unternehmen nach Distanz und nicht nach im Auto verbrachter Zeit.
Unklar ist jedoch, warum beide Datenkategorien (Bewertung der Fahrer_in und Routendaten) mit Hilfe des berechtigten Interesses legitmiert werden? Der Mobility-Anbieter hat als Mittler zwischen Taxi-Unternehmen und Kunden gar kein Interesse an der Personalentwicklung der Fahrer_innen, weil er gar nicht für ihre Personalentwicklung verantwortlich ist und diese auch in keiner Art und Weise gestalten könnte. Die Routendaten könnten mit Hilfe einer Einwilligung verarbeitet werden, die jedes mal eingeholt wird, wenn man unzufrieden mit dem Routing war und daher diese Daten verarbeitet wissen möchte, um für die Klärung von Rückzahlungen genutzt werden zu können. Das berechtigte Interesse ist einerseits nicht erforderlich noch alternativlos.
Es ist sogar für den Anbieter potentiell schödlich. Nicht selten werden heutzutage Mobility-Dienste genutzt um regelmäßig zu ähnlichen Orten zu kommen. Etwa regelmäßig zu einer medizinischen Behandlung, Sonntags zur Kirche zu fahren etc. etc. Die Verknüpfung mit besonders sensiblen Daten droht bei Routendaten permanent wie ein Damoklesschwert, denn der Europäische Gerichtshof hat im Lindenapotheken-Urteil beschrieben, dass:
“Damit personenbezogene Daten als Gesundheitsdaten im Sinne von Art. 8 Abs. 1 der Richtlinie 95/46 und Art. 9 Abs. 1 DSGVO eingestuft werden können, genügt folglich, dass aus diesen Daten mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden kann […]” Zum Urteil
Nutzt also ein_e Kund_e_in den Dienst um regelmäßig zu Orten zu gelangen, die es erlauben diesen Ort mit einem besonders sensiblen Datum zu verknüpfen, sind die Routendaten per se schon besonders sensible Daten nach Art. 9 DSGVO. Das ist Problematisch, da es Art. 9 der DSGVO nicht ermöglicht besonders sensible Daten auf Basis des berechtigten interesses zu verarbeiten. Die besonders informierte Einwilligung wäre das Mittel der Wahl. Der Anbieter begrenzt sich jedoch nur auf die Floskel
“Wir verarbeiten die oben genannten personenbezogenen Daten auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der Weiterentwicklung und Verbesserung der Qualität unserer Services.”
Das ist weder konkret, noch gibt es den möglichen Scope der Datenverarbeitung wieder. Was hier als Services (Mehrzahl!) des Mobility-Anbieters verstanden wird ist daher unklar, weil der Anbieter eigentlich nur als App-gestützter digitaler Vermittler zu einem Taxi agiert.
Generell wünschte ich mir mehr Klarheit und Transparenz, weniger berechtigtes Interesse bei dieser Art von Angelegenheiten. Viel zu häufig fehlt es gerade bei Plattform-Anbietern an einem Schritt zurück und einer zweiten Naivitäten, braucht es diese Daten wirklich. Falls die Antwort ist, ja, denn diese Daten werden an einer anderen Stelle weiter monetarierst und dienen nicht mehr dazu Kunden mit einem Taxi-Dienst in Kontakt zu bringen ist, braucht es an der Stelle kritischere Aufsichtsbehörden, die Kapazitäten haben die technischen Infrastrukturen und aufgebauten rechtlichen Argumentationsfassenden kritischen zu prüfen.
Ob und wie Durchschnittskunden diese Datenschutzerklärungen wahrnehmen, prüfen und mit ihren eigenen Grundrechten und Idealen in Verbindung setzen ist eine ganz andere Aufgabe. Zwar sind viele Menschen kritisch gegenüber Datenverarbeitungen durch staatliche Stellen, vermutlich in einer Widerständigkeit und Selbstermächtigum heraus, aber es fehlt viel zu häufig am Durchhaltewillen Datenschutzerklärungen strukturiert durchzuarbeiten, gerade, wenn sie wie in diesem Fall etwas mehr als 8200 Wörter lang sind. Umso wichtiger ist es, dass eine Datenschutzerklärung zugänglich ist und alle wesentlichen Informationen schnell zur Verfügung stellt.