Die Übergangsfrist der EU-Datenschutzgrundverordnung (EU-DSGVO) endet am 25. Mai 2018 und als wäre der Umstellungsstress zahlreicher Unternehmen nicht genug, meldet sich nun die EU mit einem Corrigendum der DSGVO zu Wort. Welche Auswirkungen hat diese Korrektur möglicherweise für die Praxis?
Am 25.05.2018 endet die Übergangs- bzw. Schonfrist der von der Europäischen Union vor rund zwei Jahren beschlossenen Datenschutz-Grundverordnung (EU-DSGVO ). Die neue EU-Verordnung regelt vor allem die rechtlichen Grundlagen der Datenverarbeitung, definiert die Rechte der Betroffenen und legt allgemeingültige Leitlinien für die Pflichten der Verantwortlichen fest. Das hat zum Teil weitreichende Konsequenzen für Unternehmen. Bisher hat schon die Datenschutz-Reform vor allem im Bereich des E-Commerce für Aufregung gesorgt. Viele Dienstleister haben sich auf den Stichtag gründlich vorbereitet. Doch nun hat der Europäische Rat, quasi in letzter Sekunde, eine Berichtigung der EU-DSGVO nachgereicht. Mit seinem Corrigendum (Download) vom 19. April 2018 verursacht der Europäische Rat so kurz vor dem angstumwobenen Stichtag.
Darf die EU überhaupt ein Corrigendum nachreichen?
Bei europäischen Rechtsvorschriften, wie es bei der aktuellen EU-DSGVO der Fall ist, sind Korrekturen tatsächlich keine Seltenheit. Dabei handelt es sich in der Regel um die Nachbesserung von sprachlichen Ungenauigkeiten, die Verbesserung von Übersetzungsfehlern sowie die Korrektur von grammatikalischen Abweichungen. Immerhin gilt es, die beschlossene Datenschutz-Reform in alle Amtssprachen der Mitgliedstaaten der europäischen Union darzustellen. Nur so ist gewährleistet, dass zum Beispiel die neue EU-DSGVO als einheitliches Datenschutzrecht in der Europäischen Union allgemeingültig umgesetzt werden kann. Ganz nach der Devise: “Ein Recht für alle!”
Dementsprechend umfangreich ist das Berichtigungsdokument zur EU-DSGVO, das rund 386 Seiten umfasst. Davon betreffen jedoch nur 18 Seiten den Datenschutz der Bundesrepublik Deutschland. Doch handelt es sich bei der aktuellen Berichtigungsschrift zur EU-DSGVO um keine reine Korrektur im oben dargestellten Sinn, sondern enthält zudem eine kleine, aber grundlegende Änderung.
Welche Änderung enthält das Korrekturdokument zur EU-DSGVO?
Die EU-DSGVO basiert auf dem Grundsatz “Privacy by default” bzw. im DSGVO-Jargon: “Datenschutz durch datenschutzfreundliche Voreinstellungen”. Dieser Grundsatz findet Ausdruck in Art. 25 Abs. 2 S. 1 EU-DSGVO:
“Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung
grundsätzlichnur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.”
Demnach sind Betreiber von Webseiten entsprechend der neuen europäischen Datenschutzregelungen verpflichtet, bei der Verarbeitung von personenbezogenen Daten schon bei der Datenerhebung auf datenschutzfreundliche Voreinstellungen zu achten. “Ab Werk” sollten die Vorerinstellungen also auf das erforderliche Mindestmaß reduziert sein.
Wie im obigen Zitat ersichtlich wird, fiel das Wort “grundsätzlich” der Anpassung durch den Europäischen Rat zum Opfer. Und weil das Wort “grundsätzlich” im Vergleich zu anderen Rechtsbegriffen sehr unbestimmt ist, wurde kurzerhand aus einer “weichen” Vorschrift eine “harte”. Denn Platz für Ausnahmen lässt die neue Formulierung nicht mehr. Wegen ebendieses Ausmaßes der Korrektur muss gegenwärtig davon ausgegangen werden, dass es hierbei sich um ein bewusstes “Mehr” zur reinen sprachlichen Anpassung handelt.
Diese Regelung ist beispielsweise beim Formular zur Newsletter-Anmeldung bzw. auf diesen platzieren “optionalen Angaben” von Bedeutung. Richtig, es trifft einmal mehr besonders den E-Commerce.
Welche Bedeutung hat das Corrigendum am Beispiel der Newsletter-Anmeldung?
In der EU-DSGVO ist also geregelt, dass die Verantwortlichen durch die Gestaltung ihrer Voreinstellungen nur personenbezogene Daten verarbeiten dürfen, die für den jeweiligen Zweck erforderlich sind. Nicht mehr, aber gerne weniger…
Um sich etwa für Newsletter anzumelden, reicht die Angabe der E-Mail -Adresse völlig aus. Dennoch werden in der Regel auch Daten wie Name, Geburtsdatum und das spezifische Geschlecht des Nutzers abgefragt. Dabei handelt es sich um Angaben, die für die Anmeldung zum Newsletter-Versand nicht relevant sind, sondern mehr im Interesse der Marketingabteilung liegen. Dabei wird es in aller Regel dem Nutzer überlassen, diese personenbezogenen Daten freiwillig mitzuteilen.
Welche Konsequenzen das Streichen der Bezeichnung “grundsätzlich” für den Datenschutz?
Bisher war es dementsprechend auch erlaubt, neben der E-Mail-Adresse auch andere personenbezogene Daten abzufragen, sofern diese nicht als Pflichtfelder ausgelegt sind. Das bedeutet, dass eine Newsletter-Anmeldung auch dann funktionieren muss, wenn Sie ausschließlich ihre E-Mail-Adresse angeben. Durch die Formulierung “grundsätzlich” hatte der Gesetzgeber in Art. 25 EU-DSGVO zumindest Platz für Ausnahmen vom (harten) Grundsatz geschaffen und dem bisherigen Vorgehen damit den Weg geebnet.
1. Auffassung: Optionale Felder künftig nicht mehr zulässig
Die rechtliche Problematik, die sich mit dem Wegfall des Wortes “grundsätzlich” ergibt, besteht darin, dass das Abfragen von personenbezogenen Daten selbst auf freiwilliger Basis und ohne als Pflichtangabe ausgestattet zu sein, als datenschutzunfreundliche Voreinstellung im Sinne Der EU-DSGVO bewertet werden könnte.
Eine solche Auslegung wird vor allem dadurch untermauert, dass die optionalen Felder für sonstige personenbezogenen Daten grundsätzlich immer auf den Anmeldeformularen zu sehen sind. Ausnahmsweise könnte etwas anderes gelten, wenn optioale Felder durch technische Ausgestaltung erst durch eine weitere Betätigung des Nutzers zum Vorschein kommen. Es ist also vertretbar, dass auch freiwillige Felder entsprechend des Corrigendums zur neuen EU-DSGVO als Voreinstellung bezeichnet werden. Sollte sich diese Auslegung durchsetzen, wäre das das für die Onlineshop-Händler mit einen großen zeitlichen und technischen Aufwand verbunden. Denn das Newsletter-Formular wäre lediglich ein Puzzlestück des Ganzen: Hierzu zählen u. a. das Bestellformular, die Garantieabwicklung, Widerrufs- und Rückgabeformulare, das Kontaktformular und so weiter.
2. Auffassung: Optionale Felder bereits keine Voreinstellung, i. Ü. “datenschutzfreundlich”
Andererseits ist m. E. gut vertretbar, die reine Sichtbarkeit optionaler Felder noch nicht als “Voreinstellung” im Sinne des Art. 25 Abs. 2 S. 1 EU-DSGVO zu verstehen sind. Sowohl in technischer Hinsicht als auch mit Blick auf den Sinn und Zweck der Norm erscheint es fernliegend, freiwillige Felder als Voreinstellung zu deklarieren. Die Folge einer solchen Wertung wäre ein ausuferndes Verständnis des Begriffs der “Voreinstellung”.
Mit anderen Worten: Durch die Unterscheidung im Backend seines Systems zwischen Pflichtangaben und fakultativen Angaben trifft der Verantwortliche eine Konfiguration, welche den Nutzer vor die Wahl stellt, weitere personenbezogene Angaben preiszugeben. Wollte er dies, müsste er sie aktiv in die optionalen Felder eintragen. Der Betroffene wird also zum einen nicht im Wege einer Pflichtangabe dazu gezwungen, diese Daten anzugeben. Und zum anderen setzt die Verarbeitung dieser freiwilligen Daten das aktive Zutun des Betroffenen voraus.
Verträte man gleichwohl das Vorliegen von Voreinstellungen, müssten Sie in Ansehung des zuvor Gesamten jedenfalls zum Schluss kommen, dass diese Voreinstellung “datenschutzfreundlich” ist. Nicht dagegen datenschutzunfreundlich, wie Art. 25 Abs. 2 S. 1 der EU-DSGVO es fordert.
Ausblick
Die Meinungsbildung in Bezug auf die EU-DSGVO steckt noch in den Kinderschuhen. Deshalb wird sich wohl oder übel erst eine Rechtsprechung zu dem Begriff der “Voreinstellung” herausbilden müssen. Zumal eine Legaldefinition in Art. 4 EU-DSGVO nicht existiert. Bis dahin sollten Verantwortliche ein Höchstmaß an Transparenz in Bezug auf Pflichtfelder und freiwillige Angaben sicherstellen. Entsprechende Standards haben sich längst herausgebildet. Aufgrund der unterschiedlichen Meinungsstänkorrde verbleibt allerdings ein gewisses Restrisiko.
Note: There is a rating embedded within this post, please visit this post to rate it.