Die EU-Kommission plant eine Reform der DSGVO, die deutlich umfangreicher als erwartet ist. Offiziell bekannt ist dazu sehr wenig, es kursieren aber diverse Dokumente aus dem Prozess. Die umfangreichste Analyse der Reformvorschläge hat Max Schrems‘ Organisation noyb veröffentlicht. Eine Synopse zeigt die für den »Digital Omnibus« diskutierten DSGVO-Änderungen auf und kommentiert sie.
Im Bereich des Datenschutzes von Kirchen und Religionsgemeinschaften ist der interessanteste Aspekt, was bei den besonderen Kategorien personenbezogener Daten geplant ist. Anscheinend will die EU-Kommission die sehr weite Auslegung besonderer Kategorien eindämmen. Grundsätzlich eine gute Idee, die geplante Ausführung verfehlt aber die echten Probleme und schafft neue.
Textvorschlag für Art. 9 DSGVO
Der Entwurfstext des »Digital Package on Simplification« der EU-Kommission zur Vereinfachung des Data Act und der DSGVO wurde von netzpolitik.org veröffentlicht.
Vorgeschlagene Definition der besonderen Kategorien
»Processing of personal data
revealingthat directly reveals in relation to a specific data subject racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, his or her health status (data concerning health) or sex life or sexual orientation and the processing of genetic data or of biometric data for the purpose of uniquely identifying a natural persondata concerning health or data concerning a natural person’s sex life or sexual orientationshall be prohibited.«
In der deutschen Fassung der DSGVO wird die bisherige Fassung übersetzt als »Daten, aus denen […] hervorgehen«. Die neue Fassung dürfte damit in etwa »Daten, aus denen […] direkt hervorgehen« lauten.
Mit dieser Änderung geht auch eine kleine Änderung in der Systematik einher. Die Gesundheitsdaten und die Daten zu Sexualleben und sexueller Orientierung werden nach vorne gezogen. Damit sind genetische und biometrische Daten weiterhin getrennt als immer unter Art. 9 fallend genannt, die anderen beiden bisher hinten genannten Kategorien werden in das engere Kriterium »directly revealing« genommen. Damit es in den Duktus der anderen Kategorien passt, wird neu von »health status« gesprochen und in der Klammer als »data concerning health« präzisiert.
Die Liste der besonderen Kategorien bleibt damit im Ergebnis gleich; es dürfte also weiterhin auch in der deutschen Fassung von »rassischer Herkunft« die Rede sein (bei der DSG-EKD-Novelle wurde das belastete Wort gestrichen). Es bleibt dabei, dass explizit von »religious or philosophical beliefs« gesprochen wird, dies aber nicht nur Überzeugungen, sondern auch Mitgliedschaften in Religions- und Weltanschauungsgemeinschaften impliziert.
Neue Ausnahmen
Bei Art. 9 Abs. 2 sollen zwei neue Ausnahmen mit den Buchstaben k und l ergänzt werden; k) ist eine Ausnahme für das Training und den Betrieb von KI-Modellen, l) für biometrische Identifikation, bei der biometrische Daten nicht aus dem Herrschaftsbereich der betroffenen Person gelangen.
Ein neuer Absatz 5 bestimmt die Verwendung von sensiblen Daten durch KI-Systeme genauer und schränkt sie etwas ein: »appropriate organisational and technical measures shall be implemented to avoid, to the greatest possible extent, the collection and otherwise processing of special categories of personal data«. Nach Möglichkeit sollen erkannte Daten besonderer Kategorien entfernt werden oder wenigstens ihre Ausgabe eingeschränkt werden.
Kritik am Entwurf
Neufassung der besonderen Kategorien
Die Neufassung der besonderen Kategorien wird von noyb nicht als »Klarstellung«, sondern als »Neufassung« eingeordnet. Dem kann man zustimmen: Ziel ist es, die weite Auslegung des EuGH einzudämmen. Daten fallen demnach schon dann unter die besonderen Kategorien, wenn sie Rückschlüsse auf besondere Kategorien ermöglichen:
- Die Angabe von Partner*innen bei Maßnahmen zur Korruptionsbekämpfung sind Daten über die sexuelle Orientierung (Vyriausioji tarnybinės etikos komisija, Urteil C‑184/20 vom 1. August 2022).
- Beim Kauf von nicht-verschreibungspflichtigen Medikamenten entstehende Daten sind Gesundheitsdaten (Lindenapotheke, Urteil C‑21/23 vom 4. Oktober 2024).
Noyb führt an, dass das Wort »revealing« direkt aus der Datenschutzkonvention des Europarats stammt. Diese Konvention 108 haben alle EU-Mitgliedsstaaten unterzeichnet. Anhand der Rechtsprechung des EuGH weißt der Kommentar von noyb nach, dass die geplanten Formulierungen direkt die EuGH-Rechtsprechung aufgreifen und ihr entgegenwirken sollen.
Es besteht die Befürchtung, dass mit der Formulierung Schlüsse auf besondere Kategorien ausgeschlossen werden sollen, etwa der Schluss auf Schwangerschaft oder sexuelle Orientierung aus der Aggregation anderer Informationen. Damit seien nicht nur potentielle, sondern auch tatsächlich intendierte und ausgeführte Schlüsse nicht mehr abgedeckt; als Beispiel wird ein Arbeitgeber angeführt, der aus Daten über Toilettenpausen Informationen über den Gesundheitszustand schließt.
Die Kritik geht davon aus, dass »directly revealed« tatsächlich in erster Linie »selbst direkt offengelegt« bedeutet mit der Konsequenz, dass selbst offengelegte Daten einen geringeren Schutz haben als abgeleitete Daten. (Bereits jetzt sind offensichtlich von der betroffenen Person öffentlich gemachte Daten, »manifestly made public data«, gemäß Abs. 2 lit. e) vom Verarbeitungsverbot ausgenommen.)
Interessant sind einige Beispiele echter Fälle, in denen es durchweg um den Schluss auf besondere Kategorien geht: Online-Werbung und Marketing-Maßnahmen, die auf erschlossenen Kategorien basieren, etwa Schwangerschaft, politische Einstellung oder sexuelle Orientierung.
Nutzung für KI-Systeme
Durch die weite Freigabe entsteht nach Ansicht von noyb eine Umkehrung des üblichen Rechtfertigungsmodells und faktisch ein umgekehrter Verhältnismäßigkeitstest, bei dem es nur auf die Perspektive des Verantwortlichen ankommt. Generell sei die Ausnahme zu weit gefasst. Die Menge an Ausnahmen und entgegenkommen für das Training und die Anwendung von KI-Systemen führt, so noyb, im Ergebnis dazu, dass Art.-9-Daten in dieser Hinsicht sogar schlechter als personenbezogene Daten geschützt seien, die nicht unter die besonderen Kategorien fallen.
Tatsächlicher Reformbedarf an Art. 9 DSGVO
Konsequent durchdacht ist zu viel besonders
Die Kritik von noyb ist nachvollziehbar, insbesondere hinsichtlich der ausufernden Rechtfertigungstatbestände für KI-Nutzungen. Nicht im Blick sind aber Probleme durch die Art, wie Art. 9 DSGVO in Verbindung mit der weiten Auslegung durch den EuGH ausgestaltet ist.
Die EuGH-Rechtsprechung führt dazu, denkt man sie konsequent zu Ende, dass der Anwendungsbereich von Art. 9 DSGVO selbst auf eigentlich harmlose und sozialadäquate Verarbeitungen ausgedehnt wird. Die bloße Ableitbarkeit von Informationen aus dem besonders geschützten Katalog aus Daten ist sehr schnell erreicht, und zwar sowohl absolut wie probabilistisch: Aus Namen lassen sich Wahrscheinlichkeitsschlüsse auf »rassische« und ethnische Herkunft und religiöse Überzeugungen ziehen, aus jedem Foto eines Menschen sind solche Schlüsse sicher (wenn bereits die Hautfarbe ein Art.-9-Datum darstellt) oder wahrscheinlich zu ziehen (sei es die Korrelation von ethnischer Herkunft und Religiosität, sei es die Präsenz religiöser Kleidung oder Schmucks), so wie aus Fotos recht sicher Gesundheitsdaten abgelesen oder geschlossen werden können (Brille? Sichtbare Behinderungen? Wunden und Narben?). Selbst mit Smartphone-Kameras ist es problemlos möglich, Fotos von Augen (Irisscan) und Fingern (Fingerabdrücke) zu machen, die biometrisch nutzbar sind, ohne dass man das beabsichtigt hat.
Oft wird das Vorliegen von Art.-9-Daten aus einer Perspektive des Othering beurteilt: Während die Abweichung vom statistischen (oder normativen) Normalfall als besonderes Datum erkannt wird (sichtbare Behinderungen als Gesundheitsdatum, nicht-weiße Hautfarbe als Datum über »rassische« oder ethnische Herkunft, queerer Beziehungsstatus als Datum über sexuelle Orientierung), wird das im Normfall nicht erkannt – obwohl natürlich auch das Fehlen einer Behinderung, weiße Hautfarbe und heteronormative Beziehungsformen genauso unter den Tatbestand von Art. 9 DSGVO fallen. Erst wenn das erkannt wird, wird deutlich, wie weit die Auslegung des EuGH wirklich ist: Jedes Foto von Menschen fällt unter besondere Kategorien, und noch viel mehr.
Bereits jetzt vertritt im Bereich des kirchlichen Datenschutzes der BfD EKD in seiner Handreichung zu Fotos die Position, dass Fotos unter die besonderen Kategorien fallen, wenn »Gesundheitsdaten oder ethnische Merkmale erkennbar sind«, ohne zu thematisieren, dass beides auf jedes Foto von Menschen zutrifft. Konsequenzen hatte die weite Auslegung beim Livestream des Synodalen Wegs, wo auf Einwilligungen der einzelnen Synodalen gesetzt wurde, weil angenommen wurde, dass Videos immer unter die besonderen Kategorien fallen. Ein anderes Beispiel ist die Entscheidung des Datenschutzgerichts der DBK, nach der bereits die Information über die Mitgliedschaft in einer bestimmten kirchlichen Vereinigung unter die besonderen Kategorien zu subsumieren ist.
Aus dieser Perspektive gibt es mindestens drei Fallkonstellationen:
- Besondere Kategorien liegen explizit vor. Beispiele: »A ist schwanger«; »B ist heterosexuell«; biometrisch aufbereiteter Irisscan, »Konfession: äthiopisch-orthodox«.
- Besondere Kategorien werden tatsächlich abgeleitet. Beispiele: aus dem Wohnort werden Wahrscheinlichkeiten für die politische Einstellung abgeleitet, aus dem Kontaktnetzwerk wird eine sexuelle Orientierung abgeleitet, Fotos werden hinsichtlich Hautfarbe analysiert, aus Vor- oder Nachnamen wird auf die wahrscheinliche Religion geschlossen (Mohammed, Teresia Benedicta a Cruce, Singh, Korbinian, Schoschanah …).
- Besondere Kategorien können potentiell abgeleitet werden. Beispiele: Fotos von Menschen; Namen; Metadaten.
Außerhalb der EU-Kommission wenig kontrovers dürfte sein, dass die ersten beiden Kategorien unter den besonderen Schutz fallen sollten. Streitig dürfte sein, ob alle oder manche (was wäre das Abgrenzungskriterium?) Daten aus der dritten Kategorie des besonderen Schutzes bedürfen.
Momentan ist im DSGVO-Erwägungsgrund 51 zu biometrischen Daten festgehalten, dass die »Verarbeitung von Lichtbildern […] nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden« sollte. Auch der EDSA hat in seinen Guidelines zur Videoüberwachung zwischen potentieller Ableitbarkeit und tatsächlicher Ableitung unterschieden: Videomaterial soll nicht grundsätzlich unter die besonderen Kategorien fallen, wenn darauf Menschen etwa eine Brille tragen oder im Rollstuhl sitzen (Rn. 63), sondern erst bei einer Aufbereitung, um solche Schlüsse zu ziehen: »However, if the video footage is processed to deduce special categories of data Article 9 applies.« (Rn. 64.)
Eine mögliche Formulierung müsste also so gestaltet sein, dass sowohl explizit vorliegende besondere Kategorien wie erschlossene erfasst sind, Daten, aus denen besondere Kategorien lediglich abgeleitet werden können, jedoch nicht (möglicherweise »direkt hervorgehen oder tatsächlich erschlossen«). Denkbar wäre, dass für Ableitungen in gewisser Änderung der Systematik zusätzlich zu Art.-9-Daten auch Art.-9-Verarbeitungen benannt werden, namentlich das Schließen auf Art.-9-Daten. Grundsätzlich verboten wäre dann die Verarbeitung von »personenbezogenen Daten, aus denen besondere Kategorien direkt hervorgehen sowie Verarbeitungen, mithilfe derer das Vorliegen oder das wahrscheinliche Vorliegen besonderer Kategorien aus personenbezogenen Daten erschlossen werden sollen«.
Keine Vertragsfreiheit über besondere Kategorien
Art. 9 Abs. 2 DSGVO nennt die speziellen Rechtsgrundlagen, unter denen besondere Kategorien doch verarbeitet werden dürfen. Eine naheliegende und sinnvolle Rechtsgrundlage fehlt: der Vertrag. Damit ist fraglich, wie ein Vertrag rechtssicher konstruiert werden kann, zu dessen Erfüllung die Verarbeitung besonderer Kategorien erforderlich ist.
Sobald man verstanden hat, dass bei weiter Auslegung alle Fotos von Menschen besondere Kategorien beinhalten, wird damit auch jeder Modelvertrag hinfällig, es bräuchte dann immer auch eine Einwilligung.
Ein sehr häufiges Beispiel, das für den kirchlichen Bereich relevant ist, sind Anmeldungen von Kindern zu Ferienfreizeiten. In der Regel wird es erforderlich sein, Gesundheitsdaten abzufragen (Allergien, Medikamente und ähnliches). Bisher ist das lediglich über eine Einwilligung möglich, will man nicht die Ausnahme von Art. 9 Abs. 2 lit. h) für unter anderem »Versorgung oder Behandlung im Gesundheits- oder Sozialbereich« extrem weit ausdehnen.
Die Lösung ist so einfach wie naheliegend: Unter die speziellen Rechtsgrundlagen des Art. 9 Abs. 2 DSGVO ist die Erfüllung eines Vertrags aufzunehmen, dessen Vertragspartei die betroffene Person ist, und zu dessen Kern es gehört, dass die Verarbeitung besonderer Kategorien erforderlich ist. Wie bei anderen Ausnahmen ließe sich auch explizit festhalten, dass es »angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person« benötigt.
Fazit
Art. 9 DSGVO ist nicht perfekt. In seiner jetzigen Formulierung verbunden mit der weiten Auslegung des EuGH wird deutlich mehr erfasst, als nötig und sinnvoll ist – bis hin dazu, dass so sozialadäquate wie gesellschaftlich erwünschte Dinge wie Fotos und Videos von Menschen bei konsequeter Auslegung immer unter die besonderen Kategorien fallen.
Der Vorschlag der EU-Kommission im Digital Omnibus schüttet aber das Kind mit dem Bade aus. Die vorgeschlagene Formulierung birgt die Gefahr, dass gerade die besonders heiklen Verarbeitungen nicht erfasst werden, bei denen besondere Kategorien (sehr wahrscheinlich unerwartet) aus an sich harmlosen Daten abgeleitet werden.
Gar nicht angegangen wird die fehlende Rechtsgrundlage des Vertrags. Damit entstehen praktische Probleme, und auf Ebene der Grundrechte ist nicht ersichtlich, warum die Privatautonomie so stark eingeschränkt werden soll.
Eine Reform von Art. 9 muss daher die echten Probleme lösen: Eine angemessene Reichweite für den Begriff der besonderen Kategorien finden und eine vertragliche Legitimierung der Verarbeitung ermöglichen.
(Und die KI-Ermöglichungsgrundlagen? Können weg.)
Eine gelungene Einordnung, vielen Dank!
Ich würde noch einen Schritt zurück gehen und den Sinn von Art. 9 hinterfragen. Letztlich werden damit bestimmte Datenkategorien per se als riskant eingeordnet, unabhängig vom Zweck der Verarbeitung. Zum einen fehlen Datenkategorien, die Betroffene als besonders schützenswert einordnen (z.B. Finanzdaten), zum anderen sind Daten als besonders schützenswert eingeordnet, die wiederum gar nicht als solche eingeordnet werden (z.B. Gewerkschaftszugehörigkeit, oder auch religiöse/philosophische Überzeugungen). (Zu beidem siehe die ältere Studie von McCullagh, Data sensitivity: Proposals for resolving the conundrum., in: J. Int’l Com. L. & Tech. 2 (2007), 190)
Welche Daten also in den Katalog aufnehmen? Die Konvention 108 ist von 1981 und in dieser Sache nicht überarbeitet worden. Hier nimmt die Kommission keine Veränderung vor.
Zwei Autoren, Quinn und Malgieri, schlagen für Art. 9 einen anderen Weg vor: Personenbezogene Daten sollten als besonders schützenswert betrachtet werden, wenn der Verantwortliche beabsichtigt, sensible Daten zu verarbeiten oder abzuleiten, ODER wenn vernünftigerweise vorhersehbar ist, dass die betreffenden Daten in einem bestimmten Kontext dazu verwendet werden können, sensible Aspekte betroffener Personen aufzudecken oder aus den Daten zu schließen (Quinn/Malgieri, The difficulty of defining sensitive data—The concept of sensitive data in the EU data protection framework, in: German Law Journal 22.8 (2021): 1583-1612). Es scheint, also wolle die Kommission zumindest teilweise in diese Richtung laufen (und zu scheitern).
Da wir vermutlich keinen so grundlegende Änderung sehen werden, halte ich Deinen Vorschlag mit der Vertragserfüllung für sinnvoll. Da der EuGH hierbei schon mehrfach auf die unbedingte Erforderlichkeit abgestellt hat, ist auch nicht zu befürchten, dass damit Tür und Tor für jedwede kreative Zweckerreichung geöffnet würde.