Zum Inhalt springen
data-protection-laws
26 April 2018

Über das datenschutzrechtliche Zweckbindungsprinzip

In seiner Dissertation untersucht Maximilian von Grafenstein das datenschutzrechtliche Zweckbindungsprinzip, das nicht nur die autonome Grundrechtsausübung der Betroffenen schützt: Gleichzeitig lässt es datenverarbeitenden Unternehmen ausreichend Spielraum, um im Rahmen ihrer Innovationsprozesse den Datenschutz optimal umzusetzen. Für unser Dossier zum Thema „DSGVO“ haben wir ihm einige Fragen gestellt:

Was hat dich zum Thema deiner Dissertation inspiriert?

Als Anwalt und auch später in der Startup Clinic am HIIG habe ich Startups bei der Umsetzung der rechtlichen Anforderungen beraten und unterstützt. Dabei ist mir aufgefallen, dass die rechtlichen Anforderungen oftmals – zumindest auf einen ersten Blick – in einem Gegensatz zur Ergebnisoffenheit von Innovationsprozessen stehen. Besonders deutlich wurde dies beim sogenannten datenschutzrechtlichen Zweckbindungsprinzip. Dieses verlangt, dass der Verarbeiter personenbezogener Daten vor deren Erhebung die Zwecke seiner späteren Datenverarbeitung angibt. An diese Zwecke ist er später grundsätzlich gebunden. Jedoch ist es oft anfangs noch gar nicht hundertprozentig klar, wohin sich ein Startup entwickelt. Daher können die Zwecke der späteren Datenverarbeitung gar nicht sehr präzise angegeben werden. Meine Frage war daher, wie das Zweckbindungsprinzip eigentlich auszulegen ist und ob es in Einklang mit Innovationsprozessen gebracht werden kann.

…und welche Antwort hast du beim Schreiben darauf gefunden?

Das überraschende Ergebnis meiner Arbeit ist, dass das Zweckbindungsprinzip an sich kein Hindernis für Innovationsprozesse darstellt. Ganz im Gegenteil: Vielmehr ist es als rechtliches Prinzip ein für Innovationsprozesse sehr geeignetes Regelungsinstrument. Der Grund dafür liegt darin, dass es den innovativen Datenverarbeitern hinreichend Spielraum bei der Umsetzung lässt. Dadurch können sie die rechtlichen Anforderungen spezifisch an ihre Innovationsprozesse und vor allem auch an deren Risiken anpassen.

Das Zweckbindungsprinzip ist an sich also ein innovationsoffenes Regelungsinstrument.

Verbunden mit Instrumenten zur Ko-Regulierung ist das Zweckbindungsprinzip nicht nur innovationsoffen, sondern kann unter bestimmten Umständen sogar Innovationen fördern. Das liegt daran, dass die Verarbeiter personenbezogener Daten die hohe Rechtsunsicherheit durch Ko-Regulierungsinstrumente reduzieren können. Die Erhöhung von Rechtssicherheit kann – darauf weisen wissenschaftliche Arbeiten deutlich hin – eine fördernde Wirkung auf Innovationsprozesse haben. Im Datenschutzrecht kann eine Erhöhung der Rechtssicherheit durch sogenannte Verhaltensrichtlinien (Codes of Conduct) und Zertifikate erreicht werden.

Für wen sind die Ergebnisse besonders interessant?

Die Resultate sind vor allem für innovative Unternehmen interessant, die personenbezogene Daten auf neuartige Weisen verarbeiten. Die Arbeit zeigt Wege auf, wie diese Unternehmen die Einhaltung datenschutzrechtlicher Vorgaben tatsächlich als Wettbewerbsvorteil nutzen können. Außerdem hilft sie den Regulierenden – sprich aktuell vor allem den Datenschutzbehörden – das Zweckbindungsprinzip auf eine Weise auszulegen, dass es nicht nur effektiv vor den Risiken der Datenverarbeitung schützt, sondern auch die von der Politik vielfach beschworenen Wettbewerbsvorteile der DSGVO bewirkt.

Was war deine beste und schlimmste Erkenntnis während der Recherche?

Die Debatte im Datenschutzrecht leidet meiner Meinung nach an einer großen Polarisierung, so dass man nur schwer zu konkreten Problemlösungen kommt. Die beste Erfahrung waren definitiv die Momente, in denen ich Akteuren aus Wissenschaft, Wirtschaft oder Politik von meinem Lösungsansatz erzählt habe und diesen das Potenzial dieses Lösungsansatzes vermitteln konnte. Dementsprechend schwierig waren die Momente, in denen ich gemerkt habe, dass sich andere, die sich mit Datenschutz beschäftigen, nicht die Zeit nehmen (können), um diesen Ansatz wenigstens zu verstehen.

Inwiefern hat deine Publikation mit der DSGVO zu tun?

Die Dissertation dreht sich im Kern um das Zweckbindungsprinzip, wie es in der DSGVO umgesetzt wurde bzw. interpretiert werden sollte. Das Zweckbindungsprinzip gibt es ja auch in anderen Rechtsordnungen bzw. Verfassungen, zum Beispiel als Kernbestandteil des deutschen Grundrechts auf informationelle Selbstbestimmung sowie als (mehr implizite) Komponente des Rechts auf Privatleben der Europäischen Menschenrechtskonvention. In der Dissertation arbeite ich die Gemeinsamkeiten und Unterschiede heraus. Im Fokus steht dabei immer die Europäische Grundrechtecharter und DSGVO. Umso überraschter war ich übrigens, als ein Gutachter der Deutschen Forschungsgemeinschaft zu dem Ergebnis kam, meine Arbeit würde sich nicht mit dem Zweckbindungsprinzip der DSGVO beschäftigen – ein klassisches Beispiel für den zuvor genannten Fall, wenn sich Leute mit den Arbeiten gar nicht wirklich auseinandersetzen.

Welche neuen Perspektiven ergeben sich daraus für dich auf das Thema Datenschutz?

Vor meiner Arbeit habe ich Datenschutz überwiegend als Hindernis für Innovationsprozesse verstanden. Im Laufe meiner Arbeit habe ich jedoch begriffen, dass vor allem die DSGVO als ein relativ moderner Regulierungsansatz verstanden werden kann, der besonders geeignet ist, die oftmals unvorhersehbaren Risiken datengetriebener Innovationsprozesse zu regulieren.

Ist die DSGVO deiner Meinung nach ein effektives Instrument?

Die DSGVO kann ein sehr effektives Instrument sein. Dafür muss sie allerdings entsprechend ausgelegt werden. Legt man sie nach dem klassischen Ansatz aus, läuft sie Gefahr, nicht nur unnötig Innovationsprozesse zu behindern, sondern dabei auch keinen effektiven Schutz zu leisten. Der Grund hierfür ist, dass die DSGVO überwiegend auf den Zeitpunkt der Datenerhebung abstellt. Sie ist im Grundsatz so ausgestaltet, dass die meisten Pflichten der Verarbeiter beziehungsweise Rechte der Betroffenen bereits zum Zeitpunkt der Datenerhebung greifen. Um einen effektiven Schutz zu leisten und Innovationsprozesse nicht unnötig zu behindern, muss der Zeitpunkt der späteren Datenverwendung jedoch mindestens gleichermaßen für die Anwendung der Rechte und Pflichten zu Geltung kommen. Das entlastet den Verarbeiter zum Zeitpunkt der Datenerhebung und schützt gleichzeitig den Betroffenen besser vor den Risiken, weil die Rechte und Pflichten über den gesamten Zeitraum der Verarbeitung verteilt werden. Die Regelungsansatz der DSGVO beschränkt sich also nicht auf auf die abstrakten Risiken, sondern greift auch später, wenn Risiken konkret entstehen.

Was kann ich nun tun, um meine Daten effektiv zu schützen?

Wir als Verbraucher müssen uns im Klaren sein, welche Risiken wir eingehen, wenn wir Informationen über uns preisgeben. Dafür müssen die Verarbeiter personenbezogener Daten allerdings über diese Risiken in den von ihnen bereitgestellten Hinweisen beziehungsweise Einwilligungserklärungen konkret aufklären. Bisher wird in den meisten Fällen nicht ausreichend auf die konkreten Risiken hingewiesen. Zum Beispiel ist es unzureichend, wenn ein Datenverarbeiter schreibt, dass er die Daten an Dritte weitergibt. Ein solcher Hinweis sagt nichts darüber aus, ob die Daten verwendet werden, zum Beispiel um den Betroffenen personalisierte Werbung anzubieten, ihre Kreditfähigkeit zu bewerten oder sie bei der Abgabe einer Wahlstimme zu beeinflussen. Das sind jeweils ganz unterschiedliche konkrete Risiken für die autonome Grundrechtsausübung der Betroffenen. Daten können – beziehungsweise dürfen – nur für solche Zwecke verwendet werden, wenn auf diese Risiken deutlich hingewiesen wurde und der Betroffene spezifisch darin eingewilligt hat oder gesetzliche Vorschriften die Verarbeitung für diese Zwecke erlauben. Sobald der Betroffene über solche Risiken spezifisch hingewiesen wird, ist es ihm auch zuzumuten, eine Entscheidung darüber zu treffen, ob er mit diesem Risiko einverstanden ist. Eine solche Entscheidung kann er freilich nur für sich selbst treffen, nicht für andere.

Abstract: Über das datenschutzrechtliche Zweckbindungsprinzip

In seiner Dissertation untersucht Maximilian von Grafenstein das datenschutzrechtliche Zweckbindungsprinzip aus der Perspektive der rechtswissenschaftlichen Innovationsforschung. Danach schützt das Zweckbindungsprinzip nicht nur die Autonomie der Betroffenen, sondern lässt zugleich den Verarbeitern ausreichend Spielraum, um im Rahmen ihrer Innovationsprozesse den Schutz optimal umzusetzen. In diesem Sinne stellt sich die Pflicht des Verarbeiters, die Zwecke der Verarbeitung zu spezifizieren, als ein Instrument des Vorsorgeschutzes dar.

Lesen Sie die Publikation hier

Es zielt darauf ab, spezifische Risiken, die sich aus der Datenverarbeitung für die Grundrechtsausübung des Betroffenen ergeben, frühzeitig zu erkennen. Demgegenüber zielt das Erfordernis, dass die spätere Verarbeitung nicht unvereinbar mit der ursprünglichen Zweckangabe sein darf, auf eine Kontrolle der zusätzlichen Risiken, die sich aus der späteren Verarbeitung ergeben. Dieser Interpretationsansatz zeigt eine Möglichkeit auf, wie nicht nur die Betroffenen effektiv vor den Risiken der Datenverarbeitung geschützt, sondern auch die Verarbeiter befähigt werden können, die Einhaltung der rechtlichen Vorschriften als innovationsfördernden Wettbewerbsvorteil zu nutzen.

Dieser Beitrag spiegelt die Meinung der Autorinnen und Autoren und weder notwendigerweise noch ausschließlich die Meinung des Institutes wider. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de

Maximilian von Grafenstein, Prof. Dr.

Assoziierter Forscher, Co-Forschungsprogrammleiter

Auf dem Laufenden bleiben

HIIG-Newsletter-Header

Jetzt anmelden und  die neuesten Blogartikel einmal im Monat per Newsletter erhalten.

Forschungsthema im Fokus Entdecken

Plattform Governance

In unserer Forschung zur Plattform Governance untersuchen wir, wie unternehmerische Ziele und gesellschaftliche Werte auf Online-Plattformen miteinander in Einklang gebracht werden können.