Neues Arbeitspapier zur gemeinsamen (Konzern-)datenverarbeitung

Berlin Group hat ein neues working paper zum data sharing herausgegeben

Die Internationale Arbeitsgruppe für technischen Datenschutz (IWGDPT), kurz „Berlin Gruppe“, hat am 6. Dezember 2024 ein neues Arbeitspapier zur gemeinsamen Datenverarbeitung bzw. zum Datentransfer herausgegeben, in dem die besonderen Umstände beschrieben werden, um die Verhältnismäßigkeit solcher Maßnahmen, also ihre Geeignetheit, Erforderlichkeit und schließlich Angemessenheit der Mittel angesichts ihrer Risiken insbesondere für die Betroffenen, ihres Nutzens sowie ihres Aufwandes, zu bestimmen.

Risiken

Um die Verhältnismäßigkeit einer gemeinsamen Datenverarbeitung unter Beteiligung mehrerer – egal, ob unabhängiger oder voneinander abhängiger – Firmen zu bestimmen, müssen Sie deren Risken mit dem Nutzen und dem Aufwand vergleichen. Die wichtigsten Risiken sind:

• Intransparenz: Die Datenverarbeitung erfolgt unbewusst, Zwecke, Rechtsgrundlagen, Geschäftsmodell und damit die Risiken sind dem Einzelnen oder der Gesellschaft gar nicht bewusst.

• Unfairness: Das Verständnis oder die Anwendung der Technologie ist nicht ausreichend und daher das Ergebnis unfair.

• Nebulös: Der Umfang der Verarbeitung ist unklar und führt zu zufälligem Nutzen statt zielgerichteten Innovationen (unzureichende Zweckbindung).

• Vervielfältigung: Die Daten werden räumlich, zeitlich oder in Bezug auf Adressaten anders verwendet als vereinbart (unzureichende Zweckbindung).

• Datenverschwendung: Die Daten werden inneffizient oder unnötig verwendet.

• Unsicherheit: Große Datenmengen in mehreren Netzen oder Systemen führen zu zusätzlichen Sicherheitsherausforderungen. Einheitliche Richtlinien müssen an jedem Zugriffspunkt den gleichen Grad der Vertraulichkeit gewährleisten.

• Schlechte Datenqualität: Ist die Qualität der Daten unklar, kann dies zu falschen Entscheidungen und im Ergebnis zu falschen oder verbotenen *Diskriminierungen (Definition siehe unten) führen.

• Rechtswidrigkeit: Es ist schwierig, über die eigenen Organisationsgrenzen hinaus sicherzustellen, dass jede Verarbeitung nur im Rahmen der gültigen Rechtsgrundlagen erfolgt (Rechtmäßigkeit).

• Fehlende Durchsetzung: Es kann schwierig sein, die Verantwortung oder Haftung über die Grenzen mehrerer Organisationen durchzusetzen (Rechenschaftspflicht).

Maßnahmen

Aus den oben genannten Risiken leiten sich folgende Maßnahmen ab, die innerhalb der Verhältnismäßigkeitsprüfung im Hinblick auf den geplanten Nutzen berücksichtigt werden müssen:

• Rahmen: Es muss ein stimmiger und solider Rahmen definiert werden, innerhalb dessen die Daten genutzt werden.

  • Risikobewertung: Potenzielle Risiken sollten systematisch, beispielsweise im Rahmen einer Datenschutzfolgeabschätzung (DSFA/PIA), bewertet und minimiert werden.

  • Speicher- und Löschregeln sollten spezifiziert werden.

  • Überprüfung: Regelmäßige Überprüfung, ob die gemeinsamen Standards effektiv eingehalten werden (Evaluierung, Audits).

  • Transparenz gegenüber den Betroffenen, z. B. durch eine aussagekräftige Datenschutzerklärung.

  • Genauigkeit: Verbesserung der Datenqualität durch Validierung nach einheitlichen Standards.

  • Datenminimierung: Regelmäßige Überprüfung, wieviel Daten wirklich erforderlich sind.

  • Datenschutzpannen: Verfahren zur Verringerung von Datenschutzvorfällen sowie ihrer Auswirkungen

  • Vertrag: Der Rahmen sollte vertraglich zwischen allen Beteiligten abgesichert werden. Er sollte neben der Festlegung von Zwecken und Umfang der Zusammenarbeit insbesondere folgende die Regeln der Zusammenarbeit vorsehen, wie

    • Strenge Zweckbindung der Daten

    • Vertraulichkeitsverpflichtung der Mitarbeiter

    • Verbot der Re-Identifizierung anonymisierter Daten

    • Schulungsinhalte

  • Die eigentlichen Datenübertragungsmechanismen in einem strukturiertem, in der Regel allgemein verwendeten, maschinenlesbaren Format.

Solche sichereren Übertragungsmechanismen werden allgemein unter dem Sammelbegriff „Datenschutzverbesserungstechnologien“ (DVT, Englisch: Privacy-Enhancing Technologies, PET) geführt. Statt beispielsweise alle Daten in einer Datenbank zu verarbeiten, werden nur die weitergegeben, die für die bezweckte Operation wirklich nötig sind und das Ergebnis von unnötigen Personenbezügen gereinigt.

*Definitionen für Diskriminierung

Der Begriff Diskriminierung wird oft missverstanden, weil mehrere Definitionen existieren, die zum Teil im selben Satz durcheinandergeworfen werden. Im Datenschutz geht es nur um die juristische oder die neutrale.

Heutzutage wird der Begriff „Diskriminierung“ oft in seiner abwertenden Bedeutung im Sinne einer ungewollten Unterscheidung zweier Gruppen ohne sachlichen Grund genutzt. Er ist juristisch dann das Gegenteil von Gleichberechtigung die in Art. 3 GG vom Staat gefordert wird. Das wird im Englischen mit „discrimination against” übersetzt. Art. 3 GG ist ein Abwehrrecht gegen den Staat, verpflichtet also eigentlich nur diesen, hingegen die meisten privaten Bürger und Firmen grundsätzlich nicht. (Nur) der Staat muss alle Menschen gleich behandeln. Im Gegenteil: Nach Art. 2 Abs. 1 GG haben alle Menschen allgemeine Handlungsfreiheit, dürfen also ohne sachlichen Grund gleiche Gruppen unterschiedlich oder ungleiche Gruppen gleich behandeln. Man darf frei entscheiden, ob und wen man heiratet, ohne an sachliche Kriterien gebunden zu sein, sofern man dazu einen willigen Partner findet, der ebenfalls die allgemeine Handlungsfreiheit genießt.

Aber über Generalklauseln, besondere Gesetze, wie das AGG, den Einsatz von staatlichen Fördermitteln oder freiwillige Selbstverpflichtungen, wie dem Corporate Governance Kodex kann das öffentlich-rechtliche Diskriminierungsverbot ausnahmsweise für Private oder Firmen bindend werden.

Der soziologische Begriff der Diskriminierung ist im Datenschutz nicht von Bedeutung. Er ist nicht allgemeingültig definiert, oft wird darunter ein rein subjektives Gefühl verstanden, diskriminiert zu werden. Das ist dann per se aber keiner objektiven Überprüfung zugänglich und damit juristisch irrelevant.

Es gibt schließlich die weiter oben im Text verwendete wertneutrale Bedeutung des Begriffs im Sinne einer Unterscheidung zwischen A und B ohne Wertung. Dies wird im Englischen mit „discrimination” (ohne Zusatz) wiedergegeben. Solche Diskriminierung nach sachlichen Kriterien zwischen erlaubten und verbotenen Zwecken, zwischen verschiedenen Mandanten etc. ist von der DSGVO ausdrücklich erlaubt und gewollt.

Weiterführend

Falls Sie die vorhergehende Beschreibung als zu abstrakt, speziell oder anspruchsvoll empfinden, um sie selbst umzusetzen, können Sie gerne Ihren Datenschutzbeauftragten um Hilfe bitten. Wir beraten Sie Schritt für Schritt und halten hilfreiche Vorlagen bereit.

• IWGDPT: Übersichtsseite Fachthemen - Working Paper on Data Sharing vom 06.12.2024

• Das Verhältnismäßigkeitsprinzip im Datenschutz vom 20.04.2023

• Für größere Unternehmen: Überblick Konzerndatenschutz vom 19.04.2023

Autor: Thomas Hofmann, Data Privacy Consultant, 13.03.2025