Datenschutz

Oberster Gerichtshof Italien: Datenschutz-Einwilligung nur bei transparenter Verarbeitung

31.05.2021

IITR Information[IITR – 31.05.21] „Non c’è consenso senza trasparenza.“ – Es gibt keine Einwilligung ohne Transparenz. Der italienische oberste Gerichtshof in Rom, der „Corte di Cassazione“, hat mit seinem Urteil am 25. Mai 2021, „sentenza numero 14381“, für Aufsehen gesorgt: „Im Bereich der Verarbeitung personenbezogener Daten ist eine Einwilligung nur dann wirksam erteilt, wenn sie freiwillig und ausdrücklich für die eindeutig festgestellte Verarbeitungsart abgegeben wurde.“

(Im Original: „in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato;“)

Ausgangspunkt: Verbot der Datenverarbeitung durch die Aufsichtsbehörde

Die italienische Datenschutzaufsichtsbehörde, Garante per la protezione dei dati personali (G.P.D.P.), hatte dem Unternehmen Mevaluate Onlus 2016 die Verarbeitung personenbezogener Daten verboten. Das Unternehmen berechnet auf Grundlage von erstellten und angelegten Profilen die Reputation und Glaubwürdigkeit dieser für Dritte. Dagegen ist das Unternehmen im November 2016 gerichtlich vorgegangen.

Nachdem man dieser Klage in erster Instanz noch Recht zugesprochen hatte, wurde dies jetzt durch den „Corte di Cassazione“ revidiert. Die Begründung des „Tribunale di Roma“, nämlich aus Rücksicht vor privatautonomen Entscheidungen für einen funktionierenden Markt zu sorgen, überzeugte die Richter des obersten italienischen Gerichtshofs nicht.

„Ragioni della decisione“ – Entscheidungsgründe des Gerichts

„Dieser Begründung kann aus Sicht des Gerichts nicht zugestimmt werden, denn das Problem beruht nicht auf einer Bedrohung für den „Markt“ (…). Das Problem einer rechtmäßigen Verarbeitung liegt vielmehr auf einer wirksamen Einwilligung, die im Moment des Beitritts abgegeben wird. Und logischerweise kann man nicht argumentieren, dass der Beitritt zu einer Plattform eine Einwilligung in eine auf einem Algorithmus basierende, automatisierte Verarbeitung darstellt, die für eine objektive Auswertung personenbezogener Daten – wobei weder die Ausführungsmechanismen des Algorithmus noch die berücksichtigten Elemente klar werden – ausreicht.“

(im Original: „Questa motivazione non può esser condivisa giuridicamente, in quanto il problema non era (e non è) confinabile nel perimento della risposta del „mercato“ (…). Il problema, per la liceità del trattamento, era invece (ed è) costituto dalla validità – per l’appunto – del consenso che si assume prestato al momento dell’adesione. E non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la calutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considerati.“)

In anderen Worten: Eine Einwilligung seitens eines Betroffenen kann nicht wirksam erteilt werden, wenn die Funktionsweise der automatisierten, technischen Verarbeitung nicht verständlich erläutert wird. Den Verantwortlichen kommt also – aus Sicht des Obersten Gerichtshofs – eine präventive Aufklärungspflicht zu. Wie genau diese ausgestaltet sein soll, lässt die Entscheidung aber offen.

Konsequente Anwendung der Grundsätze der DSGVO

Die Richter argumentieren ganz im Sinne der Datenschutzgrundverordnung. Diese gewährleistet, dass für Betroffene nachvollziehbar wird, was genau mit ihren personenbezogenen Daten passiert, wo und wie genau diese verarbeitet werden, Art. 5 Abs. 1 lit. a) DSGVO:

„Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);“

Im italienischen „Codice per la protezione dei dati personali“ (kurz: „Codice Privacy“), der nach Einführung der DSGVO weitgehend abgeschafft wurde, fanden sich in Art. 23 grundsätzliche Anforderungen an eine Einwilligung („Consenso“) als solche. Diese sind aus Sicht der italienischen Aufsichtsbehörde – nahezu – komplett in der DSGVO aufgegangen, so dass auch weiterhin gilt, dass eine Einwilligung in jedem Fall „frei, spezifisch, unmissverständlich“ und vor allem „informiert“ sein muss.

Außerdem beinhaltet Art. 22 Abs. 1 DSGVO den Grundsatz, dass Betroffene nicht einer lediglich automatisierten Entscheidung unterworfen sein dürfen:

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Entscheidungen, die eine Person bewerten und einordnen, sollen nicht einer rein automatisierten Verarbeitung – wie einem Algorithmus – allein, sondern auch menschlicher Beurteilung überlassen werden (so Ehmann/Selmayr, Datenschutz-Grundverordnung, Art. 22, Rn. 4, 2. Auflage 2018).

Eine Ausnahme hiervon ist nur durch „ausdrückliche Einwilligung“ (Art. 22 Abs. 2 lit. c DSGVO) möglich. Die Eigenschaft der „Ausdrücklichkeit“ benötigt – wiederum! – ein beim Betroffenen geschaffenes Verständnis für die angedachten Verarbeitungsmechanismen, denn nur so kann er auch explizit darin einwilligen.

Fazit

Der Oberste Gerichtshof Italiens, der „Corte di Cassazione“, hat mit seiner Entscheidung der DSGVO ein ganz besonderes Geburtstagsgeschenk gemacht.

Übertrüge man diese nationale Entscheidung auch auf andere Länder, so müssten Anbieter gewährleisten, dass ihre Verarbeitungstätigkeit transparent verständlich ist, wenn sie auf eine Einwilligung gestützt werden soll. Dies dürfte gerade im Bereich der Tracking-Maßnahmen auf Webseiten häufig daran scheitern, dass der Webseiten-Anbieter selbst häufig keinen detaillierten Einblick in die genaue Funktionsweise der eingesetzten Tracking-Anbieter hat, um deren Zustimmung durch die Webseitenbesucher er bittet.

Für Unternehmer – zumindest südlich der Alpen – gilt jedenfalls, möglichst sauber, genau und transparent zu arbeiten und das den Betroffenen genauso darzulegen.

Autor: Michael Wehowsky

Michael Wehowsky

Über den Autor - Datenschutzbeauftragter Michael Wehowsky

Herr Michael Wehowsky ist zertifizierter Datenschutzbeauftragter (udis) und zertifizierter Berater im Datenschutzrecht (FernUniversität Hagen). Darüberhinaus ist er Certified Information Privacy Professional Europe (CIPP/E) und Certified Information Privacy Technologist (CIPT), jeweils durch die iapp. - In seiner Funktion als Teil des Beratungsteams unterstützt er Unternehmen verschiedenster Ausrichtung und Größe im Datenschutz in deutscher, englischer und italienischer Sprache.

Beitrag teilen:

1 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot