Die Nutzung personenbezogener Daten in politischen Kampagnen
Beachtung der Datenschutzbestimmungen bei Wahlen Eine vergleichende Analyse zwischen der EU und Brasilien (DSGVO vs. LGPD)
Zur Analyse der Anwendung von Bestimmungen zum Schutz personenbezogener Daten auf Wahlprozesse in Brasilien und der EU untersucht dieser Abschnitt die relevantesten Ähnlichkeiten und Unterschiede zwischen der europäischen Datenschutz- Grundverordnung (DSGVO) und dem brasilianischen Allgemeinen Datenschutzgesetz („Lei Geral de Proteção de Dados Pessoais“, LGPD). Die folgenden Erwägungen untersuchen, wie diese komplizierten Systeme die Grenzen der Datenverarbeitungsfähigkeiten der Kandidaten und Parteien in jeder Gerichtsbarkeit bestimmen, während sie außerdem relevante normative Instrumente spezifisch in Bezug auf Wahlprozesse vorstellen. Das brasilianische Allgemeine Datenschutzgesetz war weithin auf der Datenschutz- Grundverordnung der EU gegründet. Deshalb bestehen viele Ähnlichkeiten zwischen den beiden Gesetzen. Zuerst gibt es Überschneidungen zwischen den allgemeinen Grundsätzen in beiden Gesetzen. Die DSGVO führt in Artikel 5 sechs Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten an. Das LGPD nennt in Artikel 6 zehn Grundsätze. Beide Verordnungen bzw. Gesetze enthalten die Kernwertvorstellungen von festgelegten und eindeutigen Zwecken, Transparenz, Qualität (Richtigkeit) von Daten, Sicherheit, Verantwortlichkeit, Rechtmäßigkeit und Verarbeitung nach Treu und Glauben (Fairness). Der Kopfteil des brasilianischen Artikels zu den Grundsätzen lautet:
Art. 6 Aktivitäten zur Verarbeitung personenbezogener Daten müssen nach Treu und Glauben erfolgen und folgende Grundsätze beachten …
Die Erwähnung von „Treu und Glauben“ (boa-fé) könnte als analog zum Fairness- Grundsatz der DSGVO interpretiert werden. „Boa-fé“ ist ein allgemeiner Grundsatz des bürgerlichen Rechts in Brasilien. Seine ausdrückliche Erwähnung im Kopfteil des Artikels in Bezug auf die Grundsätze der Verarbeitung personenbezogener Daten stärkt seine Rolle als interpretative Achse bei der Anwendung des Gesetzes. In der Praxis bedeutet das die Berücksichtigung des Kontexts der Datenerfassung zur Bestimmung der angemessen erwarteten und fairen Verwendung der Daten. Juristen beschreiben dies als „kontextabhängigen Datenschutz“: Zusammenfassend betrachtet umfasst die Theorie des kontextabhängigen Datenschutzes deshalb die Erwägung, dass die betroffene Person legitime Erwartungen (Schutz ihrer Daten) in Bezug auf den angemessenen Fluss ihrer Daten haben kann. Der Datenverkehr findet daher nicht in einem Vakuum statt, sondern unter einer Gruppe von Umständen, die seine Integrität bestimmen. Abgesehen von vielen Ähnlichkeiten wie dem oben erwähnten Fairnessgrundsatz gibt es allerdings Punkte, in denen sich die beiden Gesetze unterscheiden. Ein solcher Fall ist die Definition von gemeinsam Verantwortlichen. Gemeinsam Verantwortliche sind in Artikel 26 der DSGVO beschrieben, der besagt:
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
Es ist wichtig, hervorzuheben, dass derselbe Datensatz viele bestimmte Verantwortliche haben kann, wenn diese ihn zu bestimmten Zwecken verwenden, oder gemeinsam Verantwortliche, wenn diese gemeinsam über die Zwecke der Verarbeitung entscheiden. Das brasilianische Gesetz umfasst dagegen keine ausdrückliche Kategorie gemeinsam Verantwortlicher.
Die Verantwortlichkeit wird weiterhin auf der Grundlage der Fähigkeit festgestellt, über die Zwecke der Verarbeitung zu entscheiden, wobei jedoch keine gemeinsame Verantwortlichkeit erwähnt wird. Das Gesetz weist allerdings in einem Fall darauf hin. In Artikel 42, II, erklärt das LGPD, dass die Verantwortlichen, die direkt an einer Verarbeitungsaktivität beteiligt sind, die gemeinsame Verantwortung für mögliche Verstöße gegen das Gesetz tragen. Dieser Artikel legt eine gemeinsame Verantwortung nahe, indem er besagt, dass bestimmte Akteure unter den Auswirkungen des Gesetzes zusammengefasst werden können. Das ist eine Auslegung, die bei der Festlegung der Steuerungsstruktur politischer Kampagnenanstrengungen berücksichtigt werden sollte. In solchen Fällen ist das besonders wahr, was von einer anderen Rechtsvorschrift zur Haftung von Kandidaten und politischen Parteien untermauert wird. Das brasilianische Gesetz Nr. 9.504/1997 erklärt in Artikel 6, § 5: § 5 Kandidaten und ihre Parteien haften gemeinsam und einzeln für Geldbußen aufgrund von Wahlpropaganda … Daher ist das LGPD vollständig anwendbar auf die Verarbeitung personenbezogener Daten, die von Parteien und Kandidaten durchgeführt wird, sowie auf ihre Kampagnenstrukturen. Im brasilianischen Gesetz wird dies weiter unterstrichen, indem politische Parteien als private Vereinigungen charakterisiert werden, d. h. als Rechtswesenheiten, die unter dieselben rechtlichen Grundsätze fallen wie Privatunternehmen und Nichtregierungsorganisationen. Die Verantwortlichkeit ist eine entscheidende Frage in beiden Gesetzen, da der Verantwortliche für die Implementierung einer breiten Gruppe aus Anforderungen verantwortlich und in letzter Instanz für mögliche Verstöße haftbar ist.
Die Feststellung des Verantwortlichen für personenbezogene Daten kann sich in der Praxis als Herausforderung erweisen, bei der es darum geht, die Person(en) ausfindig zu machen, welche die Fähigkeit hat (haben), Entscheidungen von bedeutender Tragweite über die Zwecke und Mittel der Datenverarbeitung zu treffen. Im Kontext politischer Kampagnen kann sich das als komplexe Bewertung herausstellen:
Die Rolle des Datenverantwortlichen oder Datenverarbeiters/-auftragsverarbeiters muss für jeden Einzelfall bewertet werden. Im Zusammenhang mit Wahlen können eine Reihe von Akteuren Datenverantwortliche sein: Politische Parteien, einzelne Kandidaten und Stiftungen sind in den meisten Fällen Datenverantwortliche. Plattformen und Datenanalyseunternehmen können (gemeinsam) Verantwortliche oder Auftragsverarbeiter für eine gegebene Verarbeitung sein, was vom Ausmaß ihrer Kontrolle über die betreffende Verarbeitung abhängt. Nationale Wahlbehörden sind Verantwortliche für die Wählerverzeichnisse.
Abgesehen von Verantwortlichen müssen politische Kampagnen ebenfalls zwei weitere Rechtswesenheiten beachten, die an den Beziehungen der Verarbeitung personenbezogener Daten beteiligt sind. Die Datenverarbeitung wird von einem „Auftragsverarbeiter“ (DSGVO; im LGPD als Operador bezeichnet) durchgeführt, der den Willen und die Strategie des Verantwortlichen umsetzt. Während der Verantwortliche umfassende Entscheidungsbefugnis hat, implementiert der Auftragsverarbeiter lediglich die geplanten Verarbeitungsaktivitäten. Die andere Rechtswesenheit ist der Datenschutzbeauftragte (DSGVO; im brasilianischen Gesetz als Encarregado bezeichnet), der als Kommunikationskanal zwischen der betroffenen Person, der Datenschutzbehörde und dem Unternehmen bzw. der Organisation agiert. Die Rollen des Auftragsverarbeiters und des Datenschutzbeauftragten sind sehr unterschiedlich. Der Auftragsverarbeiter ist an den Verarbeitungsaktivitäten beteiligt und hat den erforderlichen technischen Hintergrund zur Umsetzung der Entscheidungen des Verantwortlichen, dessen Anweisungen er ausführt. Der Datenschutzbeauftragte ist dagegen als „die Manifestation der Aufsichtsbehörde in einer Organisation“ beschrieben worden. Diese Rolle sollte idealerweise vom Verantwortlichen und Auftragsverarbeiter unabhängig sein, um eine umfassende Bewertung der Datenverarbeitungsaktivitäten durchführen und die Behörde und betroffenen Personen bei Bedarf über Probleme benachrichtigen zu können. Obwohl sich die Konzepte für den Datenschutzbeauftragten und den Encarregado ähneln, sind die beiden in der DSGVO und im LGPD leicht unterschiedlich aufgebaut. Eine wesentliche Unterscheidung besteht darin, dass die Bestellung eines Encarregado im Allgemeinen vorgeschrieben ist und der Verzicht auf seine Bestellung eine weitere Vorgabe von der brasilianischen Datenschutzbehörde erfordert (Art. 41, § 3, LGPD).
Die DSGVO führt dagegen die Fälle auf, in denen der Datenschutzbeauftragte notwendig ist, obwohl es als gute Praxis gilt, in allen Fällen einen solchen zu bestellen. Das brasilianische Gesetz hat sich vor der Einführung des LGPD in einem beschränkten Ausmaß mit personenbezogenen Daten in Wahlkampagnen beschäftigt. Ein Beispiel bezieht sich auf den Austausch von Daten mit Dritten. Artikel 7, I, und § 5 des LGPD besagen, dass, falls Daten mit Einwilligung gesammelt und verarbeitet werden und einem anderen Verantwortlichen mitgeteilt werden müssen, eine neue spezifische Einwilligung der betroffenen Person erforderlich ist. Falls dies auf einer beliebigen sonstigen Rechtsgrundlage basierte, wären die Pflichten der Transparenz und Verantwortlichkeit sowie alle Rechte der Person und Rechtsgrundsätze weiterhin anwendbar, doch wäre keine vorhergehende Mitteilung an die Person erforderlich. Das würde bedeuten, dass die Übertragung und ihre Zwecke abhängig vom Einzelfall, jedoch vorzugsweise in einem Datenschutz-Folgenabschätzungsbericht (DSFA-Bericht) erfasst werden. Falls berechtigtes Interesse die rechtmäßige Grundlage für die Verarbeitung darstellt, ist es empfehlenswert, eine Interessenabwägung, d. h. eine Abwägung des berechtigten Interesses (Legitimate Interest Assessment, LIA), vorzunehmen. Vor der Einführung des LGPD gab es jedoch bereits Artikel 57-E von Gesetz Nr. 9.504/97 (Bestimmungen zu politischen Parteien), der ein Verbot des Austauschs oder Kaufs von Kontaktadressenlisten zu politischen Propagandazwecken enthielt. Der Artikel besagt:
Art. 57-E. Es ist den in Art. 24 aufgeführten Personen verboten, elektronische Verzeichnisse ihrer Kunden zugunsten von Kandidaten, Parteien oder Parteigruppierungen zu verwenden, zu spenden oder zu überlassen. § 1 Es ist verboten, elektronische Adressenlisten zu verkaufen. Dieses allgemeine Verbot des Austauschs von Kontaktinformationen macht das Szenario noch komplizierter.
„Elektronische Listen“ (cadastro eletrônico) dürfen von einer Reihe von Rechtswesenheiten nicht weitergegeben werden, einschließlich ausländischen Rechtswesenheiten oder Regierungen; öffentlichen Verwaltungsbehörden; öffentlichen Dienstleistungsanbietern; Gewerkschaften; gemeinnützigen Organisationen, die ausländische Finanzierung erhalten; Nichtregierungsorganisationen, die öffentliche Finanzierung erhalten; usw. Privatunternehmen im Allgemeinen wurden im Anschluss an eine Entscheidung des Obersten Gerichtshofs zu Fall ADI 4650, der sich mit privaten Spenden an politische Kampagnen beschäftigte, hinzugefügt. Zusätzlich ist jede kommerzielle Nutzung elektronischer Adressenlisten verboten. Die DSGVO beschäftigt sich nicht ausdrücklich mit der Datenkommerzialisierung. Eine Auslegung nach den Regelungen und Grundsätzen der Verordnung ordnet jedoch an, dass ein Verantwortlicher personenbezogene Daten entsprechend den ursprünglich beabsichtigten Zwecken verarbeiten muss. Dies bedeutet, dass die Übertragung von Daten an Dritte mittels Spende oder Verkauf den ursprünglichen Zweck der Datensammlung erfüllen muss. In der Praxis bedeuten diese Erwägungen, dass politische Kampagnen die Quelle ihrer Daten und die Zugangsberechtigten sorgfältig prüfen sollten. Falls die ursprüngliche Datensammlung direkt durch die Kampagne mittels Online-Abonnement oder physischem Abonnement erfolgte, sollten alle zukünftigen Verwendungen der Informationen, einschließlich E-Mail-Marketing und Profiling, der betroffenen Person mitgeteilt werden. Falls die ursprüngliche Datensammlung keinen Bezug zu politischen Kampagnen hatte, zum Beispiel im Fall eines Kandidaten mit Kontaktinformationen über seine Wählerschaft mit dem Ziel, ihnen bei bestimmten Problemen im Rahmen der regulären Ausübung seiner politischen Aufgaben zu helfen, sollte man fragen, ob die betroffenen Personen mögliche weitere Verwendungen angemessen erwarten würden. Dies trifft sowohl auf den europäischen als auch auf den brasilianischen Kontext zu. In Brasilien sollten politische Kampagnen zudem weder Spenden von Kontaktlisten annehmen noch letztere kaufen, da das Wahlgesetz solche Praktiken ausdrücklich verbietet. Der zuvor beschriebene Fall, in dem politische Nachrichten während der Wahlen in Brasilien über WhatsApp verbreitet wurden, ist ein gutes Beispiel für eine Praxis, die gegen diese Pflichten verstoßen würde. Damals wurden spezialisierte Unternehmen angestellt, um solche Nachrichten im großen Stil unter bestimmten Umständen an Kontakte auf Nummernlisten zu senden. Man könnte argumentieren, dass die Personen auf diesen Listen keine angemessene Erwartung bezüglich des Empfangs von Wahlpropaganda oder politischen Nachrichten über WhatsApp hatten. Die Aktivisten hätten Schwierigkeiten, Nachweise bezüglich einer spezifischen Einwilligung oder sonstigen Rechtsgrundlage für solche Aktivitäten vorzulegen. Ein ähnliches Problem ist die Sammlung und Behandlung öffentlich verfügbarer Daten. Eine solche Datensammlung im großen Stil kann für Profiling-Aktivitäten verwendet werden, wobei das Kreuzen eindeutiger Datenquellen und -punkte es gestattet, Schlüsse zu ziehen und ein detailliertes Profil einer Person zu erstellen. Alle auf diese Weise gesammelten Daten und die gezogenen Schlussfolgerungen unterliegen Datenschutzbestimmungen, da sie sich „auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 DSGVO) oder es sich um „Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person“ handelt (Art. 5 LGPD).
Hierbei handelte es sich um die Grundlage des oben erwähnten Falls von Cambridge Analytica, bei dem das Unternehmen unter Verwendung von Datenanalysetechniken in der Lage war, Wähler in eindeutige Gruppen zu unterteilen – selbst solche Wähler, die keine ausdrückliche Einwilligung zur Sammlung ihrer Daten gegeben hatten. Auf der Grundlage einer Einstufung, welche Informationen als „öffentlich verfügbar“ wahrgenommen werden könnten, d. h. mithilfe von Profilen von Nutzern und ihren Freunden gesammelte Informationen, verzerrte CA quasi den demokratischen Prozess mittels Psychometrie und Big Data. Erwähnungen „öffentlich verfügbarer“ Daten im brasilianischen LGPD treten in drei Fällen auf: den Paragraphen 3, 4 und 7 von Artikel 7. Der erste Paragraph beschreibt die Verarbeitung „öffentlich verfügbarer personenbezogener Daten“, indem er angibt, dass der ursprüngliche Zweck und das öffentliche Interesse, das ihrer Veröffentlichung zugrunde lag, sowie guter Glaube zu beachten sind. Der zweite Fall behandelt „von der Person offenbar veröffentlichte Daten“, wodurch in diesem Fall eine Ausnahme zur Einwilligung geschaffen wurde. Der dritte Fall, bei dem es sich um eine späte Änderung des Gesetzes handelt, gestattet die Verarbeitung solcher Daten zu neuen Zwecken. Es besteht ein offensichtlicher Konflikt zwischen den Paragraphen 3 und 7, da ersterer die weitergehende Verarbeitung auf den ursprünglichen Kontext beschränkt, während letzterer eine Verarbeitung zu neuen Zwecken gestattet. Dies ist wahrscheinlich ein Problem, mit dem sich die neue Nationale Datenschutzbehörde (Autoridade Nacional de Proteção de Dados, ANPD) beschäftigen muss. In diesem Punkt ist die DSGVO erheblich präziser als das LGPD. Artikel 14 der DSGVO verweist auf die „Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“, sondern zum Beispiel aus öffentlich verfügbaren Daten stammen. Der Artikel enthält eine Reihe von Festlegungen der Pflichten des Verantwortlichen bezüglich der Verarbeitung von Daten.
Diese Informationspflichten umfassen unter anderem die beabsichtigten Verwendungszwecke der Daten, den Verarbeitungszeitraum, Namen und Kontaktdaten des Verantwortlichen, die Kategorien der gesammelten Daten, die Zwecke der Verarbeitung, die Empfänger und Quellen der Daten, die Rechte der betroffenen Person auf Berichtigung und das Beschwerderecht bei einer Aufsichtsbehörde. Auf der Grundlage des LGPD bzw. der DSGVO müssen die Möglichkeiten einer Verarbeitung basierend auf „öffentlich verfügbaren personenbezogenen Daten“ von den Behörden sorgfältig erwogen werden. Dabei sind die Geschehnisse in spezifischen Situationen, wie beispielsweise der Massenversand von WhatsApp-Nachrichten in Brasilien oder der CA-Fall, zu berücksichtigen. Obwohl Ausnahmen bei der Einwilligung in Bezug auf öffentlich verfügbare personenbezogene Daten bestehen können, kann die Verarbeitung in vielen Fällen als rechtswidrig betrachtet werden, indem keine grundlegenden Compliance-Schritte durchgeführt wurden, wie beispielsweise die Benachrichtigung der betroffenen Person über die Verarbeitung und die Gewährleistung grundlegender Datenschutzprinzipien und -rechte. Aufgrund der vollen Anwendbarkeit der Bestimmungen zum Schutz personenbezogener Daten ist es wichtig, dass sowohl die Parteien als auch die Kandidaten alle notwendigen Vorsichtsmaßnahmen treffen, um die Beachtung aller Grundsätze und Rechte zu gewährleisten. Dies beginnt gewöhnlich mit einer ausführlichen Darstellung der Datenflüsse in der Kampagnenstruktur: eine Aufgabe, die eng mit dem Verantwortungsbereich des Datenschutzbeauftragten zusammenhängt. Das trifft insbesondere auf Fälle zu, in denen sensible Daten verarbeitet werden – eine bei politischen Kampagnen gängige Situation. Da die von Parteien und Kandidaten verwendeten Daten in der Regel die politischen Einstellungen und Meinungen der betroffenen Personen beinhalten, erweist sich die Rolle des Datenschutzbeauftragten als noch wichtiger. Unterschiedliche Kampagnen haben unterschiedliche Anforderungen und Formate, besonders in breiten und diversen Zusammenhängen wie den politischen Szenarien in Brasilien und Europa. Ein erster Schritt besteht in der detaillierten Erfassung aller Punkte, an denen Daten auf beliebige Weise gesammelt, kommuniziert, gespeichert oder verarbeitet werden. Weitere Details klären darüber auf, wer Zugang zu welcher Art v on Daten hat, auf welcher Rechtsgrundlage die Verarbeitung regulärer oder sensibler Daten erfolgt, von welcher Dauer die Verarbeitungsaktivitäten sind und welchem Zweck sie dienen. Ein wesentlicher Unterschied zwischen den beiden Gesetzen besteht in ihrer Behandlung der Datenschutz-Folgenabschätzung (DSFA). DSFA werden in Artikel 35 der DSGVO und in den Artikeln 10, 32 und 38 (unter anderen) des LGPD behandelt.
Erstere gibt eine Verpflichtung vor, eine DSFA durchzuführen, wann immer ein „hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ besteht. Dabei wird davon ausgegangen, dass zumindest eine vorläufige Risikoabschätzung für alle Verarbeitungsaktivitäten durchgeführt werden sollte, um ein hohes Risiko und folglich die Verpflichtung zur Durchführung einer DSFA festzustellen. Der umfassende Artikel legt nicht nur die Pflichten des Verantwortlichen fest, sondern auch die Beteiligung des Datenschutzbeauftragten und die Pflichten der Datenschutzbehörde, die für die Festlegung spezifischer Fälle verantwortlich ist, in denen eine DSFA zwingend vorgeschrieben ist. Das brasilianische Gesetz behandelt dagegen das Thema der Folgenabschätzungen kürzer und erwähnt lediglich, dass die brasilianische Datenschutzbehörde (ANPD) eben diese von Verantwortlichen verlangen und ihren erforderlichen Inhalt festlegen kann. In Bezug auf diesen Punkt besagt Artikel 38 des LGPD:
Art. 38. Die nationale Behörde kann den Verantwortlichen anweisen, einen Folgenabschätzungsbericht zum Schutz personenbezogener Daten, einschließlich sensibler Daten, vorzulegen, bezüglich seiner Datenverarbeitungsaktivitäten in Übereinstimmung mit der spezifischen Bestimmung unter Beachtung industrieller Geheimhaltungsbestimmungen. Alleinstehender Paragraph. Der im Kopfteil dieses Artikels erwähnte Bericht muss mindestens eine Beschreibung der Arten gesammelter Daten, der angewandten Datensammlungs- und Informationssicherheitsmethoden und der Analyse des Verantwortlichen bezüglich der angewandten Maßnahmen, Sicherheitsvorkehrungen und Minderungsmechanismen enthalten.
Dagegen erklärt Artikel 35 (7) der DSGVO: Die Folgenabschätzung enthält zumindest Folgendes:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Wie bei vielen anderen Themen entschied sich das brasilianische Gesetz, die Einzelheiten der DSFA-Verordnung der ANPD zu überlassen. Dabei wird es zum Beispiel um die Entscheidung gehen, welche Repräsentanten verpflichtet sein werden, DSFA durchzuführen und unter welchen Umständen. Das wird durch mindestens zwei Gesetzespunkte bestärkt: Artikel 55-J, XIII und XVIII. Ersterer erklärt, dass die nationale Behörde über die Kompetenz verfügt, Bestimmungen im Detail zu klären und Verfahren für die DSFAs in Fällen festzulegen, in denen ein hohes Risiko für die gesetzlich garantierten Grundsätze und Rechte besteht. Letzterer besagt, dass es in den Zuständigkeitsbereich der Behörde fällt, besondere und vereinfachte Verfahren für kleine und neu gegründete Unternehmen vorzugeben. Ein weiterer wichtiger Unterschied zwischen den europäischen und brasilianischen Bestimmungen bezieht sich auf die automatisierte Verarbeitung von Daten. In der DSGVO hat die betroffene Person das Recht, in automatisierte Entscheidungsfindungsprozesse, einschließlich Profiling, nicht einbezogen zu werden. Dieses Recht unterliegt den folgenden drei Ausnahmen: Art 22 Abs 2: Absatz 1 gilt nicht, wenn die Entscheidung:
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
Falls jedoch eine der Ausnahmen anwendbar ist, garantiert die europäische Verordnung der betroffenen Person das „Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung“ (Art. 22 (3)). Wenn das brasilianische LGPD in seiner ursprünglichen Form verabschiedet worden wäre, hätte es eine ähnliche Bestimmung enthalten. Das Gesetz wurde jedoch mittels eines Erlasses des Präsidenten modifiziert, sodass Artikel 20 in seiner gegenwärtigen Form nur das Recht auf eine „Prüfung“ automatisierter Entscheidungen garantiert. Demzufolge braucht diese Prüfung nicht durch einen menschlichen Bearbeiter zu erfolgen. Wichtig ist ein abschließender Hinweis auf eine spezifische Erwägung bezüglich der Verarbeitung personenbezogener Daten zu politischen Einstellungen durch Parteien bei Wahlkampfaktivitäten. Diese Verarbeitung, die wie oben erklärt unter den von den Gesetzen festgelegten Schutz und die festgelegten Einschränkungen fallen würde, wird von Erwägungsgrund 56 der DSGVO interpretiert, der eine lockerere Verarbeitung auf der Grundlage öffentlichen Interesses gestattet. Nichtsdestotrotz sollte diese Möglichkeit sorgfältig beachtet werden, um sicherzustellen, dass die Verarbeitung politischer Einstellungen durch politische Parteien im Sinn des Gesetzes erfolgt. Politische Einstellungen sind von Artikel 9 der DSGVO als besondere Kategorie personenbezogener Daten eingestuft, die einen stärkeren Schutz verdienen. Ihre Verarbeitung ist ausdrücklich untersagt (Art. 9 (1)) und nur in außerordentlichen Fällen zulässig (Art. 9 (2)). Das brasilianische Gesetz hat kein Äquivalent zu Erwägungsgründen und keinen ausdrücklichen Verweis auf die Verarbeitung politischer Einstellungen, mit Ausnahme ihrer Kategorisierung als sensible personenbezogene Daten, dem Äquivalent zu Daten einer besonderen Kategorie in der DSGVO. Dieser offensichtliche Widerspruch wird im nächsten Abschnitt untersucht, in dem wir die Implementierung diskutieren, um einen wirksamen demokratischen Prozess bei Wahlen in Bezug auf den Schutz personenbezogener Daten zu gewährleisten.
Zuvor ist es nichtsdestotrotz wichtig, hervorzuheben, dass es beim Vergleich der Qualität der europäischen Verordnung mit dem brasilianischen Gesetz keine eindeutige Antwort gibt. Das brasilianische Gesetz ist im Allgemeinen flexibler als die DSGVO und diese Flexibilität zeigt sich, wenn man die Anzahl von Rechtsgrundlagen für Verarbeitungsaktivitäten, das Meldesystem nach einer Verletzung des Schutzes, die Höhe der Verwaltungsstrafgelder usw. betrachtet. Das könnte auf der einen Seite als positiver Faktor angesehen werden, da es der Branche mehr Raum zur Anpassung an die Bestimmungen gibt. Auf der anderen Seite könnte dieser Grad von Flexibilität jedoch zu einer Unwirksamkeit des Gesetzes führen, da die für die Verantwortlichen festgelegten Parameter zu subjektiv und die Bestimmungen nicht starr genug sind, um eindeutige Grenzen festzulegen. Zusätzlich legt sie den Datenschutzbehörden eine noch größere Verantwortung auf. In dieser Angelegenheit ist die nationale Behörde in Brasilien im Gegensatz zu den Datenschutzbehörden in der EU weder unabhängig noch autonom, da sie der Präsidentschaft der Republik untersteht.
Außerdem steht die Auslegung ihrer Struktur und Körperschaft noch aus. Wenn man die Bedeutung der Datenschutzbehörde bei der Gewährleistung der Wirksamkeit des Gesetzes und der Bereitstellung spezifischer Bestimmungen zu seiner Ergänzung berücksichtigt, führen alle diese Elemente zu Ungewissheit bezüglich der Erfüllung und Wirksamkeit des Datenschutzszenarios in Brasilien. Trotz ihrer Ähnlichkeit mit dem LGDP ist die DSGVO bewusst geradliniger und objektiver bezüglich der Regulierung des Datenschutzes. Dies ist wiederum Grund zu Lob und Kritik. Einerseits schafft ihre Starrheit ein Klima der Rechtssicherheit, das durch hohe Parameter des Schutzes grundlegender Rechte geprägt ist. Da diese einen kontrollierteren Raum für Ermessensentscheidungen der Aufsichtsbehörden bieten, ist es einfacher, eine harmonisierte Anwendung des Gesetzes innerhalb der Europäischen Union zu erzielen. Andererseits könnte die Verordnung bei ihrem Unterfangen, solche Parameter festzulegen, undurchführbare Bestimmungen enthalten, wie beispielsweise die in Art. 33 vorgegebene Bestimmung, die einen Teil ihrer Glaubwürdigkeit rauben könnte, indem sie den Verantwortlichen eine übermäßige Belastung auflegt und unnötige Kosten verursacht. Deshalb sollte angesichts der Ähnlichkeiten und Unterschiede im Ansatz beider Gesetzeswerke, die positive und negative Kommentare hervorrufen könnten, die Frage nicht die sein, welches Gesetz bessere Bestimmungen umfasst, da dies subjektiv sein kann, sondern wie Compliance und Verantwortlichkeit in beiden Szenarios garantiert werden können. Daran anknüpfend ist das nächste Kapitel einer praktischen Analyse und Aufführung der zu diesem Zweck einzuleitenden Schritte gewidmet.
Zur einfacheren Lesbarkeit wurden die Referenzverweise entfernt.
Eduardo Magrani, Konrad Adenauer-Stiftung; 12.11.2020
https://www.kas.de/de/einzeltitel/-/content/das-hacken-der-waehlerschaft
https://creativecommons.org/licenses/by-sa/4.0/legalcode.de
Enisa.europa.eu; PM, BOW; 20.10.2020
https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2020