Praxishandbuch DSGVO

2. Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung

56

Ebenfalls sehr praxisrelevant ist die Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung. Diese bisher schon in der Datenschutzrichtlinie 95/46/EG enthaltene Erlaubnisnorm findet sich nunmehr in Art. 6 Abs. 1 lit. c DSGVO.

57

Demnach ist die Verarbeitung personenbezogener Daten zulässig, „wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.“

58

Nach dem ausdrücklichen Wortlaut der Norm muss es sich um eine „rechtliche Verpflichtung“ handeln, der der Verantwortliche unterliegt. Dies bedeutet mithin, dass die Verarbeitung zu Zwecken der Erfüllung vertraglicher Verpflichtungen nicht auf Art. 6 Abs. 1 lit. c DSGVO gestützt werden kann.87 Die rechtliche Verpflichtung kann sich nach Art. 6 Abs. 3 S. 1 DSGVO und Erwägungsgrund 45 entweder aus dem Unionsrecht oder aus dem Recht des jeweiligen Mitgliedstaates ergeben. Hierbei ist es erforderlich, dass das EU-Recht bzw. das Recht des Mitgliedstaates den Verantwortlichen verpflichtet, eine bestimmte Datenverarbeitung vorzunehmen – eine bloße Erlaubnis ohne entsprechende Verpflichtung ist hierfür hingegen – dem ausdrücklichen Wortlaut der Norm folgend – nicht ausreichend.88

59

Aus formeller Sicht kann eine rechtliche Verpflichtung grundsätzlich in jeder Rechtsnorm der EU bzw. des Mitgliedstaates enthalten sein/statuiert werden, vorausgesetzt, dass diese Norm eine unmittelbare Außenwirkung besitzt. Normen mit unmittelbarer Außenwirkung sind auf EU-Ebene insbesondere Verordnungen – z.B. auch die DSGVO selbst – und auf mitgliedstaatlicher Ebene insbesondere Gesetze, Rechtsverordnungen und Satzungen.89 Auch aus normativen Teilen von Tarifverträgen und aus Betriebsvereinbarungen können sich nach hier vertretener Ansicht rechtliche Verpflichtungen i.S.d. Art. 6 Abs. 1 lit. c DSGVO ergeben.90 Nicht als taugliche Grundlagen in Betracht kommen hingegen z.B. interne Verwaltungsvorschriften.91 Inwiefern behördliche Anordnungen als rechtliche Verpflichtungen i.S.d. Art. 6 Abs. 1 lit. c DSGVO anzusehen sind, ist umstritten.92

60

Darüber hinaus müssen die Rechtsnormen aber auch inhaltliche Anforderungen erfüllen, um als taugliche Grundlage i.S.d. Art. 6 Abs. 1 lit. c DSGVO dienen zu können. Diese sind in Art. 6 Abs. 3 DSGVO und dem dazugehörigen Erwägungsgrund 45 festgelegt. Demnach muss die jeweilige Rechtsgrundlage nicht zwangsläufig eine datenschutzrechtliche Erlaubnisnorm im klassischen Sinne sein, in der sowohl die zu verarbeitenden Daten(arten), die Verarbeitungszwecke als auch die weiteren Details zur Datenverarbeitung (z.B. Speicherdauer) geregelt sind. Ausreichend ist es nach Art. 6 Abs. 3 S. 2 DSGVO vielmehr, wenn eine Rechtsgrundlage den Zweck der Verarbeitung festlegt. Dem jeweiligen Gesetzgeber steht es nach Art. 6 Abs. 3 S. 3 DSGVO aber frei, weitergehende Vorgaben zur Datenverarbeitung zu machen. Hierbei ist es der EU bzw. den Mitgliedstaaten nach Art. 6 Abs. 2 und Art. 6 Abs. 3 S. 3 DSGVO auch erlaubt, die Anforderungen an die Datenverarbeitung für eine bestimmte Datenverarbeitungssituation zu konkretisieren – z.B. im Hinblick auf die zu verarbeitenden Datenarten, welche Personen betroffen sein dürfen etc. Bereits bestehende mitgliedstaatliche Regelungen, die diese Anforderungen erfüllen, dürfen nach Art. 6 Abs. 2 DSGVO beibehalten werden.

61

Als Rechtsgrundlagen i.S.d. Art. 6 Abs. 1 lit. c DSGVO kommen im deutschen Recht z.B. die folgenden Normen in Betracht: § 257 HGB und § 147 AO („Aufbewahrungspflicht bzgl. bestimmter Unterlagen“), § 18 KWG („Offenlegung der wirtschaftlichen Verhältnisse des Kreditnehmers“), §§ 4,8 und 11 GwG („Pflichten nach dem GwG, insb. Identifizierung des Vertragspartners“), § 93 AO („Auskunft über steuerlich relevante Sachverhalte“), sozialversicherungsrechtliche Regelungen im SGB sowie melderechtliche Vorschriften im Meldegesetz.93

62

In jedem Fall erlaubt Art. 6 Abs. 1 lit. c DSGVO eine Datenverarbeitung nur insoweit, wie diese erforderlich ist, um die jeweilige rechtliche Verpflichtung zu erfüllen.94

Praxishinweis

Nimmt ein Verantwortlicher an, dass er einer rechtlichen Verpflichtung unterliegt und er zu deren Erfüllung personenbezogene Daten verarbeiten muss, sollte er zunächst überprüfen, ob die Rechtsnorm, aus der sich die Verpflichtung ergibt, eine taugliche Rechtsgrundlage i.S.d. Art. 6 Abs. 1 lit. c DSGVO ist. So ist z.B. davon auszugehen, dass es hierzu immer mehr Stellungnahmen von Datenschutzaufsichtsbehörden und Entscheidungen von Gerichten geben wird. Stellt eine solche Rechtsnorm keine taugliche Rechtsgrundlage i.S.d. Art. 6 Abs. 1 lit. c DSGVO dar, kann der Datenumgang ggf. auch auf eine andere Erlaubnisalternative im Rahmen des Art. 6 Abs. 1 DSGVO gestützt werden, insb. auf Art. 6 Abs. 1 lit. f DSGVO („Datenverarbeitung auf Basis einer Interessenabwägung“).

Die Anforderungen an die Verarbeitung personenbezogener Daten zu Zwecken der Erfüllung rechtlicher Verpflichtungen können infolge der Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO zwischen den einzelnen EU-Mitgliedstaaten voneinander abweichen. Dies ist insbesondere zu berücksichtigen, wenn eine Datenverarbeitung (durch mehrere Verantwortliche) in unterschiedlichen EU-Mitgliedstaaten erfolgt und diese einheitlich gestaltet werden soll.

3. Verarbeitung personenbezogener Daten auf Basis einer Interessenabwägung

63

Der in der Praxis wohl wichtigste Erlaubnistatbestand ist in Art. 6 Abs. 1 lit. f DSGVO normiert.95 Demnach darf ein Verantwortlicher personenbezogene Daten auch dann verarbeiten, wenn „die Verarbeitung [...] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt“.

64

Die Bedeutung dieser Vorschrift nimmt vor allem dadurch noch weiter zu, als einige im BDSG a.F. enthaltene spezielle Erlaubnisnormen für bestimmte Verarbeitungssituationen in der DSGVO nicht mehr enthalten sind und sich die Zulässigkeit der Datenverarbeitung in diesen Fällen nunmehr nach Art. 6 Abs. 1 lit. f DSGVO richtet – so z.B. in den wohl meisten Fällen die Verarbeitung personenbezogener Daten zum Zwecke der Werbung.96 Dabei ist es wichtig festzuhalten, dass es sich bei Art. 6 Abs. 1 lit. f DSGVO aus rechtlicher Sicht nicht um einen (subsidiären) Auffangtatbestand bzw. eine Generalklausel handelt,97 welche(r) die Datenverarbeitungen nur dann erlauben kann, wenn die übrigen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO nicht erfüllt sind. Vielmehr steht Art. 6 Abs. 1 lit. f DSGVO gleichberechtigt neben den anderen in Art. 6 Abs. 1 DSGVO enthaltenen Erlaubnisalternativen, mit denen er sich teilweise auch überschneiden kann.98

65

Rein faktisch betrachtet werden Datenverarbeitungen aber (sehr wohl) vor allem dann auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, wenn die übrigen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO nicht erfüllt sind. Deshalb erscheint es angemessen, Art. 6 Abs. 1 lit. f DSGVO in rein tatsächlicher Hinsicht als Auffangtatbestand zu bezeichnen, zumal auch dessen tatbestandliche Voraussetzungen offen ausgestaltet sind und die Vorschrift bei positivem Ausgang der Interessenabwägung grundsätzlich sämtliche denkbaren Datenverarbeitungsvorgänge im Anwendungsbereich der DSGVO – mit Ausnahme der Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO99 und von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten i.S.d. Art. 10 DSGVO100 – zu rechtfertigen vermag.

66

Dass die DSGVO eine solche (tatsächliche) Auffangnorm enthält, ist auch wichtig und notwendig, weil sie vor dem Hintergrund der unüberschaubaren Vielzahl an unterschiedlichen Datenverarbeitungsaktivitäten und immer neuer technischer Innovationen faktisch nicht alle Datenverarbeitungssituationen konkret regeln kann.

67

Entscheidend für die Zulässigkeit einer Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO sind die Umstände des jeweiligen Einzelfalls.

68

Konkretisiert werden die notwendigerweise wenig bestimmten Tatbestandsvoraussetzungen des Art. 6 Abs. 1 lit. f DSGVO in den Erwägungsgründen 47–49.

69

Damit ein Verantwortlicher personenbezogene Daten auf Art. 6 Abs. 1 lit. f DSGVO stützen kann, müssen drei Voraussetzungen erfüllt sein:101

 1. Der Verantwortliche oder ein Dritter müssen berechtigte Interessen an der Verarbeitung personenbezogener Daten haben.

 2. Die (geplante) Verarbeitung muss zur Wahrung dieser berechtigten Interessen erforderlich sein.

 3. Die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, dürfen die berechtigten Interessen des Verantwortlichen/Dritten nicht überwiegen.

a) Berechtigte Interessen des Verantwortlichen oder eines Dritten

70

Ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit. f DSGVO ist jedes (rechtliche, wirtschaftliche oder ideelle) Interesse, das von der Rechtsordnung nicht missbilligt wird.102 Das BVerwG verlangt in diesem Zusammenhang, dass die Interessen schutzwürdig und objektiv begründbar sein müssen.103

71

Die Erwägungsgründe 47–49 enthalten einige Beispiele für berechtigte Interessen i.S.d. Art. 6 Abs. 1 lit. f DSGVO:

 – Verhinderung von Betrug,

 – Direktwerbung,

 – Verarbeitung personenbezogener Daten innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten,104

 – Verarbeitung personenbezogener Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT, beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten zur Gewährleistung der Netz- und Informationssicherheit.105

72

Diese Aufzählung ist freilich nicht abschließend. Grundsätzlich kann insoweit auch auf die bereits zu § 28 Abs. 1 S. 1 Nr. 2 BDSG a.F. bzw. Art. 7 lit. f der Datenschutzrichtlinie 95/46/EG gebildeten Fallgruppen zurückgegriffen werden, da Art. 6 Abs. 1 lit. f DSGVO die entsprechende Regelung der Datenschutzrichtlinie 95/46/EG in Art. 7 lit. f übernimmt.106 Als berechtigte Interessen kommen daher z.B. auch in Betracht:107

 – Verarbeitung von Kundendaten im Rahmen von CRM-Systemen,108

 – Verarbeitung personenbezogener Daten im Rahmen einer Funktionsübertragung,109

 – Verarbeitung personenbezogener Daten zu Compliance-Zwecken,

 – Durchführung einer Due Diligence,

 – Verarbeitung personenbezogener Daten für etwaige Rückrufaktionen,

 – Bonitätsprüfungen von (zukünftigen) Kunden,110

 – Unternehmensübergang,

 – Forderungsabtretung,

 – Warnsysteme (unternehmensintern und innerhalb von Branchen, z.B. der Banken- und Versicherungsbranche).

73

Infolge des Wegfalls zuvor im BDSG a.F. enthaltener Spezialregelungen richtet sich aber auch die datenschutzrechtliche Zulässigkeit der Videoüberwachung öffentlich-zugänglicher Räume,111 des Adresshandels und der geschäftsmäßigen Datenerhebung und -speicherung zum Zwecke der Übermittlung – also des Datenhandels –112 i.d.R. nach Art. 6 Abs. 1 lit. f DSGVO. So liegt auch in diesen Fällen i.d.R. ein berechtigtes Interesse vor.113

74

Nach dem ausdrücklichen Wortlaut von Art. 6 lit. f DSGVO ist es unerheblich, ob ein solches berechtigtes Interesse auf Seiten des Verantwortlichen für die Datenverarbeitung oder auf Seiten eines Dritten besteht.

b) Erforderlichkeit einer Datenverarbeitung zur Wahrung der berechtigten Interessen

75

Zweite Voraussetzung dafür, dass eine Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, ist, dass die (geplante) Datenverarbeitung erforderlich zur Wahrung des jeweiligen berechtigten Interesses ist. Dies ist der Fall, wenn die Datenverarbeitung hierfür objektiv geboten ist.114 Der EuGH hat in diesem Zusammenhang noch zur „Vorgängervorschrift“ des Art. 7 lit. f Datenschutzrichtlinie 95/46/EG entschieden, dass sich die Verarbeitung auf das absolut Notwendige beschränken müsse. Mithin sei zu prüfen, ob das berechtigte Interesse vernünftigerweise ebenso wirksam mit weniger in die Grundrechte und Grundfreiheiten der betroffenen Person, vor allem nach Art. 7 und 8 GRCh, eingreifenden Mitteln erreicht werden könne.115

c) Keine überwiegenden Interessen/Rechte der betroffenen Person am Ausschluss der Datenverarbeitung

76

Schließlich ist die Verarbeitung personenbezogener Daten zu Zwecken der Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten aber nur dann zulässig, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

77

Mithin erfordert Art. 6 Abs. 1 lit. f DSGVO eine Abwägung zwischen dem berechtigten Interesse des Verantwortlichen bzw. des Dritten auf der einen Seite und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, auf der anderen Seite. Aus dem Wortlaut der Vorschrift ergibt sich im Hinblick auf die Interessenabwägung Folgendes:

 – Die Regel besteht darin, dass die Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zulässig ist, wenn sie zur Wahrung eines berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist. Nur im Ausnahmefall ist sie unzulässig: wenn die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.116

 – Die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, müssen das berechtigte Interesse des Verantwortlichen/des Dritten überwiegen. Wiegen also die Interessen auf beiden Seiten gleich schwer, ist die Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO zulässig.117

78

Welche Umstände bei der Interessenabwägung auf Seiten der betroffenen Personen zu berücksichtigen sind, bemisst sich nach dem jeweiligen Einzelfall.

79

Jedenfalls sind nach Erwägungsgrund 47 DSGVO die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen. Je „näher“ die Beziehung der betroffenen Person zu dem Verantwortlichen ist, desto eher überwiegen die berechtigten Interessen des Verantwortlichen. So besagt Erwägungsgrund 47 DSGVO nach hier vertretener Auffassung, dass eine Datenverarbeitung z.B. auf Basis von Art. 6 Abs. 1 lit f. DSGVO zulässig sein kann, wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.

80

Insbesondere sind nach dem Erwägungsgrund 47 DSGVO aber auch die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen, also ob die betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Kann die betroffene Person dies, spricht das eher für die Zulässigkeit der Datenverarbeitung; kann die betroffene Person das nicht, spricht dies eher gegen die Zulässigkeit der Datenverarbeitung.118 Mithin kommt der Transparenz auch an dieser Stelle eine wichtige Bedeutung zu.119

81

Die Aufzählung von Faktoren im Erwägungsgrund 47 DSGVO ist aber nicht abschließend. So sind gem. Art. 6 Abs. 1 lit. f DSGVO auch die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, im Rahmen der Interessenabwägung zu berücksichtigen. So wirken die Grundrechte nach der EU-Grundrechtecharta hier ausnahmsweise auch in privatrechtliche Verhältnisse hinein.120 Damit sind im Rahmen der Interessenabwägung insbesondere auch Art. 7 und 8 GRCh zu berücksichtigen.

82

Weitere Umstände, die bei der Interessenabwägung ggf. zu berücksichtigen sein können, sind z.B.:121

 – allgemeine Zugänglichkeit oder nicht öffentliche Zugänglichkeit der zu verarbeitenden Daten,122

 – Diskriminierungspotenzial/Sensibilität der zu verarbeitenden Daten,

 – Zugehörigkeit der Daten zur „privaten“ oder zur „beruflichen“ Sphäre der betroffenen Person,

 – wirtschaftliches Interesse der betroffenen Person am Ausschluss der Datenverarbeitung,

 – Stärke des berechtigten Interesses des Verantwortlichen/des Dritten,

 – Stärke der entgegenstehenden Interessen bzw. Rechte der betroffenen Person,123

 – Alter und Erfahrenheit der betroffenen Person; so sind bei Kindern besonders strenge Maßstäbe anzulegen,

 – Art der verarbeiteten Daten,124

 – Modalitäten der Verarbeitung, wie die Zugriffsmöglichkeiten auf die verarbeiteten Daten.125

83

Die Interessenabwägung ist dabei nach hier vertretener Ansicht nicht aus subjektiver Sicht des Verantwortlichen, sondern aus objektiver Sicht vorzunehmen126 – allerdings auf Basis der Erkenntnismöglichkeiten des Verantwortlichen.127 Dabei ist darauf zu achten, dass die Interessenabwägung mit der notwendigen Seriosität durchgeführt wird, da die Zulässigkeit der Datenverarbeitung durch Art. 6 Abs. 1 lit. f DSGVO nicht (quasi) in das Belieben des Verantwortlichen gestellt werden darf.128 Die Datenverarbeitung ist zulässig, wenn kein Grund zu der Annahme besteht, dass die Interessen der betroffenen Person am Ausschluss der Verarbeitung überwiegen.129

84

Unklar ist, ob im Rahmen von Art. 6 Abs. 1 lit. f DSGVO nur eine summarische, typisierte Abwägung erforderlich ist oder ob (im Hinblick auf jede einzelne betroffene Person) eine dezidierte und umfassende Einzelfallbetrachtung zu erfolgen hat, bei der die (konkreten) Interessen und Erwartungen der einzelnen von der Datenverarbeitung betroffenen Person zu berücksichtigen sind.130

85

Auch wenn der Wortlaut von Art. 6 Abs. 1 lit. f DSGVO wohl eher für eine solche Einzelfallbetrachtung spricht, muss diese Anforderung – gerade wenn viele Personen von derselben Datenverarbeitung betroffen sind – nach hier vertretener Ansicht pragmatisch eher im Sinne einer summarischen, typisierten Abwägung betrachtet werden.131 Mithin hat in solchen Fällen i.d.R. eine Abwägung zwischen den berechtigten Interessen des Verantwortlichen bzw. eines Dritten einerseits und den objektivierten, regelmäßigen Interessen/Belangen der betroffenen Personen andererseits zu erfolgen.132 So wäre eine derartige Einzelfallprüfung wie sie oben beschrieben wird – wenn viele betroffene Personen von demselben Sachverhalt erfasst sind133 – mit erheblichem und in der Praxis nur sehr selten vertretbarem Aufwand durchzuführen. Dies würde wiederum dazu führen, dass Art. 6 Abs. 1 lit. f DSGVO in der Praxis (in vielen Fällen) faktisch ins Leere liefe.134 Dies kann jedoch auch vom Verordnungsgeber nicht gewollt sein, der gem. Art. 1 Abs. 1 DSGVO nicht nur natürliche Personen bei der Verarbeitung ihrer Daten, sondern auch den freien Verkehr personenbezogener Daten schützen will. Für diese Auffassung sprechen dann auch Erwägungsgrund 47 S. 1 („vernünftige Erwartungen der betroffenen Personen“)135 sowie die systematische Auslegung der DSGVO. So hat die betroffene Person nach Art. 21 Abs. 1 DSGVO das Recht, bei Vorliegen besonderer Gründe der Verarbeitung ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zu widersprechen.136 Somit stellt dieses Recht sicher, dass auch die Interessen der betroffenen Person im atypischen Einzelfall gewahrt werden.

86

Handelt es sich bei einer betroffenen Person um ein Kind, ist jedenfalls nach Art. 6 Abs. 1 lit. f a.E. DSGVO eine (besonders) gründliche Interessenabwägung vorzunehmen.

87

Verantwortlich für die Durchführung der Interessenabwägung ist der Verantwortliche. Verarbeitet ein Verantwortlicher personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, trägt er das „Irrtumsrisiko“, dass etwa ein mit der Angelegenheit befasstes Gericht bei der Interessenabwägung zu einem anderen Ergebnis kommt und entscheidet, dass eine Datenverarbeitung nicht auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann.137

Praxishinweis

In der Rechtsprechung und in den Stellungnahmen der Datenschutzaufsichtsbehörden werden sich schnell immer weitere Fallgruppen mit Datenverarbeitungsaktivitäten bilden, die auf Art. 6 Abs. 1 lit. f DSGVO bzw. eben nicht auf diese Erlaubnisvorschrift gestützt werden können. Möchte ein Unternehmen personenbezogene Daten auf dieser Rechtsgrundlage verarbeiten, ist diesem dringend zu empfehlen, zuvor zu prüfen, ob und unter welchen Voraussetzungen es anerkannt ist, dass die entsprechende Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Ganz generell sollte die Interessenabwägung aus Nachweisgründen und zur Erfüllung der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO dokumentiert werden.

Standpunkte der deutschen Datenschutzaufsichtsbehörden und des Europäischen Datenschutzausschusses

88

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat einen Beschluss getroffen, inwiefern Kundendaten im Rahmen von Asset Deals an den Erwerber auf Basis von Art. 6 Abs. 1 S. 1 lit. f i.V.m. Abs. 4 DSGVO übertragen werden dürfen, und hierzu Fallgruppen gebildet.138 Auch wenn dieser Beschluss nicht rechtsverbindlich ist, sollten Unternehmen diesen – soweit möglich – im Fall von Asset Deals zur Vermeidung etwaiger Haftungsrisiken zumindest berücksichtigen.

88a

Der Europäische Datenschutzausschuss hat sich zudem im Zusammenhang mit Art. 25 DSGVO („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) zur Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO geäußert. So nennt er in seinen Guidelines 4/2019 on Article 25 Data Protection by Design and by Default u.a. das Vorhandensein von Maßnahmen und Schutzvorkehrungen („measures and safeguards“), um die negativen Auswirkungen der Datenverarbeitung auf Basis berechtigter Interessen für die betroffenen Personen abzumildern, als ein mögliches Schlüsselelement zur Erfüllung der Pflichten nach Art. 25 DSGVO.139

Achtung

Die betroffene Person hat unter bestimmten Voraussetzungen das Recht, gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung ihrer Daten, die auf Basis von Art. 6 Abs. 1 lit. f DSGVO erfolgt, einzulegen. Ein solcher Widerspruch kann ggf. zur Folge haben, dass der Verantwortliche die davon betroffenen Daten nicht mehr verarbeiten darf. Siehe ausführlich hierzu Kap. 6 Rn. 568ff., insbesondere auch zu den insoweit bestehenden Informationspflichten und zu weiteren Modalitäten.