litres-logo
Lekka lektura
Poważna lektura
Historia
Książki biznesowe
Wiedza i umiejętności
Psychologia, motywacja
Sport, zdrowie, uroda
Hobby, rozrywka
Dom, dacza
Książki dla dzieci
Dla rodziców
Publicystyka i czasopisma
Ekskluzywne
Szkice
Darmowe książki
Wszystkie 142 gatunki

Czytaj książkę: «DSGVO - BDSG - TTDSG», strona 41

Czcionka:

b) Verarbeitung einer E-Mail-Adresse

67

Bittet ein Interessent ausdrücklich um Zusendung eines digitalen Katalogs an seine E-Mail-Adresse zur Information über Produkte oder Dienstleistungen, über die möglicherweise ein Vertrag geschlossen wird, so ist die Speicherung der E-Mail-Adresse erforderlich, um die elektronische Zusendung möglich zu machen. Diese Verarbeitung ist auf Buchstabe b zu stützen, weil dadurch die von der betroffenen Person veranlasste vorvertragliche Maßnahme der Zusendung möglich ist (siehe Rn. 56). Eine Einwilligung in die Speicherung und Nutzung der E-Mail-Adresse ist dafür nicht erforderlich. Kommt es dann in der Folge zu einem Vertragsschluss, bei dem die Erfüllung nicht elektronisch an die E-Mail-Adresse der betroffenen Person erfolgt, dann dürfen die für die Vertragsabwicklung erforderlichen Daten wie Datum des Vertragsschlusses, Angaben zum Vertragsgegenstand, ggf. Postanschrift für eine Warenzustellung, Zahlungsfrist, Zahlungsweise ggf. mit Kreditkarten- oder Kontoangaben und Zahlungsweise ebenfalls aufgrund der Erlaubnis aus Buchstabe b – also ohne Einwilligung – gespeichert werden, solange dieses erforderlich ist.

68

Nach erfolgter elektronischer Zusendung eines digitalen Katalogs entfällt die Erforderlichkeit und somit auch die Erlaubnis einer weiteren Speicherung der E-Mail-Adresse. Die E-Mail-Adresse ist für den Vertragszweck der Erfüllung beispielsweise durch die Herstellung eines Gegenstands, der Überlassung zur Miete oder Pacht oder der Übereignung beim Kauf nicht mehr erforderlich. Sie könnte aber für Zwecke des Direktmarketings nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO weiter gespeichert werden. Die Ansprache über diesen elektronischen Kommunikationskanal dürfte wegen der damit verbundenen Belästigung nach § 7 Abs. 2 Nr. 3 UWG nur aufgrund einer ausdrücklichen wettbewerbsrechtlichen Einwilligung erfolgen. Nach Vertragsschluss wäre eine Ansprache unter Verwendung der „elektronischen Post“ lauterkeitsrechtlich nur dann zulässig, wenn die kumulativen Bedingungen des § 7 Abs. 3 UWG erfüllt sind und eine unzumutbare Belästigung damit ausgeschlossen werden kann. Auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO dürfte die Verarbeitung dann also nicht allein gestützt werden.

c) Übermittlung an Dritte zur Vertragserfüllung

69

Die Übermittlung von Kundendaten an Dritte ist gem. Buchstabe b dann zulässig, wenn nur dadurch die Vertragspflichten erfüllt werden können. Das ist etwa dann der Fall, wenn eine Ware gekauft wird, die beim Hersteller nach den vertraglichen Spezifikationen hergestellt und von diesem direkt an den Käufer bzw. Auftraggeber geschickt werden soll. Auch ein Reisebüro muss die Daten des buchenden Kunden an die Fluggesellschaft und das Hotel senden, um die Leistung dort zu reservieren. Die Übermittlung ist nach Art. 49 Abs. 1 lit. b DSGVO selbst in ein Drittland dann erlaubt, wenn es weder einen Angemessenheitsbeschluss (Art. 45 Abs. 3 DSGVO) noch eine sonstige Garantie nach Art. 46 DSGVO gibt.

d) Auslegung des Begriffs „Vertrag“

70

Der Normtext nennt als Erlaubnistatbestand neben der „Durchführung vorvertraglicher Maßnahmen“ die Erforderlichkeit der Verarbeitung zur „Erfüllung eines Vertrages“. Auch ErwG 44 stellt auf die „Erfüllung“ ab: „Die Verarbeitung von Daten sollte als rechtmäßig gelten, wenn sie für die Erfüllung oder den geplanten Abschluss eines Vertrags erforderlich ist.“ Damit kann nicht nur das Erfüllungsgeschäft gemeint sein, sondern auch das Verpflichtungsgeschäft sowie Änderungs- und Aufhebungsverträge oder die Abwicklung des Vertragsverhältnisses etwa bei einer Anfechtung, Kündigung oder sonstigen Ausübung eines Gestaltungsrechts. Mangels eines unionseinheitlichen schuldrechtlichen Verständnisses von „Vertrag“ kann es bei dieser Auslegung keine Orientierung an einer verordnungskonformen Auslegung geben. Die Besonderheiten des deutschen Abstraktionsprinzips schlagen hier bei der Auslegung durch. Das Ergebnis kann daher nur so lauten, dass jede erforderliche Datenverarbeitung, die in Zusammenhang mit einem Vertragsverhältnis und seinen Haupt- und Nebenpflichten steht, von der Erlaubnis nach Buchstabe b erfasst ist.107

71

Im Normtext wird auch nur der Vertrag, also zwei- oder mehrseitige Schuldverhältnisse, erwähnt. Datenverarbeitungen, die im Zusammenhang mit einer Auslobung als einem einseitigen Schuldverhältnis stehen, wären jedoch auch erfasst, wenn sich etwa aufgrund einer Auslobung Personen bei dem Auslobenden melden oder anmelden und ihre Daten sodann elektronisch verarbeitet werden.108 Auch einseitig verpflichtende (unentgeltliche) Verträge wie die nach Registrierung kostenlose Nutzung von Internetdiensten (Dienste der Informationsgesellschaft) werden erfasst. Eine Sonderregelung mit einem Erlaubnistatbestand für Beschäftigungsverhältnisse findet sich in § 26 BDSG, den der deutsche Gesetzgeber aufgrund der Öffnungsklausel des Art. 88 DSGVO schaffen durfte (siehe § 26 BDSG).

e) Einbeziehung von Daten Dritter

72

Die betroffene Person muss Vertragspartei sein oder durch eine Anfrage Anlass für die vorvertragliche Maßnahme gegeben haben. Denkbar und zulässig ist es aber auch, wenn eine betroffene Person einen Vertrag für einen Dritten (mit) schließt. So kann die Buchung einer Urlaubsreise über ein Online-Reisebüro auch die Angabe der Daten von Mitreisenden mit umfassen. Auch kann ein Beförderungsvertrag für einen Dritten abgeschlossen werden, dessen Name dann anzugeben ist, wenn dieser Rabatte in Anspruch nimmt, beispielsweise bei der Buchung einer Bahnfahrt unter Berücksichtigung einer Bahncard-Ermäßigung, weil die Berechtigung zu überprüfen ist.109 Bei der Angabe einer Versandadresse kann auch der Name beispielsweise eines Nachbarn angegeben werden, bei dem die Ware zugestellt werden soll.

f) Verarbeitung zu vertraglichem Sekundärzweck

73

Zu prüfen ist, ob mit dem Primärzweck der Datenverarbeitung im Vertragskontext auch Sekundärzwecke i.S. des Absatzes 4 verfolgt werden dürfen. Dazu gehört etwa die Übermittlung der fälligen, angemahnten und nicht ausgeglichenen Forderung an ein Inkassounternehmen.110 Wenn die vereinbarte Gegenleistung nicht erbracht ist, darf diese Datenverarbeitung zur Durchsetzung des Anspruchs erfolgen. Der Vertragszweck ist erst erfüllt, wenn die vertraglichen Leistungen beider Seiten erfüllt sind, was bei Nichterfüllung auch Datenverarbeitungen einschließt, die anerkanntermaßen zur Durchsetzung eines Anspruchs erforderlich sind.111

74

Wenn allerdings der Schuldner seine Zahlungsverpflichtungen vertragsgemäß erfüllt, kann der Darlehensgeber, der seine Darlehensforderungen an einen Dritten zediert, die Übermittlung der Daten des Darlehensnehmers nicht auf Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO stützen. Dieser Vorgang dient nicht der Durchsetzung von Leistungspflichten des Darlehensnehmers aus dem Vertrag, sondern hat die Realisierung des in der Forderung liegenden Vermögenswertes zum Gegenstand.112

3. Rechtliche Verpflichtung (lit. c)
a) Vorgängervorschriften in DSRl und BDSG a.F.

75

Bereits in Art. 7 lit. c DSRl fand sich ein wörtlich identischer Erlaubnistatbestand,113 nach dem die Verarbeitung dann erlaubt ist, wenn sie der Erfüllung einer den Verantwortlichen treffenden rechtlichen Verpflichtung dient. Diese Regelung wurde mit § 4 Abs. 1 BDSG a.F. in nationales Recht transformiert. Danach war die Erhebung, Verarbeitung und Nutzung personenbezogener Daten dann zulässig, soweit das BDSG a.F. oder eine andere Rechtsvorschrift dies erlaubte oder anordnete. Die „Anordnung“ war als „rechtliche Verpflichtung“ zu verstehen gewesen. Eine „Erlaubnis“ reicht für eine Legitimation nach Buchstabe c nicht mehr aus; vielmehr wird hiernach eine „rechtliche Verpflichtung“ verlangt, sodass Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO insoweit strenger als seine Vorgängernorm ist, wenn man die Möglichkeit des Ausweichens auf einen anderen Erlaubnistatbestand wie die aus Buchstabe e oder f außer Betracht lässt.

b) Rechtliche Verpflichtungen aus Unionsrecht oder dem Recht der Mitgliedstaaten

76

Den Mitgliedstaaten eröffnet sich mit Buchstabe c die Möglichkeit, Rechtspflichten durch mitgliedstaatliche Gesetze beizubehalten oder zu schaffen, die eine Rechtspflicht zur Datenverarbeitung vorsehen. Die näheren Voraussetzungen dafür werden in den Absätzen 2 und 3 geregelt (siehe Rn. 153ff.). In diesen spezifischen Bestimmungen dürfen aber keine sonstigen datenschutzrechtlichen Regelungen enthalten sein, wenn nicht eine Öffnungsklausel aus einer anderen Vorschrift der DSGVO dieses zulässt; es folgt aus der spezifischen Bestimmung allein die rechtliche Verpflichtung zur Verarbeitung. Über die Normierung einer Rechtspflicht zur Datenverarbeitung hinaus ergeben sich die datenschutzrechtlichen Anforderungen insoweit weiterhin aus der DSGVO.114

77

Die rechtliche Verpflichtung muss sich gemäß Absatz 3 Satz 1 aus dem Unionsrecht oder aus dem Recht eines Mitgliedstaates ergeben, dem der Verantwortliche unterworfen ist. Die Anforderungen an die spezifischen Bestimmungen, aus denen sich die Rechtspflicht ergibt, werden in Art. 6 Abs. 2 und 3 DSGVO näher beschrieben (Rn. 153ff.). Insofern kann sich eine Erlaubnis zur Verarbeitung personenbezogener Daten nicht allein aus Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO ergeben, sondern nur aufgrund dieser Vorschrift im Zusammenhang mit einer zur Datenverarbeitung verpflichtenden Rechtsvorschrift der Union oder eines Mitgliedstaates, dem der Verantwortliche unterworfen ist (Konkretisierungsermächtigung).115

78

Eine rechtliche Verpflichtung kann sich – wie auch unter der DSRl – aus allen verfassungsmäßigen Regelungen mit normativem Charakter ergeben, wozu alle Gesetze im materiellen Sinn zählen.116 Nicht nur aus Bundesgesetzen sowie aus den Parlamentsgesetzen der Bundesländer können sich rechtliche Verpflichtungen ergeben, sondern auch aus sich auf gesetzliche Ermächtigungen stützende Verordnungen117 sowie aus Satzungen einer Körperschaft, einer Stiftung oder einer Anstalt (siehe auch ErwG 41). Satzungen können allerdings nur rechtliche Verpflichtungen zur Verarbeitung der Daten ihrer Mitglieder vorsehen. Verwaltungsvorschriften wirken nur innerhalb der öffentlichen Verwaltung ohne Außenwirkung, sodass sich aus ihnen ebenso wenig wie aus Erlassen oder Richtlinien eine rechtliche Verpflichtung ergeben kann. Aus rechtsgeschäftlichen Verpflichtungen zur Verarbeitung folgt keine Erlaubnis nach Buchstabe c;118 hierfür kann Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO eine Erlaubnis enthalten.

79

Rechtliche Verpflichtungen, nach denen nicht im privaten, sondern im öffentlichen Interesse119 eine Verarbeitung auf der Grundlage der Erlaubnis nach Buchstabe c erfolgen darf, gibt es zahlreiche.120 Liegt eine gesetzliche Verpflichtung vor, verwandelt sich das Prinzip des Verbots mit Erlaubnisvorbehalt (siehe Rn. 4) in ein Gebot zur Datenverarbeitung unter Berücksichtigung datenschutzrechtlicher Implikationen. Erwähnt sei nur die Verpflichtung von Arbeitgebern, personenbezogene Daten von Beschäftigten an Sozialversicherungsträger zu übermitteln, von öffentlichen Stellen, über Honorarzahlungen Kontrollmitteilungen an Finanzbehörden zu senden und Zahlungen von Spendern und Sponsoren zur Veröffentlichung an Transparenzregister zu melden,121 von Unternehmen, Daten für Zwecke des Terrorlistenabgleichs zu verarbeiten;122 von Aktiengesellschaften, Daten von Aktionären etwa für Zwecke der Durchführung einer Hauptversammlung zu verarbeiten;123 die Daten der Halter von LKW, die mautpflichtig Bundesautobahnen und bestimmte Bundesstraßen befahren, werden nach §§ 3, 7 des Gesetzes über die Erhebung von streckenbezogenen Gebühren für die Benutzung von Bundesautobahnen und Bundesstraßen (BFStrMG) erfasst.124 Aufgrund einer EU-Verordnung125 sind Daten über die CO2-Emissionen von ab dem 1.1.2021 neu zugelassenen PKW mit fahrzeuginternen Überwachungseinrichtungen für den Kraftstoff- und/oder Stromverbrauch (On-Board Fuel Consumption Metering, OBFCM) zusammen mit der Fahrzeugidentifikationsnummer (FIN) zu erheben und von Herstellern bzw. Vertragshändlern, Werkstätten oder Technischen Überwachungseinrichtungen ab dem Jahr 2022 jeweils zum 1.4. an die Kommission zu übermitteln (Art. 9 Abs. 1 Hs. 1 DurchfVO 2021/392). Eine angestrebte Anonymisierung der Daten ist noch nicht realisiert. Die Fahrzeughalter können der On-Board-Erhebung und der Verarbeitung durch die genannten Verantwortlichen (Art. 11 Abs. 1 DurchfVO 2021/392) aber widersprechen (Art. 9 Abs. 1 Hs. 2 DurchfVO 2021/392).126

80

Wertpapierdienstleistungsunternehmen unterliegen seit der Einführung des § 83 WpHG,127 der Art. 16 Abs. 7 MiFID II umsetzt, verschärften Pflichten zur Aufzeichnung von Telefongesprächen und elektronischer Kommunikation hinsichtlich der beim Handel für eigene Rechnung getätigten Geschäfte und der Erbringung von Dienstleistungen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen. Diese dem Schutz von Anlegern und Verbrauchern dienende wertpapierhandelsrechtliche Aufzeichnung von Daten hat zweifelsfrei datenschutzrechtliche Bezüge.128 Beide europäischen Gesetze, DSGVO und MiFID II, stehen auf gleicher Hierarchieebene. Keine Vorschrift verdrängt die andere. Art. 78 MiFID II betont, dass ihre Vorschriften im Einklang mit der DSGVO stehen; gleichwohl sind beide Regelwerke für sich autonom auszulegen. Aus Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO i.V.m. § 83 WpHG ergibt sich die Erlaubnis, die Aufzeichnungen vorzunehmen und zu dokumentieren. Die Erlaubnis hat zu berücksichtigen, dass die Verarbeitung nur erfolgen darf, soweit sie erforderlich ist. Aus § 83 Abs. 3 Satz 1 WpHG folgt, dass die Verarbeitung der Beweissicherung dient. Bei europarechtskonformer Auslegung des § 83 WpHG ist die Vorschrift im Lichte von Art. 16 Abs. 7 UAbs. 1 MiFID II weit auszulegen („zumindest“129 und „vollumfänglich“130), was mit der Pflicht zur Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO kollidieren könnte. Für den Wertpapierdienstleister folgt daraus eine Normenkollision131 und das Risiko, entweder sanktionsbedroht zu viele Daten aufzuzeichnen oder, ebenso bußgeldbedroht, zu wenige.132 Für die Praxis wird deshalb empfohlen, für die Erlaubnis der „vollumfänglichen“ Aufzeichnung eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO einzuholen.133 Wird die Einwilligung verweigert, dürfte das Wertpapierdienstleistungsunternehmen auf telefonischem oder elektronischem Weg keine Wertpapierdienstleistungen erbringen. Rechtsunsicher wäre es wohl, den Kunden nur über die Aufzeichnung zu informieren und bei fehlendem Widerspruch von der Zustimmung auszugehen. Im Ergebnis zeigt sich, dass „die regulatorische Abstimmung zwischen der MiFID II bzw. dem WpHG und der DSGVO nicht vollständig gelungen“ ist.134

81

Eine rechtliche Verpflichtung, die zu einer Erlaubnis der Verarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO führt, kann sich auch aus der DSGVO – also mitgliedstaatlichem Recht i.S.v. Art. 6 Abs. 3 DSGVO – selbst ergeben.135 Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen“ zur Gewährleistung eines angemessenen Schutzniveaus zu treffen. Art. 32 DSGVO verpflichtet allerdings nicht unmittelbar zu einer Verarbeitung, um die rechtliche Pflicht zu erfüllen; eine explizite Verpflichtung zur Nennung der Datenverarbeitung kennt die Norm ebenso wenig wie der ErwG 45, der die Anforderungen an die Erlaubnis aus Buchstabe c konkretisiert. Orientiert man sich an einer Entscheidung des VGH Mannheim,136 dann enthält auch § 99 VwGO eine rechtliche Verpflichtung, die datenschutzrechtlich die Verarbeitung erlaubt; denn danach sind Behörden „zur Vorlage von Urkunden oder Akten, zur Übermittlung elektronischer Dokumente und zu Auskünften verpflichtet“, ohne dass ausdrücklich eine elektronische Vorlage von personenbezogene Daten enthaltenden Dokumenten erwähnt wird. Ein Aktenvorlageverlangen stellt damit eine rechtliche Verpflichtung dar, die datenschutzrechtlich (neben Buchstabe e auch) nach Buchstabe c zulässig ist. Ist hier, in der rechtlichen Verpflichtung nach § 99 VwGO, keine ausdrückliche Verpflichtung zu einer Datenverarbeitung enthalten, so gilt das auch für Art. 32 DSGVO. Eine „Spezifizierung zu den Arten der Daten oder der Verarbeitung selbst“ muss die Vorschrift, aus der sich eine rechtliche Verpflichtung ergibt, nicht enthalten.137 Art. 32 Abs. 1 lit. a DSGVO sieht in dem hier genannten Regelbeispiel im Übrigen eine Pseudonymisierung vor, die nach der Definition in Art. 4 Nr. 5 DSGVO eine „Verarbeitung“ darstellt. Erfordert die Gewährleistung eines angemessenen Schutzniveaus nach Art. 32 DSGVO eine Datenverarbeitung, so dürfte für diesen Zweck auch eine Verarbeitung personenbezogener Daten vorgenommen werden.138

82

Ein rechtlicher Betreuer kann sich bei der von ihm vorgenommenen Verarbeitung personenbezogener Daten der von ihm betreuten, nicht einsichtsfähigen Person, die für die Wahrnehmung seiner Aufgaben erforderlich sind, auf Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO als Erlaubnistatbestand stützen. Die Vertretung des Betroffenen durch den Betreuer nach § 1902 BGB stellt eine rechtliche Verpflichtung i.S.d. Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO dar.139 Darüber hinaus kann der rechtliche Betreuer auch für den Betreuten trotz der Höchstpersönlichkeit der Einwilligungserklärung Einwilligungen in die Datenverarbeitung durch Dritte erteilen. Dieser Aspekt wird künftig durch den Einsatz von Pflegerobotern, die etwa durch Sensoren personenbezogene Daten – auch besonderer Arten personenbezogener Daten (Gesundheitsdaten) – an Bedeutung zunehmen, in deren Verarbeitung der rechtliche Betreuer einwilligen muss, wenn die Einwilligungsfähigkeit beim Betreuten nicht mehr gegeben ist.140

83

Auf die Erlaubnis aus Buchstabe c kann sich sowohl eine öffentliche wie auch eine nichtöffentliche Stelle berufen. Der Adressat der Verpflichtung muss sich aus einer Rechtsvorschrift ergeben, die gerade ihn und nicht etwa die betroffene Person141 zu einer Verarbeitung verpflichtet. Dass der Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO „vor allem die staatliche Datenverarbeitung“ oder „primär die Datenverarbeitung durch öffentliche Stellen“ betreffe und die hiernach erlaubte Datenverarbeitung eine „klassische Staatsaufgabe“ sei, ist ganz und gar unzutreffend.142 Vielmehr ist dieser Erlaubnistatbestand nicht ausschließlich, aber „vor allem für privatrechtliche Verantwortliche relevant, weil Behörden sich auf die Erlaubnis nach Buchstabe e berufen können“.143 Dann, wenn die Datenverarbeitung nicht dem Zweck der ihr zugewiesenen hoheitlichen Aufgabenerfüllung dient, kann sich für öffentliche Stellen eine Rechtspflicht zur Verarbeitung auch aus dem Buchstaben c ergeben (siehe die Beispiele bei Rn. 79).

c) Rechtliche Verpflichtungen in Kollektivvereinbarungen

84

Für die nichtöffentlichen Stellen sind der normative Teil der Tarifverträge und auch Betriebsvereinbarungen, für die § 4 Abs. 1 TVG und § 77 Abs. 4 Satz 1 BetrVG die normative Außenwirkung anordnet, sowie der eine Betriebsvereinbarung ersetzende Spruch der Einigungsstelle als Rechtsvorschrift (Gesetz im materiellen Sinne) grundsätzlich anerkannt, sodass sich aus ihnen rechtliche Verpflichtungen im Sinne des Buchstaben c ergeben können.144 Das Gleiche gilt entsprechend auch für Dienstvereinbarungen öffentlicher Stellen mit der Personalvertretung.145 In anderen Normen der DSGVO wie Art. 9 Abs. 2 lit. b DSGVO („Recht der Mitgliedstaaten oder einer Kollektivvereinbarung“) und Art. 88 Abs. 1 DSGVO („Rechtsvorschriften oder durch Kollektivvorschriften“) werden Kollektivvorschriften neben den Rechtsvorschriften erwähnt. Daraus kann nicht geschlossen werden, dass das Fehlen der ausdrücklichen Erwähnung von Kollektivvorschriften in Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO sich aus Kollektivvereinbarungen ergebende Rechtspflichten ausschließt.146 Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO erwähnt den Terminus „Rechtsvorschriften“ gar nicht, die die DSGVO in Art. 88 DSGVO neben den Kollektivvereinbarungen als „Vorschrift“ ansieht. In Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO ist nur die Rede davon, dass sich eine „rechtliche Verpflichtung“ ergeben muss; diese kann auch aus einer sowohl „Rechtsvorschriften“ als auch „Kollektivvereinbarungen“ begrifflich umfassenden „Vorschrift“, nämlich einem Gesetz im materiellen Sinn wie eben einer Kollektivvereinbarung, folgen.147

85

Aus ihnen können sich auch Verpflichtungen des Arbeitgebers ergeben, Beschäftigtendaten zu einem darin konkret vorgesehenen Zweck zu verarbeiten. § 26 Abs. 1 Satz 1 BDSG, der aufgrund der Öffnungsklausel des Art. 88 DSGVO die Verarbeitung von Beschäftigtendaten u.a. spezifisch regelt, bestimmt, dass personenbezogene Beschäftigtendaten zur Erfüllung der sich aus einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung, siehe ErwG 155 DSGVO) ergebenden Pflichten der Interessenvertretung der Beschäftigten verarbeitet werden dürfen. Sowohl den Arbeitgebern als auch den Interessenvertretungen der Beschäftigten wird damit die Verarbeitung von Beschäftigtendaten auch dann erlaubt, wenn dies aufgrund einer entsprechenden Pflicht aus der Kollektivvereinbarung erforderlich148 ist, die es zu erfüllen gilt.

86

Damit wird nun ausdrücklich klargestellt, was sich unter dem BDSG a.F. bereits aus der klarstellenden Rechtsprechung zu § 4 BDSG a.F. ergab. Das Bundesarbeitsgericht (BAG) hatte mehrfach festgestellt: „Soweit auf diese Weise [mittels Gesprächsaufzeichnung durch eine Telefonanlage zu Ausbildungszwecken auf der Grundlage einer Einigungsstellenentscheidung] personenbezogene Daten der Arbeitnehmer ... verarbeitet und genutzt werden, ist das zulässig“. Eine Betriebsvereinbarung darf datenschutzrechtliche Regelungen über die Erhebung und Verwendung von Arbeitnehmerdaten enthalten, wenn sich die Erlaubnisvorschrift im Rahmen der Regelungsautonomie der Betriebsparteien bewegt und diese die den Betriebsparteien etwa aus § 75 Abs. 2 BetrVG gezogenen Regelungsschranken nicht überschreitet. Dann ist sie „ein datenschutzrechtlich sinnvolles Regelungsinstrument“, das auch die Rechtssicherheit für die Beschäftigten wesentlich zu erhöhen vermag.

87

Bei der Gestaltung einer Kollektivvereinbarung haben die Tarifpartei der Arbeitnehmer und der Betriebsrat, der nach § 75 Abs. 2 BetrVG die Persönlichkeitsrechte der Arbeitnehmer zu schützen und zu fördern hat, bei der Abwägung der Interessen des Arbeitgebers mit denen der Arbeitnehmer besonders die Persönlichkeitsrechte der Arbeitnehmer zu würdigen. Es ist also von den Vertragsparteien der Betriebsvereinbarung stets der Schutzauftrag des § 75 Abs. 2 BetrVG zu berücksichtigen; auch in dieser Hinsicht ist das vom „Gesetzgeber“ zu beachtende Verhältnismäßigkeitsprinzip streng zu wahren, sonst wäre eine vom Arbeitgeber aus der Betriebsvereinbarung abgeleitete Erlaubnis schon deswegen unwirksam.149

DSGVO - BDSG - TTDSG
Tekst
0
Zostaw recenzję
1209,24 zł
Gatunki i tagi
Adwokatura
Ograniczenie wiekowe:
0+
Objętość:
4734 str. 7 ilustracje
ISBN:
9783800594207
Redaktor:
Wydawca:
Właściciel praw:
Bookwire
Format pobierania:
epub, fb2, fb3, ios.epub, mobi, pdf, txt, zip
Część serii "Kommunikation & Recht"
Wszystkie książki z serii

Z tą książką czytają

Круть
Ekskluzywny

Круть

Wiktor Pielewin
Audiobook z wersją tekstową
3,6
105