DSGVO - BDSG - TTDSG

Tekst

Książka w języku niemieckim

Z serii: Kommunikation & Recht

Recenzje

Przeczytaj fragment

Oznacz jako przeczytane

Jak czytać książkę po zakupie

Smartfon,
tablet Komputer,
laptop E-czytnik

Pobierz:
FB2
EPUB
iOS.EPUB
7 więcej

Rozmiar: 4740 str. 6 ilustracji
Kategoria: adwokatura Edytuj

Czcionka:Mniejsze АаWiększe Aa

d) Erforderlichkeit

Die Verarbeitung muss zur Erfüllung der rechtlichen Verpflichtung des Verantwortlichen auch erforderlich sein (ErwG 39). Das Erforderlichkeitsgebot impliziert, dass die Verarbeitung streng auf diejenigen Daten zu beschränken ist, die zur Erfüllung der Verpflichtung und zu dem sich aus der Verpflichtung ergebenden Zweck benötigt werden. Weitere Daten, die für den Verantwortlichen nützlich sein könnten und für einen anderen Zweck mit erhoben werden sollen, dürfen nicht nach Buchstabe c verarbeitet werden. Der Verarbeitungszweck muss sich aus der Verpflichtung präzise ergeben.150 Wenn die Verpflichtung auch dadurch erfüllt werden kann, dass anonyme Daten verarbeitet werden, ist eine Anonymisierung der Daten vorzunehmen.

Die rechtliche Verpflichtung kann vom Verantwortlichen auch „herbeigeführt“ werden. Gemeint ist damit, dass ihn eine Verpflichtung auch erst dann treffen kann, wenn er beispielsweise Entscheidungen trifft, bestimmte Maßnahmen oder Handlungen vorzunehmen, an die der Gesetzgeber dann Informationspflichten knüpft, die sich auch auf die Verarbeitung personenbezogener Daten beziehen. Beschließt ein Unternehmen betriebliche Maßnahmen, die die Bestellung einer Fachkraft für Arbeitssicherheit nach § 5 des Gesetzes über Betriebsärzte, Sicherheitsingenieure und andere Fachkräfte für Arbeitssicherheit (ASiG) erforderlich machen, dann kann die zuständige Behörde vom Arbeitgeber gem. § 13 ASiG verlangen, die zur Durchführung des Gesetzes erforderlichen Auskünfte zu erteilen und sich den Nachweis der Fachkunde der Fachkräfte für Arbeitssicherheit nach § 7 ASiG personenbezogen vorlegen lassen. Der Arbeitgeber ist selbstredend nicht verpflichtet, die unternehmerische Entscheidung für betriebliche Maßnahmen zu unterlassen, nur weil die Rechtspflichten zur Verarbeitung personenbezogener Daten zur Folge hätte, die ohne diese Maßnahme nicht eintreten würde.

Auch wenn sich in dem vorstehenden Beispiel aus dem ASiG keine ausdrückliche Verpflichtung ergibt, dass eine elektronische Verarbeitung der Daten bei der Dokumentation der Fachkunde durch den Arbeitgeber und der Auskunft über die Fachkunde gegenüber der zuständigen Behörde erfolgen muss, so ist vor dem Hintergrund elektronischer Personalakten unzweifelhaft erkennbar, dass die Dokumentation mittels einer elektronischen Datenverarbeitung erfolgt. Daher muss die eine Rechtspflicht enthaltende Norm zwar hinreichend klar regeln, dass personenbezogene Daten zu verarbeiten sind, aber sie muss nicht dazu verpflichten, dies in elektronischer Form zu tun.151 Im Übrigen würde auch eine analoge Personalaktenführung mit der Aufzeichnung von Qualifikationen von Beschäftigten in den Anwendungsbereich des Datenschutzrechts, hier: § 26 BDSG, fallen, weil § 26 Abs. 7 BDSG auch auf Daten anzuwenden ist, die nicht in einem Dateisystem erfasst werden oder werden sollen.

4. Lebenswichtige Interessen (lit. d)

Wenn es für den Schutz lebenswichtiger Interessen entweder der betroffenen Person oder einer anderen natürlichen Person erforderlich ist, dürfen aufgrund der Erlaubnis aus Buchstabe d personenbezogene Daten verarbeitet werden. In der Vorgängervorschrift des Art. 7 lit. d DSRl führte nur die Gefährdung des Betroffenen selbst, nicht die eines Dritten, zu einer Erlaubnis. Vernünftigerweise wurde mit der DSGVO eine Ausweitung des Interessenschutzes auch auf andere natürliche Personen, deren höchstpersönliche Rechtsgüter wie Leben und körperliche Unversehrtheit gefährdet sind, vorgenommen. Dabei gibt es dann allerdings keine Personenidentität zwischen gefährdeter Person und der betroffenen Person. Eine entsprechende Erlaubnisvorschrift für besondere Arten personenbezogener Daten, die ebenfalls die lebenswichtigen Interessen Dritter im Blick hat, findet sich in Art. 9 Abs. 2 lit. c DSGVO (siehe Art. 9 Rn. 22f.). „Lebenswichtige Interessen“ beziehen sich nicht nur auf das Risiko eines Todes, sondern auch auf andere Interessen am Schutz von höherwertigen Rechtsgütern wie der körperlichen Unversehrtheit oder auch der Menschenwürde als immaterielles Gut mit lebenswichtiger Funktion für die persönliche Freiheit.152

In Art. 9 Abs. 2 lit. c DSGVO ist Voraussetzung für eine Berufung auf diesen Erlaubnistatbestand, dass die betroffene Person selbst nicht erreichbar oder (aus körperlichen oder rechtlichen Gründen) nicht in der Lage ist, über ihr informationelles Selbstbestimmungsrecht selbst zu verfügen und die Verarbeitung durch eine informierte Einwilligung zu erlauben. Die entsprechende Anforderung muss auch für den Erlaubnistatbestand des Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO gelten.153 Um die lebenswichtigen Maßnahmen ergreifen und eine zum Schutz der betroffenen Person notwendige Verarbeitung vornehmen zu können, darf die Verarbeitung sogar gegen den Willen der betroffenen Person erfolgen, wenn dieser etwa aufgrund eines Ereignisses so in seiner Willensbildung beeinflusst ist, dass er unter anderen Umständen mit hoher Wahrscheinlichkeit anders entscheiden und in die Datenverarbeitung einwilligen würde.154 Das erhellt, dass die Entscheidung über die Verarbeitung keinen Aufschub duldet, wenn ein besonderes Risiko aufgrund einer andauernden Bedrohungslage objektiv eine Verarbeitung erforderlich macht, um die lebenswichtigen Interessen einer Person zu schützen.

Im ErwG 46 Satz 2 wird darauf hingewiesen, dass diese Vorschrift gegenüber anderen Vorschriften nachrangig ist und als „Auffangklausel“155 nur herangezogen werden soll, wenn die Verarbeitung „offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann“. Deshalb wird in der Praxis dieser Erlaubnistatbestand eine geringe Bedeutung haben, weil nichtöffentliche Stellen sich auf die Erlaubnis aus Buchstabe f (Abwägung) stützen könnten und öffentliche Stellen auf eine spezifische Vorschrift außerhalb der DSGVO oder auf eine Erlaubnis aus Buchstabe e berufen könnten.156

5. Öffentliches Interesse und Ausübung öffentlicher Gewalt (lit. e)
a) Erlaubnis in Verbindung mit einer Aufgabenzuweisung

Die Vorschrift in Buchstabe e, die ihren Ursprung in Art. 7 lit. e DSRl hat, ist für sich allein kein die Datenverarbeitung hoheitlicher Stellen oder hoheitliche Aufgaben wahrnehmender Stellen des Privatrechts legitimierender Erlaubnistatbestand.157 Er stellt vielmehr klar, dass die im öffentlichen Interesse erfolgenden hoheitlichen Aufgaben nur dann eine Verarbeitung personenbezogener Daten rechtfertigen, wenn dem Verantwortlichen durch Rechtsvorschrift eine öffentliche Aufgabe der Ordnungs-, Lenkungs- und Leistungsverwaltung übertragen wurde, zu deren Erfüllung die Verarbeitung personenbezogener Daten erforderlich ist,158 oder wenn nach der zweiten Alternative die Verarbeitung im öffentlichen Interesse erforderlich ist. Erforderlich bedeutet in diesem Kontext des Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO bei einem Eingriff in das Grundrecht auf Datenschutz (Art. 8 GRCh) bzw. das Informationelle Selbstbestimmungsrecht (Art. 2 Abs. 1 i.V.m. Art. 2 Abs. 1 GG), dass vor der Verarbeitung eine Überprüfung der Einhaltung des Erforderlichkeitsgrundsatzes vorzunehmen und dabei das Verhältnismäßigkeitsprinzip streng zu wahren ist (dazu ausführlich § 3 BDSG Rn. 28ff.).159 Gibt es andere oder weniger eingreifende Möglichkeiten zur Erfüllung der Aufgabe als durch Verarbeitung personenbezogener Daten, etwa durch Anonymisierung der Daten, ist diese Option zu wählen.160 Die Datenverarbeitung ist auf das unbedingt Notwendige zu beschränken.

Zunächst wird die öffentliche Hand zu prüfen haben, ob bei der von ihr geplanten und durchzuführenden Verarbeitung personenbezogener Daten die DSGVO anzuwenden ist.161 Ist das der Fall, ist in der DSGVO nach einer Erlaubnis zu suchen. Kommt Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO in Betracht, muss ergänzend eine Verbindung zu einer Rechtsvorschrift aus dem Fachrecht der Union oder – was die Regel sein dürfte – des Mitgliedstaates hergestellt werden, mit der Aufgaben und Befugnisse zugewiesen werden, auf die Buchstabe e Bezug nimmt: Die Aufgabe, zu deren Erfüllung die Verarbeitung erfolgt, muss entweder im öffentlichen Interesse162 oder zur Wahrnehmung einer Aufgabe in Ausübung einer dem Verantwortlichen übertragenen öffentlichen Gewalt erforderlich sein. Selbstredend darf dann eine Datenverarbeitung auch nur zu dem Zweck vorgenommen werden, der mit der gesetzlichen Aufgabenbeschreibung zugewiesen wurde. Außerdem sind die weiteren sich aus Absatz 3 ergebenden Anforderungen zu beachten.

Damit wird die Verarbeitungserlaubnis in das Fachrecht vornehmlich der Mitgliedstaaten verlagert, das datenschutzrechtliche Erlaubnistatbestände aufgrund der Öffnungsklausel des Art. 6 Abs. 1 UAbs. 1 lit. e i.V.m. den Absätzen 3 und 4 DSGVO vorsehen darf. Den Mitgliedstaaten eröffnet sich damit die Möglichkeit, in den von der Norm vorgegebenen Bereichen der Aufgabenerfüllung im öffentlichen Interesse und bei der Ausübung öffentlicher Gewalt fachspezifische Datenschutzvorschriften beizubehalten oder neu zu schaffen. Es ist aber nicht mehr, wie noch unter dem BDSG a.F., erforderlich, dass die „bereichsspezifische Erlaubnisnorm“ auch eine Regelung enthält, aus der erkennbar wird, dass der parlamentarische Gesetzgeber eine Abwägung des öffentlichen Interesses mit dem Recht auf informationelle Selbstbestimmung mit dem Ergebnis vorgenommen haben muss, dass das informationelle Selbstbestimmungsrecht zurückzutreten hat und die hoheitliche Datenverarbeitung zulässig ist.163 Es genügt nun, wenn im Fachrecht eine öffentliche Aufgabe zugewiesen wird, zu deren Erfüllung im öffentlichen Interesse oder in Wahrnehmung einer Aufgabe in Ausübung öffentlicher Gewalt die Datenverarbeitung erforderlich ist, und die Anforderungen der Art. 6 Abs. 3 und 4 i.V.m. Abs. 1 UAbs. 1 lit. e DSGVO beachtet werden.164 Gleichwohl bleibt zu berücksichtigen, dass Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO wie der § 3 BDSG in Verbindung allein mit einer Aufgabenzuweisung einer Tätigkeit, bei der die Verarbeitung personenbezogener Daten erforderlich ist, einen Eingriff in die Grundrechte der betroffenen Person nur legitimieren kann, wenn die Verarbeitung eine geringe Eingriffsintensität aufweist.165

§ 3 BDSG greift dies als mitgliedstaatliche Datenschutzvorschrift auf und erklärt jede Datenverarbeitung durch eine öffentliche Stelle für zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist. Wenn in § 3 BSDG der Wortlaut von Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO wiederholt wird, dann dient dies der Kohärenz und Verständlichkeit der Regelung, sodass die Wiederholung entsprechend ErwG 8 zulässig ist (vgl. § 3 BDSG Rn. 5). Soweit es fachspezifische Datenschutzregelungen gibt, die aufgrund einer Öffnungsklausel der DSGVO verabschiedet wurden und auch öffentlichen Stellen eine Verarbeitung personenbezogener Daten erlauben oder als fachspezifische Regelung außerhalb des Anwendungsbereiches der DSGVO über eine Aufgabenzuweisung hinaus datenschutzrechtliche Erlaubnistatbestände ausdrücklich enthalten, gehen sie dem § 3 BDSG vor (vgl. auch § 3 BDSG Rn. 13).

Damit ist der als „Generalklausel“166 bezeichnete § 3 BDSG tatsächlich aber für sich allein ebenfalls kein Erlaubnistatbestand, sondern muss mit einer mitgliedstaatlichen Norm verknüpft sein, die dem Verantwortlichen eine Aufgabe überträgt, zu deren Wahrnehmung die Verarbeitung personenbezogener Daten erforderlich ist.

b) Aufgabenwahrnehmung im öffentlichen Interesse

Als erste Alternative, für die die Wahrnehmung einer Aufgabe erforderlich ist, nennt die Vorschrift das öffentliche Interesse. Dieses liegt dann vor, wenn die Datenverarbeitung nicht im Einzelfall zur Befriedigung von Partikularinteressen erfolgt, sondern mit der Zuweisung von Aufgaben und Befugnissen als Bedingung für die Verarbeitung der personenbezogenen Daten ein allgemeines Interesse bedient wird, das gegenüber einem der Wahrung eines Datenschutzgrundrechts dienenden Verzichts der Verarbeitung höher zu bewerten ist. Generell gilt aufgrund der stets zu beachtenden allgemeinen Grundsätze des Art. 5 Abs. 1 DSGVO, dass die Erhebung und Weiterverarbeitung für festgelegte, eindeutige und legitime167 Zwecke erfolgen muss. Auch Art. 6 Abs. 3 UAbs. 2 Satz 2 DSGVO erwartet, dass der Zweck der Datenverarbeitung, die im öffentlichen Interesse erfolgen soll, einem legitimen Zweck dient. Letztlich wird auch an den Grundrechten der Art. 7 und 8 GRCh168 zu messen sein, ob eine Verarbeitung personenbezogener Daten legitim ist.169 Im ersten Referentenentwurf des BMI vom 5.8.2016 für das DSAnpUG-EU fand sich ein Katalog von 15 beispielhaft aufgeführten Aufgaben, die als im öffentlichen Interesse liegend angesehen wurden. Dieser Katalog wurde in den Regierungsentwurf nicht übernommen.

100

Ein Beispiel für eine auf Buchstabe e gestützte Datenverarbeitung im öffentlichen Interesse nennt das OVG Hamburg:170 Werden personenbezogene Daten in einem (elektronischen) Fahrtenbuch verarbeitet, so dient die Fahrtenbuchauflage nach § 31a Abs. 1 Satz 1 StVZO „der vorbeugenden Abwehr von Gefahren für die Sicherheit und Ordnung des Straßenverkehrs durch eine rasche Feststellung des Fahrzeugführers nach einer Zuwiderhandlung gegen Verkehrsvorschriften“. Ein weiteres Beispiel für eine Verarbeitung von Daten aufgrund eines öffentlichen Interesses ist die Durchführung von Online-Prüfungen an Hochschulen (Online-Proctoring), bei denen in erheblichem Umfang sensible Nutzungs- und Verhaltensdaten etwa von Studierenden erhoben und ausgewertet werden (Video-Aufnahmen auch von Ausweisen, Augenbewegungen und räumlichem Umfeld).171 Hier kann der Erlaubnistatbestand des Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO dann herangezogen werden, wenn sich das öffentliche Interesse an einer Verarbeitung zumindest aus einem Gesetz im materiellen Sinn ergibt und die Verhältnismäßigkeit gewahrt ist. Das OVG Schleswig-Holstein sieht es als ausreichend an, wenn etwa ein Landeshochschulgesetz alternativ auch „andere Prüfungsarten“ als Prüfungen in Präsenz vorsieht.172 In Betracht kommen aber auch Satzungen und Prüfungsordnungen der Hochschulen173 oder Corona-Verordnungen der Länder in Verbindung mit Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO als Erlaubnistatbestand.

101

Eine einheitliche Eingrenzung des Rechtsbegriffs des „öffentlichen Interesse“ innerhalb der EU und in ihren Mitgliedstaaten dürfte trotz aller Harmonisierungsbemühungen kaum zu erreichen sein. Der Begriff wird in den Mitgliedstaaten unterschiedlich weit ausgelegt und gelebt. ErwG 10 Satz 3 erkennt diesen Umstand auch an, wenn konzediert wird, dass „hinsichtlich der Verarbeitung personenbezogener Daten ... zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, ... die Mitgliedstaaten die Möglichkeit haben [sollten], nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen“. Typischerweise werden dies Vorschriften sein, die die öffentliche Sicherheit, finanzielle Interessen der Mitgliedstaaten und ihrer Volkswirtschaft, die Wahrung der Gesundheit und der sozialen Sicherheit berühren. Auch soweit die Partizipation von politischen Parteien am demokratischen Willensbildungsprozess und die Ausübung der Religionsfreiheit die Verarbeitung personenbezogener Daten erfordern, wird dies im öffentlichen Interesse liegen.174 Neben öffentlichen Stellen sind damit auch nichtöffentliche Stellen adressiert, die eine Datenverarbeitung im öffentlichen Interesse durchführen und dabei den Anforderungen der Absätze 3 und 4 entsprechen.175 Diese nichtöffentlichen Stellen, die im öffentlichen Interesse Daten verarbeiten, müssen auch keine Beliehenen sein;176 es muss aber eine im öffentlichen Interesse liegende Aufgabe durch Gesetz festgelegt sein und wahrgenommen werden.177

c) Aufgabenwahrnehmung in Ausübung öffentlicher Gewalt

102

Bei der zweiten Alternative der Wahrnehmung einer Aufgabe, die in Ausübung öffentlicher Gewalt erfolgt, müssen Hoheitsrechte gegeben sein, die einer öffentlichen Stelle, typischerweise Behörden, oder die nichtöffentlichen Stellen (Beliehene) übertragen wurden (vgl. § 3 BDSG Rn. 6). Der Begriff der „Ausübung öffentlichen Gewalt“ scheint nicht deckungsgleich zu sein mit dem Begriff der „Ausübung hoheitlicher Befugnisse“ wie er in Art. 49 Abs. 3 DSGVO und in ErwG 145 verwendet wird, der den Adressatenkreis enger zieht, als es bei Buchstabe e der Fall ist. Der Begriff der „öffentlichen Gewalt“ ist weder in der DSGVO noch sonst im Unionsrecht definiert. Der EuGH entschied in einem wettbewerbsrechtlichen Kontext, dass es sich um öffentliche Gewalt handelt, wenn es sich bei einer Tätigkeit um einen im Allgemeininteresse stehenden Auftrag handelt, der zu den wesentlichen Staatsaufgaben gehört.178 Weil die Ausübung öffentlicher Gewalt stets auch im öffentlichen Interesse erfolgt, werden die beiden Alternativen weitgehend deckungsgleich sein.179

d) Weitere Anforderungen

103

Wie bei dem Erlaubnistatbestand aus Buchstabe c sind weitere Anforderungen an diesen mit fachspezifischen Vorschriften verknüpften Erlaubnistatbestand in Absatz 3 enthalten. Anders als der Erlaubnistatbestand nach Buchstabe c hat Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO die hoheitlichen Aufgaben im Blick, die durch Behörden des Bundes, der Länder und Gemeinden, durch öffentlich-rechtliche Körperschaften oder durch Beliehene erfüllt werden (funktionaler Ansatz).180 Auszugehen ist von einer durch Gesetz beschriebenen und einer Behörde oder auch einer privatrechtlich organisierten Stelle als Verantwortlichem übertragenen hoheitlichen Aufgabe. Eine solche liegt nicht vor, wenn die öffentliche Stelle sich im Wettbewerb mit privaten Unternehmen befindet, selbst wenn diese privatwirtschaftliche Tätigkeit im öffentlichen Interesse erfolgt.181

104

Wenn zur Aufgabenerfüllung besondere Kategorien personenbezogener Daten verarbeitet werden müssen, so enthalten dafür Art. 9 Abs. 2 lit. g und lit. i DSGVO entsprechende Verweise auf das fachspezifische Recht, wobei die Verarbeitung derartiger besonders schützenswerter Daten durch die öffentliche Hand ein erhebliches öffentliches Interesse voraussetzt (Art. 9 Rn. 28ff.).

105

Zu beachten ist schließlich Art. 17 Abs. 3 lit. b bis d DSGVO, die von der Pflicht zur Löschung dann suspendieren, wenn die Erlaubnis zur Verarbeitung aufgrund eines öffentlichen Interesses erfolgt, wie etwa nach Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO.

6. Berechtigte Interessen des Verantwortlichen oder Dritter (lit. f)
a) Bedeutung der Norm

106

Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ist nicht die Generalklausel des Datenschutzrechts,182 kein Auffangtatbestand,183 keine Auffangvorschrift184 und auch kein Ausnahmetatbestand,185 der nur dann ausnahmsweise herangezogen würde, wenn andere Erlaubnisnormen tatbestandsmäßig nicht in Betracht kommen.186 Vielmehr handelt es sich bei der Erlaubnis nach Buchstabe f um einen selbstständigen und keineswegs nur nachrangigen Erlaubnistatbestand. Kommen mehrere Erlaubnisse aus Art. 6 Abs. 1 UAbs. 1 DSGVO in Betracht, ggf. Buchstabe e in Verbindung mit dem Fachrecht, dann kann es praxisgerecht sein, die Verarbeitung auf Buchstabe f zu stützen. In der Praxis wird dem Erlaubnistatbestand Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO eine überragende Bedeutung zukommen.187

Poprzedni 1 ...15 ...30 ...40 414243 44 ...60 ...75 ...76 Kolejny