DS-GVO/BDSG. David Klein
Darüber hinaus ist das Freiwilligkeitskriterium insbesondere im Rahmen von Abhängigkeitsverhältnissen (wie etwa Arbeitsverhältnissen) und bei der Verarbeitung von Beschäftigtendaten relevant. Hier sind insbesondere die Vorgaben nach Art. 88 zu beachten.[240]
129
Ferner wird das Instrument der Einwilligung zukünftig insbesondere bei der Verarbeitung sensibler Daten zu Werbezwecken den Verantwortlichen mit den hohen Anforderungen des Art. 9 Abs. 2 lit. a konfrontiert. Dies gilt jedenfalls dann, wenn im Zuge der Werbung Gesundheitsdaten verarbeitet werden. So werden Gesundheitsunternehmen auch im Rahmen von Gesundheits-Apps, aber auch Optiker oder Orthopäden (sofern diese personalisierte Werbung unter Auswertung von Gesundheitsdaten an Kunden übersendet) den Anforderungen von Art. 9 Abs. 2 lit. a Rechnung tragen müssen.[241] Insofern ist stets sorgsam zu prüfen, ob Daten zu allgemeinen Werbezwecken (z.B. Übersendung der neuen Sonnenbrillen-Kollektion durch den Optiker) oder ob Daten unter Auswertung von Gesundheitsdaten (z.B. Übersendung der neuen Kollektion von Gleitsichtbrillen durch den Optiker) zu Werbezwecken verarbeitet werden. Nur in Letzterem greift Art. 9.
130
Zu beachten ist ferner Art. 9 Abs. 2 lit. a Hs. 2: Danach kann die Einwilligung als Erlaubnistatbestand ausgeschlossen sein, wenn das Verbot des Art. 9 Abs. 1 gem. unionsrechtlicher oder spezieller mitgliedstaatlicher Normen nicht durch die Einwilligung aufgehoben werden kann. Insofern besteht für die Mitgliedstaaten die Möglichkeit die Anforderungen des Art. 9 im Sinne einer Abweichung „nach oben“ zu verschärfen. So können etwa Verarbeitungsverbote statuiert werden, ohne dem Betroffenen die Möglichkeit einzuräumen, dieses durch seine Einwilligung aufzuheben. Ein Beispiel dafür ist etwa § 20 Abs. 2 PAuswG.[242]
131
Zur Eindämmung der Infektionsgefahren im Zuge der COVID-19-Pandemie werden derzeit (Stand: Juni 2020) die Modalitäten zur Nutzung von Corona-Apps[243] diskutiert (dazu bereits Rn. 92).[244] Da die Feststellung einer Infektion eines Nutzers eine Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 darstellt, ist eine Rechtfertigung nach Art. 9 Abs. 2 erforderlich. Im Rahmen einer vorrangigen Freiwilligkeit der Nutzung sind dabei insbesondere die Voraussetzungen von Art. 9 Abs. 2 lit. a zu beachten (dazu auch Rn. 92 und 202).[245] Zum Ganzen vgl. auch Art. 4 Nr. 5 Rn. 109.
b) Arbeitsrecht und Sozialrecht (Art. 9 Abs. 2 lit. b)
132
Nach Art. 9 Abs. 2 lit. b gilt das Verarbeitungsverbot nicht, wenn die Verarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht oder dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben bzw. Pflichten nachkommen kann, soweit dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten oder eine Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht.
133
Inhaltlich knüpft Art. 9 Abs. 2 lit. b an Art. 8 Abs. 1 lit. b DSRL an.
134
Zu beachten ist hierbei, dass Art. 9 Abs. 2 lit. b zwei Voraussetzungen enthält: Die Verarbeitung der sensiblen Daten muss zum einen nach Unionsrecht oder dem Recht eines Mitgliedstaates zulässig sein. Der Arbeitnehmerdatenschutz bleibt damit im Wesentlichen eine Materie, die den Mitgliedstaaten übertragen wird und ihnen einen weiten Gestaltungsspielraum eröffnet.[246] Zum anderen muss die Verarbeitung im o.g. Sinne erforderlich sein.[247] Hierbei ist insbesondere auf die beispielhafte Aufzählung des ErwG 52 S. 1 zu verweisen. Dieser nennt etwa die Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen sowie die Prävention und Kontrolle von Krankheiten oder anderer Gesundheitsgefahren.
135
Unter das Arbeitsrecht fallen sowohl das Individual- als auch das Kollektivarbeitsrecht, so dass etwa Tarifverträge, Kollektivvereinbarungen und Betriebsvereinbarungen erfasst sind.[248]
136
Hinsichtlich Verarbeitungen, die den Arbeitnehmer in seiner Beziehung zum Arbeitgeber betreffen ist Art. 88 zu beachten.
137
Das Recht der sozialen Sicherheit und des Sozialschutzes erfasst insbesondere die Erbringung von Sozialleistungen (z.B. im Falle einer Pflegebedürftigkeit sowie Kranken- oder Unfallversicherungen). Letztlich eröffnet Art. 9 Abs. 2 lit. b auch hier den Mitgliedstaaten einen weitgehenden Gestaltungsspielraum und die Möglichkeit zur Regulierung.[249]
138
Art. 9 Abs. 2 lit. b ist somit letztlich kein eigenständiger Erlaubnistatbestand, sondern verlangt, dass sich die Erforderlichkeit der Datenverarbeitung zu vorgenannten Zwecken aus einer gesonderten, unionsrechtlichen oder einzelstaatlichen Norm ergibt.
139
Entscheidende Bedeutung kommt aber nach dem Verordnungswortlaut geeigneten Garantien zu, um die Grundrechte und Interessen der Betroffenen zu schützen. Hinsichtlich einer etwaigen Konkretisierung dieses Begriffs, trifft die DS-GVO keine Aussage. Daraus folgt, dass jedenfalls die Vorgaben der GRCh und des nationalen Verfassungsrechts einzuhalten sind.[250] Gleichwohl sind davon insbesondere auch spezifisch datenschutzrechtliche Maßnahmen der DS-GVO erfasst, wie etwa die Implementierung von Anonymisierungs- und Pseudonymisierungstechniken sowie das Treffen technisch-organisatorischer Maßnahmen im Sinne eines Privacy by Design als auch die rechtzeitige Bearbeitung im Falle der Geltendmachung von Widerspruchs-, Berichtigungs- und Löschungsrechten durch den Betroffenen.[251] Auf nationaler Ebene trägt der Gesetzgeber diesen Anforderungen im Rahmen der Öffnungsklausel in § 22 Abs. 1 Nr. 1 lit. a BDSG n.F. Rechnung.
140
Im Zusammenhang mit der Corona-App[252] stellen sich auch arbeitsrechtliche Fragen. Unter der Voraussetzung, dass per App auf dezentraler Ebene annähernd faktisch anonyme Kontakte ausgetauscht werden und die Eignung zur Eindämmung einer Pandemie erwiesen ist, stellt sich auf der dem Datenschutz nachgelagerten verfassungsrechtlichen und arbeitsrechtlichen Ebene die Frage nach der Empfehlung der Arbeitgeber zur Installation der schützenden Software