Praxishandbuch DSGVO. Tobias Rothkegel
werden, die sich entweder aus der DSGVO selbst, dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergeben kann.1
2
In diesem Kapitel werden daher die in der DSGVO sowie die im BDSG normierten Anforderungen an die Zulässigkeit der Verarbeitung personenbezogener Daten erläutert, insbesondere die Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten direkt auf die DSGVO oder das BDSG gestützt werden kann,2 sowie die Anforderungen an eine wirksame Einwilligung der betroffenen Person.3
3
Die einschlägigen Regelungen zur Zulässigkeit der Verarbeitung personenbezogener Daten befinden sich vor allem in den Art. 6–11 DSGVO.
4
Die zentrale Vorschrift in der DSGVO im Hinblick auf die Zulässigkeit der Verarbeitung von personenbezogenen Daten ist Art. 6 DSGVO nebst den korrespondierenden Erwägungsgründen 40, 41 und 44–50. So muss nach Art. 6 Abs. 1 DSGVO mindestens eine der dort aufgeführten Bedingungen erfüllt sein, damit der jeweils Verantwortliche personenbezogene Daten verarbeiten darf. Zu diesen Bedingungen zählen z.B. die Einwilligung (lit. a), die Verarbeitung zu Zwecken der Erfüllung eines Vertrages (lit. b) und die Verarbeitung zu Zwecken der Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (lit. f).4 Einige dieser Bedingungen werden in den nachfolgenden Art. 7–11 DSGVO dann noch weiter spezifiziert, so z.B. die Voraussetzungen an eine wirksame Einwilligung in den Art. 7 und 8 DSGVO.
5
Des Weiteren enthält Art. 6 DSGVO auch die Vorgaben für die Zweckänderung. Möchte also ein Verantwortlicher für einen bestimmten Zweck erhobene personenbezogene Daten für einen anderen (neuen) Zweck verarbeiten, muss er die Anforderungen des Art. 6 Abs. 4 DSGVO einhalten.
6
Wie schon die Datenschutzrichtlinie 95/46/EG und das BDSG a.F. unterscheidet die DSGVO zwischen „normalen“ personenbezogenen Daten und Daten, die aufgrund ihrer Sensibilität und des ihnen innewohnenden Diskriminierungspotenzials besonders strikten Verarbeitungsvoraussetzungen unterliegen.5 Diese sind im Grundsatz in Art. 9 DSGVO sowie in den korrespondierenden Erwägungsgründen 51–56 geregelt.6 Sie sind weitaus strikter als die in Art. 6 Abs. 1 DSGVO statuierten Voraussetzungen für die Verarbeitung „normaler“ personenbezogener Daten.7 So kann die Verarbeitung besonderer Kategorien personenbezogener Daten – die in Art. 9 Abs. 1 DSGVO spezifiziert werden – z.B. nicht wie die Verarbeitung „normaler“ personenbezogener Daten auf Grundlage einer Interessenabwägung erfolgen.8
7
Art. 10 DSGVO, zu dem es keinen korrespondierenden Erwägungsgrund gibt, enthält Sonderregelungen für die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln, die die generellen Vorgaben des Art. 6 Abs. 1 DSGVO ergänzen.9
8
Art. 11 DSGVO und der korrespondierende Erwägungsgrund 57 DSGVO beinhalten schließlich noch ergänzende Regelungen für den Fall, dass ein Verantwortlicher personenbezogene Daten verarbeitet, die betroffene Person (selbst) aber nicht identifizieren kann bzw. nicht (mehr) muss, um den mit der Datenverarbeitung verfolgten Zweck zu erreichen.10
9
Art. 85–91 DSGVO enthalten zudem noch spezielle Vorschriften für besondere Verarbeitungssituationen, wobei die Vorschriften zur Datenverarbeitung im Beschäftigungskontext (Art. 88 DSGVO), zur Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken (Art. 85 DSGVO) sowie die Vorgaben zu Garantien und Ausnahmen in Bezug auf die Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken (Art. 89 DSGVO) am praxisrelevantesten sein dürften.
10
Teilweise enthalten die genannten Vorschriften der DSGVO auch Öffnungsklauseln, die es dem jeweiligen EU-Mitgliedstaat und/oder der EU unter den dort genannten Voraussetzungen erlauben, Regelungen zu erlassen, die die DSGVO insoweit ergänzen.11 In Deutschland hat der Gesetzgeber von vielen dieser Öffnungsklauseln Gebrauch gemacht. Die wichtigsten nationalen Regelungen zur Zulässigkeit der Datenverarbeitung befinden sich in Deutschland im BDSG und dort in den §§ 22–31 BDSG. Allerdings enthalten auch noch eine Vielzahl anderer Gesetze (einzelne) Vorschriften hierzu, z.B. die Sozialgesetzbücher, die Landesdatenschutzgesetze, das Gesundheitsdiagnostikgesetz etc. Diese regeln größtenteils aber (nur) spezielle Situationen, in denen personenbezogene Daten verarbeitet werden oder die Datenverarbeitung durch bestimmte Verantwortliche erfolgt. Da die für die Unternehmenspraxis wichtigsten Fälle (abschließend) in der DSGVO und ggf. ergänzend im BDSG geregelt werden, konzentriert sich dieses Kapitel im Folgenden auf diese Regelungen.
1 Art. 6 Abs. 1 DSGVO und Erwägungsgrund 40; siehe hierzu auch Kap. 4 Rn. 4ff. 2 Siehe Rn. 11ff. 3 Siehe Rn. 243ff. 4 Siehe ausführlich Rn. 11ff. 5 Siehe Art. 8 der Datenschutzrichtlinie 95/46/EG und § 3 Abs. 9 BDSG a.F. 6 Weit überwiegend wird vertreten, dass für die Verarbeitung besonderer Kategorien personenbezogener Daten neben den Anforderungen des Art. 9 DSGVO auch die Anforderungen des Art. 6 Abs. 1 DSGVO zu erfüllen sind, siehe ausführlich Rn. 170ff. 7 Siehe ausführlich Rn. 11ff. 8 Siehe ausführlich Rn. 159ff. 9 Siehe ausführlich Rn. 209ff. 10 Siehe ausführlich Rn. 215ff. 11 Siehe ausführlich zur Regelungssystematik im Datenschutzrecht und zur Funktionsweise der Öffnungsklauseln in der DSGVO Kap. 1 Rn. 7ff.
II. Gesetzliche Erlaubnisvorschriften
11
Im Folgenden sollen nun die in der Datenverarbeitungspraxis von Unternehmen wichtigsten Rechtsgrundlagen, die in der DSGVO oder im BDSG enthalten sind und auf deren Grundlage sich die Verarbeitung personenbezogener Daten stützen lässt, näher erläutert werden.
1. Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen
12
Einer der wichtigsten Zwecke, für den in der Praxis personenbezogene Daten verarbeitet werden, ist die Begründung, Durchführung und Beendigung von Verträgen – und dies nicht nur, wenn die Verarbeitung von personenbezogenen Daten der wesentliche Gegenstand der Leistungserbringung ist. So ist es in den meisten Fällen allein schon erforderlich zu wissen, wer die Vertragsparteien sind; personenbezogene Daten können erforderlich sein, um die Vertragsparameter bestimmen zu können (so z.B. bei Versicherungsverträgen) etc.
13
Vor diesem Hintergrund enthält die DSGVO – wie auch schon die Datenschutzrichtlinie 95/46/EG – eine Erlaubnisvorschrift, die die Verarbeitung personenbezogener Daten im Rahmen einer Vertragsbeziehung zu rechtfertigen vermag. So besagt Art. 6 Abs. 1 lit. b DSGVO, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn die „Verarbeitung [...] für die Erfüllung eines Vertrags,