Praxishandbuch DSGVO. Tobias Rothkegel
Erfüllung einer rechtlichen Verpflichtung
56
Ebenfalls sehr praxisrelevant ist die Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung. Diese bisher schon in der Datenschutzrichtlinie 95/46/EG enthaltene Erlaubnisnorm findet sich nunmehr in Art. 6 Abs. 1 lit. c DSGVO.
57
Demnach ist die Verarbeitung personenbezogener Daten zulässig, „wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.“
58
Nach dem ausdrücklichen Wortlaut der Norm muss es sich um eine „rechtliche Verpflichtung“ handeln, der der Verantwortliche unterliegt. Dies bedeutet mithin, dass die Verarbeitung zu Zwecken der Erfüllung vertraglicher Verpflichtungen nicht auf Art. 6 Abs. 1 lit. c DSGVO gestützt werden kann.87 Die rechtliche Verpflichtung kann sich nach Art. 6 Abs. 3 S. 1 DSGVO und Erwägungsgrund 45 entweder aus dem Unionsrecht oder aus dem Recht des jeweiligen Mitgliedstaates ergeben. Hierbei ist es erforderlich, dass das EU-Recht bzw. das Recht des Mitgliedstaates den Verantwortlichen verpflichtet, eine bestimmte Datenverarbeitung vorzunehmen – eine bloße Erlaubnis ohne entsprechende Verpflichtung ist hierfür hingegen – dem ausdrücklichen Wortlaut der Norm folgend – nicht ausreichend.88
59
Aus formeller Sicht kann eine rechtliche Verpflichtung grundsätzlich in jeder Rechtsnorm der EU bzw. des Mitgliedstaates enthalten sein/statuiert werden, vorausgesetzt, dass diese Norm eine unmittelbare Außenwirkung besitzt. Normen mit unmittelbarer Außenwirkung sind auf EU-Ebene insbesondere Verordnungen – z.B. auch die DSGVO selbst – und auf mitgliedstaatlicher Ebene insbesondere Gesetze, Rechtsverordnungen und Satzungen.89 Auch aus normativen Teilen von Tarifverträgen und aus Betriebsvereinbarungen können sich nach hier vertretener Ansicht rechtliche Verpflichtungen i.S.d. Art. 6 Abs. 1 lit. c DSGVO ergeben.90 Nicht als taugliche Grundlagen in Betracht kommen hingegen z.B. interne Verwaltungsvorschriften.91 Inwiefern behördliche Anordnungen als rechtliche Verpflichtungen i.S.d. Art. 6 Abs. 1 lit. c DSGVO anzusehen sind, ist umstritten.92
60
Darüber hinaus müssen die Rechtsnormen aber auch inhaltliche Anforderungen erfüllen, um als taugliche Grundlage i.S.d. Art. 6 Abs. 1 lit. c DSGVO dienen zu können. Diese sind in Art. 6 Abs. 3 DSGVO und dem dazugehörigen Erwägungsgrund 45 festgelegt. Demnach muss die jeweilige Rechtsgrundlage nicht zwangsläufig eine datenschutzrechtliche Erlaubnisnorm im klassischen Sinne sein, in der sowohl die zu verarbeitenden Daten(arten), die Verarbeitungszwecke als auch die weiteren Details zur Datenverarbeitung (z.B. Speicherdauer) geregelt sind. Ausreichend ist es nach Art. 6 Abs. 3 S. 2 DSGVO vielmehr, wenn eine Rechtsgrundlage den Zweck der Verarbeitung festlegt. Dem jeweiligen Gesetzgeber steht es nach Art. 6 Abs. 3 S. 3 DSGVO aber frei, weitergehende Vorgaben zur Datenverarbeitung zu machen. Hierbei ist es der EU bzw. den Mitgliedstaaten nach Art. 6 Abs. 2 und Art. 6 Abs. 3 S. 3 DSGVO auch erlaubt, die Anforderungen an die Datenverarbeitung für eine bestimmte Datenverarbeitungssituation zu konkretisieren – z.B. im Hinblick auf die zu verarbeitenden Datenarten, welche Personen betroffen sein dürfen etc. Bereits bestehende mitgliedstaatliche Regelungen, die diese Anforderungen erfüllen, dürfen nach Art. 6 Abs. 2 DSGVO beibehalten werden.
61
Als Rechtsgrundlagen i.S.d. Art. 6 Abs. 1 lit. c DSGVO kommen im deutschen Recht z.B. die folgenden Normen in Betracht: § 257 HGB und § 147 AO („Aufbewahrungspflicht bzgl. bestimmter Unterlagen“), § 18 KWG („Offenlegung der wirtschaftlichen Verhältnisse des Kreditnehmers“), §§ 4,8 und 11 GwG („Pflichten nach dem GwG, insb. Identifizierung des Vertragspartners“), § 93 AO („Auskunft über steuerlich relevante Sachverhalte“), sozialversicherungsrechtliche Regelungen im SGB sowie melderechtliche Vorschriften im Meldegesetz.93
62
In jedem Fall erlaubt Art. 6 Abs. 1 lit. c DSGVO eine Datenverarbeitung nur insoweit, wie diese erforderlich ist, um die jeweilige rechtliche Verpflichtung zu erfüllen.94
Praxishinweis
Nimmt ein Verantwortlicher an, dass er einer rechtlichen Verpflichtung unterliegt und er zu deren Erfüllung personenbezogene Daten verarbeiten muss, sollte er zunächst überprüfen, ob die Rechtsnorm, aus der sich die Verpflichtung ergibt, eine taugliche Rechtsgrundlage i.S.d. Art. 6 Abs. 1 lit. c DSGVO ist. So ist z.B. davon auszugehen, dass es hierzu immer mehr Stellungnahmen von Datenschutzaufsichtsbehörden und Entscheidungen von Gerichten geben wird. Stellt eine solche Rechtsnorm keine taugliche Rechtsgrundlage i.S.d. Art. 6 Abs. 1 lit. c DSGVO dar, kann der Datenumgang ggf. auch auf eine andere Erlaubnisalternative im Rahmen des Art. 6 Abs. 1 DSGVO gestützt werden, insb. auf Art. 6 Abs. 1 lit. f DSGVO („Datenverarbeitung auf Basis einer Interessenabwägung“).
Die Anforderungen an die Verarbeitung personenbezogener Daten zu Zwecken der Erfüllung rechtlicher Verpflichtungen können infolge der Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO zwischen den einzelnen EU-Mitgliedstaaten voneinander abweichen. Dies ist insbesondere zu berücksichtigen, wenn eine Datenverarbeitung (durch mehrere Verantwortliche) in unterschiedlichen EU-Mitgliedstaaten erfolgt und diese einheitlich gestaltet werden soll.
3. Verarbeitung personenbezogener Daten auf Basis einer Interessenabwägung
63
Der in der Praxis wohl wichtigste Erlaubnistatbestand ist in Art. 6 Abs. 1 lit. f DSGVO normiert.95 Demnach darf ein Verantwortlicher personenbezogene Daten auch dann verarbeiten, wenn „die Verarbeitung [...] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt“.
64
Die Bedeutung dieser Vorschrift nimmt vor allem dadurch noch weiter zu, als einige im BDSG a.F. enthaltene spezielle Erlaubnisnormen für bestimmte Verarbeitungssituationen in der DSGVO nicht mehr enthalten sind und sich die Zulässigkeit der Datenverarbeitung in diesen Fällen nunmehr nach Art. 6 Abs. 1 lit. f DSGVO richtet – so z.B. in den wohl meisten Fällen die Verarbeitung personenbezogener Daten zum Zwecke der Werbung.96 Dabei ist es wichtig festzuhalten, dass es sich bei Art. 6 Abs. 1 lit. f DSGVO aus rechtlicher Sicht nicht um einen (subsidiären) Auffangtatbestand bzw. eine Generalklausel handelt,97 welche(r) die Datenverarbeitungen nur dann erlauben kann, wenn die übrigen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO nicht erfüllt sind. Vielmehr steht Art. 6 Abs. 1 lit. f DSGVO gleichberechtigt neben den anderen in Art. 6 Abs. 1 DSGVO enthaltenen Erlaubnisalternativen, mit denen er sich teilweise auch überschneiden kann.98
65
Rein faktisch betrachtet werden Datenverarbeitungen aber (sehr wohl) vor allem dann auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, wenn die übrigen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO nicht erfüllt sind. Deshalb erscheint es angemessen, Art. 6 Abs. 1 lit. f DSGVO in rein tatsächlicher Hinsicht als Auffangtatbestand zu bezeichnen, zumal auch dessen tatbestandliche Voraussetzungen offen ausgestaltet sind und die Vorschrift bei positivem Ausgang der Interessenabwägung grundsätzlich sämtliche denkbaren Datenverarbeitungsvorgänge im Anwendungsbereich der DSGVO – mit Ausnahme der Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO99 und von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten i.S.d. Art. 10 DSGVO100 – zu rechtfertigen vermag.
66
Dass die DSGVO eine solche (tatsächliche) Auffangnorm enthält, ist auch wichtig und notwendig, weil sie vor dem Hintergrund der unüberschaubaren Vielzahl an unterschiedlichen