Praxishandbuch DSGVO. Tobias Rothkegel
einer Backup-Lösung).
Praxishinweis
Unternehmen sollten deshalb nur dann eine Einwilligung einholen, wenn die Datenverarbeitung nicht rechtssicher auf eine gesetzliche Erlaubnisnorm gestützt werden kann. Soll die Datenverarbeitung dennoch (z.B. im Sinne einer Backup-Lösung) sowohl auf gesetzliche Erlaubnistatbestände als auch auf eine Einwilligung gestützt werden, sollte das Unternehmen die betroffene Person über diesen Umstand transparent informieren, so dass bei dieser eben nicht der (falsche) Eindruck entsteht, dass sie die Datenverarbeitung „in der Hand habe“ – und sich der Verantwortliche nicht „nachträglich“ auf eine andere Rechtsgrundlage berufen muss.161
6. Verhältnis zwischen besonders praxisrelevanten nationalen Vorschriften und der DSGVO
110
Die Zulässigkeit der Verarbeitung personenbezogener Daten ist allerdings nicht abschließend in der DSGVO geregelt. So enthält die DSGVO mehrere Öffnungsklauseln, die es der EU bzw. den EU-Mitgliedstaaten unter bestimmten Voraussetzungen erlauben, nationale Regelungen zur Zulässigkeit einer Datenverarbeitung zu erlassen, so z.B. in Art. 6 Abs. 2 und 3, in Art. 9 Abs. 2 lit. b und lit. g – lit. j und Abs. 4 DSGVO.162
111
Der deutsche Gesetzgeber hat von vielen dieser Öffnungsklauseln Gebrauch gemacht und entsprechende nationale Regelungen erlassen. Für privatwirtschaftliche Unternehmen befinden sich die wichtigsten nationalen Regelungen zur Zulässigkeit der Datenverarbeitung in Deutschland im BDSG und dort in den §§ 22–31 BDSG. Allerdings enthalten auch noch eine Vielzahl anderer Gesetze (einzelne) Vorschriften hierzu, z.B. die Sozialgesetzbücher, die Landesdatenschutzgesetze, das Gesundheitsdiagnostikgesetz etc. Diese regeln größtenteils aber (nur) spezielle Situationen, in denen personenbezogene Daten verarbeitet werden, oder die Datenverarbeitung durch bestimmte Verantwortliche.
112
Dieses Kapitel konzentriert sich im Folgenden auf das für privatwirtschaftliche Unternehmen besonders praxisrelevante Thema des Verhältnisses zwischen den nationalen Vorschriften zur Videoüberwachung öffentlich zugänglicher Räume gem. § 4 BDSG, zum Scoring/zu Bonitätsauskünften gem. § 31 BDSG sowie aus dem Kunsturhebergesetz einerseits und der DSGVO anderseits – und somit auf die Frage, welche Vorschriften ein Unternehmen in der jeweiligen Situation beachten muss.163 Zur nationalen Regelung der Verarbeitung von Beschäftigtendaten in § 26 BDSG finden sich ausführliche Erläuterungen insbesondere in Kap. 15 und unter Rn. 237ff.
a) Videoüberwachung öffentlich zugänglicher Räume gem. § 4 BDSG
113
Der deutsche Gesetzgeber hat die Zulässigkeit der Videoüberwachung öffentlich zugänglicher Räume in § 4 BDSG geregelt.164 Nach § 4 Abs. 1 S. 1 BDSG ist die Beobachtung mittels optisch-elektronischer Einrichtungen wie Videokameras insbesondere nur dann zulässig, soweit sie zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen.165 Die Verwendung der mittels Videoüberwachung gewonnenen Daten ist sodann in § 4 Abs. 3 BDSG geregelt und erfordert insbesondere eine (weitere) Interessenabwägung. Außerdem enthält § 4 BDSG vor allem weitere Hinweis-, Informations- und Löschpflichten.
114
Allerdings hat das Bundesverwaltungsgericht entschieden, dass § 4 Abs. 1 S. 1 BDSG zumindest im Hinblick auf die Videoüberwachung öffentlich zugänglicher Räume durch private Stellen europarechtswidrig sei, da diese Regelung nicht auf die in Art. 6 Abs. 2 und 3 DSGVO enthaltenen Öffnungsklauseln gestützt werden könne. Mithin könne die Videoüberwachung derartiger Räume durch private Stellen ganz regelmäßig nur auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgen.166 Auch die deutschen Datenschutzaufsichtsbehörden sind der Ansicht, dass sich die Zulässigkeit der Videoüberwachung durch nichtöffenliche Stellen ganz regelmäßig an Art. 6 Abs. 1 lit. f DSGVO bemisst.167 Nicht ausdrücklich entschieden hat das Bundesverwaltungsgericht hingegen, ob auch die weiteren Vorgaben des § 4 BDSG in Abs. 1 S. 2 und Abs. 2 bis Abs. 5 europarechtswidrig sind oder nicht, so dass insoweit Rechtsunsicherheit verbleibt.
115
Unternehmen sollten daher verfolgen, ob der bundesdeutsche Gesetzgeber § 4 BDSG infolge der Entscheidung des Bundesverwaltungsgerichts anpasst bzw. sich (andere) Gerichte auch zur Europarechtskonformität der übrigen Bestimmungen äußern. Wenn Unternehmen in der Zwischenzeit Haftungsrisiken vermeiden wollen, sind sie infolge des missratenen Versuchs des Gesetzgebers, die in § 6b BDSG a.F. enthaltenen Regelungen zur Videoüberwachung möglichst unverändert in das neue BDSG zu überführen, gezwungen, (selbständig) zu prüfen, welche der weiteren in § 4 BDSG enthaltenen Bestimmungen europarechtskonform sind und damit befolgt werden müssen/dürfen und welche Bestimmungen europarechtswidrig sind und damit nicht befolgt werden sollten.168
116
Hier empfiehlt sich ein pragmatisches Vorgehen. Demnach sollten Unternehmen auch die Videoüberwachung öffentlich zugänglicher Räume grundsätzlich nur noch auf Art. 6 Abs. 1 lit. f DSGVO stützen,169 da dieser Anwendungsvorrang vor dem europarechtswidrigen § 4 Abs. 1 S. 1 BDSG besitzt. Zudem sollten Unternehmen die Hinweise des Europäischen Datenschutzausschusses170 und der deutschen Datenschutzaufsichtsbehörden zur Videoüberwachung beachten.171 Insbesondere sind bei der Videoüberwachung öffentlich zugänglicher Räume dann auch (vollumfänglich) die Informationspflichten nach Art. 13 DSGVO zu erfüllen.172 Auch der bereits genannten Entscheidung des Bundesverwaltungsgerichts sowie einer Entscheidung des EuGH lassen sich Aussagen zu den Faktoren für die Zulässigkeit der Videoüberwachung auf Basis von Art. 6 Abs. 1 lit. f DSGVO entnehmen.173
117
Nur soweit sich ein Unternehmen bei der Videoüberwachung auf eine (andere) in § 4 BDSG enthaltene, gegenüber der DSGVO vorteilhafte Bestimmung bzw. auf eine in der DSGVO enthaltene, gegenüber § 4 BDSG vorteilhafte Bestimmung stützen möchte, sollte dann im Einzelfall geprüft werden, inwieweit die jeweilige Bestimmung des § 4 BDSG europarechtskonform ist oder nicht.174 Von der hier erläuterten Videoüberwachung öffentlich zugänglicher Räume ist im Übrigen die Videoüberwachung am Arbeitsplatz zu unterscheiden. Die Zulässigkeit der Datenverarbeitung im Rahmen einer solchen Videoüberwachung richtet sich zuvorderst nach § 26 BDSG, zu der auch ausgeprägte Rechtsprechung der Arbeitsgerichte existiert.175
b) Scoring und Bonitätsauskünfte gem. § 31 BDSG
118
In § 31 BDSG hat der deutsche Gesetzgeber spezielle Regelungen im Hinblick auf das Scoring, also die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person, erlassen. Der Sinn und Zweck dieser nationalen Sondervorschrift besteht darin, den Wirtschaftsverkehr zu schützen. Insbesondere sollen die Funktionsfähigkeit der Wirtschaft, die auf die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften angewiesen sei, sowie Verbraucher vor Überschuldung geschützt werden.176
119
Dabei ist zu beachten, dass es sich bei § 31 BDSG wohl um keine eigenständige gesetzliche Erlaubnisnorm handelt, die allein die Verarbeitung personenbezogener Daten in diesem Zusammenhang erlauben kann. So umfasst die Vorschrift allein vom Wortlaut her schon nicht (direkt) die Bildung des Scorewertes oder die Einmeldung von Daten bei einer Auskunftei.177