Praxishandbuch DSGVO. Tobias Rothkegel
Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Allerdings muss auch die Verarbeitung solcher Daten unter gewissen Voraussetzungen zulässig sein – aufgrund der besonderen Sensibilität der Daten und ihres besonderen Diskriminierungspotenzials aber unter besonders strikten.
170
Umstritten ist in diesem Zusammenhang, ob die Verarbeitung besonderer Kategorien personenbezogener Daten dabei allein auf Art. 9 Abs. 2 DSGVO gestützt werden kann (ggf. in Verbindung mit der jeweiligen nationalen oder europäischen Rechtsvorschrift, sofern Art. 9 Abs. 2 DSGVO nur eine Öffnungsklausel enthält) oder ob zusätzlich dazu auch noch die Anforderungen des Art. 6 Abs. 1 DSGVO erfüllt sein müssen.247
171
Der Europäische Datenschutzausschuss, die deutschen Datenschutzaufsichtsbehörden, der bundesdeutsche Gesetzgeber und Teile der datenschutzrechtlichen Literatur gehen davon aus, dass Art. 9 Abs. 2 DSGVO nur Ausnahmen vom generellen Verarbeitungsverbot enthalte bzw. die allgemeinen Rechtmäßigkeitsanforderungen des Art. 6 Abs. 1 DSGVO lediglich erhöhe (indem zusätzliche Anforderungen an die Verarbeitung statuiert werden).248 Damit die Verarbeitung besonderer Kategorien personenbezogener Daten rechtmäßig ist, müssten damit sowohl zumindest eine Tatbestandsalternative des Art. 9 Abs. 2 DSGVO als auch eine Tatbestandsalternative des Art. 6 Abs. 1 DSGVO kumulativ erfüllt sein.249 Begründet wird diese Auffassung insbesondere mit dem Wortlaut des Erwägungsgrundes 51 S. 5, nach dem „zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung [...] die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten [sollten]“.
172
Teilweise wird in der datenschutzrechtlichen Literatur hingegen aber auch die Ansicht vertreten, dass Art. 9 Abs. 2 DSGVO Erlaubnistatbestände enthalte, die die Verarbeitung besonderer Kategorien personenbezogener Daten (eigenständig) rechtfertigen könnten. Sofern Art. 9 Abs. 2 DSGVO (nur) Öffnungsklauseln beinhalte, könne die Datenverarbeitung auf die jeweilige nationale bzw. europäische Rechtsnorm gestützt werden, die diese Öffnungsklausel ausfülle.250 Mithin würde Art. 9 Abs. 2 DSGVO nach dieser Auffassung Art. 6 Abs. 1 DSGVO als lex specialis verdrängen. Begründet wird die Auffassung insbesondere damit, dass Art. 9 Abs. 2 DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten spezifisch regele251 und Erwägungsgrund 51 S. 5, der von den Befürwortern der anderen Ansicht als eines der Hauptargumente angeführt wird, zuvorderst klarstelle, dass bei der Verarbeitung besonderer Kategorien personenbezogener Daten neben den Anforderungen aus Art. 9 Abs. 2 DSGVO auch die allgemeinen Rechtmäßigkeitsanforderungen, insbesondere diejenigen aus Art. 5 DSGVO, einzuhalten seien.252
173
In der Praxis dürfte dieser Streit allerdings eher geringe Auswirkungen haben, da die beiden Ansichten wohl in den meisten in der Praxis vorkommenden Fallkonstellationen zu demselben Ergebnis führen werden. So werden in (fast) allen Fällen, in denen die besonders strikten Voraussetzungen des Art. 9 Abs. 2 DSGVO erfüllt sind, zugleich auch diejenigen des Art. 6 Abs. 1 DSGVO erfüllt sein.253 Vor diesem Hintergrund werden in der Folge die Voraussetzungen des Art. 9 Abs. 2 DSGVO gesondert und losgelöst von den Voraussetzungen des Art. 6 Abs. 1 DSGVO dargestellt. Die Voraussetzungen des Art. 6 Abs. 1 DSGVO werden in den Rn. 11ff. erläutert.
Praxishinweis
Um etwaige Haftungsrisiken zu vermeiden, sollten Unternehmen davon ausgehen, dass für die Rechtmäßigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten sowohl die Voraussetzungen des Art. 9 Abs. 2 DSGVO als auch die des Art. 6 Abs. 1 DSGVO erfüllt sein müssen.
c) Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 DSGVO)
174
Die für die Unternehmenspraxis wichtigsten Fälle, in denen gem. Art. 9 Abs. 2 DSGVO das in Art. 9 Abs. 1 DSGVO normierte Verbot der Verarbeitung besonderer Kategorien nicht gilt, werden im Folgenden erläutert:
aa) Einwilligung (Art. 9 Abs. 2 lit. a DSGVO)
175
Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt. Eine solche Einwilligung muss zunächst sämtliche in Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a und Art. 7 DSGVO genannten Anforderungen erfüllen.254 Zudem muss die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO „ausdrücklich“ erfolgen. Demzufolge ist eine konkludente Einwilligung in diesem Zusammenhang ausgeschlossen. Außerdem muss die betroffene Person darüber informiert werden, dass (auch) „sensible“ Daten verarbeitet werden. Hierbei empfiehlt es sich zur besseren Verständlichkeit für die betroffene Person, keine juristisch abstrakten Begriffe, wie z.B. „besondere Kategorien personenbezogener Daten“ zu verwenden, sondern die konkret verarbeiteten Kategorien zu beschreiben, z.B. „Daten über Ihre Gesundheit“. Schließlich muss sich die Zustimmung der betroffenen Person zur Verarbeitung ihrer Daten im Rahmen der Einwilligung gerade auch/eindeutig auf die Verarbeitung der „sensiblen“ Daten beziehen.255
176
Allerdings erlaubt Art. 9 Abs. 2 lit. a DSGVO den Mitgliedstaaten, Bereiche/Situationen festzulegen, in denen die betroffene Person nicht wirksam in die Verarbeitung ihrer Daten einwilligen darf, z.B. um sie vor „Drucksituationen“ zu schützen. In diesem Fall kann eine Datenverarbeitung dann nur auf die anderen in Art. 9 Abs. 2 DSGVO enthaltenen Alternativen gestützt werden.256
bb) Beschäftigungs- und Sozialschutzkontext (Art. 9 Abs. 2 lit. b DSGVO)
177
Des Weiteren ist die Verarbeitung von besonderen Kategorien personenbezogener Daten gem. Art. 9 Abs. 2 DSGVO in lit. b nicht untersagt, wenn sie erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann. Voraussetzung hierfür ist, dass die Verarbeitung nach dem EU-Recht, dem Recht des jeweiligen Mitgliedstaates oder einer Kollektivvereinbarung – wozu gem. Erwägungsgrund 155 DSGVO auch Betriebsvereinbarungen gehören – nach dem Recht des jeweiligen Mitgliedstaates, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist.257
Nationale Regelungen in Deutschland
1. § 26 Abs. 3 und 4 BDSG: Verarbeitung „sensibler“ Daten für Zwecke des Beschäftigungsverhältnisses
178
Der deutsche Gesetzgeber hat von dieser Möglichkeit Gebrauch gemacht und in § 26 Abs. 3 und 4 BDSG die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO für Zwecke des Beschäftigungsverhältnisses speziell geregelt.258
2. Sozialgesetzbücher
178a
Zudem hat der deutsche Gesetzgeber von der Öffnungklausel im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten im Bereich des Rechts der sozialen Sicherheit und des Sozialschutzes Gebrauch gemacht. So finden sich insoweit viele spezielle an Art. 9 Abs. 2 lit. b DSGVO anknüpfende Vorschriften in den Sozialgesetzbüchern.259
3. § 22 Abs. 1 Nr. 1 lit. a BDSG: Verarbeitung „sensibler“ Daten im Kontext des Rechts der sozialen Sicherheit und des Sozialschutzes
179
Des Weiteren