Praxishandbuch DSGVO. Tobias Rothkegel
Stellen, soweit sie erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen. Voraussetzung hierfür ist allerdings, dass der Verantwortliche nach Maßgabe von § 22 Abs. 2 BDSG angemessene und spezifische (technische und organisatorische) Maßnahmen zur Wahrung der Interessen der betroffenen Person getroffen hat. § 22 Abs. 2 S. 2 BDSG enthält in diesem Zusammenhang eine beispielhafte Aufzählung von möglichen Maßnahmen, wie z.B. die an den Verarbeitungsvorgängen Beteiligten zu sensibilisieren, technische und organisatorische Sicherheitsmaßnahmen zu implementieren und die Daten zu pseudonymisieren oder zu verschlüsseln.260 Bei § 22 Abs. 1 Nr. 1 lit. a BDSG handelt es sich wohl um eine (sehr allgemein formulierte) Auffangnorm. So gehen nach § 1 Abs. 2 BDSG andere Rechtsvorschriften des Bundes über den Datenschutz dem BDSG vor, so z.B. auch die datenschutzrechtlichen Regelungen im SGB, die wohl den größten Teil der Datenverarbeitungen in diesem Bereich regeln.
180
In der datenschutzrechtlichen Literatur ist zudem umstritten, ob die Norm überhaupt bestimmt genug und damit europarechtskonform ist und Datenverarbeitungen auf sie gestützt werden können oder nicht. So gibt sie im Kern nur den Wortlaut von Art. 9 Abs. 2 lit. b DSGVO wieder, gibt aber z.B. selbst keine (speziellen, konkreten) zulässigen Verarbeitungszwecke in dem von Art. 9 Abs. 2 lit. b DSGVO eröffneten Rahmen vor.261 Andererseits wird vertreten, dass die (bloße) Wiederholung von Regelungen der DSGVO vorliegend vor dem Hintergrund des Erwägungsgrundes 8 zulässig sei.262 Demnach dürfen Mitgliedstaaten, wenn in der DSGVO Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, Teile der DSGVO in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen. Auch eine weitere Konkretisierung der Verarbeitungszwecke ist nach Ansicht einiger Autoren nicht erforderlich.263
181
Unternehmen ist vor diesem Hintergrund zu empfehlen, genau zu prüfen, ob eine geplante Datenverarbeitung eventuell auch auf eine andere Rechtsgrundlage gestützt werden kann. Ist dies nicht der Fall, sollten Unternehmen Datenverarbeitungen, die eine gewisse Relevanz aufweisen und auf diese Rechtsgrundlage gestützt werden sollen, – wenn möglich und praktisch durchführbar – mit den zuständigen Datenschutzaufsichtsbehörden abstimmen und in jedem Fall prüfen, ob in der Zwischenzeit relevante Rechtsprechung oder Hinweise der Datenschutzaufsichtsbehörden hierzu ergangen sind. Endgültige Klarheit wird in diesem Fall wahrscheinlich erst eine Entscheidung des EuGH bringen können.
cc) Offenkundig öffentliche Daten (Art. 9 Abs. 2 lit. e DSGVO)
182
Nach Art. 9 Abs. 2 lit. e DSGVO ist es nicht untersagt, besondere Kategorien personenbezogener Daten zu verarbeiten, die die betroffene Person offensichtlich öffentlich gemacht hat. Hiervon sind Daten umfasst, die entweder von der betroffenen Person selbst freiwillig öffentlich zugänglich gemacht wurden oder bei denen dies zumindest von ihr freiwillig veranlasst oder freiwillig bewusst akzeptiert wurde.264 In diesem Fall bedürfen diese Daten nach der gesetzgeberischen Wertung keines besonderen Schutzes mehr. Kann nur ein Teil der Öffentlichkeit auf die Daten zugreifen, z.B. im Rahmen einer geschlossenen Benutzergruppe, sind die Voraussetzungen des Art. 9 Abs. 2 lit. e DSGVO hingegen nicht erfüllt.265
dd) Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte (Art. 9 Abs. 2 lit. f DSGVO)
183
Nach Art. 9 Abs. 2 lit. f DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten nicht verboten, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist.266 In diesem Zusammenhang ist es nach Erwägungsgrund 52 unerheblich, ob die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen in einem Gerichtsverfahren, in einem Verwaltungsverfahren oder in einem außergerichtlichen Verfahren erfolgt. Zudem ist es unerheblich, ob der Verantwortliche Gläubiger oder Schuldner des Rechtsanspruchs ist.267
184
Auch wenn Vorschriften über die Verarbeitung „sensibler“ Daten grundsätzlich restriktiv auszulegen sind, erlaubt Art. 9 Abs. 2 lit. f DSGVO nach hier vertretener Auffassung auch die Verarbeitung besonderer Kategorien personenbezogener Daten zur Prüfung und Vorbereitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Diese Phasen sind der Geltendmachung, Ausübung oder Verteidigung notwendigerweise vorgelagert. Wäre die Datenverarbeitung zu diesen Zwecken nicht erlaubt, wäre Art. 9 Abs. 2 lit. f DSGVO faktisch gegenstandslos. Vor diesem Hintergrund erlaubt Art. 9 Abs. 2 lit. f DSGVO nach hier vertretener Ansicht außerdem die Verarbeitung solcher Daten zu Zwecken der Begründung des jeweiligen Anspruchs.268
185
Auch bei der Datenverarbeitung zur Verteidigung gegen Rechtsansprüche ist es nach hier vertretener Auffassung nicht erforderlich, dass bereits eine Auseinandersetzung stattfindet, für die die Daten benötigt werden. Vielmehr ist es ausreichend, wenn es hinreichend wahrscheinlich ist, dass eine solche stattfindet.
Praxishinweis
Soweit sich Unternehmen auf die hier vertretene, (etwas) weitergehende Auslegung von Art. 9 Abs. 2 lit. f DSGVO berufen möchten, ist etwas Vorsicht geboten, da die Verarbeitung zu diesen Zwecken nicht ausdrücklich in Art. 9 Abs. 2 lit. f DSGVO geregelt wird und sich hierzu – soweit ersichtlich – auch noch keine gefestigte (befürwortende) Ansicht in der Literatur gebildet hat.
ee) Erlaubnis durch das Recht der Union oder des Mitgliedstaates aus Gründen eines erheblichen öffentlichen Interesses (Art. 9 Abs. 2 lit. g DSGVO)
186
Art. 9 Abs. 2 lit. g DSGVO enthält eine Öffnungsklausel. Demnach gilt das Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten nicht, wenn die Verarbeitung auf der Grundlage des EU-Rechts oder des Rechts eines Mitgliedstaates, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.269
186a
Nach Auffassung des EuGH kann sich ein solches öffentliches Interesse – zumindest bei der Verarbeitung von Daten durch Suchmaschinenbetreiber – auch aus Art. 11 GRCh (bzgl. des Zugangs von Nutzern zu Informationen) ergeben und zur Rechtmäßigkeit einer solchen Datenverarbeitung durch den Suchmaschinenbetreiber führen – und das (infolge einer „primärrechtskonformen Auslegung“)270 wohl auch dann, wenn die übrigen Zulässigkeitsvoraussetzungen, wie z.B. des Art. 10 DSGVO oder aus Art. 5 Abs. 1 lit. c–e DSGVO, nicht erfüllt sind.271 Gerade infolge dieser Entscheidung kann Art. 9 Abs. 2 lit. g DSGVO für die Verarbeitung besonderer Kategorien personenbezogener Daten durch Suchmaschinenbetreiber eine wichtige Rolle spielen. Außerdem kann die Argumentation des EuGH ggf. auch auf andere Verarbeitungssituationen übertragbar sein, wie z.B. die Verarbeitung personenbezogener Daten im Rahmen bestimmter Websites, insb. mit journalistischem Inhalt.272 Darüber hinaus bleibt es abzuwarten, ob sich ein solches öffentliches Interesse z.B. auch aus anderen Grundrechten nach der GRCh ergeben und Art. 9 Abs. 2 lit. g DSGVO dann ggf. auch Datenverarbeitungen in einem solchen Zusammenhang rechtfertigen kann.273
Nationale Regelungen in Deutschland
§ 22 Abs. 1 Nr. 1 lit. d BDSG: Verarbeitung „sensibler“ Daten aus Gründen eines erheblichen öffentlichen Interesses
187
Der