DSGVO - BDSG - TTDSG. Группа авторов
Die Anforderungen des Art. 10 DSGVO sind erfüllt, da nicht nur eine behördliche Aufsicht vorliegt, sondern die Führung durch eine Behörde selbst erfolgt. Noch engere Privatisierungsschranken als Art. 10 DSGVO aufstellt, können sich im deutschen Recht überdies ohnehin aus dem Funktionsvorbehalt des Art. 33 Abs. 4 GG ergeben.19
22
Dass bereichsspezifische Register – wie die ursprünglich auf Landesebene eingeführten Korruptionsregister, inzwischen das beim Bundeskartellamt entstehende bundesweite Wettbewerbsregister – unter Art. 10 DSGVO fallen, ist bei deliktsspezifisch beschränkten Eintragungsvoraussetzungen zweifelhaft.20 Ohnehin werden auch diese Register hoheitlich geführt oder entsprechend eingerichtet. Diskutiert wird jedoch bereits, inwieweit sich Auftraggeber bzw. Vergabestellen bei der Verarbeitung entsprechender Eintragungen an Art. 10 DSGVO messen lassen müssen. § 12 der Wettbewerbsregisterverordnung (WRegV) sieht bislang nur vor, dass Daten „bei Datenübermittlungen an oder durch die Registerbehörde ... vor einem unbefugten Zugriff Dritter geschützt sein“ müssen. Den umfassenden datenschutzrechtlichen Fragestellungen und Risiken im Zusammenhang mit dem Register wird dies nicht gerecht.
VI. Sanktionsrisiko
23
Bei der Durchsicht von Art. 83 Abs. 4 und 5 DSGVO fällt auf, dass Art. 10 DSGVO von keinem der beiden Absätze aufgegriffen wird. Somit bliebe ein Verstoß gegen den Behördenvorbehalt sanktionslos, wenn die Voraussetzungen des Art. 6 DSGVO eingehalten und nur gegen die zusätzlichen Anforderungen des Art. 10 GG verstoßen wird. Zwar überrascht diese Ausnahme angesichts der Sensitivität der Daten i.S.d. Art. 10 DSGVO, zumal Art. 9 DSGVO über Art. 83 DSGVO sanktionsbewehrt ist. Art. 10 DSGVO ist allerdings auch nicht im Corrigendum in die Sanktionsnormen aufgenommen worden, das am 19.4.2018 veröffentlicht wurde.21 Somit drängt sich nicht (mehr) auf, dass es sich um ein reines Versehen handelt.22
24
Eine Sanktion kommt aber zum einen im Fall eines Verstoßes gegen eine auf die Voraussetzungen des Art. 10 GG bezogene aufsichtsbehördliche Weisung in Betracht, wenn sodann auch diese nicht erfüllt wird.23 Auch ist eine Straftat gem. § 42 BDSG nicht fernliegend, beispielsweise wenn Daten über strafrechtliche Verurteilungen ohne behördliche Aufsicht von speziellen Auskunfteien zum kostenpflichtigen Abruf bereitgehalten werden. Jedenfalls insoweit ist der Adressatenkreis dann auch nicht mehr auf Verantwortliche und Auftragsverarbeiter beschränkt.
1 Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 10 Rn. 2. 2 Nolde, in: Taeger, IT und Internet, S. 791. 3 Gola, in: Gola, DS-GVO, Art. 10 Rn 5. 4 Zum Regelungszweck etwa Brian, in: BeckOK GwG, § 11a Rn. 1. 5 EuGH, Urt. v. 24.9.2019 - C-136/17 und C-507/17; LG Dortmund, Beschl. v. 26.8.2020 – 12 O 71/20. 6 BAG, Beschl. v. 9.4.2019 – 1 ABR 51/17, GWR 2019, 450. 7 Gomille, ZUM 2020, 123, 125: Verweis auf den Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO „jedenfalls für Fälle des Art. 10 DSGVO gesetzessystematisch überraschend“. 8 Enders, in: Merten/Papier, Handbuch der Grundrechte, Band IV, § 89 Rn. 81. 9 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 10 Rn. 1. 10 Schiff, in: Ehmann/Selmayr, DS-GVO, Art. 10 Rn. 4; Kampert, in: Sydow, EU-Datenschutzgrundverordnung, Art. 10 Rn. 4. 11 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 10 Rn. 3. 12 Gola, in: Gola, DS-GVO, Art. 10 Rn 5. 13 EuGH, Urt. v. 24.9.2019 – C-136/17. 14 Kampert, in: Sydow, EU-Datenschutzgrundverordnung, Art. 10 Rn. 5. 15 Zum Verhältnis zwischen dieser Richtlinie und der DSGVO Stief, StV 2017, 470, 472. 16 Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 10 Rn. 20. 17 Zum Verhältnis zwischen Abs. 1 Satz 1 und Satz 2 der Norm zum Beschäftigtendatenschutz: BT-Drs. 16/13657, S. 21, sowie aktuelle Rechtsprechung, u.a. BAG, Urt. v. 27.7.2017 – 2 AZR 681/16, K&R 2017, 745. 18 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 10 Rn. 11, der zudem auf § 72a SGB VIII und § 25 JArbSchG verweist, die ein Tätigkeitsverbot im Fall einer Verurteilung absichern. 19 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 10 Rn. 10. 20 Zu strafmaßabhängigen und strafmaßunabhängigen Katalogen Wolters, KriPoz 2017 https://kripoz.de/2017/07/17/das-gesetz-zur-einfuehrung-eines-wettbewerbsregisters/. 21 http://data.consilium.europa.eu/doc/document/ST-8088-2018-INIT/en/pdf, vgl. dort zu anderen Änderungen des Art. 83 DSGVO S. 64/65. 22 Nolde, PinG 2017, 114, 115. 23 Martini/Wagner/Wenzel, VerwArch 2018, 296, 316.
Art. 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
(1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.
(2) Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.
Mit der Norm korrespondiert der Erwägungsgrund 57.
Literatur: Wójtowicz/Cebulla, Anonymisierung nach der DSGVO, PinG 2017, 186.
Übersicht
| Rn. | |
| I. Allgemeines | 1 |
| 1. Gesetzeszweck | 2 |
| 2. Entstehungsgeschichte | 4 |
| 3. Verhältnis von Abs. 1 und Abs. 2 | 5 |
| 4. Verhältnis zu anderen Vorschriften | 6 |
| II. | |