DS-GVO/BDSG. David Klein
Читать онлайн.| Название | DS-GVO/BDSG |
|---|---|
| Автор произведения | David Klein |
| Жанр | Языкознание |
| Серия | Heidelberger Kommentar |
| Издательство | Языкознание |
| Год выпуска | 0 |
| isbn | 9783811488519 |
1. Erwägungsgründe
1
Ausweislich des ErwG 40 ist die Verarbeitung rechtmäßig, wenn personenbezogene Daten mit Einwilligung der betroffenen Person (Abs. 1 lit. a) oder auf einer sonstigen zulässigen Rechtsgrundlage (Abs. 1 lit. b–f) verarbeitet werden. Die Erwägungsgründe beinhalten entsprechend der Relevanz für die Datenverarbeitung ausführliche Erläuterungen zur Einwilligung[4] und zu den alternativen Legitimationstatbeständen[5].
aa) DSRL – RL 95/46/EG
2
Art. 7 DSRL regelte bisher die rechtmäßige Datenverarbeitung. Wie bislang im Geltungsbereich der DSRL schafft auch die DS-GVO ein generelles Verbot der Datenverarbeitung mit Erlaubnisvorbehalt und weist auch darüber hinaus eine große inhaltliche Ähnlichkeit mit der Vorgängerregelung auf.[6]
(1) §§ 4 Abs. 3, 19a, 33 BDSG a.F. als „Entsprechung“ zu Art. 13, 14
3
Verglichen mit BDSG a.F. unterscheiden sich Art. 6 Abs. 1 lit. b bzw. f nicht grundlegend von § 28 Abs. 1 Nr. 1 bzw. Nr. 2 BDSG a.F.[7] Neu ist, dass der Verantwortliche im Rahmen seiner Informationspflichten nach Art. 13 Abs. 1 lit. d bzw. Art. 14 Abs. 2 lit. b darüber informieren muss, auf welche berechtigten Interessen er seinen Verarbeitungsprozess abstützen will.[8]
(2) Änderungen im Vergleich zu den bisher geltenden Informationspflichten
4
Die Änderungen mit Anwendbarkeit der DS-GVO betreffen insb. den Umfang der Transparenzpflichten; diese werden durch den neuen Sekundärrechtsakt teils erheblich ausgeweitet. Damit in Verbindung steht das nach der DS-GVO bestehende Risiko hoher Bußgelder, die auch als Rechtsfolge für eine Missachtung der Informationspflichten greifen.
(3) WP der Art.-29-Datenschutzgruppe und Düsseldorfer Kreis
5
Ein Beschluss des Düsseldorfer Kreises zur Fortgeltung von Einwilligungen nach BDSG a.F.[9] berührt den neben den gesetzlichen Rechtsgrundlagen zentralen Legitimationstatbestand. Im WP 259 nimmt die Art.-29-Datenschutzgruppe ausführlich Stellung zur Einwilligung als Rechtfertigungsgrund.[10]
1. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
6
Das Primärrecht normiert für die Verarbeitung personenbezogener Daten ein Verbot mit Erlaubnisvorbehalt.[11] Mit Art. 5 Abs. 1 lit. a und Art. 6 wird diese Vorgabe sekundärrechtlich konkretisiert. Das Sekundärrecht kann aufgrund der übergeordneten primärrechtlichen Vorgaben nicht von dem Verbot mit Erlaubnisvorbehalt abweichen.[12] Danach ist die Verarbeitung nur rechtmäßig, wenn personenbezogene Daten mit Einwilligung der betroffenen Person (Abs. 1 lit. a) oder auf einer sonstigen zulässigen Rechtsgrundlage (Abs. 1 lit. b–f) verarbeitet werden.
2. Verhältnis der einzelnen Erlaubnistatbestände
7
Eine Datenverarbeitung ist nach der DS-GVO nur gestattet, wenn „mindestens“ einer der in Art. 6 Abs. 1 normierten Erlaubnistatbestände einschlägig ist. Im Einklang mit der englischen Sprachfassung („. . .at least one of the following applies“) ist mindestens ein Rechtmäßigkeitstatbestand für eine Verarbeitung personenbezogener Daten zu erfüllen, was im Umkehrschluss das Vorliegen gleich mehrerer Legitimationsgründe begründet. Demgegenüber geht die Art.-29-Datenschutzgruppe in ihrem WP 259[13] davon aus, dass eine Datenverarbeitung zu einem bestimmten Zweck nur auf einen Zulässigkeitstatbestand gestützt werden kann.[14] Insoweit ist die DS-GVO konkretisierender formuliert als Art. 7 DSRL, wonach „die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist“. Diese Unklarheit spiegelte sich auch im nationalen Recht wieder.[15] Unter der DS-GVO besteht die Möglichkeit eine Verarbeitung zu demselben Zweck durch mehrere Zulässigkeitstatbestände zugleich zu legitimieren. Aufgrund der Eindeutigkeit des sekundärrechtlichen Wortlauts erscheint es abwegig, wenn die Art.-29-Datenschutzgruppe es ausschließt eine Verarbeitung zu einem bestimmten Zweck auf mehrere Rechtsgrundlagen zu stützen („cannot be based on multiple lawful bases“).[16]
8
Praktisch relevant wird dieses Vorgehen in den Fällen, in denen etwa die Unsicherheit über das Vorliegen eines gesetzlichen Erlaubnistatbestands (lit. b–f) durch eine Einwilligung nach Abs. 1 lit. a geheilt werden soll. Nicht zuletzt Art. 17 Abs. 1 lit. b, der das Löschen personenbezogener Daten im Fall einer widerrufenen Einwilligung nur erlaubt, wenn es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt, belegt, dass die Tatbestände zur Rechtmäßigkeit nebeneinander zu Anwendung kommen können.[17] In der Konsequenz kann der Betroffene die auf mehreren Rechtsgrundlagen gesiedelte Datenverarbeitung nicht durch den Widerruf der Einwilligung beenden, weswegen im Sinne seiner informationellen Selbstbestimmung die Information über die anderen möglichen Rechtsgrundlagen (Art. 13 Abs. 1 lit. c) unerlässlich wird.[18] Aus Sicht des Verantwortlichen erscheint es schon aus Vorsorgegründen empfehlenswert die mit Art. 6 Abs. 1 eröffnete Möglichkeit in der Regel zu nutzen und die Datenverarbeitung auch durch eine Einwilligung abzusichern.[19]
9
Das Vorliegen des erforderlichen Erlaubnistatbestands ist für jede einzelne Phase der Verarbeitung personenbezogener Daten („Vorgang“ vgl. Art. 4 Nr. 2) gesondert bzw. erneut zu prüfen.[20]
10
Durch den Ausbruch der Corona-Pandemie im Frühjahr 2020 stellen sich zahlreiche Herausforderungen im Hinblick auf das Datenschutzrecht[21]. Neben der Entwicklung einer Corona-Warn-App und den damit einhergehenden rechtlichen Fragestellungen werden auch die Anforderungen nach Art. 6 DS-GVO konturiert. So statuiert die neue Coronaschutzverordnung in NRW[22], dass zu Zwecken der Infektionsbekämpfung für Personen, die Begegnungsräume eröffnen (etwa Betriebe) die rechtliche