DA+

Kurzbeitrag : Die zentralen Rechtsgrundlagen der Datenverarbeitung für die Privatwirtschaft im Überblick : aus der RDV 4/2020, Seite 201 bis 206

Lesezeit 3 Min.

I. Einführung

Damit eine personenbezogene Datenverarbeitung rechtmäßig ist, müssen die Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus der DS-GVO oder – wann immer in dieser darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist (ErwGr 40 DSGVO). Jede personenbezogene Datenverarbeitung bedarf also einer sie legitimierenden Rechtsgrundlage. Dieses Prinzip wird in der Praxis häufig als „Verbot mit Erlaubnisvorbehalt“ bezeichnet.[1]

Der Begriff der personenbezogenen Daten und derjenige der Verarbeitung werden in der DS-GVO legaldefiniert (Art. 4 Nr. 1 und 2 DS-GVO). Personenbezogene Daten sind demnach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören etwa Namen und Identifikationsmerkmale, Kontaktdaten, körperliche Merkmale, Einstellungen und Überzeugungen, Verbindungen und Beziehungen, Standorte, Nutzungsdaten, Bankverbindungen und Lebensläufe natürlicher Personen. Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie z.B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Insbesondere Nichtjuristen bereitet das Auffinden der einschlägigen Rechtsgrundlage für die Datenverarbeitung zuweilen Schwierigkeiten. So können sich Rechtsgrundlagen nicht nur aus der DS-GVO selbst, sondeen auch aus dem nationalen Recht ergeben. Dies trifft insbesondere für die Beschäftigtendatenverarbeitung (§ 26 BDSG), die Verarbeitung besonderer Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten (§ 22 BDSG), oder zweckändernde Datenverarbeitungen (§§ 23, 24 BDSG) zu. Ein häufiger Fehler besteht darin, in der DS-GVO enthaltene „Regelungsspielräume“ nicht als solche zu erkennen und die betreffenden Regelungen fälschlicherweise als unmittelbare Rechtsgrundlagen zu interpretieren. Mit Regelungsspielräumen ist gemeint, dass der DS-GVO-Gesetzgeber nicht alles bis ins letzte Detail auf europarechtlicher Ebene geregelt, sondern teilweise zugunsten der nationalen Gesetzgeber Konkretisierungsmöglichkeiten, Regelungsoptionen bzw. -aufträge vorgesehen hat. So ist etwa Grundlage der Verarbeitung besonderer Arten personenbezogener Daten im Zusammenhang mit Gesundheitsvorsorge, Arbeitsmedizin etc. nicht Art. 9 Abs. 2 lit. h DS-GVO, sondern der in Umsetzung dieser Regelung geschaffene nationale § 22 Abs. 1 Nr. 1 lit. b BDSG. In der Praxis hat sich für die DS-GVO-Regelungsspielräume der Begriff „Öffnungsklauseln“ eingebürgert, dessen Gebrauch allerdings zum Teil kritisiert wird. Der Begriff suggeriere, dass es möglich sei, vom gleichmäßigen Schutzniveau der DS-GVO in umfangreicher Weise flexibel nach oben oder nach unten abzuweichen, was jedoch tatsächlich nicht der Fall sei bzw. nur in dem von der DS-GVO selbst genau abgesteckten Rahmen.[2]

Sollen Daten zu einem anderen Zweck weiterverarbeitet werden als den ursprünglichen Erhebungszwecken, ist dies nur unter eingeschränkten Bedingungen möglich, denn es gilt der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DS-GVO). Die Verarbeitung zu einem neuen Zweck ist nur zulässig, wenn entweder der neue Verarbeitungszweck mit den ursprünglichen Erhebungszwecken kompatibel, also vereinbar ist oder gesetzlich ausnahmsweise eine Durchbrechung der Zweckbindung gestattet ist, z.B. nach § 24 BDSG. Einen nicht abschließenden Kriterienkatalog für die Prüfung der Kompatibilität der Zweckänderung sieht Art. 6 Abs. 4 DS-GVO vor. Ist die Kompatibilität der Zweckänderung zu bejahen, bedarf die Datenverarbeitung zu dem neuen Zweck keiner gesonderten Rechtsgrundlage, sondern ist vielmehr über die die Erhebung legitimierende Rechtsgrundlage mitabgedeckt (ErwGr 50 S. 2 DS-GVO). Über die zweckändernde Weiterverarbeitung ist die betroffene Person vorab zu informieren (Art. 13 Abs. 3, Art. 14 Abs. 4 DS-GVO).

Die nachfolgenden Übersichten sollen einen Überblick über die zentralen Datenverarbeitungsgrundlagen im Bereich der Privatwirtschaft geben und so bei der Vorbereitung auf die Zertifizierung als Datenschutzbeauftragter (GDDcert.) ebenso unterstützen wie bei der Bewertung datenschutzrechtlicher Sachverhalte in der täglichen Praxis. Zugleich ergänzt dieser Beitrag die in der RDV regelmäßig veröffentlichten Praxisfälle zum Datenschutzrecht.

II. Die Rechtsgrundlagen im Überblick

1. Rechtsgrundlagen Allgemein

2. Rechtsgrundlagen bei besonderen Kategorien pb Daten

3. Rechtsgrundlagen bei Daten nach Art. 10 DS-GVO

4. Rechtsgrundlagen im Beschäftigungsverhältnis

5. Rechtsgrundlagen bei Videoüberwachung durch Unternehmen

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.

* RAin Yvette Reif, LL.M., stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.

[1] Zur Kritik an diesem Begriff, vgl. Roßnagel, NJW 2019, 1.

[2] Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, Einführung Rn. 88.