Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 295

9

Die Anforderung, dass personenbezogene Daten „auf rechtmäßige Weise“ verarbeitet werden müssen, kann in zweifacher Hinsicht ausgelegt werden: Einerseits kann diese Formulierung dahingehend verstanden werden, dass ein Datenverarbeitungsvorgang sämtlichen Voraussetzungen der DSGVO bzw. der zulässigen nationalen Rechtsakte entsprechen muss, um dem Grundsatz der Rechtmäßigkeit gerecht zu werden.16 Ein Verstoß gegen diesen Grundsatz wäre bei Zugrundelegung eines solchen weiten Begriffsverständnisses bereits dann anzunehmen, wenn die Datenverarbeitung zwar grundsätzlich durch einen Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 DSGVO gerechtfertigt wäre, der Verantwortliche jedoch beispielsweise seiner Informationspflicht gem. Art. 13 DSGVO nicht nachkäme.17 Gegen diese extensive Auslegung spricht jedoch, dass der Bußgeldtatbestand des Art. 83 Abs. 5 lit. a DSGVO in diesem Fall mittelbar sämtliche Verstöße gegen die Verordnung blankettartig pönalisieren würde, was im Lichte des Bestimmtheitsgrundsatzes höchst bedenklich erscheint.18

10

Es ist vielmehr davon auszugehen, dass ein Datenverarbeitungsvorgang „auf rechtmäßige Weise“ i.S.d. Art. 5 Abs. 1 lit. a DSGVO erfolgt, sofern er von einer der Rechtsgrundlagen des Art. 6 Abs. 1, Abs. 4 Satz 1 DSGVO gedeckt ist19 und die Verarbeitung auch den übrigen materiellen Rechtmäßigkeitsvoraussetzungen – die Rechtmäßigkeit der Einwilligung, die Verarbeitung besonderer Kategorien personenbezogener Daten und die Übermittlung in Drittländer betreffend – entspricht.20 Für dieses engere Begriffsverständnis spricht nicht zuletzt auch ErwG 41, der für die Beurteilung der Rechtmäßigkeit einer Verarbeitung personenbezogener Daten an das Vorliegen einer Einwilligung oder das Vorhandensein einer sonstigen Rechtsgrundlage anknüpft.21

11

Ausgehend vom engeren Begriffsverständnis (vgl. oben Rn. 10) wird der Grundsatz der Rechtmäßigkeit insbesondere durch die folgenden Normen konkretisiert:

 – Art. 6 Abs. 1 Satz 1 DSGVO legt die grundsätzlichen Bedingungen für die Rechtmäßigkeit einer Datenverarbeitung fest. Eine Verarbeitung ist demgemäß rechtmäßig, wenn die betroffene Person ihre Einwilligung gegeben hat (lit. a; siehe Art. 6 Rn. 24ff.) oder die Verarbeitung für die Erfüllung eines Vertrags (lit. b; siehe Art. 6 Rn. 54ff.), zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (lit. c; siehe Art. 6 Rn. 73ff.), zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person (lit. d; siehe Art. 6 Rn. 90ff.), für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (lit. e; siehe Art. 6 Rn. 93ff.) oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist (lit. f; siehe Art. 6 Rn. 105ff.).

 – Sofern der Verantwortliche die Rechtmäßigkeit der Verarbeitung auf eine Einwilligung der betroffenen Person stützt, enthält Art. 7 DSGVO Bedingungen hierfür und Art. 8 DSGVO regelt den Sonderfall der Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft.

 – Die Art. 9 und 10 DSGVO enthalten besondere Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten sowie für die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.

 – Werden personenbezogene Daten in ein Drittland übermittelt, müssen darüber hinaus die besonderen Rechtmäßigkeitsvoraussetzungen der Art. 44ff. DSGVO erfüllt werden. Eine solche Drittlandsübermittlung ist gerechtfertigt, wenn ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt (Art. 45 DSGVO), geeignete Garantien – wie beispielsweise verbindliche interne Datenschutzvorschriften oder Standarddatenschutzklauseln – vorgesehen sind (Art. 46 DSGVO) oder ein Ausnahmetatbestand des Art. 49 DSGVO einschlägig ist. Insbesondere beim Einsatz von Standarddatenschutzklauseln wird dabei künftig auch die EuGH-Entscheidung „Schrems II“ zu berücksichtigen sein.22

12

Der bereits nach altem Recht häufig praktizierte Ansatz, dass Unternehmen ihre Verarbeitungsvorgänge auf mehrere Erlaubnistatbestände stützen, kann nach hier vertretener Ansicht auch unter der DSGVO beibehalten werden (siehe auch Art. 6 Rn. 21).23 Diese präventive Herangehensweise ermöglicht es, den Datenverarbeitungsvorgang auch bei Wegfall einer der verwendeten Erlaubnistatbestände in rechtmäßiger Weise fortzuführen.24 Sofern sich der Verantwortliche mehrerer Rechtsgrundlagen bedient, muss die betroffene Person aufgrund des Transparenzgrundsatzes (Rn. 16ff.) sowie des Gebots der Verarbeitung nach Treu und Glauben (Rn. 13ff.) hierüber informiert werden. Gleichwohl ist es ratsam, eine primäre Rechtsgrundlage für den jeweiligen Verarbeitungsvorgang festzulegen.25 Diese Festlegung sollte möglichst gewissenhaft erfolgen, damit der Verantwortliche im Rahmen seiner Rechenschaftspflicht (Rn. 40ff.) das Vorliegen der jeweiligen Voraussetzungen nachweisen kann.26 Zu berücksichtigen ist außerdem, dass sich aus den jeweiligen Erlaubnistatbeständen unterschiedliche Rechtsfolgen ergeben können, etwa zur Datenportabilität (vgl. Art. 20 Abs. 1 lit. a DSGVO), zum Widerspruchsrecht des Betroffenen (vgl. Art. 21 Abs. 1 Satz 1 DSGVO) oder in Hinblick auf den Widerruf der Einwilligung (vgl. Art. 7 Abs. 3 Satz 1 DSGVO).