Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 331

76

Den Mitgliedstaaten eröffnet sich mit Buchstabe c die Möglichkeit, Rechtspflichten durch mitgliedstaatliche Gesetze beizubehalten oder zu schaffen, die eine Rechtspflicht zur Datenverarbeitung vorsehen. Die näheren Voraussetzungen dafür werden in den Absätzen 2 und 3 geregelt (siehe Rn. 153ff.). In diesen spezifischen Bestimmungen dürfen aber keine sonstigen datenschutzrechtlichen Regelungen enthalten sein, wenn nicht eine Öffnungsklausel aus einer anderen Vorschrift der DSGVO dieses zulässt; es folgt aus der spezifischen Bestimmung allein die rechtliche Verpflichtung zur Verarbeitung. Über die Normierung einer Rechtspflicht zur Datenverarbeitung hinaus ergeben sich die datenschutzrechtlichen Anforderungen insoweit weiterhin aus der DSGVO.114

77

Die rechtliche Verpflichtung muss sich gemäß Absatz 3 Satz 1 aus dem Unionsrecht oder aus dem Recht eines Mitgliedstaates ergeben, dem der Verantwortliche unterworfen ist. Die Anforderungen an die spezifischen Bestimmungen, aus denen sich die Rechtspflicht ergibt, werden in Art. 6 Abs. 2 und 3 DSGVO näher beschrieben (Rn. 153ff.). Insofern kann sich eine Erlaubnis zur Verarbeitung personenbezogener Daten nicht allein aus Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO ergeben, sondern nur aufgrund dieser Vorschrift im Zusammenhang mit einer zur Datenverarbeitung verpflichtenden Rechtsvorschrift der Union oder eines Mitgliedstaates, dem der Verantwortliche unterworfen ist (Konkretisierungsermächtigung).115

78

Eine rechtliche Verpflichtung kann sich – wie auch unter der DSRl – aus allen verfassungsmäßigen Regelungen mit normativem Charakter ergeben, wozu alle Gesetze im materiellen Sinn zählen.116 Nicht nur aus Bundesgesetzen sowie aus den Parlamentsgesetzen der Bundesländer können sich rechtliche Verpflichtungen ergeben, sondern auch aus sich auf gesetzliche Ermächtigungen stützende Verordnungen117 sowie aus Satzungen einer Körperschaft, einer Stiftung oder einer Anstalt (siehe auch ErwG 41). Satzungen können allerdings nur rechtliche Verpflichtungen zur Verarbeitung der Daten ihrer Mitglieder vorsehen. Verwaltungsvorschriften wirken nur innerhalb der öffentlichen Verwaltung ohne Außenwirkung, sodass sich aus ihnen ebenso wenig wie aus Erlassen oder Richtlinien eine rechtliche Verpflichtung ergeben kann. Aus rechtsgeschäftlichen Verpflichtungen zur Verarbeitung folgt keine Erlaubnis nach Buchstabe c;118 hierfür kann Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO eine Erlaubnis enthalten.

79

Rechtliche Verpflichtungen, nach denen nicht im privaten, sondern im öffentlichen Interesse119 eine Verarbeitung auf der Grundlage der Erlaubnis nach Buchstabe c erfolgen darf, gibt es zahlreiche.120 Liegt eine gesetzliche Verpflichtung vor, verwandelt sich das Prinzip des Verbots mit Erlaubnisvorbehalt (siehe Rn. 4) in ein Gebot zur Datenverarbeitung unter Berücksichtigung datenschutzrechtlicher Implikationen. Erwähnt sei nur die Verpflichtung von Arbeitgebern, personenbezogene Daten von Beschäftigten an Sozialversicherungsträger zu übermitteln, von öffentlichen Stellen, über Honorarzahlungen Kontrollmitteilungen an Finanzbehörden zu senden und Zahlungen von Spendern und Sponsoren zur Veröffentlichung an Transparenzregister zu melden,121 von Unternehmen, Daten für Zwecke des Terrorlistenabgleichs zu verarbeiten;122 von Aktiengesellschaften, Daten von Aktionären etwa für Zwecke der Durchführung einer Hauptversammlung zu verarbeiten;123 die Daten der Halter von LKW, die mautpflichtig Bundesautobahnen und bestimmte Bundesstraßen befahren, werden nach §§ 3, 7 des Gesetzes über die Erhebung von streckenbezogenen Gebühren für die Benutzung von Bundesautobahnen und Bundesstraßen (BFStrMG) erfasst.124 Aufgrund einer EU-Verordnung125 sind Daten über die CO2-Emissionen von ab dem 1.1.2021 neu zugelassenen PKW mit fahrzeuginternen Überwachungseinrichtungen für den Kraftstoff- und/oder Stromverbrauch (On-Board Fuel Consumption Metering, OBFCM) zusammen mit der Fahrzeugidentifikationsnummer (FIN) zu erheben und von Herstellern bzw. Vertragshändlern, Werkstätten oder Technischen Überwachungseinrichtungen ab dem Jahr 2022 jeweils zum 1.4. an die Kommission zu übermitteln (Art. 9 Abs. 1 Hs. 1 DurchfVO 2021/392). Eine angestrebte Anonymisierung der Daten ist noch nicht realisiert. Die Fahrzeughalter können der On-Board-Erhebung und der Verarbeitung durch die genannten Verantwortlichen (Art. 11 Abs. 1 DurchfVO 2021/392) aber widersprechen (Art. 9 Abs. 1 Hs. 2 DurchfVO 2021/392).126

80

Wertpapierdienstleistungsunternehmen unterliegen seit der Einführung des § 83 WpHG,127 der Art. 16 Abs. 7 MiFID II umsetzt, verschärften Pflichten zur Aufzeichnung von Telefongesprächen und elektronischer Kommunikation hinsichtlich der beim Handel für eigene Rechnung getätigten Geschäfte und der Erbringung von Dienstleistungen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen. Diese dem Schutz von Anlegern und Verbrauchern dienende wertpapierhandelsrechtliche Aufzeichnung von Daten hat zweifelsfrei datenschutzrechtliche Bezüge.128 Beide europäischen Gesetze, DSGVO und MiFID II, stehen auf gleicher Hierarchieebene. Keine Vorschrift verdrängt die andere. Art. 78 MiFID II betont, dass ihre Vorschriften im Einklang mit der DSGVO stehen; gleichwohl sind beide Regelwerke für sich autonom auszulegen. Aus Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO i.V.m. § 83 WpHG ergibt sich die Erlaubnis, die Aufzeichnungen vorzunehmen und zu dokumentieren. Die Erlaubnis hat zu berücksichtigen, dass die Verarbeitung nur erfolgen darf, soweit sie erforderlich ist. Aus § 83 Abs. 3 Satz 1 WpHG folgt, dass die Verarbeitung der Beweissicherung dient. Bei europarechtskonformer Auslegung des § 83 WpHG ist die Vorschrift im Lichte von Art. 16 Abs. 7 UAbs. 1 MiFID II weit auszulegen („zumindest“129 und „vollumfänglich“130), was mit der Pflicht zur Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO kollidieren könnte. Für den Wertpapierdienstleister folgt daraus eine Normenkollision131 und das Risiko, entweder sanktionsbedroht zu viele Daten aufzuzeichnen oder, ebenso bußgeldbedroht, zu wenige.132 Für die Praxis wird deshalb empfohlen, für die Erlaubnis der „vollumfänglichen“ Aufzeichnung eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO einzuholen.133 Wird die Einwilligung verweigert, dürfte das Wertpapierdienstleistungsunternehmen auf telefonischem oder elektronischem Weg keine Wertpapierdienstleistungen erbringen. Rechtsunsicher wäre es wohl, den Kunden nur über die Aufzeichnung zu informieren und bei fehlendem Widerspruch von der Zustimmung auszugehen. Im Ergebnis zeigt sich, dass „die regulatorische Abstimmung zwischen der MiFID II bzw. dem WpHG und der DSGVO nicht vollständig gelungen“ ist.134

81

Eine rechtliche Verpflichtung, die zu einer Erlaubnis der Verarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO führt, kann sich auch aus der DSGVO – also mitgliedstaatlichem Recht i.S.v. Art. 6 Abs. 3 DSGVO – selbst ergeben.135 Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen“ zur Gewährleistung eines angemessenen Schutzniveaus zu treffen. Art. 32 DSGVO verpflichtet allerdings nicht unmittelbar zu einer Verarbeitung, um die rechtliche Pflicht zu erfüllen; eine explizite Verpflichtung zur Nennung der Datenverarbeitung kennt die Norm ebenso wenig wie der ErwG 45, der die Anforderungen an die Erlaubnis aus Buchstabe c konkretisiert. Orientiert man sich an einer Entscheidung des VGH Mannheim,136 dann enthält auch § 99 VwGO eine rechtliche Verpflichtung, die datenschutzrechtlich die Verarbeitung erlaubt; denn danach sind Behörden „zur Vorlage von Urkunden oder Akten, zur Übermittlung elektronischer Dokumente und zu Auskünften verpflichtet“, ohne dass ausdrücklich eine elektronische Vorlage von personenbezogene Daten enthaltenden Dokumenten erwähnt wird. Ein Aktenvorlageverlangen stellt damit eine rechtliche Verpflichtung dar, die datenschutzrechtlich (neben Buchstabe e auch) nach Buchstabe c zulässig ist. Ist hier, in der rechtlichen Verpflichtung nach § 99 VwGO, keine ausdrückliche Verpflichtung zu einer Datenverarbeitung enthalten, so gilt das auch für Art. 32 DSGVO. Eine „Spezifizierung zu den Arten der Daten oder der Verarbeitung selbst“ muss die Vorschrift, aus der sich eine rechtliche Verpflichtung ergibt, nicht enthalten.137 Art. 32 Abs. 1 lit. a DSGVO sieht in dem hier genannten Regelbeispiel im Übrigen eine Pseudonymisierung vor, die nach der Definition in Art. 4 Nr. 5 DSGVO eine „Verarbeitung“ darstellt. Erfordert die Gewährleistung eines angemessenen Schutzniveaus nach Art. 32 DSGVO eine Datenverarbeitung, so dürfte für diesen Zweck auch eine Verarbeitung personenbezogener Daten vorgenommen werden.138

82

Ein rechtlicher Betreuer kann sich bei der von ihm vorgenommenen Verarbeitung personenbezogener Daten der von ihm betreuten, nicht einsichtsfähigen Person, die für die Wahrnehmung seiner Aufgaben erforderlich sind, auf Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO als Erlaubnistatbestand stützen. Die Vertretung des Betroffenen durch den Betreuer nach § 1902 BGB stellt eine rechtliche Verpflichtung i.S.d. Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO dar.139 Darüber hinaus kann der rechtliche Betreuer auch für den Betreuten trotz der Höchstpersönlichkeit der Einwilligungserklärung Einwilligungen in die Datenverarbeitung durch Dritte erteilen. Dieser Aspekt wird künftig durch den Einsatz von Pflegerobotern, die etwa durch Sensoren personenbezogene Daten – auch besonderer Arten personenbezogener Daten (Gesundheitsdaten) – an Bedeutung zunehmen, in deren Verarbeitung der rechtliche Betreuer einwilligen muss, wenn die Einwilligungsfähigkeit beim Betreuten nicht mehr gegeben ist.140

83

Auf die Erlaubnis aus Buchstabe c kann sich sowohl eine öffentliche wie auch eine nichtöffentliche Stelle berufen. Der Adressat der Verpflichtung muss sich aus einer Rechtsvorschrift ergeben, die gerade ihn und nicht etwa die betroffene Person141 zu einer Verarbeitung verpflichtet. Dass der Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO „vor allem die staatliche Datenverarbeitung“ oder „primär die Datenverarbeitung durch öffentliche Stellen“ betreffe und die hiernach erlaubte Datenverarbeitung eine „klassische Staatsaufgabe“ sei, ist ganz und gar unzutreffend.142 Vielmehr ist dieser Erlaubnistatbestand nicht ausschließlich, aber „vor allem für privatrechtliche Verantwortliche relevant, weil Behörden sich auf die Erlaubnis nach Buchstabe e berufen können“.143 Dann, wenn die Datenverarbeitung nicht dem Zweck der ihr zugewiesenen hoheitlichen Aufgabenerfüllung dient, kann sich für öffentliche Stellen eine Rechtspflicht zur Verarbeitung auch aus dem Buchstaben c ergeben (siehe die Beispiele bei Rn. 79).