Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 348

153

In den Absätzen 2 und 3 finden sich fakultative Öffnungsklauseln, aufgrund derer die Mitgliedstaaten die Erlaubnistatbestände aus Art. 6 Abs. 1 UAbs. 1 lit. c und e DSGVO aktivieren können.261 Absatz 3 sieht als Rechtsgrundlage für eine Verarbeitung nach den Buchstaben c und e solche des Unionsrechts (unmittelbar geltendes Primärrecht)262 und des Rechts des Mitgliedstaates, dem der Verantwortliche unterliegt, vor. Eine rechtliche Verpflichtung oder ein öffentliches Interesse, das in einer Rechtsgrundlage eines Drittstaates normiert wurde, sind folglich ausgeschlossen.263 Damit sind EU-Verordnungen sowie Rechtsvorschriften des Bundes- und Landesrechts, aber auch kommunales Recht und Satzungen anderer juristischer Personen des öffentlichen Rechts erfasst, aber keine individuellen Rechtsakte (Verwaltungsakte) oder Urteile.264 Untergesetzliche Normen, die aufgrund einer Ermächtigungsgrundlage erlassen wurden und unmittelbare Außenwirkung haben,265 sind Bestimmungen im Sinne des Absatzes 2. Zu den spezifischen Bestimmungen zählen vornehmlich Gesetze im formellen Sinn,266 von denen es in Deutschland bereichs- oder fachspezifische Datenschutzregelungen auf Bundes- und Landesebene in ganz erheblicher Zahl gab und die aufgrund dieser Regelung des Absatz 3 erhalten oder an die Rahmenvorschriften der DSGVO terminologisch und inhaltlich angepasst werden müssen.267

154

Die Bestimmungen der Union und in den Mitgliedstaaten sollen spezifische Anforderungen an die zur Erfüllung der Verarbeitung gem. Buchstabe c oder e vorsehen. Sie sollen auch Maßnahmen präzise formulieren, damit eine rechtmäßige und nach Treu und Glauben (siehe dazu Art. 5 Rn. 13) erfolgende Verarbeitung gewährleistet ist.

155

Genau genommen finden sich unter den Buchstaben c und e keine selbstständigen Erlaubnistatbestände.268 Erst in Verbindung mit den spezifischen mitgliedstaatlichen Bestimmungen können sie einen Erlaubnistatbestand für die öffentliche Hand ergeben.269 Nach Absatz 2 dürfen die Mitgliedstaaten „spezifische Bestimmungen“ beibehalten oder einführen. Damit sollen spezifische Anforderungen für die Verarbeitung und „für sonstige Maßnahmen“ präziser bestimmt werden.270 Bezweckt wird damit, eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten. Die Anforderung, dass die Bestimmungen der DSGVO präziser bestimmt werden können, schließt eine Wiederholung von Vorschriften der DSGVO aus.271 Anerkannt ist allerdings, dass Wiederholungen von Textpassagen der DSGVO dann zulässig sind, wenn die DSGVO eine Präzisierung durch mitgliedstaatliches Recht zulässt und die Wiederholung als erforderlich gilt, um die Kohärenz sicherzustellen und um die nationalen Vorschriften verständlich und normenklar zu formulieren, ohne den Eindruck entstehen zu lassen, dass die Verordnung nicht direkt anzuwenden sei. Diese Möglichkeit der Wiederholung wird von ErwG 8 ausdrücklich genannt. Deshalb wird es auch als zulässig angesehen, dass das BDSG stellenweise Normtexte der DSGVO in den Wortlaut des BDSG aufnimmt, weil es im Interesse der Rechtsanwender ist, „ein homogenes und verständliches Regelungsgefüge zu schaffen“.272 Dabei ist eine Bezugnahme auf die DSGVO unerlässlich. Mit der Präzisierung dürfen keine verbindlichen Auslegungsregelungen geschaffen werden.

156

Im Absatz 3 werden Anforderungen zusammengefasst, die ein Verantwortlicher zusätzlich zu den Merkmalen zu beachten hat, die sich aus den Erlaubnistatbeständen des Absatz 1 lit. c und e ergeben. Absatz 3 enthält keine eigene Kompetenzermächtigung zur Konkretisierung, sondern erweitert die in Absatz 2 enthaltenen Anforderungen an die Konkretisierung durch die Mitgliedstaaten und schränkt die Ermächtigung inhaltlich weiter ein. Diese Regelungswechselwirkung wurde als „Schranken-Schranke“ bezeichnet.273 So muss sich nach Absatz 3 Satz 1 ein Rechtsgrund dafür, dass eine Verarbeitung auf Art. 6 Abs. 1 UAbs. 1 lit. c oder lit. e DSGVO gestützt werden soll, aus dem Unionsrecht oder dem Recht eines Mitgliedstaates ergeben. Zudem muss diese „Rechtsgrundlage“ auch den weiteren Vorgaben aus den Sätzen 2 und 4 gerecht werden. Danach muss der Zweck der Verarbeitung in der spezifischen Bestimmung festgelegt werden oder der Zweck muss bei einer Verarbeitung nach Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein,274 die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Danach würde es – anders als noch unter dem BDSG a.F.275 – genügen, dass sich aus der Aufgabenbeschreibung einer Vorschrift der Zweck der für die Aufgabenerfüllung erforderlichen Datenverarbeitung ergibt. Die Einschränkung, dass die Bestimmung „eine rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung“ in Übereinstimmung mit den Grundsätzen aus Art. 5 DSGVO – zu denen nach Abs. 1 lit. b gehört, dass die Daten für „legitime Zwecke“ erhoben werden müssen – gewährleisten muss, führt bei Grundrechtseingriffen (Art. 8 GRCh; Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) durch die Verarbeitung hoheitlicher Stellen dazu, dass die fachgesetzliche Bestimmung zur Ausfüllung der Buchstaben c und e den Zweck der Datenverarbeitung präzise benennen muss.276 Danach darf auch unter der DSGVO nicht allein von einer gesetzlichen Aufgabenbeschreibung in einem Fachgesetz bereits auf die Rechtmäßigkeit der Datenverarbeitung geschlossen werden. Es muss erkennbar sein, welchem Zweck die Datenverarbeitung dient und welcher Art die Daten sind, die verarbeitet werden sollen.

157

Die Mitgliedstaaten können aufgrund des Subsidiaritätsprinzips aus Art. 4 und 5 EUV weitgehend selbst bestimmen, was sie als im öffentlichen Interesse liegend betrachten. Für Deutschland gehört dazu beispielsweise die im BDSG geregelten Vorschriften zur Zulässigkeit des Scoring (§ 31 BDSG).277

158

In den Bestimmungen kann geregelt werden, welche Arten personenbezogener Daten für die Zweckerfüllung verarbeitet werden dürfen und welche Personen von der Bestimmung betroffen sind. Außerdem können Regelungen über die Weitergabe und Zweckbindung der Daten enthalten sein. Das erhellt, dass sich die Präzisierung durch Vorschriften der Mitgliedstaaten nicht allein auf den Wortlaut der Buchstaben c und e bezieht, sondern auch spezifische Vorschriften zu anderen Bestimmungen des Kapitels I der DSGVO sowie wegen des klarstellenden Hinweises in Absatz 2 am Ende (sich auf besondere Verarbeitungssituationen beziehende Spezifizierungen) auf Kapitel IX möglich und zulässig sind.278 Die Formulierung in Art. 6 Abs. 3 UAbs. 2 Satz 2 DSGVO, wonach die Rechtsgrundlage spezifische Bestimmungen „zur Anpassung der Anwendung der Vorschriften dieser Verordnung“ enthalten kann, spricht dafür, dass auch spezifische Regelungen zu Bestimmungen in anderen Kapiteln zulässig sind.279

159

Heranziehen können die Erlaubnistatbestände aus den Buchstaben c und e in Verbindung mit den ergänzend in Absatz 3 geregelten Anforderungen nicht nur Behörden und Institutionen des öffentlichen Rechts, sondern auch juristische und natürliche Personen, die im öffentlichen Interesse Aufgaben wahrnehmen. Der eine im öffentlichen Interesse liegende Aufgabe übernehmende Verantwortliche kann nach ErwG 45 eine natürliche oder juristische Person des Privatrechts sein, wie beispielsweise eine Berufsvereinigung. Es müsste dann die Aufgabe allerdings durch das öffentliche Interesse, wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, gerechtfertigt sein. Aus diesem Grund wird die Regelung der Videoüberwachung in § 4 BDSG als nicht mehr von der Öffnungsklausel des Absatz 3 gedeckt angesehen, weil sie nicht nur die Datenverarbeitung im öffentlichen Interesse spezifiziert, sondern diese auch zur Wahrnehmung des Hausrechts (Abs. 1 Nr. 2) und zur Wahrnehmung berechtigter Interessen (Abs. 1 Nr. 3) erlaubt.280

160

Nach UAbs. 2 Satz 1 muss der Zweck der Verarbeitung in der Rechtsgrundlage festgelegt sein oder – bei Heranziehung nur von Buchstabe e – für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Beispiele hierfür aus Deutschland sind etwa das Geldwäschegesetz, das dem „Aufspüren von Gewinnen aus schweren Straftaten“ dient und dafür Pflichten u.a. zur Identifizierung von Vertragspartnern vorsieht und spezielle Normen über die Identitätsprüfung enthält, und das Kreditwesengesetz, das im öffentlichen Interesse die „Durchleuchtung“ der wirtschaftlichen Verhältnisse im Interesse der Betrugsprävention zulässt.

161

Zwingend ist auch Abs. 3 UAbs. 2 Satz 3 zu beachten, wonach das Unionsrecht oder das Recht des Mitgliedstaates ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss. Der Satz 3 muss als deklaratorischer Hinweis auf die Beachtlichkeit des Verhältnismäßigkeitsgrundsatzes verstanden werden, wie er sich wegen der Grundrechtsrelevanz des Eingriffs (Art. 8 GRCh) bereits aus Art. 52 Abs. 1 Satz 2 GRCh ergibt.281 Der Hinweis darauf, dass der Zweck „legitim“ sein muss, ist auch hier Anlass für die Überprüfung, ob der angegebene Zweck der hoheitlichen Datenverarbeitung im Einklang mit der Rechtsordnung, vornehmlich den Grundrechten, steht (Rn. 1 Fn. 1).

162

Optional lässt es UAbs. 2 Satz 2 zu, dass die Rechtsgrundlage nähere Bestimmungen zur Ausgestaltung der Rechtsgrundlage enthält. Dabei ist aber der u.a. durch die Grundsätze des Art. 5 DSGVO vorgegebene Rahmen zu beachten, der durch die Rechtsgrundlage nicht ausgehöhlt werden darf.282 Weil in Abs. 2 ausdrücklich erwähnt wird, dass die Mitgliedstaaten vor Wirksamwerden der DSGVO erlassene Bestimmungen beibehalten können, wird zu prüfen sein, ob diese bei Wirksamwerden der DSGVO vorhandenen Vorschriften den Rahmenanforderungen der DSGVO genügen.

163

ErwG 45 erwartet, dass „im Unionsrecht oder im Recht der Mitgliedstaaten geregelt (wird), für welche Zwecke die Daten verarbeitet werden dürfen“. Diese Rechtsvorschriften sollten weiter die allgemeinen Bedingungen der DSGVO zur Regelung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten präzisieren. Die Empfehlung gibt weiter Anregungen, dass das Recht der Union bzw. des Mitgliedstaates festlegt, „wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt“.