Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 78

56

Ebenfalls sehr praxisrelevant ist die Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung. Diese bisher schon in der Datenschutzrichtlinie 95/46/EG enthaltene Erlaubnisnorm findet sich nunmehr in Art. 6 Abs. 1 lit. c DSGVO.

57

Demnach ist die Verarbeitung personenbezogener Daten zulässig, „wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt.“

58

Nach dem ausdrücklichen Wortlaut der Norm muss es sich um eine „rechtliche Verpflichtung“ handeln, der der Verantwortliche unterliegt. Dies bedeutet mithin, dass die Verarbeitung zu Zwecken der Erfüllung vertraglicher Verpflichtungen nicht auf Art. 6 Abs. 1 lit. c DSGVO gestützt werden kann.87 Die rechtliche Verpflichtung kann sich nach Art. 6 Abs. 3 S. 1 DSGVO und Erwägungsgrund 45 entweder aus dem Unionsrecht oder aus dem Recht des jeweiligen Mitgliedstaates ergeben. Hierbei ist es erforderlich, dass das EU-Recht bzw. das Recht des Mitgliedstaates den Verantwortlichen verpflichtet, eine bestimmte Datenverarbeitung vorzunehmen – eine bloße Erlaubnis ohne entsprechende Verpflichtung ist hierfür hingegen – dem ausdrücklichen Wortlaut der Norm folgend – nicht ausreichend.88

59

Aus formeller Sicht kann eine rechtliche Verpflichtung grundsätzlich in jeder Rechtsnorm der EU bzw. des Mitgliedstaates enthalten sein/statuiert werden, vorausgesetzt, dass diese Norm eine unmittelbare Außenwirkung besitzt. Normen mit unmittelbarer Außenwirkung sind auf EU-Ebene insbesondere Verordnungen – z.B. auch die DSGVO selbst – und auf mitgliedstaatlicher Ebene insbesondere Gesetze, Rechtsverordnungen und Satzungen.89 Auch aus normativen Teilen von Tarifverträgen und aus Betriebsvereinbarungen können sich nach hier vertretener Ansicht rechtliche Verpflichtungen i.S.d. Art. 6 Abs. 1 lit. c DSGVO ergeben.90 Nicht als taugliche Grundlagen in Betracht kommen hingegen z.B. interne Verwaltungsvorschriften.91 Inwiefern behördliche Anordnungen als rechtliche Verpflichtungen i.S.d. Art. 6 Abs. 1 lit. c DSGVO anzusehen sind, ist umstritten.92

60

Darüber hinaus müssen die Rechtsnormen aber auch inhaltliche Anforderungen erfüllen, um als taugliche Grundlage i.S.d. Art. 6 Abs. 1 lit. c DSGVO dienen zu können. Diese sind in Art. 6 Abs. 3 DSGVO und dem dazugehörigen Erwägungsgrund 45 festgelegt. Demnach muss die jeweilige Rechtsgrundlage nicht zwangsläufig eine datenschutzrechtliche Erlaubnisnorm im klassischen Sinne sein, in der sowohl die zu verarbeitenden Daten(arten), die Verarbeitungszwecke als auch die weiteren Details zur Datenverarbeitung (z.B. Speicherdauer) geregelt sind. Ausreichend ist es nach Art. 6 Abs. 3 S. 2 DSGVO vielmehr, wenn eine Rechtsgrundlage den Zweck der Verarbeitung festlegt. Dem jeweiligen Gesetzgeber steht es nach Art. 6 Abs. 3 S. 3 DSGVO aber frei, weitergehende Vorgaben zur Datenverarbeitung zu machen. Hierbei ist es der EU bzw. den Mitgliedstaaten nach Art. 6 Abs. 2 und Art. 6 Abs. 3 S. 3 DSGVO auch erlaubt, die Anforderungen an die Datenverarbeitung für eine bestimmte Datenverarbeitungssituation zu konkretisieren – z.B. im Hinblick auf die zu verarbeitenden Datenarten, welche Personen betroffen sein dürfen etc. Bereits bestehende mitgliedstaatliche Regelungen, die diese Anforderungen erfüllen, dürfen nach Art. 6 Abs. 2 DSGVO beibehalten werden.

61

Als Rechtsgrundlagen i.S.d. Art. 6 Abs. 1 lit. c DSGVO kommen im deutschen Recht z.B. die folgenden Normen in Betracht: § 257 HGB und § 147 AO („Aufbewahrungspflicht bzgl. bestimmter Unterlagen“), § 18 KWG („Offenlegung der wirtschaftlichen Verhältnisse des Kreditnehmers“), §§ 4,8 und 11 GwG („Pflichten nach dem GwG, insb. Identifizierung des Vertragspartners“), § 93 AO („Auskunft über steuerlich relevante Sachverhalte“), sozialversicherungsrechtliche Regelungen im SGB sowie melderechtliche Vorschriften im Meldegesetz.93

62

In jedem Fall erlaubt Art. 6 Abs. 1 lit. c DSGVO eine Datenverarbeitung nur insoweit, wie diese erforderlich ist, um die jeweilige rechtliche Verpflichtung zu erfüllen.94

Praxishinweis

Nimmt ein Verantwortlicher an, dass er einer rechtlichen Verpflichtung unterliegt und er zu deren Erfüllung personenbezogene Daten verarbeiten muss, sollte er zunächst überprüfen, ob die Rechtsnorm, aus der sich die Verpflichtung ergibt, eine taugliche Rechtsgrundlage i.S.d. Art. 6 Abs. 1 lit. c DSGVO ist. So ist z.B. davon auszugehen, dass es hierzu immer mehr Stellungnahmen von Datenschutzaufsichtsbehörden und Entscheidungen von Gerichten geben wird. Stellt eine solche Rechtsnorm keine taugliche Rechtsgrundlage i.S.d. Art. 6 Abs. 1 lit. c DSGVO dar, kann der Datenumgang ggf. auch auf eine andere Erlaubnisalternative im Rahmen des Art. 6 Abs. 1 DSGVO gestützt werden, insb. auf Art. 6 Abs. 1 lit. f DSGVO („Datenverarbeitung auf Basis einer Interessenabwägung“).

Die Anforderungen an die Verarbeitung personenbezogener Daten zu Zwecken der Erfüllung rechtlicher Verpflichtungen können infolge der Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO zwischen den einzelnen EU-Mitgliedstaaten voneinander abweichen. Dies ist insbesondere zu berücksichtigen, wenn eine Datenverarbeitung (durch mehrere Verantwortliche) in unterschiedlichen EU-Mitgliedstaaten erfolgt und diese einheitlich gestaltet werden soll.