Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 99

177

Des Weiteren ist die Verarbeitung von besonderen Kategorien personenbezogener Daten gem. Art. 9 Abs. 2 DSGVO in lit. b nicht untersagt, wenn sie erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann. Voraussetzung hierfür ist, dass die Verarbeitung nach dem EU-Recht, dem Recht des jeweiligen Mitgliedstaates oder einer Kollektivvereinbarung – wozu gem. Erwägungsgrund 155 DSGVO auch Betriebsvereinbarungen gehören – nach dem Recht des jeweiligen Mitgliedstaates, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist.257

Nationale Regelungen in Deutschland

1. § 26 Abs. 3 und 4 BDSG: Verarbeitung „sensibler“ Daten für Zwecke des Beschäftigungsverhältnisses

178

Der deutsche Gesetzgeber hat von dieser Möglichkeit Gebrauch gemacht und in § 26 Abs. 3 und 4 BDSG die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO für Zwecke des Beschäftigungsverhältnisses speziell geregelt.258

2. Sozialgesetzbücher

178a

Zudem hat der deutsche Gesetzgeber von der Öffnungklausel im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten im Bereich des Rechts der sozialen Sicherheit und des Sozialschutzes Gebrauch gemacht. So finden sich insoweit viele spezielle an Art. 9 Abs. 2 lit. b DSGVO anknüpfende Vorschriften in den Sozialgesetzbüchern.259

3. § 22 Abs. 1 Nr. 1 lit. a BDSG: Verarbeitung „sensibler“ Daten im Kontext des Rechts der sozialen Sicherheit und des Sozialschutzes

179

Des Weiteren erlaubt § 22 Abs. 1 Nr. 1 lit. a BDSG die Verarbeitung dieser sensiblen Daten durch öffentliche und nicht-öffentliche Stellen, soweit sie erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen. Voraussetzung hierfür ist allerdings, dass der Verantwortliche nach Maßgabe von § 22 Abs. 2 BDSG angemessene und spezifische (technische und organisatorische) Maßnahmen zur Wahrung der Interessen der betroffenen Person getroffen hat. § 22 Abs. 2 S. 2 BDSG enthält in diesem Zusammenhang eine beispielhafte Aufzählung von möglichen Maßnahmen, wie z.B. die an den Verarbeitungsvorgängen Beteiligten zu sensibilisieren, technische und organisatorische Sicherheitsmaßnahmen zu implementieren und die Daten zu pseudonymisieren oder zu verschlüsseln.260 Bei § 22 Abs. 1 Nr. 1 lit. a BDSG handelt es sich wohl um eine (sehr allgemein formulierte) Auffangnorm. So gehen nach § 1 Abs. 2 BDSG andere Rechtsvorschriften des Bundes über den Datenschutz dem BDSG vor, so z.B. auch die datenschutzrechtlichen Regelungen im SGB, die wohl den größten Teil der Datenverarbeitungen in diesem Bereich regeln.

180

In der datenschutzrechtlichen Literatur ist zudem umstritten, ob die Norm überhaupt bestimmt genug und damit europarechtskonform ist und Datenverarbeitungen auf sie gestützt werden können oder nicht. So gibt sie im Kern nur den Wortlaut von Art. 9 Abs. 2 lit. b DSGVO wieder, gibt aber z.B. selbst keine (speziellen, konkreten) zulässigen Verarbeitungszwecke in dem von Art. 9 Abs. 2 lit. b DSGVO eröffneten Rahmen vor.261 Andererseits wird vertreten, dass die (bloße) Wiederholung von Regelungen der DSGVO vorliegend vor dem Hintergrund des Erwägungsgrundes 8 zulässig sei.262 Demnach dürfen Mitgliedstaaten, wenn in der DSGVO Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, Teile der DSGVO in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen. Auch eine weitere Konkretisierung der Verarbeitungszwecke ist nach Ansicht einiger Autoren nicht erforderlich.263

181

Unternehmen ist vor diesem Hintergrund zu empfehlen, genau zu prüfen, ob eine geplante Datenverarbeitung eventuell auch auf eine andere Rechtsgrundlage gestützt werden kann. Ist dies nicht der Fall, sollten Unternehmen Datenverarbeitungen, die eine gewisse Relevanz aufweisen und auf diese Rechtsgrundlage gestützt werden sollen, – wenn möglich und praktisch durchführbar – mit den zuständigen Datenschutzaufsichtsbehörden abstimmen und in jedem Fall prüfen, ob in der Zwischenzeit relevante Rechtsprechung oder Hinweise der Datenschutzaufsichtsbehörden hierzu ergangen sind. Endgültige Klarheit wird in diesem Fall wahrscheinlich erst eine Entscheidung des EuGH bringen können.