DSGVO - BDSG - TTDSG

– Die Art. 6 bis 10 DSGVO (materielle Rechtmäßigkeit der Datenverarbeitung) sowie die Art. 44ff. DSGVO (Datenübermittlung in Drittländer) enthalten spezielle Regelungen betreffend die Rechtmäßigkeit der Verarbeitung personenbezogener Daten.

– Der Transparenzgrundsatz wird durch die Art. 13, 14, 15 DSGVO (Informationspflicht des Verantwortlichen/Auskunftsrecht der betroffenen Person) näher ausgestaltet.

– Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) ist – jedenfalls auch – eine konkrete Ausprägung des Grundsatzes der Datenminimierung.

– Der Richtigkeitsgrundsatz wird durch Art. 16 DSGVO (Recht auf Berichtigung) ausgeformt.

– Der Grundsatz der Integrität und Vertraulichkeit bildet die Grundlage für die Regelungen in Art. 32 Abs. 1 Hs. 2 lit. b, 28 Abs. 3 Satz 2 lit. b DSGVO (technische und organisatorische Maßnahmen).

6

Art. 5 DSGVO ist im Rahmen der Öffnungsklauseldes Art. 23 DSGVO beschränkbar, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zur Sicherstellung der Rechtsgüter des Art. 23 Abs. 1 lit. a bis j DSGVO (siehe Art. 23 Rn. 14ff.) darstellt. Der deutsche Gesetzgeber hat von dieser Möglichkeit Gebrauch gemacht und in den §§ 4 Abs. 3 Satz 3,11 23, 24, 32–36 BDSG Ausnahmen vom Zweckbindungsgrundsatz des Art. 5 Abs. 1 lit. b DSGVO (Rn. 22–26) sowie Beschränkungen der Betroffenenrechte vorgesehen.12 So dürfen beispielsweise öffentliche Stellen personenbezogene Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, verarbeiten, wenn dies zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist, § 23 Abs. 1 Nr. 5 BDSG.

7

Die Nichtbeachtung der oben genannten Konkretisierungsvorschriften ist bereits für sich genommen bußgeldbewehrt. Dennoch sind Konstellationen denkbar, in denen der Verantwortliche ausschließlich und unmittelbar aufgrund eines Verstoßes gegen Art. 5 Abs. 1 DSGVO sanktioniert werden könnte: Beispielsweise stellt die Verarbeitung sachlich unrichtiger Daten einen gem. Art. 83 Abs. 5 lit. a DSGVO ahndbaren Verstoß gegen den Richtigkeitsgrundsatz dar, ohne dass es hierfür auf ein Berichtigungsbegehren des Betroffenen nach Art. 16 DSGVO ankäme. Auch eine über das notwendige Maß hinausgehende Verarbeitung personenbezogener Daten könnte eine unmittelbare Sanktionierung eines Verstoßes gegen den Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO (vgl. Rn. 27) nach sich ziehen. Problematisch erscheint in solchen Fällen jedoch die vage Formulierungder Verarbeitungsgrundsätze. Die Verhängung einer ausschließlich auf Art. 5 Abs. 1 DSGVO i.V.m. Art. 83 Abs. 5 lit. a DSGVO gestützten Geldbuße dürfte mit dem Bestimmtheitsgrundsatzkaum in Einklang zu bringen sein.13 Auch in Anbetracht des enorm hohen Bußgeldrahmens scheint es schwierig, allein auf Grundlage eines Verstoßes gegen Verarbeitungsprinzipien Sanktionen zu verhängen. Allerdings wurde eines der bisher höchsten in Deutschland verhängten Bußgelder gerade wegen eines Verstoßes gegen Art. 5 DSGVO verhängt. Im Oktober 2019 erließ die Berliner Datenschutzbeauftragte unter Berufung auf Verstöße gegen Art. 5 und 25 DSGVO ein Bußgeld in Höhe von 14,5 Mio. EUR gegen ein Unternehmen, dessen Archivsystem keine Möglichkeit vorsah, personenbezogene Daten zu löschen.14 Zwar wurde das Bußgeld erstinstanzlich aufgehoben, allerdings lediglich aufgrund der im Bescheid nicht hinreichend dargelegten Zurechnung des Datenschutzverstoßes zu einem Organmitglied des Unternehmens nach §§ 30, 130 OWiG.15

8

Gemäß Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

9

Die Anforderung, dass personenbezogene Daten „auf rechtmäßige Weise“ verarbeitet werden müssen, kann in zweifacher Hinsicht ausgelegt werden: Einerseits kann diese Formulierung dahingehend verstanden werden, dass ein Datenverarbeitungsvorgang sämtlichen Voraussetzungen der DSGVO bzw. der zulässigen nationalen Rechtsakte entsprechen muss, um dem Grundsatz der Rechtmäßigkeit gerecht zu werden.16 Ein Verstoß gegen diesen Grundsatz wäre bei Zugrundelegung eines solchen weiten Begriffsverständnissesbereits dann anzunehmen, wenn die Datenverarbeitung zwar grundsätzlich durch einen Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 DSGVO gerechtfertigt wäre, der Verantwortliche jedoch beispielsweise seiner Informationspflicht gem. Art. 13 DSGVO nicht nachkäme.17 Gegen diese extensive Auslegung spricht jedoch, dass der Bußgeldtatbestand des Art. 83 Abs. 5 lit. a DSGVO in diesem Fall mittelbar sämtliche Verstöße gegen die Verordnung blankettartig pönalisieren würde, was im Lichte des Bestimmtheitsgrundsatzes höchst bedenklich erscheint.18

10

Es ist vielmehr davon auszugehen, dass ein Datenverarbeitungsvorgang „auf rechtmäßige Weise“ i.S.d. Art. 5 Abs. 1 lit. a DSGVO erfolgt, sofern er von einer der Rechtsgrundlagen des Art. 6 Abs. 1, Abs. 4 Satz 1 DSGVO gedeckt ist19 und die Verarbeitung auch den übrigen materiellen Rechtmäßigkeitsvoraussetzungen – die Rechtmäßigkeit der Einwilligung, die Verarbeitung besonderer Kategorien personenbezogener Daten und die Übermittlung in Drittländer betreffend – entspricht.20 Für dieses engere Begriffsverständnisspricht nicht zuletzt auch ErwG 41, der für die Beurteilung der Rechtmäßigkeit einer Verarbeitung personenbezogener Daten an das Vorliegen einer Einwilligung oder das Vorhandensein einer sonstigen Rechtsgrundlage anknüpft.21

11

Ausgehend vom engeren Begriffsverständnis (vgl. oben Rn. 10) wird der Grundsatz der Rechtmäßigkeit insbesondere durch die folgenden Normen konkretisiert:

– Art. 6 Abs. 1 Satz 1 DSGVO legt die grundsätzlichen Bedingungen für die Rechtmäßigkeit einer Datenverarbeitung fest. Eine Verarbeitung ist demgemäß rechtmäßig, wenn die betroffene Person ihre Einwilligung gegeben hat (lit. a; siehe Art. 6 Rn. 24ff.) oder die Verarbeitung für die Erfüllung eines Vertrags (lit. b; siehe Art. 6 Rn. 54ff.), zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (lit. c; siehe Art. 6 Rn. 73ff.), zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person (lit. d; siehe Art. 6 Rn. 90ff.), für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (lit. e; siehe Art. 6 Rn. 93ff.) oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist (lit. f; siehe Art. 6 Rn. 105ff.).

– Sofern der Verantwortliche die Rechtmäßigkeit der Verarbeitung auf eine Einwilligung der betroffenen Person stützt, enthält Art. 7 DSGVO Bedingungen hierfür und Art. 8 DSGVO regelt den Sonderfall der Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft.

– Die Art. 9 und 10 DSGVO enthalten besondere Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten sowie für die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.

– Werden personenbezogene Daten in ein Drittland übermittelt, müssen darüber hinaus die besonderen Rechtmäßigkeitsvoraussetzungen der Art. 44ff. DSGVO erfüllt werden. Eine solche Drittlandsübermittlung ist gerechtfertigt, wenn ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt (Art. 45 DSGVO), geeignete Garantien – wie beispielsweise verbindliche interne Datenschutzvorschriften oder Standarddatenschutzklauseln – vorgesehen sind (Art. 46 DSGVO) oder ein Ausnahmetatbestand des Art. 49 DSGVO einschlägig ist. Insbesondere beim Einsatz von Standarddatenschutzklauseln wird dabei künftig auch die EuGH-Entscheidung „Schrems II“ zu berücksichtigen sein.22