Im folgenden Beitrag beleuchten wir das Verhältnis der Rechtsgrundlagen zur Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 2 DSGVO und der allgemeinen Rechtsgrundlagen zur Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 DSGVO.
Der Inhalt im Überblick
Juristische Streitigkeit mit praktischer Relevanz
Diese zugegebenermaßen theoretisch anmutende Frage hat durchaus weitreichende praktische Konsequenzen:
Es geht darum, ob bei der Verarbeitung besonderer Kategorien personenbezogener Daten die Voraussetzungen des Art. 6 Abs. 1 und Art. 9 Abs. 2 kumulativ vorliegen müssen oder ob eine Verarbeitung alleine auf Art. 9 DSGVO gestützt werden kann.
Diese Frage hat weitreichende praktische Konsequenzen. So muss z.B. bei Erfüllung der Informationspflichten nach Art. 13, 14 Abs. 1 lit. c DSGVO die genaue Rechtsgrundlage angegeben werden. Bei Verstoß gegen diese Pflicht können gemäß Art. 83 Abs. 5 lit. b DSGVO Bußgelder drohen.
Verarbeitung besonderer Kategorien personenbezogener Daten
Der Gesetzgeber hat in Art. 9 Abs. 1 DSGVO Kategorien von besonders schützenswerten personenbezogenen Daten definiert. Hierzu gehören u.a. Gesundheitsdaten, Daten über die ethnische Herkunft, politische Meinung, genetische Daten. Hier wird vermutet, dass der unzureichende Schutz dieser Daten besonders negative Konsequenzen für die betroffenen Personen hätte, z.B. Verfolgung oder Diskriminierung.
Kategorisches Verbot der Verarbeitung
Daher ist der Gesetzeswortlaut des Art. 9 Abs. 1 DSGVO eindeutig: Die Verarbeitung besonderer Kategorien personenbezogener Daten ist untersagt. Da im Wirtschaftsleben aber regelmäßig auch besondere Kategorien personenbezogener Daten verarbeitet werden müssen, regelt Art. 9 Abs. 2 DSGVO einen engen Katalog mit Ausnahmetatbeständen.
Ausnahmen vom Verarbeitungsverbot
Das Hauptaugenmerk liegt dabei auf Fällen, in denen eine Verarbeitung von besonderen Kategorien personenbezogener Daten zwingend notwendig ist.
So wird z.B. in Art. 9 Abs. 2 lit. b, h die Verarbeitung besonderer Kategorien personenbezogener Daten für die Erfüllung und Ausübung der Rechte aus einem Arbeitsverhältnis sowie für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin zugelassen. Das ist in der Praxis unverzichtbar, da ansonsten keine Arbeitsunfähigkeitsbescheinigungen eingesehen oder betriebliche Eingliederungsmaßnahmen durchgeführt werden könnten.
Weitere Beispiele sind die Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten für die Geltendmachung von Rechtsansprüchen, zu wissenschaftlichen Forschungszwecken oder zum Schutz lebenswichtiger Interessen der betroffenen Person, z.B. um einem bewusstlosen Unfallopfer zu helfen.
Daneben hat der Gesetzgeber aber auch solche Fälle geregelt, in denen er den besonderen Schutz besonderer Kategorien personenbezogener Daten für nicht erforderlich hält. Das ist zweifelsohne sinnvoll, denn bereits offensichtlich öffentlich gemachte Daten (lit. e) müssen nicht vor der Verarbeitung besonders geschützt werden. Das gleiche gilt, wenn die betroffene Person ausdrücklich in die Verarbeitung einwilligt.
Verhältnis der Regelungen nach Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO
An dem Beispiel einer Einwilligung als Rechtsgrundlage lässt sich das Spannungsverhältnis des Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO gut aufzeigen.
- Art. 6 Abs. 1 lit. a DSGVO nennt die Einwilligung der betroffenen Person als eine mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Dazu enthält Art. 7 DSGVO umfassende ergänzende Regelungen zur Wirksamkeit einer Einwilligung.
- Art. 9 Abs. 2 lit. a DSGVO regelt schlicht, dass besondere Kategorien personenbezogener Daten nur dann verarbeitet werden dürfen, wenn eine ausdrückliche Einwilligung vorliegt.
Die Regelung grenzt den Erlaubnistatbestand also weiter ein, da sie ausdrücklich erteilt werden muss, und nicht wie nach Art. 6 Abs. 1 lit. a DSGVO „nur“ durch eine eindeutig bestätigende Handlung. Problematisch ist aber, dass Art. 9 Abs. 2 lit. a DSGVO keinen Verweis auf die Regelungen des Art. 6 und 7 DSGVO enthält.
Gemeinsame Anwendbarkeit?
Es stellt sich daher die Frage, ob bei der Anwendung des Ausnahmetatbestandes des Art. 9 Abs. 2 zusätzlich die allgemeinen Anforderungen des Art. 6 DSGVO zu beachten sind.
Gründe gegen eine gemeinsame Anwendbarkeit
Zunächst spricht für die gegenseitige Ausschließlichkeit der Regelungen, dass der Art. 6 Abs. 1 DSGVO nach der Gesetzessystematik einen abschließenden Katalog von Erlaubnistatbeständen enthält. Zudem nimmt – wie oben erwähnt – der Art. 9 Abs. 2 DSGVO keinen Bezug auf Art. 6 DSGVO.
Gründe für eine gemeinsame Anwendbarkeit
Letztendlich spricht aber beides nicht gegen eine ergänzende Anwendung des Art. 9 Abs. 2 DSGVO neben Art. 6 Abs. 1 DSGVO. Schließlich hat Art. 9 Abs. 2 DSGVO den Charakter einer Ausnahmeregelung, der die Grenzen der zulässigen Verarbeitung noch enger zieht als Art. 6 Abs. 1 DSGVO. Es werden somit keine weiteren ergänzenden Rechtsgrundlagen geschaffen.
Dafür, dass der Ausnahmetatbestand des Art. 9 Abs. 2 den Art. 6 Abs. 1 DSGVO nur ergänzt und nicht verdrängt, spricht zudem der risikobasierte Ansatz der DSGVO. Danach werden mit steigender Sensibilität der personenbezogenen Daten und damit steigender Eingriffsintensität zunehmend höhere Anforderungen an die Rechtmäßigkeit der Verarbeitung gestellt.
Vor diesem Hintergrund ist es wenig wahrscheinlich, dass der Gesetzgeber durch die Regelungen des Art. 9 Abs. 2 DSGVO gewissermaßen ein Schlupfloch zur Umgehung der Regelungen des Art. 6, 7 und 8 DSGVO schaffen wollte.
Dafür spricht auch die Auslegungshilfe in Erwägungsgrund 51 S. 5, wonach zusätzlich zu den speziellen Anforderungen an eine Verarbeitung nach Art. 9 DSGVO auch die allgemeinen Grundsätze und Bestimmungen der DSGVO – d.h. auch des Art. 6 DSGVO – zu beachtet sind.
Ein weiteres Argument für ein beabsichtigtes Zusammenspiel von Art. 6 und Art. 9 ist der Verweis in Art. 6 Abs. 4 lit. c DSGVO auf Art. 9 DSGVO, wonach bei der Feststellung der Vereinbarkeit der Zwecke bei einer Zweckänderung auch die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten verarbeitet werden, berücksichtigt werden muss. Dieser Umstand legt den Schluss nah, dass auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten eine Zweckänderung möglich sein muss und diese sich nach Art. 6 Abs. 4 DSGVO richtet. Das leuchtet auch unmittelbar ein, da bei der Zweckänderung zur Verarbeitung besonderer Kategorien personenbezogener Daten nicht geringere Anforderungen gestellt werden sollten, als an eine Verarbeitung weniger sensibler personenbezogener Daten.
Aber keine Umgehung des Art. 9 Abs. 2 DSGVO
Jedoch ist zu beachten, dass nicht zwischen der Anwendung des Art. 6 Abs. 1 und des Art. 9 Abs. 2 nach Belieben gewechselt werden, je nachdem, was gerade vorteilhafter ist. Die Anwendung des Art. 9 ist zwingend, wenn besondere Kategorien personenbezogener Daten verarbeitet werden.
Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten
Für die Verarbeitung besonderer Kategorien personenbezogener Daten müssen also die Voraussetzungen des Art. 6 Abs. 1 (und ggf. Art. 7 und 8) und Art. 9 Abs. 2 DSGVO kumulativ vorliegen. Eine Verarbeitung kann nicht alleine auf Art. 9 Abs. 2 DSGVO gestützt werden, wenn sie nicht auch nach Art. 6 Abs. 1 DSGVO zulässig ist. Ansonsten würde eine Umgehung des beabsichtigten besonders hohen Schutzes bei der Verarbeitung besonderer Kategorien personenbezogener Daten drohen.
Das hat – wie oben angesprochen – u.a. die praktische Konsequenz, dass bei Verarbeitung besonderer Kategorien personenbezogener Daten zur Erfüllung der Informationspflichten nach Art. 13 Abs. 1 lit. c DSGVO als Rechtsgrundlage auch der Art. 6 DSGVO zitiert werden muss. Bei Verstoß gegen die Informationspflichten können gemäß Art. 83 Abs. 5 lit. b DSGVO Bußgelder drohen.
Bei der Einwilligung passt es, weil sich diese in beiden Normen (Art. 6 und 9 DSGVO) befindet. Aber wie bewerten Sie es, wenn es sich um Gesundheitsdaten handelt und als Rechtsgrundlage Art 6 Abs 1 f DSGVO einschlägig ist (bspw. Fotoveröffentlichung zur Berichterstattung eines Sommerfestes der Krebsabteilung eines Krankenhauses): Was gilt dann für Art. 9 DSGVO? Ein berechtigtes Interesse sieht diese Norm ja nicht vor.
Wenn es sich wirklich um die Verarbeitung von Daten nach Art. 9 DSGVO handelt ist eine Verarbeitung aufgrund des berechtigten Interesses nicht möglich, da es als Rechtsgrundlage nicht vorgesehen ist. Als Rechtsgrundlage können nur die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a oder die weiteren in Art. 9 Abs. 2 DSGVO genannten Rechtsgrundlagen dienen. Es handelt sich um einen abschließenden Katalog an Rechtsgrundlagen.
Es gibt immer wieder Diskussionen über Artikel der DSGVO die meines Erachtens völlig sinnlos sind. So auch diese hier. Art. 6 und Art. 9 hebeln sich nicht gegenseitig aus. Während Art. 6 eine Grundvoraussetzung beschreibt, ist Art. 9 eine Ergänzung für bestimmte Fälle. Immer wieder werden Themenpunkte künstlich verkompliziert, lang ausschweifend in die Länge gezogen sodass man nicht anders kann als den Überblick zu verlieren. Wer mit gesundem Menschenverstand an die DSGVO heran geht, kann gar nicht soviel verkehrt machen. Das sollten sich insbesondere jene vor Augen führen, die ihre Augen den ganzen Tag nur in Gesetzestexte stecken. Einfach mal Kopf einschalten.
Dieses Thema kam in der Beratungspraxis auf, daher besteht schon eine gewisse praktische Relevanz. Auch wenn ich Ihnen Recht geben muss, dass es nach der gesetzlichen Konzeption her unwahrscheinlich ist, dass der Art. 9 DSGVO ohne die Regelungen des Art. 6 DSGVO Anwendung finden soll, da er ein zusätzlichen Schutz gewähren soll. Die Frage ist aber der erste Punkt auf Deutschlands Liste (S. 14) anlässlich der ersten Evaluierung der DSGVO.
Im Text ist von einem „Verweis in Art. Abs. 4 lit. c DSGVO“ die Rede. Welcher Artikel ist gemeint?
Danke für den Hinweis. Wir haben den Fehler korrigiert.
Ihr Fazit lautet: „Eine Verarbeitung kann nicht alleine auf Art. 9 Abs. 2 DSGVO gestützt werden, wenn sie nicht auch nach Art. 6 Abs. 1 DSGVO zulässig ist.“ Wenn ich Sie richtig verstanden habe, gilt das auch umgekehrt: Eine Verarbeitung (sensibler Daten) kann nicht alleine auf Art. 6 Abs. 1 DSGVO gestützt werden, wenn sie nicht auch nach Art. 9 Abs. 2 DSGVO zulässig ist.
Und wie ist es bei nicht sensiblen Daten? Kann ich deren Verarbeitung allein auf Art. 9 Abs. 2 lit. h DSGVO gründen („die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat“), eine Erlaubnis, die sich so weitgehend im Katalog der Grundlagen nach Art. 6 Abs. 1 DSGVO m.E. nicht findet? Wenn das nach den strengeren Maßstäben für sensible Daten gilt, muss es doch erst recht bei nicht sensiblen Daten (mit den eigentlich „lascheren“ Maßstäben) gelten …
Genau, eine Verarbeitung (sensibler Daten) kann nicht alleine auf Art. 6 Abs. 1 DSGVO gestützt werden, wenn sie nicht auch nach Art. 9 Abs. 2 DSGVO zulässig ist.
Die Verarbeitung nicht sensibler Daten kann nicht auf Art. 9 Abs. 2 gestützt werden, da Art. 9 eine Spezialvorschrift allein für besonders schützenswerte Daten ist. Wenn eine Person Daten offensichtlich öffentlich gemacht hat, könnte eine konkludente Einwilligung in eine Verarbeitung nach Art. 6 Abs. 1 lit. a DSGVO gegeben sein oder man könnte ggf. im Rahmen einer Interessenabwägung die Veröffentlichung als Kriterium berücksichtigen, dass die betroffene Person die Verarbeitung absehen konnte.
Ich bin juristischer Laie, aber meine Ansicht nach widerspricht die Formulierung in Artikel 13 Abs. 2 Buchstabe c) den im Beitrag gemachten Aussagen. Dort heißt es nämlich wie folgt.
„wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen (…)“
Das spricht für mich dafür, dass Artikel 6 und 9 nebeneinander zu sehen sind.
Die identische Formulierung findet sich auch in Artikel 14 Abs. 2 Buchstabe d).
Der Regelung in Art. 13 und 14 DSGVO kann durchaus so gelesen werden, dass es sich bei Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO jeweils um eigenständige Erlaubnistatbestände handelt. Andererseits heißt es in Erwägungsgrund 51 Satz 5: „Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten.“ Die Grundsätze für die Verarbeitung personenbezogener Daten finden sich in Art. 5 DSGVO. Einer dieser Grundsätze ist nach Art. 5 Abs. 1 lit. a DSGVO die Rechtmäßigkeit der Verarbeitung. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist entsprechend der amtlichen Überschrift in Art. 6 DSGVO geregelt. Bei den in Art. 9 Abs. 2 DSGVO aufgelisteten Tatbeständen handelt es sich eben „nur“ um die Fälle, in denen bei Vorliegen einer entsprechenden Rechtsgrundlage aus Art. 6 DSGVO die Verarbeitung der Daten ausnahmsweise erlaubt ist. Wie dem Artikel entnommen werden kann, ist die Frage durchaus umstritten (was auch an Formulierungen wie in Art. 13 und 14 DSGVO liegen mag). Die Aufsichtsbehörden gehen im Übrigen davon aus, dass die Voraussetzungen des Art. 6 DSGVO neben denen des Art. 9 DSGVO gegeben sein müssen (Kurzpapier Nr. 17 der Datenschutzkonferenz – DSK).
Eine kumulative Anwendbarkeit von Art. 6 I und 9 II a) DSGVO ergibt keinen Sinn und ergibt sich auch nicht aus dem Wortlaut der VO, vgl. Art. 13 II c) DSGVO der von „oder“ spricht.
Andererseits sollten neben Art. 9 II a) auch die Art. 7, 8 DSGVO beachtet werden, vgl. Art. 7 I DSGVO, der von allgemein von Einwilligung spricht, sodass nicht nur Art. 6 I a), sondern auch Art. 9 II a) DSGVO hineinzulesen ist.
Art. 9 sollte man als speziellere Norm sehen, die strenger ist und eine ausdrückliche Einwilligung voraussetzt. Ich kann dem Fazit also nicht zustimmen.
Ihre Ansicht zu dieser umstrittenen Frage ist sicherlich vertretbar, die DSK sieht das z.B. anders, siehe auch die Antwort auf Meckermurmels Beitrag.
Auch der deutsche Gesetzgeber sieht es so, wie der Autor und die DSK, vgl. Gesetzesbegründung zu BDSG n.F.: „Neben einem Ausnahmetatbestand [nach Artikel 9 Absatz 2] ist im Übrigen stets erforderlich, dass eine Rechtsgrundlage für die Verarbeitung nach Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 vorliegt.“ (Drucksache 18/11325 vom 24.02.2017, S. 94)
Der Beitrag ist zwar schon etwas älter, aber ich habe doch noch eine Verständnisfrage zur gemeinschaftlichen Anwendung :)
Wenn sich die Verarbeitung sensibler Daten aus Art. 9 II lit. g (Gründen eines erheblichen öffentlichen Interesses) ergibt, kann dann eine gemeinschaftlichen Anwendung mit Art. 6 I lit. f (Wahrung der berechtigten Interessen des Verantwortlichen) vorliegen?
Falls ja, ist dann überhaupt eine Interessenabwägung nach Art. 6 I lit. f durchzuführen oder macht das Überwiegen des erheblichen öffentlichen Interesses eine Abwägung der Individualinteressen grundsätzlich entbehrlich?
Viele Grüße :)
Der Erlaubnistatbestand der Verarbeitung besonders sensibler Daten aufgrund eines erheblichen öffentlichen Interesses ist ein Spezialtatbestand zu Art. 6 Abs. 1 lit. e DSGVO – wonach eine Verarbeitung aufgrund einer im öffentlichen Interesse liegenden Aufgabe – zulässig sein kann. Der Unterschied ist also, dass bei Art. 9 Abs. 2 lit. g DSGVO ein erhebliches öffentliches Interesse bestehen muss.
Man würde also nicht Art. 9 Abs. 2 lit. g DSGVO mit Art. 6 Abs. 1 lit. f DSGVO kumulativ anwenden, da Art. 6 Abs. 1 lit. e DSGVO spezieller ist.
Letztendlich ist aber auch bei der Verarbeitung aufgrund eines erheblichen öffentlichen Interesses eine Interessenabwägung ähnlich wie in Art. 6 Abs. 1 lit. f DSGVO vorzunehmen, da nach dem Wortlaut des Art. 9 Abs. 2 lit. g DSGVO die Verarbeitung nur auf Grundlage eines Gesetzes, das „in angemessenem Verhältnis zu dem verfolgten Ziel steht“ durchgeführt werden kann. Art. 9 Abs. 2 lit. g DSGVO greift insofern Art. 52 Abs. 1 Grundrechte Charta auf, wonach bei der Einschränkung von Grundrechten immer der Grundsatz der Verhältnismäßigkeit gewahrt werden muss. Die zu berücksichtigenden Interessen können jedoch nur allgemeingesellschaftlicher öffentlicher Natur sein, anders als bei Art. 6 Abs. 1 lit. f DSGVO. Die öffentlichen Interessen können aber zugleich auch lebenswichtige Interessen einzelner Personen schützen (z.B. bei der Bekämpfung von Epidemien).