Nach dem Konzept der DSGVO sind bei jeder Verarbeitung personenbezogener Daten auch immer eine Reihe von Grundsätze zu beachten, die in Art. 5 DSGVO normiert sind. Einer davon ist der Grundsatz der Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Was es mit diesem auf sich hat und welche Probleme der Grundsatz nach sich ziehen kann, werden wir in diesem Artikel näher beleuchten.
Der Inhalt im Überblick
- Der Grundsatz Rechtmäßigkeit der Verarbeitung in der DSGVO
- Nach welchen Rechtsgrundlagen darf man personenbezogene Daten verarbeiten?
- Welche Probleme gibt es in der Praxis mit dem Grundsatz der Rechtmäßigkeit?
- Bußgelder bei Verstößen gegen die Rechtmäßigkeit
- Ein zentraler Grundsatz der rechtmäßigen Verarbeitung von personenbezogenen Daten
Der Grundsatz Rechtmäßigkeit der Verarbeitung in der DSGVO
Die Datenschutzgrundsätze nach Art. 5 DSGVO stellen, wenn auch selbst oft ausfüllungsbedürftig, eine Konkretisierung der Zielvorgaben der DSGVO dar. Sie sollen dabei helfen, das in Art. 1 DSGVO denkbar allgemein formulierte Schutzkonzept rechtskonform umzusetzen. Gleichzeitig handelt es sich bei den Grundsätzen aber auch um durchsetzbares Recht, da auch Verstöße gegen die Datenschutzgrundsätze im Art. 83 Abs. 5 lit. a DSGVO explizit bußgeldbewehrt sind.
Was bedeutet Rechtmäßigkeit im Sinne der DSGVO?
Art. 5 Abs. 1 lit. a Alt. 1 DSGVO postuliert, dass personenbezogene Daten auf „rechtmäßige Weise“ verarbeitet werden müssen. Mit anderen Worten fordert der Grundsatz der Rechtmäßigkeit, dass die Datenverarbeitung ausschließlich aufgrund einer Rechtsgrundlage zu erfolgen hat. Der Erwägungsgrund 40 erläutert dies so:
„Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.“
So weit, so eindeutig. Weniger eindeutig ist allerdings der Meinungstand zur Frage, wie weit der Begriff der Rechtmäßigkeit zu verstehen ist. Nach dem engen Verständnis ist demnach eine Datenverarbeitung schon rechtmäßig, wenn sie auf einer der vorstehend aufgezählten Rechtsgrundlagen beruht. Nach dem weiten Verständnis kann die Verarbeitung der Daten trotz des Vorliegens einer Rechtsgrundlage unrechtmäßig sein, wenn etwa andere Vorgaben der DSGVO nicht beachtet werden. Diverse Umstände sprechen gegen das weite Verständnis. Beispielsweise wäre damit der Bußgeldtatbestand des Art. 83 Abs. 5 lit. a DSGVO (Verarbeitung unter Verstoß gegen den Rechtmäßigkeitsgrundsatz) ebenfalls ausgeweitet. Darüber hinaus ist zu berücksichtigen, dass der Grundsatz der Rechtmäßigkeit dem Art. 8 Abs. 2 der EU-Grundrechte-Charta entspringt, welcher wiederum ausdrücklich („nur“) die Einwilligung oder eine sonstige Rechtsgrundlage fordert. Weiterhin führten nach dem weiten Verständnis auch schon Verstöße gegen Informationspflichten zu einer nicht rechtmäßigen und damit bußgeldbewehrten Datenverarbeitung. Die ständige Rechtsprechung geht hingegen davon aus, dass derartige Verstöße (zunächst) eine Maßnahme der Aufsichtsbehörde nach sich ziehen, nicht aber direkt zur Rechtswidrigkeit der Verarbeitung führen. Nach alledem spricht einiges für das enge Verständnis der Rechtmäßigkeit.
Führt der Grundsatz der Rechtmäßigkeit zu einem Verbot mit Erlaubnisvorbehalt?
Gerne wird in diesem Zusammenhang davon gesprochen, dass das Erfordernis der Rechtmäßigkeit somit ein Verbot mit Erlaubnisvorbehalt als grundlegendes Strukturprinzip der DSGVO normiere. Denn jede Verarbeitung sei verboten (bzw. bußgeldbewehrt), wenn sie nicht durch eine entsprechende Rechtsgrundlage legitimiert bzw. erlaubt ist. Dies ist jedoch leicht irreführend und kann bei der Auslegung zu einer falschen Haltung führen.
Denn ursprünglich stammt der Begriff Verbot mit Erlaubnisvorbehalt aus dem Verwaltungsrecht und ist den meisten im Zusammenhang mit der Baugenehmigung bekannt. Er bedeutet, dass eine bestimmte Handlung wie das Bauen eines Hauses verboten ist, bis sie und ihre Zulassungsvoraussetzungen von einer Verwaltungsbehörde in einem Genehmigungsverfahren überprüft und durch einen begünstigenden Verwaltungsakt zugelassen wird. Eine solche Instanz gibt es bei der Frage nach der Zulässigkeit von Datenverarbeitung nicht.
Außerdem ist eine solche Verbotsmentalität bei der Auslegung nicht zielführend, da sich dadurch ein Regel (keine Datenverarbeitung) – Ausnahme (Datenverarbeitung) – Verhältnis im Kopf verfestigt, dass auf die Vermeidung von Datenverarbeitungen hinausläuft. Ein solches Ziel ist aber der DSGVO nicht zu entnehmen. Denn in Art. 1 DSGVO steht der freie Verkehr von Daten in der Union gleichberechtigt neben ihrem Schutz. Ein wirkliches Verbot der Datenverarbeitung findet sich hingegen nur für sensible Daten in Art. 9 Abs. 1 DSGVO. Daher sollte man sich statt „Verbot mit Erlaubsnisvorbehalt“ zum Grundsatz der Rechtmäßigkeit merken, dass dieser Datenverarbeitungen unter bestimmten Bedingungen erlaubt, die in den datenschutzrechtlichen Erlaubnistatbeständen festgelegt sind. Diese Bedingungen beruhen auf einer Abwägung des Gesetzgebers zwischen dem Recht auf Datenschutz der Bürger und den Grundrechten der datenverarbeitenden Stelle oder allgemeinen öffentlichen Interessen.
Nach welchen Rechtsgrundlagen darf man personenbezogene Daten verarbeiten?
In den Artikeln 6 und 9 DSGVO werden diverse Erlaubnistatbestände zur Verarbeitung personenbezogener Daten aufgezählt. Zudem bleibt zu berücksichtigen, dass durch Öffnungsklauseln die Möglichkeit seitens der Mitgliedstaaten besteht, weitere Rechtsgrundlagen im nationalen Recht zu verankern. So finden sich auch im deutschen Recht vereinzelt Rechtsgrundlagen zur Verarbeitung personenbezogener Daten, etwa im BDSG und anderen Spezialgesetzen.
Beispiele: Die Verarbeitung nach Art. 6 DSGVO
Die gängigsten Rechtsgrundlagen der Datenverarbeitung finden sich in Art. 6 DSGVO.
Dabei wird die bekannteste unter ihnen die Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO sein. Demnach ist die Verarbeitung rechtmäßig, wenn sie auf einer freiwillig, bestimmt, in informierter Weise und ausdrücklich und unmissverständlich erklärten Einwilligung beruht. Da die Vorgaben vergleichbar streng sind und die Verantwortlichen die Einwilligung zudem belegen müssen, ist diese Rechtsgrundlage bei ihnen nicht sonderlich beliebt.
Weiterhin kann die Verarbeitung gemäß Art. 6 Abs. 1 lit. b) DSGVO zur Erfüllung eines Vertrages oder Durchführung vorvertraglicher Maßnahmen erfolgen. Zu berücksichtigen ist insbesondere, dass die Verarbeitung personenbezogener Daten nur so weit erfolgt, wie dies objektiv erforderlich ist. Im Rahmen bestehender Verträge ist es beispielsweise nahezu unumgänglich die Vertrags-, Stammdaten und Abrechnungsdaten des Vertragspartners, wie etwa seinen Namen und seine Adresse zu verarbeiten, um beispielsweise die Rechnung oder die Lieferung adressieren zu können.
Demgegenüber stellt Art. 6 Abs. 1 lit. c) DSGVO die Verarbeitung in den Vordergrund, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Die Rechtsgrundlage wird dabei durch Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt (Art. 6 Abs. 3 Satz 1 DSGVO). Etwa aus Rechtsvorschriften des Handels- und Steuerrechts können sich umfassende Dokumentations- und Aufbewahrungspflichten ergeben, die erfüllt werden müssen.
Die Verarbeitung personenbezogener Daten ist gem. Art. 6 Abs. 1 Satz 1 lit. d) DSGVO auch rechtmäßig, soweit dies erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Diese in der Praxis eher nicht relevante Rechtsgrundlage umfasst Sachverhalte, in denen Leben oder Gesundheit von Natur- oder von Menschen verursachten Katastrophen bedroht werden.
Nach Art. 6 Abs. 1 Satz 1 lit. e) DSGVO ist die Verarbeitung personenbezogener Daten auch dann rechtmäßig, wenn dies zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Hier kommt beispielsweise die Verarbeitung personenbezogener Daten in Betracht, die im Rahmen der Daseinsvorsorge erforderlich sind.
Zuletzt kommt nach Art. 6 Abs. 1 Satz 1 lit. f) das berechtigte Interesse des Verantwortlichen oder eines Dritten als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in Betracht. Das berechtigte Interesse umfasst das rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen, wobei eine umfassende Interessenabwägung insbesondere anhand des Zwecks der Datenverarbeitung sowie der Art und des Inhalts der betroffenen Daten erfolgen muss. Dabei dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Beispiele: Die Verarbeitung nach Art. 9 DSGVO
Für besondere Kategorien personenbezogener Daten sieht die DSGVO in Art. 9 Abs. 2 diverse Rechtsgrundlagen vor, welche mit den Voraussetzungen nach Art. 6 DSGVO gleichzeitig vorliegen müssen. Im Vergleich zur Verarbeitung „normaler“ Datenkategorien sind gemäß Art. 9 DSGVO weniger mögliche Rechtsgrundlagen vorgesehen. Dazu sind sie im Wesentlichen mit denen nach Art. 6 DSGVO deckungsgleich, weswegen sich die folgende Aufzählung auf eine kurze Zusammenfassung beschränken wird.
Auch für diese Datenkategorien ist gem. Art. 9 Abs. 2 lit. a DSGVO in erster Linie eine Einwilligung als Rechtsgrundlage vorgesehen. Gem. Art. 9 Abs. 2 lit. c DSGVO ist der Schutz lebenswichtiger Interessen im Vordergrund. In Art. 9 Abs. 2 lit. g DSGVO ist dies wiederum das erhebliche öffentliche Interesse. Art. 9 Abs. 2 lit. h DSGVO sieht schließlich die Versorgung im Gesundheitsbereich als Rechtsgrundlage vor.
Welche Probleme gibt es in der Praxis mit dem Grundsatz der Rechtmäßigkeit?
Insbesondere im Hinblick auf die Rechtsgrundlage der Einwilligung ergeben sich zunehmend Anwendungsschwierigkeiten. Datenerhebungen in Zusammenhang mit Big Data und daran anknüpfende Dienste werden mit der Zeit immer unübersichtlicher. Eine freiwillig, bestimmt, in informierter Weise und ausdrücklich und unmissverständlich erklärte Einwilligung erscheint dabei beinahe utopisch. Auch ist es oft nicht vorstellbar und jedenfalls dem Verantwortlichen nicht zumutbar (bisweilen) millionenfach Einwilligungen einzuholen.
Auch die Rechtsgrundlage der Interessensabwägung ist in einer Welt automatisierter Entscheidungsvorgänge kaum denkbar. Jedenfalls wird diese nicht im Einzelfall möglich sein und allenfalls einer generalisierten Alternative weichen (müssen).
Zudem wird man sich ernsthaft fragen müssen, wie freiwillig eine Einwilligung ist, wenn dem Nutzer durch den Betreiber kaum Auswahlmöglichkeiten geboten werden und sich dessen Entscheidung im Endeffekt nur darauf beschränken darf, einen Dienst zu nutzen oder es eben zu lassen.
Bußgelder bei Verstößen gegen die Rechtmäßigkeit
Und auch in Zusammenhang mit dem Grundsatz der Rechtsmäßigkeit wird dessen Bedeutung (nicht zuletzt) durch die entsprechende Bußgeldpraxis der Aufsichtsbehörden deutlich. Diese vehängen meist Bußgelder wegen einem Verstoß gegen den Grundsatz der Rechtsmäßigkeit, wenn personenbezogene Daten komplett ohne Rechtsgrundlage verarbeitet werden oder eine Verarbeitung nicht von der ursprünglichen oder einer anderen Rechtsgrundlage gedeckt ist:
- Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) verhängte beispielsweise unter dem 07.04.2022 ein Bußgeld in Höhe von 3.700.000 EUR. Empfänger war die niederländische Steuer- und Zollbehörde, welche über einen Zeitraum von über sechs Jahren eine Liste mit zu ca. 270.000 Personen führte, in der sie anhand höchstfragwürdiger Kriterien vermeintliche bzw. potenzielle Betrüger aufnahm. Eine Rechtsgrundlage hierfür existierte nicht.
- Die belgische Aufsichtsbehörde (Autorité de protection des données) wiederum ahndete einen Verstoß des Ordens der Apotheker mit 30.000 EUR. Dieser hatte ohne die entsprechende Rechtsgrundlage eine geringfügige Disziplinarstrafe gegen eine Apothekerin über einen Zeitraum von über fünf Jahren dokumentiert.
- Ein Bußgeld in Höhe von 210.000 EUR wurde kürzlich von der griechischen Datenschutzaufsichtsbehörde gegen die Piraeus Bank SA verhängt. Die Bank hatte eine Datenbank ihrer Kunden geführt, ohne dass eine Rechtsgrundlage für einzelne der darin aufgeführten Daten vorlag.
Aber Aufsichtsbehörden haben, wenn es um Verletzungen des Grundsatzes der Rechtmäßigkeit durchaus auch Privatpersonen im Blick. In einem Fall verhängte die rumänische Aufsichtsbehörde ein Bußgeld in Höhe von 450 EUR, weil die betreffende Person ohne eine entsprechende Rechtsgrundlage personenbezogene Daten zahlreicher Betroffener in einem sozialen Netzwerk veröffentlichte. Erwähnenswert sind in diesem Zusammenhang mehrere Bußgelder in Höhe von jeweils etwa 1.000 EUR für sog. Mitarbeiterexzesse, welche vom Landesbeauftragten für Datenschutz von Baden-Württemberg gegen Beschäftigte der Polizei verhängt wurden, weil diese zu privaten Zwecken Abfragen zu personenbezogenen Daten Dritter bei ihrem Arbeitgeber tätigten.
Ein zentraler Grundsatz der rechtmäßigen Verarbeitung von personenbezogenen Daten
Der Grundsatz der Rechtmäßigkeit stellt mit der Forderung nach einer Rechtsgrundlage einen Eckstein der Überprüfbarkeit der Rechtmäßigkeit von Datenverarbeitungen dar. Die Rechtsgrundlagen sind zahlreich, die möglichen Fehler damit aber auch. Zudem sind die mit der zunehmenden Komplexität der Datenverarbeitung in der Praxis aufkommenden Probleme zu berücksichtigen und idealerweise zu überwinden. Die Aufsichtsbehörden werden die entsprechenden Reaktionen erfahrungsgemäß mit Argusaugen beobachten.