Rechtsgrundlage für die Verarbeitung: Rechtliche Verpflichtung

Für die Verarbeitung personenbezogener Daten kommen verschiedene Rechtsgrundlagen in Betracht. Dieser Beitrag widmet sich einer eher unbekannten, aber nicht minder wichtigen Rechtsgrundlage für die Verarbeitung personenbezogener Daten, Art. 6 Abs. 1 lit. c) DSGVO: die rechtliche Verpflichtung.

Verpflichtung: Gesetz im materiellen Sinn / Kollektivvereinbarungen

Der Art. 6 Abs. 1 DSGVO nennt sechs verschiedene Rechtsgrundlagen, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann. Eine davon ist die Verarbeitung auf Grundlage einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c) DSGVO.

Dieser ist aber keine eigenständige Rechtsgrundlage, sondern muss zusammen mit Art. 6 Abs. 3 DSGVO gelesen werden. Demnach muss sich die rechtliche Verpflichtung aus dem Unionsrecht oder aus dem Recht eines Mitgliedstaats ergeben, dem der Verantwortliche unterliegt. Die Erlaubnis zur Verarbeitung personenbezogener Daten kann also niemals allein auf Art. 6 Abs. 1 lit. c) DSGVO gestützt werden, sondern benötigt immer noch eine weitere Rechtsvorschrift, welche unmittelbar zur Datenverarbeitung verpflichtet. In Frage kommen auf Seiten des Unionsrechts von der EU erlassene Verordnungen und seitens des Rechts in Deutschland alle Gesetze im materiellen Sinn, also Bundesgesetze, Parlamentsgesetze der Länder und Rechtsverordnungen. Auch Vorschriften aus der DSGVO können darunterfallen, wie z.B. aus den Kapiteln zu Betroffenenrechten oder zur Verantwortlichkeit. Ebenso können sich aus Kollektivvereinbarungen wie dem normativen Teil von Tarifverträgen und aus Betriebsvereinbarungen, für die § 4 Abs. 1 TVG und § 77 Abs. 4 Satz 1 BetrVG die normative Außenwirkung anordnet, rechtliche Verpflichtungen im Sinne des lit. c) ergeben. Entsprechendes gilt auch für Dienstvereinbarungen öffentlicher Stellen mit der Personalvertretung.

Die Erlaubnis zur Datenverarbeitung aus lit. c) ist sowohl für öffentliche Stellen als auch für Unternehmen als nichtöffentliche Stellen einschlägig.

Tatbestandsmerkmale: Festlegung des Zwecks und Erforderlichkeit

Der Gesetzeswortlaut des Art. 6 Abs. 3 S. 2 DSGVO besagt, dass der Zweck der Verarbeitung in der jeweiligen Rechtsgrundlage festgelegt sein muss. Spezifiziert wird dies durch Erwägungsgrund 41, wonach die der Datenverarbeitung zugrunde liegende Rechtsgrundlage „klar und präzise“ und ihre Anwendung vorhersehbar sein soll. Hinzu kommt dann noch das Tatbestandsmerkmal der Erforderlichkeit. Die Verarbeitung muss zur Erfüllung der rechtlichen Verpflichtung des Verantwortlichen auch erforderlich sein. Hierdurch wird impliziert, dass die Verarbeitung

„streng auf diejenigen Daten zu beschränken ist, die zur Erfüllung der Verpflichtung und zu dem sich aus der Verpflichtung ergebenden Zweck benötigt werden.“

Eine darüber hinaus gehende Datenverarbeitung von z.B. Daten, die für den Verantwortlichen zweckdienlich sein können und für einen anderen Zweck mit erhoben werden sollen, kann nicht auf Art. 6 Abs. 1 lit. c) DSGVO gestützt werden. Nach aktuellem Urteil des EuGH ist die Voraussetzung der Erforderlichkeit auch immer

„gemeinsam mit dem […] Grundsatz der „Datenminimierung“ zu prüfen, wonach personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.“ Rn. 93

Beispiele für Verarbeitungen aufgrund rechtlicher Verpflichtung

Die Liste an Verarbeitungen, die in Deutschland aufgrund einer rechtlichen Verpflichtung erfolgen können, ist lang. Beispielsweise müssen Unternehmen Meldepflichten zur Sozialversicherung befolgen (§ 28a SGB IV) oder Inhaber von Gaststättenbetrieben nach § 22 Abs. 1 GastG Auskunftspflichten nachkommen. Auch jedem, der schon einmal in ein Flugzeug gestiegen ist, wird aufgefallen sein, dass stets eine Vielzahl an personenbezogenen Daten erfasst und auch übermittelt werden können. Dies geschieht aufgrund von § 31a BPolG. Einen häufigen Anwendungsfall stellen außerdem Aufbewahrungspflichten für Buchführungsunterlagen dar, welche beispielsweise in § 257 HGB oder in der Abgabenordnung (§§ 147, 169, 170 AO) zu finden sind. Ebenso denkbar sind Verpflichtungen von Ärzten und Krankenhäusern, Patientendaten über einen längeren Zeitraum aufzubewahren, wobei hier die Bestimmungen des Art. 9 DSGVO mit einzubeziehen sind.

Fallen unter rechtliche Verpflichtung auch solche aus Drittstaaten?

Rechtliche oder gerichtliche Verpflichtungen aus Drittstaaten sind ohne einen entsprechenden Umsetzungsrechtsakt durch die Mitgliedstaaten nicht als Recht der Mitgliedstaaten anzusehen. Somit kann sich aus solchen Verpflichtungen aus Drittstaaten grundsätzlich keine Verpflichtung zur Datenverarbeitung nach Art. 6 Abs. 1 lit. c) DSGVO ergeben.

Einige solcher Verarbeitungen, z.B. der Sarbanes-Oxley-Act von 2002 (SOX), der die Verlässlichkeit der Berichterstattung von Unternehmen verbessern soll, die am öffentlichen Kapitalmarkt der USA teilnehmen oder die sog. pre trial discovery, ein prozessrechtliches Verfahren aus dem US-amerikanischen Zivilrecht, in welchem zwischen den Parteien noch vor dem Prozess den Fall betreffende Daten und Unterlagen ausgetauscht werden können, können aber unter die Rechtsgrundlage berechtigtes Interesse fallen.

Ergeben sich rechtliche Verpflichtungen auch aus Generalklauseln?

Viel diskutiert und vom Bundesverwaltungsgericht aufgeworfen wurde 2018 die Frage, ob sich eine rechtliche Verpflichtung auch aus Generalklauseln ergeben kann. Inhaltlich ging es um die Ablehnung eines presserechtlichen Auskunftsanspruches.

In der Entscheidung hat das Gericht festgestellt, dass eine behördliche hoheitliche Tätigkeit nach Art. 6 Abs. 1 lit. c) und e) stets auf eine „gesonderte Ermächtigungsgrundlage“ angewiesen sei. Es sei nicht möglich, diesem Erfordernis durch das Ausweichen auf einen Auffangtatbestand wie im streitgegenständlichen Sachverhalt Art. 5 Abs. 1 Nr. 2 BayDSG, der generalklauselartig weit gefasst sei, zu umgehen. Kritisiert hieran wird unter anderem, dass das Gericht eine Sperrwirkung gesehen habe, wo faktisch keine sei. Die DSGVO verlange lediglich, dass Datenverarbeitungen durch Behörden nicht unmittelbar auf eine unionsrechtliche Generalklausel gestützt werden, sondern der Ausgestaltung durch den jeweiligen Gesetzgeber vorbehalten bleiben sollen. Das Gericht habe verkannt, dass der Gesetzgeber durch das Schaffen von Art. 5 Abs. 1 Nr. 2 BayDSG von der Öffnungsklausel des Art. 6 Abs. 3 DSGVO Gebrauch gemacht habe.

Die Folgen dieses Urteils in Bezug auf die Kompatibilität von Erlaubnistatbeständen in Form von Generalklauseln mit dem europäischen Datenschutzrecht sind nach wie vor unklar. Das Urteil führe zu Rechtsunsicherheit und führe zu einer von „Zufälligkeiten abhängigen Einzelfalljurisprudenz“.

Rechtliche Verpflichtung: Sind behördliche Anordnungen zu prüfen?

Ein weiterer interessanter Anwendungsfall ist die Frage, ob behördliche Anordnungen eine rechtliche Verpflichtung zur Datenverarbeitung auslösen können. Etwa wenn bei Unternehmen durch Polizei oder Staatsanwaltschaft Daten im Rahmen einer Ermittlung angefragt werden.

Ein Teil der Rechtsprechung vertritt die Ansicht, dass bereits eine behördliche Anordnung, personenbezogene Daten offen zu legen, für sich allein ein hinreichender Verarbeitungsgrund nach Art. 6 Abs. 1 lit. c) sei. Dem steht eine andere Auffassung gegenüber, nach der eine behördliche Anordnung nie eine rechtliche Verpflichtung zur Datenverarbeitung begründen könne.

Demnach dürfen personenbezogene Daten durch einen Verantwortlichen aufgrund einer behördlichen Anordnung nur offen gelegt werden, wenn der Verantwortliche hierzu die Befugnis durch eine entsprechende gesetzliche Vorschrift innehat und die anfragende Behörde ebenfalls eine Ermächtigungsgrundlage für die Datenerhebung vorweisen kann. So wird dem Umstand Rechnung getragen, dass die Daten übermittelnde Stelle ohne Einschränkungen weiterhin datenschutzrechtlich verantwortlich bleibt, da Adressaten der rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c) ausschließlich „Verantwortliche“ sein können. Dieses sogenannte Doppeltürmodell (der Gesetzgeber muss von Verfassung wegen nicht nur die Tür zur Datenabfrage, sondern auch die Tür zur Übermittlung von Daten öffnen) ist umstritten. Nach überzeugender Ansicht (Buchner/Petri in Kühling/Buchner; DS-GVO BDSG, 3. Auflage 2020; Art. 6 Rechtmäßigkeit der Verarbeitung, Rn. 76-79) ist es aber auch auf Datenverarbeitungen bzw. Datenübermittlungen von privaten Unternehmen an Behörden basierend auf einer behördlichen Anordnung übertragbar.

Für den wohl praxisrelevantesten Fall der polizeilichen Ermittlung und einer damit verbundenen Datenabfrage bedeutet dies, dass die Strafverfolgungsbehörden die Abfrage immer auf eine Rechtsgrundlage stützen können müssen. Sollte diese nicht genannt werden, sollten sich Unternehmen danach erkundigen. Im Falle eines Auskunftsersuchens durch die Staatsanwaltschaft oder durch die Polizei im Auftrag der Staatsanwaltschaft besteht nach §§ 161a Abs. 1, 163 Abs. 3 StPO sogar eine Pflicht zur Übermittlung personenbezogener Daten. Ausführlich nachzulesen ist dieser Fall in unserem Beitrag zur rechtskonformen Datenweitergabe bei Polizeianfragen.

Art. 6 I lit. c) DSGVO als Rechtsgrundlage allein nicht ausreichend

Kurzum: In einem ersten Schritt können Datenverarbeitungen zwar auf Art. 6 Abs. 1 lit. c) DSGVO gestützt werden. Hinzukommen muss aber immer eine Rechtsgrundlage aus Unions- oder nationalem Recht, welche eine rechtliche Verpflichtung normiert.