Rechtsgrundlage: Wann dürfen Daten verarbeitet werden?

Zur Bestimmung der Rechtsgrundlage einer Verarbeitungstätigkeit gibt es wesentlich mehr zu sagen als „Art. 6 Abs. 1 DSGVO“. Um ganz genau definieren zu können, unter welchen Voraussetzungen welche Daten verarbeitet werden dürfen, bedarf es darüber hinaus gehender Überlegungen, die Sie kennen sollten und die wir Ihnen in diesem Artikel noch einmal zusammenfassen.

Rechtmäßigkeit als Grundsatz für die Verarbeitung personenbezogener Daten

Art. 5 Abs. 1 DSGVO enthält die Grundregeln der Datenverarbeitung, die bei der Verarbeitung personenbezogener Daten einzuhalten sind und die DSGVO prägen. Einer dieser Grundsätze ist der „Grundsatz der Rechtmäßigkeit“ gem. Art. 5 Abs. 1 lit. a DSGVO, der in Art. 6 DSGVO seine inhaltliche Ausgestaltung findet. Art. 6 Abs. 1 DSGVO gibt vor, dass eine Verarbeitung nur rechtmäßig ist, wenn mindestens eine der dort abschließend aufgezählten Bedingungen erfüllt ist. In Ergänzung dazu stellt EG 40 fest, dass für die Rechtmäßigkeit der Verarbeitung entweder eine Einwilligung vorliegen muss oder eine anderweitige Rechtsgrundlage für die Verarbeitung existieren muss.

Art. 5 Abs. 1 lit. a DSGVO setzt damit Art. 8 Ab. 2 S. 1 GRCh (Europäische Grundrechte-Charta) um, welcher dem Betroffenen gewährleistet, dass seine personenbezogenen Daten nur mit seiner Einwilligung oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen.

Verbot mit Erlaubnisvorbehalt oder Erlaubnisprinzip?

Grundsätzlich wird allgemein hin formuliert, dass in der DSGVO vor dem Hintergrund des Art. 6 Abs. 1 DSGVO jede Verarbeitung von personenbezogenen Daten verboten ist, es sei denn, sie wird ausdrücklich erlaubt. Diese Systematik wird als „Verbot mit Erlaubnisvorbehalt“ bezeichnet.

Kritik an der Formulierung „Verbotsprinzip“ bzw. „Verbot mit Erlaubnisvorbehalt“

Es gibt aber auch Stimmen in der Literatur, die die Formulierungen „Verbotsprinzip“ oder „Verbot mit Erlaubnisvorbehalt“ in Frage stellen, so z.B. Prof. Dr. Alexander Roßnagel, mittlerweile Hessischer Beauftragter für Datenschutz und Informationsfreiheit, in seinem Aufsatz „Kein „Verbotsprinzip“ und kein „Verbot mit Erlaubnisvorbehalt“ im Datenschutzrecht“, NJW 2019, S. 1 ff. (€).

Das Datenschutzrecht geht keinen Sonderweg

Prof. Dr. Roßnagel weist in diesem Aufsatz zu Recht darauf hin, dass die Regelung zur Zulässigkeit der Datenverarbeitung in Art. 6 Abs. 1 DSGVO dem verfassungsrechtlich verankerten Prinzip des Vorbehalts des Gesetzes folge. Danach dürfen Grundrechtseingriffe nur erfolgen, wenn der Gesetzgeber sie durch Gesetz zugelassen hat. Es wird angemerkt, dass dieses Prinzip nicht nur bezüglich der im Datenschutzrecht zu schützenden Grundrechte (Art. 7 und Art. 8 GRCh, Art. 2 Abs. 1 S. 1 GG i.V.m. Art. 1 Abs. 1 GG) gelte, sondern auch bezüglich vieler weiterer Grundrechte. Im Datenschutzrecht liegt also keineswegs eine Ausnahmesituation vor, sondern bezüglich anderer Grundrechtseingriffe wird ebenso verfahren.

„Verbotsprinzip“ trifft es nicht

Er erläutert weiter, nach der GRCh bzw. nach der DSGVO sei eine Datenverarbeitung nicht per se verboten, sondern der Gesetzgeber werde jeweils zur Ausgestaltung darüber aufgefordert, welche Verarbeitungen gesellschaftlich erwünscht seien und welche nicht. Roßnagel gibt außerdem zu bedenken, dass es zwar auch in der DSGVO ein grundsätzliches Verarbeitungsverbot gäbe, das jedoch mit einer anderen Wortwahl belegt wurde – siehe Art. 9 Abs. 1 DSGVO für die Verarbeitung sog. „sensibler Daten“, wo ganz deutlich formuliert wird:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Dieses Verbot aus Art. 9 Abs. 1 DSGVO sei im Übrigen überflüssig, wenn der DSGVO ein allgemeines Verarbeitungsverbot zugrunde liegen würde.

Ein „Verbot mit Erlaubnisvorbehalt“ ist etwas anderes

Schließlich wird klargestellt, auch die Bezeichnung „Verbot mit Erlaubnisvorbehalt“ passe nicht zu Konstellationen wie der vorliegenden. Dabei handele es sich um eine allgemeine Regelung im Gesetz, die eine bestimmte Handlung verbiete, bis diese im Einzelfall von einer Verwaltungsbehörde in einem Genehmigungsverfahren überprüft und zugelassen worden sei. Um einen solchen Fall gehe es aber schlichtweg nicht.

Stattdessen „Erlaubnisprinzip“

Prof. Dr. Roßnagel kommt zu dem Schluss, im Datenschutzrecht solle man vielmehr von einem „Erlaubnisprinzip“ sprechen als vom „Verbotsprinzip“, denn die von der GRCh oder dem GG verbotenen Grundrechtseingriffe würden vom Datenschutzrecht in einem weiten Rahmen erlaubt, siehe Art. 6 Abs. 1 DSGVO.

Der Kritik muss in vielen Punkten inhaltlich Recht gegeben werden und die Ausführungen präzisieren sehr anschaulich die rechtliche Systematik. Trotzdem ist und bleibt der Begriff des „Verbots mit Erlaubnisvorbehalt“ sprachlich gebräuchlich. Festzustellen ist außerdem, dass sich im Ergebnis die beiden Auffassungen nicht wesentlich voneinander unterscheiden. Denn jedenfalls steht fest, dass Art. 6 Abs. 1 DSGVO die Voraussetzungen vorsieht, unter denen die Verarbeitung von personenbezogenen Daten vorgenommen werden darf, egal, ob man dem ein grundsätzliches Verarbeitungsverbot, oder eine Gebotenheit der Erlaubnisse zugrunde legt.

Was ist eine Rechtsgrundlage und welche gibt es laut der DSGVO?

Unter einer Rechtsgrundlage versteht man allgemein eine rechtliche Vorschrift, die den Staat zum Handeln legitimiert. Die Notwendigkeit der rechtlichen Legitimation eines staatlichen Eingriffs in die Sphäre der Bürger folgt auf nationaler Ebene aus dem Rechtsstaatsprinzip nach Art. 20 Abs. 3 GG i.V.m. Art. 28 Abs. 1 GG.

Die möglichen Rechtsgrundlagen einer Datenverarbeitung nach den Vorschriften der DSGVO ergeben sich, wie in dem oben bereits benannten EG 40 beschrieben, aus Art. 6 DSGVO, wobei oftmals Bezug auf weitere Rechtsvorschriften zu nehmen ist (wenn keine allgemeine Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO vorliegt).

Gem. Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig,

• wenn eine Einwilligung der betroffenen Person vorliegt,
• zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen,
• zur Erfüllung einer rechtlichen Verpflichtung,
• zum Schutze lebenswichtiger Interessen,
• zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt oder
• wenn sie aufgrund einer Interessenabwägung erforderlich ist.

Kann man eine Datenverarbeitung nur auf eine Rechtsgrundlage stützen?

Die Frage ist nun, ob man eine Datenverarbeitung auf mehrere Rechtsgrundlagen zugleich stützen kann. Für eine solche Möglichkeit sprechen insbesondere folgende Gründe:

• Der Wortlaut „… mindestens eine …“ in Art. 6 Abs. 1 DSGVO deutet zunächst darauf hin, dass dies möglich sein soll. Und es gibt keine Formulierung in der DSGVO, die es eindeutig verbietet, eine Verarbeitung auf mehrere Rechtsgrundlagen zu stützen.
• Zumindest auch Art. 17 Abs. 1 lit. b DSGVO geht davon aus, dass mehrere Rechtsgrundlagen für eine Verarbeitung möglich sein sollen, wenn gesagt wird, bei Widerruf einer Einwilligung könne sich zur Fortführung der Verarbeitung auf eine andere Rechtsgrundlage gestützt werden.
• Nach der Anwendung allgemeiner Auslegungsgrundsätze ist es durchaus üblich, jeden einzelnen gesetzlichen Erlaubnistatbestand separat auf die Voraussetzungen zu prüfen.
• Auch der EuGH ging bereits in seiner Manni-Entscheidung vom 09.03.207 (C-398/15) zur Datenschutz-RL (RL 95/46/EG) davon aus, dass mehrere Erlaubnistatbestände kumulativ vorliegen können.

Die andere Ansicht wurde von der Art. 29-Datenschutzgruppe in der Ursprungsversion der „Leitlinien in Bezug auf die Einwilligung gem. Verordnung 2016/679“ vom 28.11.2017 (S. 22) vertreten, in der ausdrücklich festgestellt wurde, dass grundsätzlich eine Verarbeitungstätigkeit für einen bestimmten Zweck nicht auf mehrere Rechtsgrundlagen gestützt werden könne. Doch schon bald hatte die Art. 29-Gruppe ihre Ansicht offensichtlich revidiert, denn bereits in der am 10.04.2018 angenommenen Endfassung fehlte gerade dieser entscheidende Satz (S. 27). Die o.g. Leitlinien der Art. 29-Datenschutzgruppe wurden dann von dem Europäischen Datenschutzausschuss EDSA als „Leitlinien 05/2020 zur Einwilligung gem. Verordnung 2016/679“ „geringfügig aktualisiert“ gebilligt, so dass weiterhin dieser Satz nicht mehr enthalten ist (siehe S. 30 Rz. 121).

Wichtig: die unterschiedlichen Verarbeitungszwecke

Es fehlt somit zwar an der eindeutigen Aussage des EDSA, dass zwischen den Rechtsgrundlagen Exklusivität besteht. Aber andererseits wird aus den weiteren Ausführungen des EDSA ganz deutlich, was der Grundgedanke war und weiter sein soll (ebd., S. 29, Rz. 118):

„Wie bereits in den vorliegenden Leitlinien erwähnt wurde, ist es sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. Unternehmen benötigen Daten häufig für verschiedene Zwecke und die Verarbeitung stützt sich auf mehr als eine Rechtsgrundlage. So kann die Verarbeitung von Kundendaten auf einem Vertrag und einer Einwilligung basieren. Folglich bedeutet der Widerruf der Einwilligung nicht, dass der Verantwortliche die Daten löschen muss, die für einen Zweck verarbeitet werden, der auf der Erfüllung des Vertrags mit der betroffenen Person beruht.“

Daraus geht hervor, dass sich eine Verarbeitung zwar auf mehrere Rechtsgrundlagen stützen kann, dann jedoch zu unterschiedlichen Zwecken. Wird hier die Einwilligung widerrufen, die Daten müssen jedoch zu anderen Zwecken mit anderer Rechtsgrundlage weiterhin verarbeitet werden, kann dies grundsätzlich möglich sein. An anderer Stelle weist der EDSA zusätzlich darauf hin, dass eine Änderung der Rechtsgrundlagen dann  jedoch nicht stillschweigend erfolgen darf, sondern die betroffene Person muss über jede Änderung der Rechtsgrundlage gem. Art. 13, Art. 14 DSGVO informiert werden (S. 29, Rz. 120).

Sonderfall Zusammenspiel „Einwilligung“ und „berechtigte Interessen“

Bezüglich des Zusammenspiels zwischen der „Einwilligung“ i.S.d. Art. 6 Abs. 1 lit. a DSGVO und den „berechtigen Interessen“ gem. Art. 6 Abs. 1 lit. f DSGVO stellt sich immer wieder die Frage: Geht das eigentlich, sich auf beides zu stützen? Muss sich der Betroffene, der sich mit dem Widerruf seiner Einwilligung eindeutig gegen eine weitere Datenverarbeitung ausspricht, durch die „Hilfskrücke“ des Art. 6 Abs. 1 lit. f DSGVO gegen seinen offenkundigen Willen weiter an einer Verarbeitung festhalten lassen?

Die Meinung des EDSA dazu ist eindeutig: Es sei nicht gestattet, rückwirkend das „berechtigte Interesse“ als Rechtsgrundlage für eine Verarbeitung zu wählen, wenn Probleme mit der Gültigkeit der Einwilligung aufgetreten sind. Er nennt es als „in höchstem Maße missbräuchlich“, wenn Betroffenen gesagt würde, dass die Daten auf der Grundlage der Einwilligung verarbeitet werden, wenn tatsächlich eine andere Rechtsgrundlage zugrunde gelegt wird. Daher müsse ein Verantwortlicher bereit sein, den Teil der Verarbeitung, für den man sich auf die Einwilligung berufen hat, zu beenden, falls ein Betroffener seine Einwilligung widerruft (ebd, S. 30, Rz. 122 f.).

Die Datenschutzkonferenz (DSK) stellt dazu in ihrem Kurzpapier Nr. 20 zur Einwilligung nach der DSGVO etwas unkonkreter dar:

„Eine Einwilligung, die nicht den dargestellten Anforderungen genügt, ist unwirksam und kann nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden. Die Datenverarbeitung in diesem Fall auf eine andere Rechtsgrundlage zu stützen, beispielsweise die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f DSGVO), ist grundsätzlich unzulässig, denn der Verantwortliche muss die Grundsätze der Fairness und Transparenz (Art. 5 Abs. 1 lit. a DSGVO) beachten. Jedenfalls ist ein willkürliches Wechseln zwischen Einwilligung und anderen Rechtsgrundlagen nicht möglich.“

Damit steht fest, dass die DSK einen Wechsel der Rechtsgrundlagen bei Widerruf der Einwilligung jedenfalls nicht komplett als ausgeschlossen ansieht. An den Äußerungen des EDSA kommt aber auch sie nicht vorbei, so dass sich diese Art der Zweigleisigkeit in zahlreichen Fällen in der Praxis mehr als problematisch darstellen dürfte.

Rechtsgrundlagen aufgrund von Öffnungsklauseln

Das Ziel der DSGVO war es, durch ihren unmittelbaren Regelungscharakter einen einheitlichen Rechtsrahmen für das Datenschutzrecht in ganz Europa zu schaffen. Grundsätzlich genießt sie daher Anwendungsvorrang vor nationalem Recht.

Flickenteppich statt Einheitlichkeit

Jedoch wird den Mitgliedstaaten an vielen Stellen in der DSGVO mittels sog. „Öffnungsklauseln“ die Möglichkeit gegeben, eigene nationale Regelungen für bestimmte Bereiche zu schaffen. Entsprechende nationale Normen müssen aber immer im Einklang mit der DSGVO stehen und dürfen ihr nicht widersprechen. Wieviel Einheitlichkeit der Regelungen bleibt, wird deutlich, wenn man sich vor Augen führt, dass die DSGVO mit ihren 99 Artikeln ca. 70 Öffnungsklauseln beinhaltet.

Aufgrund der Tatsache, dass die Mitgliedstaaten durch jeweilige Regelung in der DSGVO dazu verpflichtet sind, sämtliche nationalen Regelungen, die in Folge von Öffnungsklauseln geschaffen wurden, an die EU-Kommission zu melden (zu „notifizieren“), siehe z.B. Art. 88 Abs. 3 DSGVO oder Art. 49 Abs. 5 DSGVO, gibt es eine Auflistung entsprechender Vorschriften durch die EU-Kommission.

In EG 40 zur DSGVO wird gefordert, dass personenbezogene Daten mit Einwilligung der betroffenen Person oder aufgrund einer sonstigen zulässigen Rechtsgrundlage, die sich aus der DSGVO oder – wenn durch die DSGVO die Möglichkeit eröffnet wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, verarbeitet werden müssen, damit die Verarbeitung rechtmäßig ist. Gem. EG 41 muss die geforderte Rechtsgrundlage nicht notwendigerweise ein parlamentarischer Akt, sprich ein „Gesetz“ im formellen Sinne sein, wobei jedoch das nationale Verfassungsrecht dies wiederum verlangen kann.

Öffnungsklausel: „Muss“ und „kann“

Unterschieden wird hier zwischen obligatorischen und fakultativen Öffnungsklauseln – sprich danach, ob ihre Ausfüllung für den Mitgliedstaat verpflichtend oder lediglich möglich ist.

Als Beispiel für eine obligatorische Öffnungsklausel kann Art. 54 Abs. 1 lit. a DSGVO benannt werden, der die Einrichtung von Aufsichtsbehörden auf nationaler Ebene zwingend von den Mitgliedstaaten einfordert. Als Beispiel für eine fakultative Öffnungsklausel sei Art. 88 DSGVO genannt, nach dem die Mitgliedstaaten die Möglichkeit haben, den Arbeitnehmerdatenschutz eigenständig zu regeln.

Weitgehende Anforderungen an entsprechende Rechtsgrundlagen

Wird den Mitgliedstaaten in der DSGVO eine Öffnungsklausel zur Verfügung gestellt, werden stets an gleicher Stelle in der DSGVO weitere Anforderungen benannt, welche die jeweiligen rechtlichen Regelungen zu beachten haben. So verlangt z.B. Art. 88 Abs. 2 DSGVO quasi als Grenze der Öffnungsklausel aus Art. 88 Abs. 1 DSGVO, dass die entsprechenden Vorschriften, die der Mitgliedstaat aufgrund des Art. 88 Abs. 1 DSGVO zum Beschäftigtendatenschutz erlässt, angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der Betroffenen vorsehen müssen.

Es geht der DSGVO an dieser jeweiligen Stelle darum, dass die Grundrechte der jeweils Betroffenen auch weiterhin gewährleistet werden. Als Beispiele für entsprechende Maßnahmen werden in Art. 88 Abs. 2 DSGVO benannt der Erlass von Vorschriften über

• die Transparenz der Verarbeitung,
• die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe und
• Überwachungssysteme am Arbeitsplatz,

die Teile der geplanten nationalen Vorschriften sein müssen.

Vorlagefrage: Wie müssen nationale Rechtsgrundlagen ausgestaltet sein?

Nunmehr knapp 4 Jahre nach Einführung der DSGVO kommt es oft genug vor, dass entsprechende Vorlagefragen der nationalen Gerichte beim EuGH landen. Und immer muss entschieden werden: Sind die von der DSGVO an die nationalen, die Öffnungsklausel ausfüllenden Gesetze gestellten Voraussetzungen erfüllt?

Als Beispiel sei genannt ein Vorlageverfahren des VG Wiesbaden zum dortigen Beschluss vom 21.12.2020 zum AZ 23 K 1360/20.WI, welches weiterhin vor dem EuGH anhängig ist (C-34/21). Es geht hier im Kern um nichts Geringeres als um die Frage, ob die im deutschen Recht geschaffenen Regelungen zum Beschäftigtendatenschutz den europarechtlichen Vorgaben genügen.

Fundamentale Fragen wie diese werden in den nächsten Jahre noch einige in Luxemburg entschieden werden, so dass mehr Rechtssicherheit in das Thema der Rechtsgrundlagen kommen wird.

Klein, aber „Oho“!

Wie umfassend die Themen sind, mit denen man sich rund um die „Rechtsgrundlage“ beschäftigen kann bzw. muss, dürfte nach diesen Ausführungen wieder jedem präsent sein. Meist kurz abgefragt, schnell hingeschrieben, beinhaltet sie natürlich insbesondere das Fundamentale für die Datenverarbeitung: ihre rechtliche Legitimation, ohne die schlichtweg „nichts geht“.