Verwaltungsdatenschutzrecht: Wann ist eine Datenverarbeitung zulässig?

Lesezeit: ca. 5 Minuten

Die EU-Datenschutzgrundverordnung (DSGVO) sieht in zwei Stufen generelle Regelungen für die Verarbeitung personenbezogener Daten vor. Für die „normalen“ personenbezogenen Daten wird gemäß Art. 6 DSGVO erwartet, dass eine ausreichende Rechtsgrundlage vorhanden ist und die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO eingehalten werden. Nur wenn beide Voraussetzungen erfüllt sind, ist die Datenverarbeitung zulässig. Für die besonderen Kategorien personenbezogener Daten, beispielsweise Gesundheitsdaten oder biometrische Daten, sieht die DSGVO in Art. 9 Abs. 1 ein generelles Verbot vor. Nur dann, wenn eine der Ausnahmeregelungen in Art. 9 Abs. 2 vorliegt, darf eine Verarbeitung der personenbezogenen Daten erfolgen.

Präventives Verbot?

In der Literatur wird allerdings nicht weiter zwischen den Regelungen nach Art. 5 und 6 DSGVO und Art. 9 DSGVO unterschieden, sondern in beiden Fällen von einem „präventiven Verbot“ gesprochen. Es gibt aber nicht das gesetzgeberische Prinzip wieder, auch wenn die praktischen Auswirkungen in beiden Betrachtungsweisen wohl gleich sind.

Für die normale Verarbeitung personenbezogener Daten sieht Art. 6 Abs. 1 DSGVO verschiedene Erlaubnistatbestände vor, beispielsweise eine Einwilligung, eine Verarbeitung für die Erfüllung eines Vertrages oder die Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse. Dabei gibt es keine Vorrangstellung für die Einwilligung, sondern alle fünf Erlaubnistatbestände, die für die öffentliche Verwaltung einschlägig sind, sind gleichwertig. Für Unternehmen sieht Art. 6 Abs. 1 lit. f) DSGVO eine Besonderheit vor. Wenn ein berechtigtes Interesse besteht, dürfen personenbezogene Daten verarbeitet werden. Dies ist beispielsweise für Unternehmen im Zusammenhang mit Direktmarketing und Direktwerbung interessant. Art. 6 Abs. 1 S. 2 DSGVO stellt aber klar, dass diese Rechtsgrundlage für die Verarbeitung personenbezogener Daten nicht von Behörden genutzt werden darf, wenn es um die Erfüllung ihrer Aufgaben geht. Davon ausgenommen sind Unternehmen der öffentlichen Hand, die wie Wirtschaftsteilnehmer agieren. Auch Behörden, die nicht in Erfüllung ihrer Aufgaben handeln, beispielsweise am Privatrechtsverkehr teilnehmen, können dann diese besondere Regelung nutzen.

Daneben sieht die DSGVO vor, dass eine Übermittlung in ein datenschutzrechtlich problematisches Ausland nach Art. 49 Abs. 1 DSGVO untersagt ist. Jede Drittlandübermittlung von personenbezogenen Daten ist daher kritisch zu prüfen. Vom Grundprinzip geht der europäische Gesetzgeber davon aus, dass eine Datenübermittlung von personenbezogenen Daten nur in Europa erfolgen soll.

Rechtspflicht zur Verarbeitung

Wenn eine Datenverarbeitung rechtlich vorgeschrieben ist, liegt eine Rechtsgrundlage gemäß Art. 6 Abs. 1 S. 1 lit. c) DSGVO vor. Bei der Erfüllung einer Rechtspflicht wird die Verarbeitung auch von der DSGVO gestattet. Es gibt auch kein Widerspruchsrecht der Betroffenen.

Teilweise wird in der juristischen Literatur von einer Subsidiarität des Datenschutzrechts gegenüber dem übrigen Recht gesprochen und darauf verwiesen, dass dieser Grundsatz sich durch das Verwaltungsdatenschutzrecht zieht. Eine solche rechtliche Einschätzung sehen wir kritisch. Bei der Formulierung „Subsidiarität“ kann es leicht zu dem Missverständnis kommen, dass die Regelungen der DSGVO nachrangig zu beachten sind. Hier ist aber zu bedenken, dass das europäische Recht in Form der EU-Datenschutzgrundverordnung das höherrangige Recht ist und teilweise nationale Regelungen zum Datenschutz, die vor Inkrafttreten der DSGVO am 25.05.2018 galten, nunmehr außer Kraft setzt. Insoweit ist ein Verweis auf eine „Subsidiarität“ der DSGVO zum übrigen Recht missverständlich und gibt die gesetzlichen Regelungen nicht wieder.

Datenverarbeitung zur Vertragserfüllung

In den meisten Fällen wird im Bereich der öffentlichen Verwaltung eine Rechtsgrundlage für die Datenverarbeitung bestehen oder die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt. Dann ist Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 S. 1 lit. e) DSGVO. Denkbar ist aber auch, dass eine Verarbeitung für die Erfüllung eines Vertrages erfolgt (Art. 6 Abs. 1 S. 1 lit. b) DSGVO). Zur Erfüllung eines Vertrages dürfen personenbezogene Daten verarbeitet werden, beispielsweise der Ansprechpartner. Auch für die Vertragsanbahnung gilt diese Regelung als Erlaubnisnorm. In der DSGVO heißt es ausdrücklich, dass die Verarbeitung personenbezogener Daten zur Durchführung vorvertraglicher Maßnahmen möglich ist, wenn eine solche Verarbeitung erforderlich ist. Dies trifft beispielsweise im Personalbereich die gesamte Abwicklung des Bewerbermanagements.

Verarbeitungspflicht und Mitteilungspflicht

Eine Pflicht zur Verarbeitung kann beispielsweise bei gesetzlichen Mitteilungspflichten nach dem Verwaltungsverfahrensgesetz oder dem Sozialdatenschutz bestehen. Auch die Pflicht zur Amtshilfeleistung kann eine Mitteilungspflicht begründen.

Davon zu unterscheiden sind die gesetzlichen Informationspflichten, die eine Behörde gegenüber Betroffenen hat. Hier gibt es besondere Anforderungen in Art. 13 und Art. 14 DSGVO. Eine Behörde, die personenbezogene Daten von Bürgerinnen und Bürgern oder von Mitarbeiterinnen und Mitarbeitern verarbeitet, muss die Betroffenen informieren, in welchem Umfang und zu welchem Zweck die personenbezogenen Daten verarbeitet werden. Weitere Angaben sind im Gesetz festgelegt, die dem Betroffenen vermittelt werden müssen.

Zusammenfassend ist also festzuhalten, dass jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage braucht. Wenn keine Rechtsgrundlage vorhanden ist, gibt es auch keine gesetzliche Erlaubnis für die Datenverarbeitung. Mit anderen Worten: Eine Datenverarbeitung ohne Rechtsgrundlage ist illegal und gesetzeswidrig. Behörden und öffentliche Verwaltung sollten daher genau prüfen, ob im konkreten Fall jeweils eine ausreichende Rechtsgrundlage für die Datenverarbeitung vorhanden ist. Dies ist dann in einem Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO auch zu dokumentieren. Die Rechtsgrundlage ist auch gemäß Art. 13 DSGVO dem Betroffenen mitzuteilen, sodass ein Betroffener überprüfen kann, ob eine ausreichende und die richtige Rechtsgrundlage in Bezug genommen wird. Dies führt zu einer Transparenz der Rechtsgrundlage, die es nach dem alten Datenschutzrecht nicht gab. Auch die Löschfristen sind im Rahmen der Information nach Art. 13 und Art. 14 DSGVO dem Betroffenen mitzuteilen. Dies gilt für alle Geschäftsprozesse in der öffentlichen Verwaltung, in denen personenbezogene Daten verarbeitet werden. Teilweise wird in der juristischen Literatur ergänzend dazu diskutiert, ob eine Verarbeitung personenbezogener Daten ohne ausreichende Umsetzung der Informationspflichten letztendlich zu einer illegalen Datenverarbeitung führt, weil die gesetzlichen Rahmenbedingungen nicht eingehalten werden. Der Gesetzgeber unterstreicht eine solche juristische Bewertung, indem eine Verletzung der Informationspflichten nach Art. 13 und Art. 14 DSGVO der zweiten Bußgeldstufe zugeordnet wird. Damit wird deutlich gemacht, dass diese Verpflichtungen von den Verantwortlichen, sprich auch von den Behörden und der öffentlichen Verwaltung besonders ernst zu nehmen sind.

Verzeichnis der Verarbeitungstätigkeit

In den Verzeichnissen der Verarbeitungstätigkeiten sollten alle Geschäftsprozesse dokumentiert werden, in denen personenbezogene Daten verarbeitet werden. Wenn beispielsweise eine Kommune oder eine Stadt mehr als 100 Fachanwendungen in den verschiedenen Bereichen hat, ist davon auszugehen, dass mindestens diese 100 Fachanwendungen in Form getrennter Dokumentationen und in jeweils eigenen Verzeichnissen der Verarbeitungstätigkeit zu dokumentieren sind. Jeweils einzeln ist dann auch zu prüfen, auf welcher Rechtsgrundlage die Verarbeitung der personenbezogenen Daten erfolgt.

Gemäß Art. 5 Abs. 2 DSGVO hat jede Behörde und jede öffentliche Einrichtung eine Rechenschaftspflicht. Dies umfasst auch die Feststellung, ob die jeweilige Datenverarbeitung und der jeweilige Geschäftsprozess eine ausreichende Rechtsgrundlage für die Verarbeitung personenbezogener Daten hat.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen