Die EU-Datenschutzgrundverordnung (DSGVO) ist ein Meilenstein in der Entwicklung des Datenschutzrechts, der in seiner Bedeutung nicht überschätzt werden kann. Die DSGVO bringt zahlreiche Neuerungen im Vergleich zur aktuellen Rechtslage, auf die sich auch deutsche Unternehmen einstellen sollten, bis sie im Mai 2018 in Kraft treten.
1. Grundsätze der Datenverarbeitung
Art. 5 DSGVO regelt folgende allgemeine Grundsätze für die Verarbeitung personenbezogener Daten:
- Rechtmäßigkeit der Datenverarbeitung
- Verarbeitung nach Treu und Glauben
- Transparenz der Datenverarbeitung
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflichtigkeit des Verantwortlichen
Diese Grundsätze knüpfen an die Vorgängerregelung in Art. 6 Datenschutzrichtlinie an, die auch für die Auslegung des Bundesdatenschutzgesetzes (BDSG) relevant waren und sind, ohne dass es jedoch eine entsprechende explizite Regelung im BDSG hierzu gibt. Relevant werden die Grundsätze in Art. 5 DSGVO insbesondere bei der Auslegung von Erlaubnistatbeständen innerhalb und außerhalb der DSGVO sowie bei der Ausgestaltung von Regelungsbefugnissen der Mitgliedsstaaten.
Unternehmen sollten die Grundsätze in Art. 5 DSGVO bei der Konzeption ihrer Datenschutz-Compliance-Organisation als Orientierungshilfe verstehen, jedoch nicht unmittelbar zur Bewertung konkreter Datenverarbeitungen heranziehen. Diese richtet sich nach den Erlaubnistatbeständen in Art. 6 DSGVO.
2. Erlaubnistatbestände
Wie bereits die Datenschutzrichtlinie und das Bundesdatenschutzgesetz, beruht auch die DSGVO auf dem Prinzip des Verbots der Datenverarbeitung mit Erlaubnisvorbehalt (vgl. Erwägungsgrund 40). Die Verarbeitung personenbezogener Daten ist und bleibt also unzulässig, es sei denn, die Voraussetzungen eines Erlaubnistatbestands sind erfüllt. Art. 6 Abs. 1 DSGVO enthält diese allgemeinen Rechtfertigungstatbestände. Erlaubnistatbestände für besondere Verarbeitungssituationen sind ergänzend in Kapitel IX geregelt.
3. Einwilligung
Gemäß Art. 6 Abs. 1 lit. a DSGVO ist die Datenverarbeitung zulässig, wenn die betroffene Person eingewilligt hat. Entsprechende Regelungen gab es bisher in Art. 7 lit. a der Datenschutzrichtlinie und in § 4 Abs. 1 BDSG. Anforderungen an die Erklärung der Einwilligung im Detail ergeben sich aus Art. 7 DSGVO, Erwägungsgrund 32, 42 und 43 sowie für die Erklärung der Einwilligung durch Kinder im Zusammenhang mit Diensten der Informationsgesellschaft aus Art. 8 DSGVO.
Entsprechend der bisherigen Rechtslage muss eine Einwilligung freiwillig erklärt werden, auf einer informierten Entscheidung der betroffenen Person beruhen und eindeutig erklärt werden (vgl. Erwägungsgrund 32). Anders als aktuell gemäß § 4a Abs. 1 S. 3 BDSG muss nach der DSGVO die Einwilligung jedoch nicht mehr regelmäßig schriftlich erklärt werden. Vielmehr stehen die schriftlich, mündlich, elektronisch oder in anderer Form erklärte Einwilligung gleichberechtigt nebeneinander (vgl. Erwägungsgrund 32). Auch die konkludente Erklärung der Einwilligung ist daher möglich. Voraussetzung insbesondere einer konkludenten Einwilligung ist jedoch, dass die betroffene Person sich aktiv erklärt. Schweigen – oder im Online-Kontext – vorangekreuzte Checkboxen sind keine Erklärung im Sinn des Art. 8 DSGVO und damit keine Einwilligungserklärung.
Der Verantwortliche trägt für die Erklärung der Einwilligung gemäß Art. 7 Abs. 1 DSGVO die Beweislast. Es ist daher sinnvoll, Einwilligungserklärungen schriftlich oder elektronisch einzuholen und jedenfalls für die Dauer darauf gestützter Datenverarbeitungen zu dokumentieren. In Art 7 Abs. 3 DSGVO, ist ausdrücklich geregelt, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann. Dies entspricht der aktuellen Auslegung von § 4a Abs. 1 BDSG, so dass für Verantwortliche weiter eine Organisationspflicht besteht, Systeme die personenbezogene Daten auf der Basis einer Einwilligungslösung verarbeiten so zu gestalten, dass individuelle Widersprüche umgesetzt werden können.
Gemäß der neuen Regelung in Art. 8 Abs. 1 DSGVO sind Kinder bei der Nutzung von „Diensten der Informationsgesellschaft“ mit 16 Jahren einwilligungsfähig. Die Einwilligung jüngerer Kinder ist nur mit Zustimmung der Eltern wirksam. Dienst der Informationsgesellschaft sind gemäß Art. 4 Nr. 25 DSGVO i.V.m. Art. 1 Nr. 1 b der Richtlinie über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft „in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“, wie z.B. in App Käufe oder andere (mobile) Mehrwertdienste.
4. Allgemeine Erlaubnistatbestände
Allgemeine gesetzliche Erlaubnistatbestände für die Verarbeitung personenbezogener Daten ergeben sich aus Art. 6 Abs. 1 lit. b-f DSGVO. Hiernach dürfen personenbezogene Daten zu folgenden Zwecken verarbeitet werden
- zur Erfüllung vertraglicher- und vorvertraglicher Pflichten ( 6 Abs. 1 lit. b DSGVO),
- zur Erfüllung rechtlicher Pflichten ( 6 Abs. 1 lit. c DSGVO),
- zum Schutz lebenswichtiger Interessen ( 6 Abs. 1 lit. d DSGVO),
- zur Wahrnehmung öffentlicher Interessen und zur Ausübung öffentlicher Gewalt ( 6 Abs. 1 lit. e DSGVO) sowie
- zur Wahrung berechtigter Interessen ( 6 Abs. 1 lit. f DSGVO).
Diese Erlaubnistatbestände entsprechen in ihrem Wortlaut der Vorgängerreglung in Art. 7 lit. b-f Datenschutzrichtlinie und lösen deren Umsetzung im deutschen Recht, insbesondere in § 28 BDSG, ab. Für Unternehmen besonders relevant sind die bisher in § 28 Abs. 1 S. 1 Nr. 1 BDSG geregelte Befugnis zur Datenverarbeitung zur Erfüllung vertraglicher Pflichten und die bisher in § 28 Abs. 1 S. 1 Nr. 2 BDSG geregelte Befugnis zur Datenverarbeitung im berechtigten Interesse des Verantwortlichen.
Zur Rechtfertigung der Datenverarbeitung zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO muss der Verantwortliche wie bisher prüfen und sicherstellen, dass die Datenverarbeitung zur Vertragserfüllung erforderlich ist. Der Umfang zulässiger Verarbeitungsvorgänge ergibt also insbesondere aus der vertraglichen Leistungsbestimmung.
Die Verarbeitung im berechtigten Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DSGVO erfordert, dass diese erforderlich ist und keine berechtigten Interessen der betroffenen Personen entgegenstehen. Bei dieser Interessenabwägung sind Interessen, Grundrechte und Grundfreiheiten der Betroffenen zu berücksichtigen. In Art. 6 Abs. 1 lit. f DSGVO ist jetzt ausdrücklich geregelt, dass bei der Verarbeitung personenbezogener Daten von Kindern deren Interessen in besonderem Maße zu berücksichtigen sind.
Zur Auslegung und Anwendung der Tatbestandsvoraussetzungen des Art. 6 Abs. 1 lit. f DSGVO wird man sich an den zu § 28 Abs. 1 S. 1 Nr. 2 BDSG entwickelten Grundsätzen orientieren können. Ergänzend ergeben sich aus Erwägungsgrund 47 die Kriterien der angemessenen Beziehung zwischen dem Verantwortlichen und dem Betroffenen sowie der Vorhersehbarkeit der Datenverarbeitung für den Betroffenen. Soweit daher z.B. eine gewachsene Kundenbeziehung zwischen Verantwortlichem und Betroffenen besteht sind allgemein übliche Datenverarbeitungen leichter zu rechtfertigen. Auch nach der neuen Rechtslage wird es aber auf eine Prüfung und Bewertung des konkreten Verarbeitungszusammenhangs im Einzelfall ankommen.
5. Besondere Verarbeitungssituationen
Für besondere Verarbeitungssituationen sieht Kapitel IX DSGVO Erlaubnistatbestände sowie Regelungsermächtigungen für die Mitgliedsstaaten vor. So können diese etwa gemäß Art. 85 DSGVO Vorkehrungen treffen, um das „Recht auf freie Meinungsfreiheit und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken“ mit dem Datenschutzrecht in Einklang zu bringen, also Erlaubnistatbestände normieren.
Die Grundsätze und Regelungen etwa zum Informationsfreiheitsrecht, das Presserecht oder Ausprägungen des Rechts auf freie Meinungsäußerung sind damit wie bisher geeignet, das Datenschutzrecht im Einzelfall einzuschränken. Eine daran angelehnte Regelung enthält Art. 86 DSGVO explizit für das Recht der Informationsfreiheit, insbesondere in Form des Bundes Informationsfreiheitsgesetzes sowie der Landes Informationsfreiheitsgesetze. Diese sind auch weiter geeignet, im Einzelfall Datenschutzrechte einzuschränken.
Mit Art. 88 DSGVO wird der Arbeitnehmerdatenschutz in Form einer Regelungsermächtigung für die Mitgliedsstaaten in der DSGVO verankert. Dies könnte die deutsche Diskussion um ein Arbeitnehmerdatenschutzgesetz erneut entfachen. Bisher gab es eine Reihe von Gesetzesentwürfen und Gesetzgebungsinitiativen zur Regelung des Arbeitnehmerdatenschutzes, die jedoch nicht zu einem detaillierten gesetzlich geregelten Arbeitnehmerdatenschutz geführt haben. Ergebnis der Diskussion ist bisher (nur) die „provisorische“ Regelung des § 32 BDSG.
Datenverarbeitung zu Archivzwecken, wissenschaftlicher oder historischer Forschung und zu statistischen Zwecken unterfällt gemäß Art. 89 Abs. 1 DSGVO den Regelungen der DSGVO. Die Mitgliedsstaaten können jedoch gemäß Art. 89 Abs. 2 DSGVO ergänzende Regelungen treffen. Die Regelung des Bundesarchivgesetzes und der Landesarchivgesetze gelten damit fort und können Datenschutzrechte einschränken.
Die Datenschutzgesetze der Kirchen, namentlich das Kirchengesetz über den Datenschutz der Evangelischen Kirche und die Anordnung über den kirchlichen Datenschutz, sind gemäß Art. 91 DSGVO ebenfalls weiter neben der DSGVO anwendbar. Bisher folgte dies aus Art. 137 Abs. 3 der Weimarer Reichsverfassung in Verbindung mit Art. 140 Grundgesetz. Die kirchlichen Datenschutzgesetze stehen gemäß Art. 91 DSGVO unter dem Vorbehalt der Vereinbarkeit mit der DSGVO.
Fazit und Praxisempfehlung
Die DSGVO entwickelt das deutsche und europäische Datenschutzrecht insbesondere auf Basis der Datenschutzrichtlinie fort. Dies gilt besonders für hier betrachtete Grundsätze der Datenverarbeitung und Erlaubnistatbestände. Unternehmen müssen ihre Datenverarbeitungsprozesse mit Inkrafttreten der DSGVO nicht radikal umstellen, sollten jedoch im Detail erforderlichen Anpassungsbedarf analysieren und entsprechende Maßnahmen treffen.
Andere Beiträge in dieser Serie:
1. Teil der Serie: EU-Datenschutzgrundverordnung – Neue Serie
2. Teil der Serie: Bußgelder, Strafen und Schadensersatz für Datenschutzverstöße
4. Teil der Serie: Auftragsdatenverarbeitung und internationaler Datenverkehr