ТОП просматриваемых книг сайта:
DSGVO - BDSG - TTDSG. Группа авторов
Читать онлайн.Название DSGVO - BDSG - TTDSG
Год выпуска 0
isbn 9783800594207
Автор произведения Группа авторов
Серия Kommunikation & Recht
Издательство Bookwire
95
Zunächst wird die öffentliche Hand zu prüfen haben, ob bei der von ihr geplanten und durchzuführenden Verarbeitung personenbezogener Daten die DSGVO anzuwenden ist.161 Ist das der Fall, ist in der DSGVO nach einer Erlaubnis zu suchen. Kommt Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO in Betracht, muss ergänzend eine Verbindung zu einer Rechtsvorschrift aus dem Fachrecht der Union oder – was die Regel sein dürfte – des Mitgliedstaates hergestellt werden, mit der Aufgaben und Befugnisse zugewiesen werden, auf die Buchstabe e Bezug nimmt: Die Aufgabe, zu deren Erfüllung die Verarbeitung erfolgt, muss entweder im öffentlichen Interesse162 oder zur Wahrnehmung einer Aufgabe in Ausübung einer dem Verantwortlichen übertragenen öffentlichen Gewalt erforderlich sein. Selbstredend darf dann eine Datenverarbeitung auch nur zu dem Zweck vorgenommen werden, der mit der gesetzlichen Aufgabenbeschreibung zugewiesen wurde. Außerdem sind die weiteren sich aus Absatz 3 ergebenden Anforderungen zu beachten.
96
Damit wird die Verarbeitungserlaubnis in das Fachrecht vornehmlich der Mitgliedstaaten verlagert, das datenschutzrechtliche Erlaubnistatbestände aufgrund der Öffnungsklausel des Art. 6 Abs. 1 UAbs. 1 lit. e i.V.m. den Absätzen 3 und 4 DSGVO vorsehen darf. Den Mitgliedstaaten eröffnet sich damit die Möglichkeit, in den von der Norm vorgegebenen Bereichen der Aufgabenerfüllung im öffentlichen Interesse und bei der Ausübung öffentlicher Gewalt fachspezifische Datenschutzvorschriften beizubehalten oder neu zu schaffen. Es ist aber nicht mehr, wie noch unter dem BDSG a.F., erforderlich, dass die „bereichsspezifische Erlaubnisnorm“ auch eine Regelung enthält, aus der erkennbar wird, dass der parlamentarische Gesetzgeber eine Abwägung des öffentlichen Interesses mit dem Recht auf informationelle Selbstbestimmung mit dem Ergebnis vorgenommen haben muss, dass das informationelle Selbstbestimmungsrecht zurückzutreten hat und die hoheitliche Datenverarbeitung zulässig ist.163 Es genügt nun, wenn im Fachrecht eine öffentliche Aufgabe zugewiesen wird, zu deren Erfüllung im öffentlichen Interesse oder in Wahrnehmung einer Aufgabe in Ausübung öffentlicher Gewalt die Datenverarbeitung erforderlich ist, und die Anforderungen der Art. 6 Abs. 3 und 4 i.V.m. Abs. 1 UAbs. 1 lit. e DSGVO beachtet werden.164 Gleichwohl bleibt zu berücksichtigen, dass Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO wie der § 3 BDSG in Verbindung allein mit einer Aufgabenzuweisung einer Tätigkeit, bei der die Verarbeitung personenbezogener Daten erforderlich ist, einen Eingriff in die Grundrechte der betroffenen Person nur legitimieren kann, wenn die Verarbeitung eine geringe Eingriffsintensität aufweist.165
97
§ 3 BDSG greift dies als mitgliedstaatliche Datenschutzvorschrift auf und erklärt jede Datenverarbeitung durch eine öffentliche Stelle für zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist. Wenn in § 3 BSDG der Wortlaut von Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO wiederholt wird, dann dient dies der Kohärenz und Verständlichkeit der Regelung, sodass die Wiederholung entsprechend ErwG 8 zulässig ist (vgl. § 3 BDSG Rn. 5). Soweit es fachspezifische Datenschutzregelungen gibt, die aufgrund einer Öffnungsklausel der DSGVO verabschiedet wurden und auch öffentlichen Stellen eine Verarbeitung personenbezogener Daten erlauben oder als fachspezifische Regelung außerhalb des Anwendungsbereiches der DSGVO über eine Aufgabenzuweisung hinaus datenschutzrechtliche Erlaubnistatbestände ausdrücklich enthalten, gehen sie dem § 3 BDSG vor (vgl. auch § 3 BDSG Rn. 13).
98
Damit ist der als „Generalklausel“166 bezeichnete § 3 BDSG tatsächlich aber für sich allein ebenfalls kein Erlaubnistatbestand, sondern muss mit einer mitgliedstaatlichen Norm verknüpft sein, die dem Verantwortlichen eine Aufgabe überträgt, zu deren Wahrnehmung die Verarbeitung personenbezogener Daten erforderlich ist.
b) Aufgabenwahrnehmung im öffentlichen Interesse
99
Als erste Alternative, für die die Wahrnehmung einer Aufgabe erforderlich ist, nennt die Vorschrift das öffentliche Interesse. Dieses liegt dann vor, wenn die Datenverarbeitung nicht im Einzelfall zur Befriedigung von Partikularinteressen erfolgt, sondern mit der Zuweisung von Aufgaben und Befugnissen als Bedingung für die Verarbeitung der personenbezogenen Daten ein allgemeines Interesse bedient wird, das gegenüber einem der Wahrung eines Datenschutzgrundrechts dienenden Verzichts der Verarbeitung höher zu bewerten ist. Generell gilt aufgrund der stets zu beachtenden allgemeinen Grundsätze des Art. 5 Abs. 1 DSGVO, dass die Erhebung und Weiterverarbeitung für festgelegte, eindeutige und legitime167 Zwecke erfolgen muss. Auch Art. 6 Abs. 3 UAbs. 2 Satz 2 DSGVO erwartet, dass der Zweck der Datenverarbeitung, die im öffentlichen Interesse erfolgen soll, einem legitimen Zweck dient. Letztlich wird auch an den Grundrechten der Art. 7 und 8 GRCh168 zu messen sein, ob eine Verarbeitung personenbezogener Daten legitim ist.169 Im ersten Referentenentwurf des BMI vom 5.8.2016 für das DSAnpUG-EU fand sich ein Katalog von 15 beispielhaft aufgeführten Aufgaben, die als im öffentlichen Interesse liegend angesehen wurden. Dieser Katalog wurde in den Regierungsentwurf nicht übernommen.
100
Ein Beispiel für eine auf Buchstabe e gestützte Datenverarbeitung im öffentlichen Interesse nennt das OVG Hamburg:170 Werden personenbezogene Daten in einem (elektronischen) Fahrtenbuch verarbeitet, so dient die Fahrtenbuchauflage nach § 31a Abs. 1 Satz 1 StVZO „der vorbeugenden Abwehr von Gefahren für die Sicherheit und Ordnung des Straßenverkehrs durch eine rasche Feststellung des Fahrzeugführers nach einer Zuwiderhandlung gegen Verkehrsvorschriften“. Ein weiteres Beispiel für eine Verarbeitung von Daten aufgrund eines öffentlichen Interesses ist die Durchführung von Online-Prüfungen an Hochschulen (Online-Proctoring), bei denen in erheblichem Umfang sensible Nutzungs- und Verhaltensdaten etwa von Studierenden erhoben und ausgewertet werden (Video-Aufnahmen auch von Ausweisen, Augenbewegungen und räumlichem Umfeld).171 Hier kann der Erlaubnistatbestand des Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO dann herangezogen werden, wenn sich das öffentliche Interesse an einer Verarbeitung zumindest aus einem Gesetz im materiellen Sinn ergibt und die Verhältnismäßigkeit gewahrt ist. Das OVG Schleswig-Holstein sieht es als ausreichend an, wenn etwa ein Landeshochschulgesetz alternativ auch „andere Prüfungsarten“ als Prüfungen in Präsenz vorsieht.172 In Betracht kommen aber auch Satzungen und Prüfungsordnungen der Hochschulen173 oder Corona-Verordnungen der Länder in Verbindung mit Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO als Erlaubnistatbestand.
101
Eine einheitliche Eingrenzung des Rechtsbegriffs des „öffentlichen Interesse“ innerhalb der EU und in ihren Mitgliedstaaten dürfte trotz aller Harmonisierungsbemühungen kaum zu erreichen sein. Der Begriff wird in den Mitgliedstaaten unterschiedlich weit ausgelegt und gelebt. ErwG 10 Satz 3 erkennt diesen Umstand auch an, wenn konzediert wird, dass „hinsichtlich der Verarbeitung personenbezogener Daten ... zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, ... die Mitgliedstaaten die Möglichkeit haben [sollten], nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen“. Typischerweise werden dies Vorschriften sein, die die öffentliche Sicherheit, finanzielle Interessen der Mitgliedstaaten und ihrer Volkswirtschaft, die Wahrung der Gesundheit und der sozialen Sicherheit berühren. Auch soweit die