Änderungen mit Anwendbarkeit der DS-GVO betreffen insb. den Umfang der Transparenzpflichten; diese werden durch den neuen Sekundärrechtsakt teils erheblich ausgeweitet. Damit in Verbindung steht das nach der DS-GVO bestehende Risiko hoher Bußgelder, die auch als Rechtsfolge für eine Missachtung der Informationspflichten greifen.
(3) WP der Art.-29-Datenschutzgruppe und Düsseldorfer Kreis
5
Ein Beschluss des Düsseldorfer Kreises zur Fortgeltung von Einwilligungen nach BDSG a.F.[9] berührt den neben den gesetzlichen Rechtsgrundlagen zentralen Legitimationstatbestand. Im WP 259 nimmt die Art.-29-Datenschutzgruppe ausführlich Stellung zur Einwilligung als Rechtfertigungsgrund.[10]
1. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
6
Das Primärrecht normiert für die Verarbeitung personenbezogener Daten ein Verbot mit Erlaubnisvorbehalt.[11] Mit Art. 5 Abs. 1 lit. a und Art. 6 wird diese Vorgabe sekundärrechtlich konkretisiert. Das Sekundärrecht kann aufgrund der übergeordneten primärrechtlichen Vorgaben nicht von dem Verbot mit Erlaubnisvorbehalt abweichen.[12] Danach ist die Verarbeitung nur rechtmäßig, wenn personenbezogene Daten mit Einwilligung der betroffenen Person (Abs. 1 lit. a) oder auf einer sonstigen zulässigen Rechtsgrundlage (Abs. 1 lit. b–f) verarbeitet werden.
2. Verhältnis der einzelnen Erlaubnistatbestände
7
Eine Datenverarbeitung ist nach der DS-GVO nur gestattet, wenn „mindestens“ einer der in Art. 6 Abs. 1 normierten Erlaubnistatbestände einschlägig ist. Im Einklang mit der englischen Sprachfassung („. . .at least one of the following applies“) ist mindestens ein Rechtmäßigkeitstatbestand für eine Verarbeitung personenbezogener Daten zu erfüllen, was im Umkehrschluss das Vorliegen gleich mehrerer Legitimationsgründe begründet. Demgegenüber geht die Art.-29-Datenschutzgruppe in ihrem WP 259[13] davon aus, dass eine Datenverarbeitung zu einem bestimmten Zweck nur auf einen Zulässigkeitstatbestand gestützt werden kann.[14] Insoweit ist die DS-GVO konkretisierender formuliert als Art. 7 DSRL, wonach „die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist“. Diese Unklarheit spiegelte sich auch im nationalen Recht wieder.[15] Unter der DS-GVO besteht die Möglichkeit eine Verarbeitung zu demselben Zweck durch mehrere Zulässigkeitstatbestände zugleich zu legitimieren. Aufgrund der Eindeutigkeit des sekundärrechtlichen Wortlauts erscheint es abwegig, wenn die Art.-29-Datenschutzgruppe es ausschließt eine Verarbeitung zu einem bestimmten Zweck auf mehrere Rechtsgrundlagen zu stützen („cannot be based on multiple lawful bases“).[16]
8
Praktisch relevant wird dieses Vorgehen in den Fällen, in denen etwa die Unsicherheit über das Vorliegen eines gesetzlichen Erlaubnistatbestands (lit. b–f) durch eine Einwilligung nach Abs. 1 lit. a geheilt werden soll. Nicht zuletzt Art. 17 Abs. 1 lit. b, der das Löschen personenbezogener Daten im Fall einer widerrufenen Einwilligung nur erlaubt, wenn es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt, belegt, dass die Tatbestände zur Rechtmäßigkeit nebeneinander zu Anwendung kommen können.[17] In der Konsequenz kann der Betroffene die auf mehreren Rechtsgrundlagen gesiedelte Datenverarbeitung nicht durch den Widerruf der Einwilligung beenden, weswegen im Sinne seiner informationellen Selbstbestimmung die Information über die anderen möglichen Rechtsgrundlagen (Art. 13 Abs. 1 lit. c) unerlässlich wird.[18] Aus Sicht des Verantwortlichen erscheint es schon aus Vorsorgegründen empfehlenswert die mit Art. 6 Abs. 1 eröffnete Möglichkeit in der Regel zu nutzen und die Datenverarbeitung auch durch eine Einwilligung abzusichern.[19]
9
Das Vorliegen des erforderlichen Erlaubnistatbestands ist für jede einzelne Phase der Verarbeitung personenbezogener Daten („Vorgang“ vgl. Art. 4 Nr. 2) gesondert bzw. erneut zu prüfen.[20]
10
Durch den Ausbruch der Corona-Pandemie im Frühjahr 2020 stellen sich zahlreiche Herausforderungen im Hinblick auf das Datenschutzrecht[21]. Neben der Entwicklung einer Corona-Warn-App und den damit einhergehenden rechtlichen Fragestellungen werden auch die Anforderungen nach Art. 6 DS-GVO konturiert. So statuiert die neue Coronaschutzverordnung in NRW[22], dass zu Zwecken der Infektionsbekämpfung für Personen, die Begegnungsräume eröffnen (etwa Betriebe) die rechtliche Verpflichtung besteht eine Rückverfolgbarkeit der anwesenden Personen sicherzuzustellen. In NRW formt so die CoronaSchVO die Anforderungen nach Art. 6 Abs. 1 S. 1 lit. c im Einklang mit ErwG 41 weiter aus[23]. In anderen Bundesländern ist womöglich Art. 6 Abs. 1 S. 1 lit. f heranzuziehen, so dass dessen Voraussetzungen in Zeiten der Pandemie mit Blick auf die betroffenen Interessen sorgsam zu prüfen sind. Weitere Folgefragen sind etwa, wie Kontaktdaten von Besuchern einer Gastronomie erhoben werden dürfen.[24] Diese Rechtsfragen stellen Rechtsanwender vor praktische Herausforderungen und gestalten Inhalt und Reichweite der Erlaubnistatbestände des Art. 6 weiter aus.
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
| a) | Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; |
– ErwG: 32, 40, 42, 43
Literatur:
Albrecht Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Art.-29-Datenschutzgruppe Guidelines on Consent under Regulation 2016/679, WP 259 rev. 01; Datenethikkommission (DEK) Gutachten v. 23.10.2019[25]; Krohm Abschied vom Schriftformgebot der Einwilligung – Lösungsvorschläge und künftige Anforderungen, ZD 2016, 368; Spelge Der Beschäftigtendatenschutz nach Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO), DuD 2016, 775; Tinnefeld/Conrad Die selbstbestimmte Einwilligung im europäischen Recht, ZD 2018, 391; Wybitul EU-Datenschutz-Grundverordnung in der Praxis – Was ändert sich durch das neue Datenschutzrecht?, BB 2016, 1077.
I. Einordnung und Hintergrund
11
Die Einwilligung ist die Entscheidung des Betroffenen, dem Verarbeiter die Verarbeitung von personenbezogenen Daten zu gestatten. Art. 6 Abs. 1 lit. a definiert die Funktion der Einwilligung als Erlaubnistatbestand für eine Verarbeitung personenbezogener Daten. Innerhalb des Art. 6 ist die Einwilligung zwar als erste Legitimation
