Verhältnis zu dem verfolgten Zweck stehen und den Wesensgehalt des Rechts auf Datenschutz wahren muss.[215] Fallgestaltungen, bei denen das Interesse des Betroffenen in den vorgenannten Fällen überwiegt, sind nur bedingt ersichtlich. Bereits die Regelung in Art. 9 Abs. 2 lit. g, wonach bei einem erheblichen öffentlichen Interesse gleichwohl der Wesensgehalt des Datenschutzes gewahrt werden muss, ist begrifflich und auch normativ vage und bietet in Bezug auf den Datenschutz kaum einen materiellen Mehrwert.[216]
118
Die Reglung des § 22 Abs. 2 BDSG n.F. setzt die Forderung aus Art. 9 Abs. 2 lit. b, g und i um, die geeignete Garantien für die Grundrechte und die Interessen bzw. angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interesse der Betroffenen Person notwendig machen.[217] Auch § 26 Abs. 3 S. 3 BDSG n.F. verweist für individualarbeitsrechtlich notwendige Verarbeitung sensibler Daten nach Art. 9 Abs. 1 auf § 22 Abs. 2 BDSG n.F. Notwendig sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person. Im Rahmen einer Risikobeurteilung werden in § 22 Abs. 2 BDSG n.F. zehn spezifische technische und organisatorische Maßnahmen als Beispiele aufgeführt. Diese konkretisieren insoweit die Anforderungen an ein Datensicherheitsmanagement gem. Art. 25[218] und Art. 32[219]. Die Nennung aller Fälle des Abs. 1 zeigt insbesondere, dass es für eine datenschutzkonforme Datenverarbeitung als angemessene Schutzmaßnahme nicht ausreicht, dass die in Abs. 1 benannten Personen einer beruflichen oder gesetzlichen Geheimhaltungspflicht unterliegen.[220] Vielmehr sind unter den Voraussetzungen des Abs. 2 darüber hinausgehende Schutzmaßnahmen entsprechend den Anforderungen aus Art. 25, 32 erforderlich.[221]
2. Ausnahmen und Erlaubnisvorbehalt nach Art. 9 Abs. 2
119
Art. 9 stellt in seiner Systematik ein Verbot mit Erlaubnisvorbehalt dar.[222]
So sieht Art. 9 Abs. 2 für die dort näher konkretisierten Verarbeitungskontexte (abschließende) Ausnahmen vom Verbotsgrundsatz des Art. 9 Abs. 1 vor.
120
Mit Blick auf den Schutzzweck der Regelung ist allerdings zu beachten, dass durch einen extensiven Gebrauch der Ausnahmevorschriften nicht der grundsätzliche Verbotscharakter der Vorschrift und damit die Grundentscheidung des Verordnungsgebers unterlaufen wird. Es bedarf daher einer restriktiven Interpretation und Auslegung der Ausnahmetatbestände des Art. 9 Abs. 2.[223]
121
Darüber hinaus darf in der Anwendbarkeit eines Ausnahmetatbestands kein Freibrief für eine Datenverarbeitung gesehen werden. Vielmehr sind neben den Anforderungen des Art. 9 Abs. 1 und 2 die sonstigen Grundsätze, etwa aus Art. 5, 6, 7 und 8, zu beachten. Dies wird ausdrücklich durch ErwG 51 S. 5 klargestellt.[224]
a) Einwilligung (Art. 9 Abs. 2 lit. a)
122
Als Ausnahme vom grundsätzlichen Verarbeitungsverbot des Art. 9 Abs. 1 nennt Art. 9 Abs. 2 lit. a zunächst die Einwilligung[225].
123
Danach gilt Art. 9 Abs. 1 nicht, wenn die betroffene Person in die Verarbeitung der personenbezogenen Daten für einen oder mehrere festgelegte Zwecke eingewilligt hat. Der strenge Maßstab des Art. 9 hinsichtlich der Zulässigkeit einer Verarbeitung sensibler Daten wird bereits daraus ersichtlich, dass Art. 9 Abs. 2 lit. a anders als etwa Art. 6 Abs. 1 lit. a und Art. 7 eine ausdrückliche Einwilligung des Betroffenen erfordert.[226] Art. 9 Abs. 2 lit. a nimmt daher die Anforderungen von Art. 6 Abs. 1 S. 1 lit. a in sich auf, ist aber hinsichtlich seiner Voraussetzungen strenger. Insofern scheiden etwa schlüssige Handlungen oder konkludente Einwilligungen als taugliche Einwilligung i.S.d. s Art. 9 Abs. 2 lit. a aus.[227] Hinsichtlich der Anforderungen an eine wirksame Einwilligung ist im Rahmen von Art. 9 insbesondere an eine Einwilligung als sog. „Mandated Choice“[228] zu denken, bei dem die betroffene Person sowohl die Einwilligung als auch deren Verweigerung aktiv zum Ausdruck bringen muss (etwa durch Anwählen eines „Ja“ oder „Nein“-Feldes) und nicht passiv die Einwilligung durch Nicht-Setzen eines Häkchens im Rahmen eines Ankreuzfeldes verweigern kann, vgl. dazu Kommentierung in Art. 4 Nr. 11 Rn. 213. Eine derartige Ausgestaltung der Einwilligung trägt zwar den Schutzinteressen der betroffenen Person in hohem Maße Rechnung, wird aber in der Praxis oftmals unpraktikabel sein.
124
Da die Einwilligung letztlich eine Ausprägung des allgemeinen Persönlichkeitsrechts sowie der allgemeinen Handlungsfreiheit des Betroffenen darstellt, wird diesen Rechten somit nur dadurch Rechnung getragen, wenn der Betroffene in eine Datenverarbeitung freiwillig und bewusst eingewilligt hat. Dies beinhaltet jedenfalls, dass sich die Einwilligung explizit auf die Verarbeitung der sensiblen Daten beziehen muss und daher ein erhöhtes Maß an Bestimmtheit und Genauigkeit erforderlich ist.[229] Das Freiwilligkeitserfordernis unterstreicht, dass die Einwilligung frei von Zwang oder Täuschung oder ähnlichen Mitteln sein muss, die die Willensfreiheit des Betroffenen beeinflussen können.[230] Der Prüfung der Freiwilligkeit kommt dabei gerade im Rahmen von Abhängigkeitsverhältnissen große Bedeutung zu.
125
