Verarbeitung von in Art. 9 Abs. 1 DS-GVO genannten Datenkategorien
Auswirkungen des EuGH-Urteils zum Umgang mit Erlaubnistatbetänden
Entsprechend des Urteils des Gerichtshofs der Europäischen Union (EuGH) ist für die Verarbeitung von Daten, welche zu den in Art. 9 Abs. 1 DS-GVO genannten Kategorien zählen, sowohl ein Erlaubnistatbestand gem. Art. 9 Abs. 2 DS-GVO erforderlich, aber ergänzend müssen die in Art. 6 Abs. 1 DS-GVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt sein.
Hierbei ist zu beachten, dass entsprechend der Rechtsprechung des EuGH die Zuordnung eines Datums als „sensibles Datum“ i.S. d. Art. 9 Abs, 1 DS-GVO weit zu verstehen ist. Weiterhin urteilte der EuGH, dass ein Datensatz, der sowohl sensible als auch nicht sensible Daten enthält, insgesamt als sensibles Datum i. S. v. Art. 9 Abs. 1 DS-GVO anzusehen ist.
Hinsichtlich der in Art. 6 Abs. 1 und Art. 9 Abs. 2 DS-GVO genannten Erlaubnistatbestände urteilte der EuGH, dass die Erlaubnistatbestände eng auszulegen sind, da die dort genannten Rechtfertigungsgründe dazu führen können, dass eine Verarbeitung personenbezogener Daten trotz fehlender Einwilligung der betroffenen Person rechtmäßig ist.
Somit muss beachtet werden, dass zusätzlich zu den in Art. 9 Abs. 2 DS-GVO genannten Tatbestände mindestens einer der in Art. 6 Abs. 1 DS-GVO genannten Anforderungen erfüllt wird. Im Folgenden erfolgt daher eine Betrachtung, welche der in Art. 9 und Art. 6 DS-GVO genannten Rechtfertigungsgründe für eine Verarbeitung personenbezogener Daten miteinander in Beziehung gebracht werden könnten.
Art. 9 Abs. 2 lit. a DS-GVO
Art. 9 Abs. 2 lit. a DS-GVO beinhaltet die ausdrückliche Einwilligung, hier wird direkt Art. 6 Abs. 1 lit. a ebenfalls erfüllt. Erwähnenswert in diesem Zusammenhang ist ein anderes Urteil des EuGH: Der Verantwortliche muss nachweisen (können), dass betroffene Personen ihre jeweilige Einwilligung durch aktives Verhalten bekundet haben und zuvor Information über alle Umstände im Zusammenhang mit der Verarbeitung erhielten, welcher der jeweiligen Person erlaubten die Konsequenzen dieser Einwilligung leicht zu ermitteln, sodass gewährleistet ist, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird.
Zu beachten: Es können auch mehrere Tatbestände aus Art. 6 Abs. 1 DS-GVO zutreffen. Wenn beispielsweise ein App-Hersteller sensible personenbezogene Daten – wie z. B. Gesundheitsdaten (Puls, Schrittzahl usw.) durch Fitness-Apps – verarbeitet, so kann nur eine Einwilligung nach Art. 9 Abs. 2 lit. a DS-GVO diese Verarbeitung legitimieren (siehe auch in Abschnitt Art. 9 Abs. 2 lit. h DS-GVO die Hinweise zu einem Vertrag mit einem Angehörigen eines Gesundheitsberufs). Als Rechtfertigungsgrund aus Art. 6 Abs. 1 DS-GVO treffen sowohl Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung) aber ggf. auch Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung) zu.
Wie es im Urteil des EuGH in Leitsatz 3 zu finden ist, muss „mindestens eine der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsvoraussetzungen erfüllt werden; es können aber auch mehrere erfüllt werden.
Art. 9 Abs. 2 lit. b DS-GVO
Art. 9 Abs. 2 lit. b DS-GVO erlaubt die Verarbeitung, sofern diese erforderlich ist, damit der „Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen“ können. Pflichten aus dem Arbeitsrecht können einerseits aus nationalen Gesetzen resultieren, aber auch aus einem Arbeitsvertrag, korrespondierende Tatbestände wären dementsprechend Art. 6 Abs. 1 lit. b DS-GVO (Erfüllung vertraglicher Pflichten) oder Art. 6 Abs. 1 lit. c DS-GVO (zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt).
Bzgl. dem zweiten Teil von Art. 9 Abs. 2 lit. b DS-GVO (Recht der sozialen Sicherheit und des Sozialschutzes) finden sich die gesetzlichen Regelungen in den deutschen Sozialgesetzbüchern, somit wird hier ebenfalls Art. 6 Abs. 1 lit. c DS-GVO (zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt) entsprochen.
Hinsichtlich Art. 6 Abs. 1 lit. c DS-GVO ist darauf hinzuweisen, dass die Regelung ausschließlich Verpflichtungen kraft objektiven Rechts adressiert, jedoch keine gesetzlich geregelten Möglichkeiten, um personenbezogene Daten zu verarbeiten. Im deutschen Recht finden sich beispielsweise diverse Verpflichtungen zur Speicherung und Übermittlung von Daten, z. B. im Steuer- oder Telekommunikationsrecht. Gesetzliche Erlaubnistatbestände, Daten zu verarbeiten, wenn der Verantwortliche dies möchte, fallen hingegen nicht darunter; ohne eine Pflicht zur Verarbeitung für den Verantwortlichen ist die Bedingung der Erforderlichkeit nicht erfüllt. Somit finden gesetzliche Regelungen, welche die Verarbeitung z. B. für wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke erlauben, keine Entsprechung in Art. 6 Abs. 1 lit. c DS-GVO. D. h., in diesen Fällen muss ein anderer Rechtfertigungstatbestand aus Art. 6 Abs. 1 DS-GVO gefunden werden.
Art. 9 Abs. 2 lit. c DS-GVO
Art. 9 Abs. 2 lit. c DS-GVO gestattet die Verarbeitung im erforderlichen Umfang zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person, sofern die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben. Diese Regelung findet ihre Entsprechung in Art. 6 Abs. lit. d DS-GVO, sodass mit Art. 9 Abs. 2 lit. c DS-GVO zugleich auch Art. 6 Abs. 1 lit. d DS-GVO eingehalten wird.
Art. 9 Abs. 2 lit. d DS-GVO
Art. 9 Abs. 2 lit. d DS-GVO erlaubt eine Verarbeitung auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten, jedoch nur, wenn sich die Verarbeitung
- ausschließlich auf die Mitglieder oder
- ehemalige Mitglieder der Organisation oder
- auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten
Hierzu findet sich keine direkte Entsprechung in Art. 6 Abs. 1 DS-GVO. Bzgl. Mitgliedern oder ehemaligen Mitgliedern kann – sofern ein Vertrag bzgl. Mitgliedschaft in der jeweiligen Organisation oder auch eine Satzung entsprechendes berücksichtigt – Art. 6 Abs. 1 lit. b DS-GVO (Erfüllung vertraglicher Pflichten) herangezogen werden. Dies gilt jedoch nicht für Personen, die lediglich Kontakte mit der jeweiligen Organisation unterhalten bzw. unterhielten. Hier wird i. d. R. Art. 6 Abs. 1 lit. f DS-GVO herangezogen werden müssen und im Rahmen einer Interessensabwägung geprüft werden, ob eine Verarbeitung statthaft ist.
Entsprechend ErwGr. 47 DS-GVO stellt ein Faktor, der bei jeder Interessensabwägung berücksichtigt werden muss, die „vernünftigen Erwartungen“ der betroffenen Person dar, die auf der Beziehung der Person zu dem Verantwortlichen beruhen. Ein weiterer zu beachtender Punkt liegt nach ErwGr. 47 DS-GVO in dem Umstand, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Laut ErwGr 47 DS-GVO können die Interessen der betroffenen Person insbesondere dann überwiegen, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss. Und je sensibler die zu verarbeitenden Daten, desto schwerer ist gemäß der Rechtsprechung des EuGH der Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen Person, sodass auch die Sensibilität der Daten im Rahmen einer Interessensabwägung zu berücksichtigen ist; bei Art. 9 Abs. 2 lit. d DS-GVO handelt es sich naturgemäß um Daten der besonders schützenswerten Kategorien, entsprechend sind die Interessen betroffener Personen zu berücksichtigen.
Art. 9 Abs. 2 lit. e DS-GVO
Der Tatbestand in Art. 9 Abs. 2 lit. e DS-GVO betrifft Verarbeitung von personenbezogenen Daten, welche die betroffene Person offensichtlich öffentlich gemacht hat. Auch hier findet sich keine entsprechende Regelung in Art. 6 Abs. 1 DS-GVO, sodass auch in diesen Fällen i. d. R. eine Interessensabwägung gemäß Art. 6 Abs. 1 lit. f DS-GVO erforderlich sein wird; auf die in Abschnitt Art. 9 Abs. 2 lit. d DS-GVO gegebenen Hinweise zur Interessensabwägung wird hingewiesen.
Art. 9 Abs. 2 lit. f DS-GVO
Art. 9 Abs. 2 lit. f DS-GVO gestattet die Verarbeitung im erforderlichen Umfang zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit. In den meisten Fällen, wo diese Regelung angewandt wird, wird auch Art. 6 Abs. 1 lit. c DS-GVO (zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt) zutreffen: Grundsätzlich prägt einen Zivilprozess der Beibringungsgrundsatz, jedoch verpflichtet § 139 Abs. 1 S. 2 ZPO das Gericht die beteiligten Parteien zur Mitwirkung an der Aufklärung des Sachverhalts sowie zur Beibringung von fehlenden Informationen zu bewegen. Unterliegt der Verantwortliche einer entsprechenden Mitwirkungspflicht, so ist Art. 6 Abs. 1 lit. c DS-GVO anwendbar.
Beruht die Verarbeitung auf einem Vertrag entsprechend Art. 9 Abs. 2 lit. h DS-GVO, so ist natürlich auch Art. 6 Abs. 1 lit. b DS-GVO anwendbar.
Erfolgt die Verarbeitung hingegen eher vorsorglich, z. B. um Daten für ein möglicherweise in irgendeiner unbestimmten Zukunft anstehendes Gerichtsverfahren zu speichern, so wird sich keine gesetzliche Regelung finden, die dies vom Verantwortlichen verlangt, somit ist ein rechtliches Erfordernis nicht gegeben. Auch in diesen Fällen wird eine Interessensabwägung nach Art. 6 Abs. 1 lit. f DS-GVO erforderlich sein und eine Verarbeitung ist dann nur möglich, wenn die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; auf die in Abschnitt Art. 9 Abs. 2 lit. d DS-GVO gegebenen Hinweise zur Interessensabwägung wird wiederum hingewiesen.
Art. 9 Abs. 2 lit. g DS-GVO
Art. 9 Abs. 2 lit. g DS-GVO erlaubt eine Verarbeitung, wenn diese
- aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist und
- Unionsrecht oder deutsches Recht dies erlaubt, wobei diese gesetzliche Regelung
1. in angemessenem Verhältnis zu dem verfolgten Ziel stehen,
2. den Wesensgehalt des Rechts auf Datenschutz wahren und
3. angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsehen muss.
Der Verantwortliche muss also diese Vorgaben prüfen, bevor Art. 9 Abs. 2 lit. g DS-GVO überhaupt angewendet werden kann. Art. 6 Abs. 1 lit. e DS-GVO (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe) wird durch Art. 9 Abs. 2 lit. g DS-GVO i. d. R. ebenfalls entsprochen.
Art. 9 Abs. 2 lit. h DS-GVO
Art. 9 Abs. 2 lit. h DS-GVO beinhaltet diverse Zwecke und erlaubt eine Verarbeitung im erforderlichen Umfang für Zwecke
- der Gesundheitsvorsorge,
- der Arbeitsmedizin,
- der Beurteilung der Arbeitsfähigkeit des Beschäftigten,
- der medizinischen Diagnostik,
- der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder
- der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich,
wobei entweder Unionsrecht oder deutsches Recht die konkrete Erlaubnisnorm beinhalten müssen oder ein Vertrag mit einem Angehörigen eines Gesundheitsberufes vorliegen muss.
Im deutschen Recht finden sich hier diverse Regelungen, welche dies adressieren: im Bundesrecht z. B. die Sozialgesetzbücher, im Landesrecht beispielsweise die Rettungsdienstgesetze der Länder oder Landeskrankenhausgesetze.
Hinsichtlich vertraglicher Regelung ist in Deutschland insbesondere auf den in §§ 630a ff BGB geregelten Behandlungsvertrag hinzuweisen.
Zu beachten bei der in Art. 9 Abs. 2 lit. h DS-GVO enthaltenen vertraglichen Rechtsgrundlage ist die Forderung, dass der Vertrag mit „Angehörigen eines Gesundheitsberufs“ abgeschlossen sein muss. Der Terminus „Angehörige eines Gesundheitsberufs“ ist europarechtlich in Art. 3 lit. f Richtlinie 2011/24/EU⁹ geregelt:
„Einen Arzt, eine Krankenschwester oder einen Krankenpfleger für allgemeine Pflege, einen Zahnarzt, eine Hebamme oder einen Apotheker im Sinne der Richtlinie 2005/36/ EG oder eine andere Fachkraft, die im Gesundheitsbereich Tätigkeiten ausübt, die einem reglementierten Beruf im Sinne von Artikel 3 Absatz 1 Buchstabe a der Richtlinie 2005/36/EG vorbehalten sind, oder eine Person, die nach den Rechtsvorschriften des Behandlungsmitgliedstaats als Angehöriger der Gesundheitsberufe gilt.“
In Deutschland dürften „Angehörigen eines Gesundheitsberufs“ weitestgehend mit jenen Berufen übereinstimmen, welche von § 203 Abs. 1 Ziff. 1 StGB adressiert werden: „Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert“.
Somit werden Verträge mit Ärzten, Krankenpflegepersonal usw. wohl mit der Regelung in Art. 9 Abs. 2 lit. h DS-GVO adressiert, Verträge mit anderen Dienstleistern (z. B. zur Terminvermittlung zwischen einem Patienten und einem niedergelassenen Arzt, was entsprechend der weiten Auslegung 2,3 des Art. 9 Abs. 1 DS-GVO ebenfalls eine Verarbeitung sensibler Daten darstellt) werden hierdurch wohl eher nicht legalisiert werden können; ein Vertrag zwischen Verantwortlichen, der kein Angehöriger eines Gesundheitsberufes ist, und betroffenen Personen kann Art. 6 Abs. 1 lit. b DS-GVO genügen, jedoch nicht die Verarbeitung von Daten legitimieren, welche zu den in Art. 9 Abs. 1 DS-GVO genannten Kategorien zählen. I. d. R. wird hier nur eine Einwilligung nach Art. 9 Abs. 2 lit. a DS-GVO die Verarbeitung legalisieren können. Richtigerweise wird daher auch für digitale Pflegeanwendungen nach § 40a SGB XI („DiPA“) und digitalen Gesundheitsanwendungen gemäß § 33a SGB V („DiGA“) in den jeweiligen Verordnungen nur eine Einwilligung als Rechtsgrundlage akzeptiert.
Je nach Anwendung des Art. 9 Abs. 2 lit. h DS-GVO finden sich verschiedene Regelungen in Art. 6 Abs. 1 DS-GVO. Basiert die Verarbeitung auf der Grundlage eines Vertrages mit einem Angehörigen eines Gesundheitsberufs, so wird Art. 6 Abs. 1 lit. b DS-GVO (Erfüllung vertraglicher Pflichten) ebenfalls erfüllt sein.
Erfolgt die Verarbeitung hingegen aufgrund einer der diversen gesetzlichen Regelungen in Deutschland, so wird wohl eher Art. 6 Abs. 1 lit. c DS-GVO (zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt) zutreffen.
Art. 9 Abs. 2 lit. i DS-GVO
Art. 9 Abs. 2 lit. i DS-GVO erlaubt die Verarbeitung, wenn diese aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist. Beispielhaft wird angegeben:
- Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder
- Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten.
Weiterhin muss entweder das Unionsrecht oder das deutsche Recht die Verarbeitung erlauben. Dieses Recht muss angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsehen, ansonsten genügt das Recht nicht den Anforderungen von Art. 9 Abs. 2 lit. i DS-GVO. In diesen Fällen wird bei Vorliegen eines Erlaubnistatbestandes nach Art. 9 Abs. 2 lit. i DS-GVO häufig auch den Anforderungen von Art. 6 Abs. 1 lit. e DS-GVO (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe) genügt werden.
Hierbei ist jedoch zu beachten, dass Art. 6 Abs. 3 neben der Grundlage einer nationalen oder unionsrechtlichen Rechtsgrundlage verlangt, dass die Verarbeitung der personenbezogenen Daten erforderlich zur Erfüllung ist. D. h., ohne diese Verarbeitung kann die im öffentlichen Interesse liegende oder in Ausübung öffentlicher Gewalt erfolgende Aufgabe nicht erfüllt werden.
Art. 9 Abs. 2 lit. j DS-GVO
Art. 9 Abs. 2 lit. j DS-GVO erlaubt die Verarbeitung personenbezogener Daten für
- im öffentlichen Interesse liegende Archivzwecke,
- für wissenschaftliche oder historische Forschungszwecke oder
- für statistische Zwecke gemäß Art. 89 Abs. 1 DS-GVO.
Damit dieser Erlaubnistatbestand angewendet werden kann, muss entweder das Unionsrecht oder das deutsche Recht die jeweilige Verarbeitung erlauben, wobei dieses Recht
- in angemessenem Verhältnis zu dem verfolgten Ziel stehen,
- den Wesensgehalt des Rechts auf Datenschutz wahren und
- angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person
vorsehen muss.
Die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke findet einen korrespondierenden Erlaubnistatbestand in Art. 6 Abs. 1 lit. e DS-GVO (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe); siehe hierzu auch die im Abschnitt Art. 9 Abs. 2 lit. i DS-GVO gegebenen Hinweise.
Dies kann, muss aber nicht, auch für wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke gelten, je nachdem, ob die Forschung/Statistik im öffentlichen Interesse liegt oder nicht; der Verantwortliche muss nachweisen (können), dass öffentliche Interesse an der Forschung/Statistik vorhanden ist. Was regelhaft nicht alleine durch das Vorhandensein von öffentlichen (Förder-)Gelder erreicht werden kann; diese können wohl einen Hinweis auf öffentliches Interesse geben, aber nicht alleine als Nachweis dienen.
Liegen die wissenschaftlichen oder historischen Forschungszwecke bzw. die statistischen Zwecke nicht im (nachweisbaren) öffentlichen Interesse, wird in diesen Fällen i. d. R. eine Interessensabwägung entsprechend Art. 6 Abs. 1 lit. f DS-GVO erforderlich sein; auf die im Abschnitt Art. 9 Abs. 2 lit. d DS-GVO gegebenen Hinweise zur Interessensabwägung wird hingewiesen.
Art. 9 Abs. 4 DS-GVO
Entsprechend Art. 9 Abs. 4 DS-GVO können die Mitgliedstaaten für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten.
Hierbei ist der nationale Gesetzgeber allerdings nicht völlig frei, er muss sich an die Vorgaben der DS-GVO halten und darf das Schutzniveau nicht beliebig herabsenken. Weiterhin ist zu beachten, dass Art. 7 und 8 der Charta der Grundrechte der Europäischen Union nur eingeschränkt werden können, wenn entsprechende Einschränkungen gemäß Art. 52 Abs. 1 der Charta gesetzlich vorgesehen sind und den Wesensgehalt der Grundrechte sowie den Grundsatz der Verhältnismäßigkeit wahren. Nach Rechtsprechung des EuGH dürfen Einschränkungen nur vorgenommen werden, wenn
- sie erforderlich sind und
- den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.
Basierend auf diesen Vorgaben erlassene Einschränkungen müssen sich auf das absolut Notwendige beschränken, die den Eingriff enthaltende Regelung muss klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken ermöglichen.
Es kann zu Recht bezweifelt werden, dass diverse vom deutschen Gesetzgeber erlassene Regelungen diesen Vorgaben entsprechen, insbesondere auch Regelungen aus jüngerer Zeit wie beispielsweise das „Gesetz zur verbesserten Nutzung von Gesundheitsdaten“ (Gesundheitsdatennutzungsgesetz, GDNG). Im letztgenannten Gesetz fehlen beispielsweise „klare und präzise Regeln für die Tragweite und die Anwendung“, welche betroffenen Personen einerseits aufklären, wer wann zu welchen genauen Zwecken (medizinische „Forschung“ ist keine präzise Angabe und auch nicht jede Forschung liegt im oder dient dem öffentlichen Interesse) ihre Daten verarbeiten darf, andererseits verfügen betroffene Personen über keine ausreichenden Garantien hinsichtlich Missbrauchsschutz, erfahren i. d. R. nicht einmal, welche (natürliche oder juristische) Person die persönlichen Daten zu welchen Zwecken verarbeitet. Entsprechende Kritik wurde von Fachleuten bereits geäußert.
Ein Gesetz ist allerdings so lange rechtskräftig anwendbar, bis entweder der Gesetzgeber das jeweilige Gesetz änderte oder ein Gericht dieses Gesetz für rechtswidrig und nicht anwendbar erklärte. Bei aller vorhandenen Kritik sind die Gesetze bis zum Widerruf durch den Gesetzgeber selbst oder einem entsprechenden Gerichtsurteil also anwendbar. Im Falle der Erlaubnistatbestände zur Verarbeitung personenbezogener Daten entsteht für Verantwortliche ggf. jedoch ein Risiko: Erkennt ein Gericht die Unrechtmäßigkeit eines Gesetzes an, so konnte das Gesetz die Verarbeitung der Daten niemals legitimieren. Entsprechend Treu und Glauben kann der Verantwortliche für die unrechtmäßige Verarbeitung in der Vergangenheit zwar nicht belangt werden, aber aufgrund der Unrechtmäßigkeit müssen alle Daten gelöscht werden, ggf. sogar Verarbeitungsergebnisse, die ja nie hätten angefertigt werden dürfen. Im Bereich von Medizinprodukten kann dies beispielsweise dazu führen, dass diese aufgrund fehlender Datengrundlage und damit fehlendem Wirknachweis wieder vom Markt genommen werden müssen. Somit muss ein Verantwortlicher jeweils selbst abschätzen, ob für die eigene Verarbeitung die ggf. rechtswidrige gesetzliche Grundlage genutzt werden soll oder ob aus Sicherheitsgründen ein anderer, rechtssicherer Erlaubnistatbestand vielleicht besser geeignet ist.
Aufgrund des Urteils des EuGH bekommen Verantwortliche „Hausaufgaben“, z. B.:
- Die Rechtsgrundlagen müssen überarbeitet und neu geprüft werden.
- Informations- und Auskunftspflichten sind anzupassen. Unter Umständen müssen betroffene Personen hinsichtlich geänderter Rahmenbedingungen informiert werden, beispielsweise, weil diesen jetzt nach Art. 13 Abs. 1 lit. d bzw. Art. 14 Abs. 2 lit. b DS-GVO die berechtigten Interessen mitgeteilt werden müssen.
- Die Dokumentation wie beispielsweise das Verzeichnis der Verarbeitungstätigkeiten müssen an- gepasst werden.
- Ggf. müssen auch Prozesse überarbeitet werden, wenn beispielsweise im Risikomanagement auch die Bewertung einer Interessensabwägung beachtet werden muss.
Unabhängig davon gilt: Alle nationalen Erlaubnistatbestände zur Verarbeitung von personenbezogenen Daten sind nur in Verbindung mit den Vorgaben aus Art. 6 Abs. 2 DS-GVO sowie bei Verarbeitung von personenbezogenen Daten der besonderen Kategorie ergänzend denen aus Art 9 Abs. 4 DS-GVO anwendbar. D. h. nationale Regelungen müssen entsprechend Art. 6 Abs. 2 DS-GVO „spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten“ – eine reine Wiederholung von Texten der DS-GVO entspricht nicht diesen Anforderungen. Spezifischere Regelungen „müssen auf den Schutz der Rechte und Freiheiten […] hinsichtlich der Verarbeitung ihrer personenbezogenen Daten […] abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen“
Erfüllen die nationalen Regelungen diese Anforderungen, d. h. stellen keine reinen Wiederholungen der DS-GVO dar, können diese Regelungen für die Zeitdauer ihrer Gültigkeit angewendet werden. Die Anwendbarkeit erfolgt dann „nationale Regelung i. V. m. Art. 9 Abs. 4 DS-GVO“, also z. B. die in § 27 BDSG zu findende Interessensabwägung als Erlaubnistatbestand für wissenschaftliche oder historische Forschungszwecke sowie zu statistischen Zwecken würde als „§ 27 Abs. 1 BDSG i. V. m. Art. 9 Abs. 4 DS-GVO“ dargestellt werden (müssen) – aufgrund des in Art. 9 Abs. 1 DS-GVO enthaltenen Verbots der Verarbeitung von besonderen Kategorien personenbezogener Daten muss immer auch ein Erlaubnistatbestand aus Art. 9 DS-GVO diese Verarbeitung (mit) erlauben. Entsprechend ist das EuGH-Urteil auch auf nationale Erlaubnistatbestände zur Verarbeitung von besonderen Kategorien personenbezogener Daten anzuwenden und es muss immer auch mindestens einer der in Art. 6 Abs. 1 DS-GVO angeführten Rechtfertigungsgründe erfüllt sein.
Die in § 27 Abs. 1 BDSG enthaltene Interessensabwägung findet natürlich in Art. 6 Abs. 1 lit. f DS-GVO ihre Entsprechung. Aber für jede nationale Regelung, die von einem Verantwortlichen angewendet wird, ist immer auch ein erfüllter Rechtfertigungsgrund aus Art. 6 Abs. 1 DS-GVO zu finden und anzugeben, wenn die Verarbeitung von in Art. 9 Abs. 1 DS-GVO genannten besonderen Kategorien personenbezogener Daten legalisiert werden soll.
Im deutschen Recht existiert eine Vielzahl von entsprechenden Erlaubnistatbeständen, z. B. finden sich diverse Erlaubnistatbestände in §§ 64a ff. SGB X. Findet sich keine Entsprechung in den in Art. 6 Abs. 1 lit. a bis e DS-GVO genannten Rechtfertigungsgründen, ist in diesen Fällen eine Interessensabwägung nach Art. 6 Abs. 1 lit. f DS-GVO erforderlich. Entsprechend Rechtsprechung des EuGH sind bei einer Interessensabwägung immer drei Voraussetzungen zu erfüllen:
- Es muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden.
- Die Verarbeitung der personenbezogenen Daten muss zur Verwirklichung des berechtigten Interesses erforderlich sein. Hierbei ist stets zu prüfen, „ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und 8 der Charta garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen“.
- Die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, dürfen nicht überwiegen. Hinweise zum Umgang mit dieser Fragestellung finden sich weiter oben in Abschnitt zur Regelung in Art. 9 Abs. 2 lit. d DS-GVO.
Eine Verarbeitung darf bei Erfordernis einer Interessensabwägung trotz des Vorliegens eines nationalen Erlaubnistatbestandes daher nur durchgeführt werden, wenn die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person gegenüber den berechtigten Interessen des Verantwortlichen (oder eines Dritten) nicht überwiegen.
Fazit
Das Urteil des EuGH vom 21. Dezember 2023 in der Rechtssache C-667/21 besitzt zumindest in organisatorischer Hinsicht großen Einfluss bei jeglicher Verarbeitung von besonderen Kategorien personenbezogener Daten, denn Verantwortliche müssen neben einer in Art. 9 DS-GVO oder im nationalen Recht enthaltenen Rechtsgrundlage für die Verarbeitung von besonderen Kategorien personenbezogener Daten immer auch die Erfüllung von mindestens einem in Art. 6 Abs. 1 DS-GVO enthaltenen Rechtfertigungsgrund nachweisen können.
In den meisten Fällen werden Verantwortliche in Art. 6 Abs. 1 lit. a bis e DS-GVO zu Art. 9 Abs. 2 DS-GVO sowie zu nationalen Erlaubnistatbeständen korrespondierende Vorgaben finden.
In den wenigen Fällen, wo dies dem Verantwortlichen nicht möglich ist, muss eine Interessensabwägung gem. Art. 6 Abs. 1 lit. f DS-GVO durchgeführt werden und die Verarbeitung darf nur durchgeführt werden, wenn die (legitimen) Interessen des Verantwortlichen überwiegen und die Ziele der Verarbeitung nicht anders erreicht werden können.
Der EuGH äußerte sich in diversen Urteilen zur Interessensabwägung, sodass Verantwortliche daraus resultierende Vorgaben beachten müssen. Es kann dabei vorkommen, dass in wenigen Fällen, in denen eine Interessensabwägung überwiegende Interessen betroffener Personen ergibt, auf eine Verarbeitung auch verzichtet werden muss.
Weiterhin müssen Verantwortliche beachten, dass die Nutzung eines in Art. 6 Abs. 1 lit. f DS-GVO enthaltenen Rechtfertigungsgrundes einer Verarbeitung immer auch eine Informationspflicht nach Art. 13 Abs. 1 lit. d bzw. Art. 14 Abs. 2 lit. b DS-GVO bedingt.
