Weiterverwendung vorhandener Daten nach der DSGVO, Teil 2

Im Mai 2018 wird die Datenschutz-Grundverordnung wirksam. Mit Blick darauf stellt sich aktuell verbreitet die Frage, ob bereits vorhandene personenbezogene Daten (Bestandsdaten) in Zukunft weiterverwendet werden dürfen. Der erste Beitrag hierzu hat diese Frage bereits für den Fall beantwortet, dass die ursprüngliche Datenerhebung mit ausdrücklicher Einwilligung des Betroffenen erfolgte. Doch auch für den Fall, dass es bei der Datenerhebung keine solche Einwilligung gab, die Einwilligung nicht den Vorgaben der Datenschutz-Grundverordnung entspricht oder sie nicht mehr nachzuweisen ist, kann eine weitere Verwendung von Bestandsdaten zulässig sein. Voraussetzung ist, dass ein sonstiger Erlaubnistatbestand vorliegt.

Sonstige Erlaubnistatbestände

Neben der Einwilligung des Betroffenen sieht Artikel 6 Absatz 1 DSGVO folgende Fälle zulässiger Datenverarbeitung vor

• Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 6 Abs. 1b),
• rechtliche Verpflichtung (Art. 6 Abs. 1c),
• Schutz lebenswichtiger Interessen (Art. 6 Abs. 1d),
• Wahrnehmung öffentlicher Interessen / Ausübung öffentlicher Gewalt (Art. 6 Abs. 1e),
• Wahrung berechtigter Interessen des Verantwortlichen oder Dritter (Art. 6 Abs. 1f)

Von praktischer Bedeutung sind im normalen Geschäftsalltag insbesondere die unter Artikel 6 Absatz 1b, c und f DSGVO aufgeführten Fallgruppen.

Vertragserfüllung/ vorvertragliche Maßnahmen

Als Erlaubnistatbestand ist regelmäßig Artikel 6 Absatz 1b DSGVO relevant. Ist die Verarbeitung

„für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertragliche Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen“,

liegt demnach eine rechtmäßige Verarbeitung vor. Praktisch bedeutet dies, dass personenbezogene Daten, die vor Geltung der DSGVO erhoben worden sind, auch nach dem 25.05.2018 weiterverwendet werden dürfen, wenn die Daten beispielsweise erforderlich sind für

• die Erstellung und Übermittlung eines vom Betroffenen angefragten Vertragsangebots,
• die Lieferung von Waren oder die Erbringung von Dienstleistungen auf Grundlage eines entsprechenden Vertrages,
• die Durchführung von Dauerschuldverhältnissen wie etwa Miet- oder Mobilfunkverträgen
• die Erfüllung von vertraglichen Nebenpflichten wie etwa Gewährleistungsrechten.

Grundsätzlich lässt sich auch die Datenverarbeitung zur Durchführung von Arbeitsverhältnissen und deren Vorbereitung (Bewerbungsverfahren) auf Artikel 6 Absatz 1b DSGVO stützen. Hier greift allerdings die Sonderregelung von § 26 BDSG (neu) vor, die aufgrund der Öffnungsklausel des Artikel 88 DSGVO den Beschäftigtendatenschutz im nationalen Recht regelt.

Auch bei der Datenverarbeitung für die Vertragsanbahnung und -durchführung sind insbesondere die datenschutzrechtlichen Grundsätze der Datenminimierung, der Zweckbindung und der Speicherbegrenzung zu beachten: Verarbeitet werden dürfen lediglich diejenigen Daten, die zum Zweck der Anbahnung bzw. Durchführung des Vertrages erforderlich sind. Eine Verwendung dieser Daten in einer mit diesem Zweck nicht zu vereinbarenden Weise ist unzulässig. Eine Speicherung ist nur so lange von Artikel 6 Absatz 1b DSGVO gedeckt, wie es zum Zweck der Vertragsanbahnung bzw. -erfüllung erforderlich ist.

In Bezug auf Bestandsdaten lässt sich die Regelung des Artikel 6 Absatz 1b DSGVO demnach wie folgt zusammenfassen: Weiterverarbeitet werden dürfen Bestandsdaten auch nach Wirksamwerden der Datenschutz-Grundverordnung, wenn sie zur Anbahnung oder Durchführung eines Vertrages erhoben wurden und dafür nach wie vor erforderlich sind.

Rechtliche Verpflichtung

Nach Artikel 6 Absatz 1c DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie

zur Erfüllung einer rechtlichen Verpflichtung erforderlich [ist], der der Verantwortliche unterliegt“.

Die rechtliche Verpflichtung muss sich aus einer verbindlichen gesetzlichen Regelung ergeben. Artikel 6 Absatz 3 DSGVO stellt klar, dass es sich sowohl um eine gesetzliche Regelung des Unionsrechts als auch des Rechts einzelner Mitgliedsstaaten handeln kann. In Betracht kommen hier bspw. handels- oder steuerrechtliche Aufbewahrungs- und Archivierungspflichten.

Einzuhalten sind abermals die datenschutzrechtlichen Grundsätze der Datenminimierung, der Zweckbindung und der Speicherbegrenzung: Werden personenbezogene Daten zur Erfüllung einer gesetzlichen Verpflichtung verarbeitet, ist nur die Verarbeitung derjenigen Daten(-kategorien) zulässig, die erforderlich sind, um der entsprechenden Verpflichtung nachzukommen. Zusätzliche Daten dürfen nicht erhoben werden oder sind – soweit bereits vorhanden und nicht durch einen anderen Erlaubnistatbestand gedeckt – zu löschen. Die Verwendung zu anderen Zwecken ist unzulässig. Eine zweckwidrige Verwendung ist erforderlichenfalls durch technische und organisatorische Maßnahmen (bspw. durch Sperrung, ein Berechtigungskonzept o.ä.) auszuschließen. Eine Löschung hat zu erfolgen, wenn die rechtliche Verpflichtung wegfällt und kein sonstiger Erlaubnistatbestand mehr vorliegt.

Wahrung berechtigter Interessen des Verantwortlichen oder Dritter

Den wohl weitreichendsten Anwendungsbereich hat die Regelung des Artikel 6 Absatz 1f DSGVO. Zulässig ist die Verarbeitung personenbezogener Daten demnach unter der Voraussetzung,

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Im Mittelpunkt stehen die „berechtigten Interessen des Verantwortlichen oder eines Dritten“. Was genau darunter zu verstehen ist, definiert die Datenschutz-Grundverordnung nicht. In den Erwägungsgründen zur DSGVO werden lediglich Beispiele genannt. So heißt es in Erwägungsgrund 47:

Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.

Erwägungsgrund 48 ergänzt in Bezug auf Unternehmensgruppen:

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“

Allgemein gelten als „berechtigte Interessen“ nicht nur rechtliche, sondern auch tatsächliche, wirtschaftliche oder ideelle Interessen, die von der Rechtsordnung anerkannt werden. In diesem Sinne wird der Terminus auch im bisher geltenden Datenschutzrecht, etwa in § 28 BDSG, verstanden. Es liegt daher nahe, ihn auch im Rahmen der Datenschutz-Grundverordnung so zu definieren. Damit können grundsätzlich alle von der Rechtsordnung anerkannten Interessen des Berechtigten oder Dritter eine Verarbeitung der dafür erforderlichen personenbezogenen Daten rechtfertigen.

Die Datenverarbeitung zur Durchsetzung berechtigter Interessen ist allerdings nicht unbeschränkt zulässig, sondern nur „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person (…) überwiegen“. Dies bedeutet, dass im Rahmen von Artikel 6 Absatz 1f DSGVO immer eine Interessenabwägung zu erfolgen hat. Dabei müssen einerseits die berechtigten Interessen des Verantwortlichen oder Dritter, zu deren Durchsetzung die Verarbeitung im konkreten Einzelfall erfolgt, und andererseits die (evtl. nur mutmaßlichen) Interessen des Betroffenen gegen eine Verarbeitung gegenübergestellt und miteinander abgewogen werden. Die Abwägung ist von entscheidender Bedeutung. In Erwägungsgrund 47 heißt es hierzu

Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. (…) Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Für die praktische Umsetzung bedeutet dies, dass im Fall von Artikel 6 Absatz 1f DSGVO zunächst immer konkret zu ermitteln und zu dokumentieren ist, wofür genau welche konkreten personenbezogenen Daten verarbeitet werden sollen und welche Ziele der Verantwortliche mit dieser Verarbeitung verfolgt. Wenn das daraus abzuleitende (berechtigte) Interesse des Verantwortlichen oder eines Dritten an einer Datenverarbeitung nicht durch das gegenteilige Interesse des Betroffenen überwogen wird, ist die Verarbeitung zulässig. Dies gilt auch, wenn es sich um Bestandsdaten handelt, die vor Wirksamwerden der Datenschutz-Grundverordnung erhoben worden sind. Für den Fall, dass diese Bestandsdaten unter Geltung des Bundesdatenschutzgesetzes rechtmäßig erhoben worden sind, wird regelmäßig kein überwiegendes Interesse des Betroffenen vorhanden sein, dass einer künftigen Verarbeitung entgegensteht. Eine weitere Verwendung ist daher zulässig. Zu beachten ist, dass gegenüber den Betroffenen Informationspflichten gemäß Artikel 13 oder Artikel 14 DSGVO zu erfüllen sein können.

Kommentar verfassen