In unserem vor kurzem erschienen Blog-Beitrag zur NIS-2-Richtlinie und dem Datenschutz haben wir unter anderem das Thema der Verarbeitung personenbezogener Daten zur beziehungsweise durch die Umsetzung der durch die NIS-2-Richtlinie geforderten Maßnahmen aufgeworfen. Dieses Thema soll im heutigen Beitrag einmal vertieft werden, denn der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) bespricht in seinem 40. Tätigkeitsbericht den Einsatz von Schadsoftware-Scannern (vgl. S. 60 f.) und die damit einhergehende Verarbeitung personenbezogener Daten. Hierbei widmet sich der LfDI – zumindest kurzzeitig – auch der Frage, ob Art. 32 DS-GVO als rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 UAbs. 1 lit, c), Abs. 3 DS-GVO in Frage kommt. Doch der Reihe nach.
Art. 32 DS-GVO adressiert die Datensicherheit
Ähnlich wie bei besagten Normen in der NIS-2-Richtlinie verpflichtet Art. 32 DS-GVO Verantwortliche zur Umsetzung technischer und organisatorischer Maßnahmen, wenngleich der Schutzweck der DS-GVO im Vergleich zur NIS-2-Richtlinie ein anderer ist. Das Feld der in Betracht kommenden Maßnahmen ist sehr weit zu fassen. In aller erster Linie ist an die Kontrolle von Zugriffen auf Systeme oder Daten durch eine möglichst umfassende Protokollierung zu denken. In Betracht kommen ferner teils komplexe Sicherheitslösungen wie Intrusion Detection Systeme (IDS), Security Information and Event Management Systeme (SIEM-Systeme) und sogenannte Deep Packet Inspection. Nicht selten weisen die im Rahmen dieser Maßnahmen verarbeiteten Daten einen Personenbezug auf. Hierunter zählen allen voran Log- und Protokolldaten aber ebenso Daten, die den Netzwerkverkehr betreffen.
… oder nicht?
Wie sich zeigt, ist die Umsetzung von relevanten Sicherheitsmaßnahmen selbst kaum ohne die Verarbeitung personenbezogener Daten möglich. Es darf daher durchaus die Frage nach der (datenschutzrechtlichen) Zulässigkeit aufgeworfen werden. Mit Blick auf die genannten Anforderungen aus der DS-GVO und der NIS-2-Richtlinie kann man durchaus auf die Idee kommen als Rechtsgrundlage zur Verarbeitung der im Rahmen der zu treffenden Sicherheitsmaßnahmen anfallenden personenbezogenen Daten auf die Erfüllung einer rechtlichen Verpflichtung im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c) DS-GVO abzustellen. Schauen wir uns hierzu die Norm einmal genauer an:
„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […] die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;“
Zum besseren Verständnis kann beziehungsweise muss man zudem Art. 6 Abs. 3 DS-GVO hinzulesen:
„Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
- Unionsrecht oder
- das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX.
Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.“
An dieser Stelle beginnen die Überlegungen, ob Art. 32 DS-GVO als eben eine solche belastbare Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO in Betracht kommen kann, insbesondere, ob die Anforderungen an die Rechtsgrundlag nach Art. 6 Abs. 3 DS-GVO erfüllt werden.
Vertiefte Auseinandersetzung, eher nein.
Der LfDI führt zur der Thematik aus: „Den Einsatz von Systemen der IT-Sicherheit auf Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO in Verbindung mit Art. 32 DS-GVO zu stützen, halten wir für problematisch. Es ist zweifelhaft, ob Art. 32 DS-GVO eine rechtliche Pflicht nach Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO begründet. Er verpflichtet die verantwortlichen Stellen nicht unmittelbar dazu, personenbezogene Daten zu verarbeiten. Die in einer Vorschrift des objektiven Rechts vorgesehene „rechtliche Verpflichtung“ muss sich zumindest nach einer Ansicht unmittelbar auf die Datenverarbeitung beziehen. Allein der Umstand, dass Verantwortliche, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten müssen, reicht hiernach nicht aus (LSG Hessen BeckRS 2020, 1442, Rn 13).“
Alles in allem wirken die Ausführungen etwas „dünn“. Der LfDI nimmt ohne weitere Begründung an, dass es nach Art. 6 Abs. 3 DS-GVO erforderlich ist, dass die in Betracht kommende Vorschrift einen unmittelbaren Datenverarbeitungsbezug aufweisen muss. Dies ist aber – wie auch im Nebensatz erwähnt – durchaus umstritten und keines Falles eine gesicherte Auffassung. Für die Annahme eines nur mittelbaren Datenverarbeitungsbezuges beziehungsweise eines weiten Verständnisses kann hier zum Beispiel Erwägungsgrund 45 der DS-GVO herangezogen werden: Dieser konkretisiert die Anforderungen an die Rechtsgrundlagen, arbeitet dabei ausdrücklich mit Formulierungen, die ebenfalls für einen Ermessensspielraum sprechen. Mit Blick auf Art. 6 Abs. 3 UAbs. 2 Satz 1 DS-GVO ist zudem vielmehr erforderlich, dass der Zweck der Verarbeitung in der jeweiligen Rechtsgrundlage festgelegt wird.
Der durch den LfDI zitierten Entscheidung des Landessozialgerichtes (LSG) Hessen ist zu entnehmen, dass die rechtliche Verpflichtung dadurch gekennzeichnet wird, dass sich die in einer Vorschrift des objektiven Rechts normierte Verpflichtung unmittelbar auf die Datenverarbeitung beziehen muss und allein der Umstand, dass ein Verantwortlicher zur Erfüllung einer rechtlichen Verpflichtung auch personenbezogene Daten verarbeiten muss, nicht ausreicht. Als Beispiel nennt das Gericht sodann § 20 Zehntes Buch Sozialgesetzbuch (SGB X). Die Norm selbst enthält bei näherer Betrachtung jedoch keine Erlaubnis zur Datenverarbeitung, sondern normiert als rechtliche Verpflichtung den Amtsermittlungsgrundsatz. Ein Datenschutzbezug wird erst durch die konkretisierenden Befugnisnormen der §§ 67 ff. SGB X hergestellt. Der Datenschutzbezug entspringt daher gerade nicht aus der spezifischen Rechtsnorm.
Wenn man weiter umschaut und eine Entscheidung des Verwaltungsgerichtshof Mannheim (VGH Mannheim, Beschl. v. 15.2.2019 – 1 S 188/19, BeckRS 2020, 2625.) heranzieht, entspricht beispielsweise § 86 Verwaltungsgerichtsordnung (VwGO) in Verbindung mit § 99 VwGO den Anforderungen des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO. Hieraus folgt eine Verpflichtung von Behörden zur Vorlage von Urkunden oder Akten, zur Übermittlung elektronischer Dokumente und zur Erteilung von Auskünften. Der Zweck der Datenverarbeitung wird in § 86 VwGO selbst nicht erwähnt, ebenso wenig erfolgt eine konkrete Bezugnahme zu einer Datenverarbeitung. Dennoch soll die Pflicht die geforderten Voraussetzungen erfüllen. Es ist also gar nicht so einfach.
Fazit
Es bleibt festzuhalten, dass die Rechtslage so eindeutig wie vielleicht im Tätigkeitsbericht des LfDI dargestellt, sich in der Praxis nicht abzeichnet. Apropos Praxis: Warum ist dieser Streit vielleicht entscheidend? Die einfache Antwort: Art. 6 Abs. 1 UAbs. 1 lit.c) hat gegenüber lit. f) DS-GVO sowohl rechtliche (Stichwort Interessenabwägung) als auch praktische Vorteile (Stichwort Widerspruchsrecht). Abschließend lässt sich die Diskussion in unserem Blog-Beitrag heute aber nicht auflösen. Gerne widmen wir uns in einem folgenden Beitrag noch der Frage, ob Art. 32 DS-GVO vielleicht doch nicht als Rechtsgrundlage in Betracht kommt, weil der Zweck der Norm ein anderer ist, nämlich die Herstellung der Datensicherheit (und ja, das ist eine andere Frage im Vergleich, ob ein unmittelbarer Datenverarbeitungsbezug vorliegen muss).
An dieser Stelle sei aber noch erwähnt, dass die Herausforderungen in der Praxis sich nicht allein in der Bestimmung der belastbaren Rechtsgrundlage ergötzen. Vielmehr kommt insbesondere auch der Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DS-GVO zum Tragen. Man wird sich zwangsläufig damit beschäftigten müssen, wie weit der Grundsatz reicht beziehungsweise wie weit er ausgereizt werden darf. Ganz konkret: Wie lange dürfen die Daten aufgrund zukünftiger Bedürfnisse (zum Beispiel: Fehlersuche, Angriffserkennung, …) erfasst werden. Insbesondere bei den sogenannten Logfiles gehen die Rechtsansichten weit auseinander.
Ebenfalls interessant ist natürlich die Erfüllung der Informationspflichten nach Artt. 12 – 14 DS-GVO. Hier muss wohl zu Recht hinterfragt werden, wie viel an Information denn überhaupt geschuldet ist oder mit anderen Worten: Wie viel muss ich als Verantwortlicher tatsächlich offenlegen?
Ein allerletzter Hinweis sei noch gestattet: Die weiteren Ausführungen des LfDI an dieser Stelle im Tätigkeitsbericht betreffen den Rückgriff öffentlicher Stellen für Maßnahmen der IT-Sicherheit auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO und das Verhältnis zwischen Art. 6 Abs. 1 UAbs. 2 DS-GVO zu Art. 6 Abs. 1 UAbs. 1 lit. e) DS-GVO. Dies sind ebenfalls rechtlich und praktisch interessante Fragestellungen. Diesen wollen wir in einem (Folge-)Folgebeitrag vertiefen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
