Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Hinein ins Vergnügen – oder wie immer Sie diesen Artikel empfinden. Jedenfalls gehört er sicher zu den bekanntesten und am häufigsten zitierten innerhalb der DS-GVO. Schließlich finden sich hier die Rechtsgrundlagen aka Erlaubnistatbestände, täglich Brot für alle Verantwortlichen und ihre Datenschutzbeauftragten. Deshalb eine kleine Gedächtnisübung und -prüfung zur Auflockerung des Spaziergangs: Buchstabe (a) betrifft? Buchstabe (b) befasst sich mit? (c)? (d)? – bis wohin?
Absatz 1
Mit der Einwilligung befassen uns bei den nächsten Wanderzielen (Art. 7 und Art. 8) gleich noch ausführlicher. Deshalb laufen wir am Buchstaben (a) einfach vorbei. Bei der Datenverarbeitung für die Durchführung und Anbahnung von Verträgen (b) ist wichtig und wird gelegentlich in der Praxis übersehen, dass unbedingt die betroffene Person (potentielle) Vertragspartei sein muss. Bei einem Vertragsschluss mit einer GmbH hilft (b) deshalb nicht für die Speicherung der Personalien der Geschäftsführung. Insoweit muss auf (c), (e) oder (f) zurückgegriffen werden.
Buchstabe (c) erlaubt Datenverarbeitung zur Erfüllung rechtlicher Verpflichtungen des Verantwortlichen – also nicht rechtlicher Pflichten Dritter. Durch dieses sehr kleine Schlüsselloch wird das gesamte Recht der Europäischen Union und aller Mitgliedstaaten wichtig als riesengroßer Quell möglicher Datenverarbeitungen. Wenn zum Beispiel die Aufbewahrungsfristen für Arbeitszeitbelege im Mitgliedstaat A bei zwei Jahren und Mitgliedstaat B bei zehn Jahren liegen, unterscheidet sich die rechtmäßige Datenverarbeitung trotz Datenschutz-Grundverordnung zwischen den Staaten ganz erheblich. Das Recht von Drittstaaten taugt nicht als Rechtspflicht nach (c), siehe Absatz 3 Satz 1.
Buchstabe (d) ist überflüssig, weil es Buchstaben (f) gibt. Wenn lebenswichtige Interessen von Menschen geschützt werden müssen, können die gegenläufigen Interessen der Betroffenen nie überwiegen. Die Einschränkung von (f) für Behörden schadet insoweit nicht: Entweder gehört der Lebensschutz zu den Behördenaufgaben, dann (e), oder nicht, dann (f).
Buchstabe (e) ist in der zweiten Variante („Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde“) klar und in der ersten Variante („Wahrnehmung einer Aufgabe … die im öffentlichen Interesse liegt“) seltsam. Dürfen wir etwa alle Daten verarbeiten, wenn es im öffentlichen Interesse liegt? Wahrscheinlich ist es so nicht gemeint und die DS-GVO hat auch an dieser Stelle Löschpotenzial.
Der wichtige Buchstabe (f) schließlich erlaubt Verarbeitungen immer dann, wenn die gegenläufigen Interessen der Betroffenen nicht überwiegen – bei gleichstarken Interessen also: Datenverarbeitung erlaubt. Satz 2 wird manchmal missverstanden: Auch Behörden dürfen sich auf (f) berufen, allerdings nicht, wenn sie als Behörde, also hoheitlich handeln. Eine Stadtverwaltung darf ihren pensionierten Beschäftigten also Weihnachtskarten an die Wohnanschrift senden, solange diese nicht ablehnen. Aber sie darf nicht ohne gesetzliche Grundlage deren Wohnungsgrundriss speichern, weil man das im Brandfall vielleicht mal brauchen könnte. Ob eine Datenverarbeitung durch das berechtigte Interesse erlaubt ist, bereitet in der Praxis manchmal Kopfzerbrechen. Hilfreich für die Abwägung der Betroffenen-Interessen ist oft: Einfach mal einige Menschen aus der betroffenen Gruppe fragen.
Während Absatz 1 zur Datenschutz-Grundausbildung gehört, werden die Folge-Absätze 2 bis 4 seltener gelesen. Deshalb an dieser Stelle die Bitte: Tun Sie es doch gleich jetzt einmal!
Absatz 2
Absatz 2 am besten danach sofort wieder vergessen. Aus ihm ergibt sich gar nichts – das aber so richtig kompliziert.
Absatz 3
Absatz 3 ist sehr inhaltsarm; am wichtigsten wohl noch die schon erwähnte Festlegung in Satz 1: Pflichten im Sinne von Absatz 1 Buchstaben (c) und (e) kommen nur aus dem Recht der Europäischen Union und der Mitgliedstaaten, also nicht zum Beispiel aus brasilianischem Recht. Alles andere versteht sich von selbst und wäre auch so, wenn Absatz 3 nach dem ersten Satz enden würde.
Absatz 4
Dann aber Absatz 4 – der hat es in sich. Oder sagen wir mal: Vielleicht. Die noch ungeklärte Frage ist, ob Absatz 4 als eigene Rechtsgrundlage für Datenverarbeitungen mit Zweckänderung funktioniert, oder ob immer noch zusätzlich eine Grundlage aus Absatz 1 benötigt wird. Also: Macht Absatz 4 die Zweckänderung leichter oder schwerer? Diskutiert wird das momentan vor allem mit Blick auf die (massenhaften) Zweckänderungen, wenn KI-Systeme mit Datenbeständen trainiert werden. Was meinen Sie? Der Gesetzgeber könnte es natürlich klarstellen – aber das ist sehr unwahrscheinlich. Positiv gesehen: Die Entscheidung bleibt den Datenschützern überlassen, und letztlich dem EuGH.
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.