Im europäischen Datenschutzrecht gilt der Grundsatz des Verarbeitungsverbotes mit Erlaubnisvorbehalt. D. h., dass personenbezogene Daten nur aufgrund einer Rechtsgrundlage verarbeitet werden dürfen. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten muss sich aus der DSGVO ergeben. Allerdings ist das europäische Datenschutzrecht (die Datenschutz-Grundverordnung) nicht abschließend. Das bedeutet, die Rechtsgrundlage oder auch Norm genannt, muss nicht direkt eine Norm aus der DSGVO sein. An vielen Stellen in der DSGVO gibt es sog. Öffnungsklauseln, die es den Verantwortlichen gestatten, die Verarbeitung personenbezogene Daten auch auf andere Rechtsgrundlagen außerhalb der DSGVO zu stützen wie beispielsweise in Art. 88 DSGVO oder Art 9 Abs 2 lit b DSGVO in Verbindung mit nationalen Vorschriften. Daneben gibt es aber nicht nur Öffnungsklauseln, die auf andere Rechtsgrundlage verweisen, sondern auch solche Öffnungsklauseln, die Raum für europäisches oder nationales Recht zulassen, die Sachverhalte abweichend von der DSGVO regeln oder Sachverhalte konkretisieren bzw. noch enger definieren wie insbesondere Art. 17 Abs. 3 lit. b DSGVO oder Art. 14 Abs. 5 lit. d DSGVO.
Öffnungsklauseln
Alles im allem gilt jedoch: Ohne Vorliegen einer Öffnungsklausel in der DSGVO gilt diese für die Verarbeitung personenbezogener Daten vorrangig (siehe Art. 2 Abs. 1 DSGVO – mit Ausnahme von Abs. 2). Öffnungsklauseln in der DSGVO erkennt man daran, dass in bestimmten Artikeln der DSGVO auf unionsrechtliche oder nationale Vorschriften, denen der Verantwortliche unterliegt, Bezug genommen wird. Im Gesetzeswortlaut heißt es beispielsweise, dass die Mitgliedstaaten durch Rechtsvorschriften spezifischere Vorschriften (…) vorsehen können oder aber auch die Verarbeitung ist auf Grundlage des Unionsrechts oder des Rechts eines Mitgliedsstaats (…) erforderlich.
Möchte man nun eine Verarbeitung personenbezogener Daten aufgrund einer vorliegenden Öffnungsklausel auf Normen aus dem nationalen oder unionsrechtlichen Recht stützen , sollte Folgendes beachtet werden:
1. Zunächst muss es sich um eine Norm mit Gesetzescharakter handeln (siehe auch EG 41 S.1 der DSGVO).
„Wenn in dieser Verordnung auf eine Rechtsgrundlage oder eine Gesetzgebungsmaßnahme Bezug genommen wird, erfordert dies nicht notwendigerweise einen von einem Parlament angenommenen Gesetzgebungsakt;“
Normen mit Gesetzescharakter können alle Gesetze im formellen und materiellen Sinn sein.
In Deutschland unterscheidet man Gesetze im formellen Sinn und materielle Gesetze. Gesetze im formellen Sinn sind alle Gesetze, die durch das Gesetzgebungsverfahren, das die Verfassung vorschreibt, vom Parlament – dem Bundestag oder einem Landesparlament – verabschiedet werden. Gesetze im materiellen Sinn sind alle Rechtsnormen. Dazu zählen neben den formellen Gesetzen beispielsweise auch Satzungen und Rechtsverordnungen.
D. h., sowohl Bundesrecht als auch Landesrecht können hier in Betracht kommen. Ebenfalls EU-Verordnungen sind hiervon erfasst, aber auch Satzungen einer Körperschaft, einer Stiftung oder einer Anstalt (siehe auch ErwG 41). Bei Satzungen ist darauf zu achten, dass diese nur rechtliche Auswirkungen zur Verarbeitung der Daten ihrer eigenen Mitglieder vorsehen können. Aus Verwaltungsvorschriften können sich keine rechtlichen Auswirkungen und somit keine Norm mit Gesetzescharakter ergeben, da sie nur innerhalb der öffentlichen Verwaltung ohne Außenwirkung gelten. Das Gleiche gilt auch für Erlasse oder Richtlinien. Ebenfalls keine Normen mit Gesetzescharakter sind Verwaltungsakte.
2. In der unionsrechtlichen oder mitgliedsstaatlichen Norm, auf die man eine Verarbeitung stützen möchte, sollte sich in der Regel ergeben, wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt und wie lange sie gespeichert werden dürfen. Aus der Norm oder der Gesetzesbegründung der Norm sollte sich zumindest der Zweck der Datenverarbeitung ergeben und welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt (siehe EG 45 der DSGVO). Die Norm selbst muss keine Verpflichtung des Verantwortlichen ergeben, sie sollte ihn jedoch zur Datenverarbeitung ausdrücklich legitimieren.
Als Beispiel wird hier folgende Normenkette aus der DSGVO genannt:
Art. 9 Abs. 2 lit. b DSGVO (=Öffnungsklausel) i.V.m. § 27 Mutterschutzgesetz (MuSchG) (Rechtsgrundlage aus dem nationalen Recht).
Hierbei handelt es sich z. B. um die Verpflichtung des Arbeitgebers personenbezogene Daten einer schwangeren oder stillenden Frau an die zuständige Aufsichtsbehörde zu übermitteln. Im Gesetz wird konkret definiert, welche Daten der Arbeitgeber zu übermitteln hat, wie lange der Arbeitgeber diese aufbewahren muss, etc.
3. Sofern die Öffnungsklausel der DSGVO darüber hinaus noch selbst Voraussetzungen für unionsrechtliche oder mitgliedstaatliche Normen beinhaltet, so sind diese Voraussetzungen ebenfalls zu prüfen, bevor eine Datenverarbeitung auf diese unionsrechtliche oder mitgliedstaatliche Norm gestützt werden darf.
Als Beispiel wird auf das Urteil des EuGH vom 30.03.2023 (Az. C-34/21) Bezug genommen, in welcher dieser die Voraussetzungen der Öffnungsklausel des Art. 88 DSGVO prüfte. Konkret ging es um die Frage, ob bzw. wann eine nationale Regelung mit der Öffnungsklausel im Art. 88 Abs. 1 DSGVO vereinbar ist.
Es sollte daher rechtssicher immer geprüft werden, ob bestimmte Normen überhaupt noch anwendbar sind. Vor allem ältere mitgliedstaatliche Normen, die bereits vor der DSGVO in Kraft getreten sind, könnten nicht mehr anwendbar und somit europarechtswidrig sein. Hier sollte stets Rücksprache mit dem Datenschutzbeauftragten gehalten werden.
8. Dezember 2023 @ 14:19
Meine Persönlichkeit wurde in einem Dienstgebäude ohne mein Wissen des Schwarzfahren bezichtigt und über Monate zugänglich gemacht . Ist dies ein Verstoß gegen die DSGVO ?