DS-GVO/BDSG. David Klein
Читать онлайн книгу.
1 genannten Ziele darstellt. Der letztgenannte Passus eröffnet den Mitgliedstaaten grundsätzlich die Möglichkeit, eigene Rechtsvorschriften zur Zulässigkeit einer Zweckänderung zu erlassen. Deutschland hat von dieser Möglichkeit im BDSG n.F. Gebrauch gemacht. Für die Datenverarbeitung, insbesondere die Datenübermittlung zu anderen Zwecken gelten sowohl für den öffentlichen Bereich (§§ 23 und 25 BDSG n.F.) als auch für den nicht öffentlichen Bereich (§ 24 BDSG n.F.) spezifische Regelungen.
a) Verhältnis zwischen DS-GVO und nationalem Recht
258
Aus Art. 6 Abs. 4 ergibt sich nicht unmittelbar, ob es sich bei dem Verweis auf nationalstaatliches Recht um eine Öffnungsklausel handelt. Grundsätzlich ist – wohl entgegen der Auffassung des Gesetzgebers und der Rechtsprechung des BGH –[524] davon auszugehen, dass es sich bei Art. 6 Abs. 4 nicht um eine eigene Öffnungsklausel handelt, sondern Abs. 4 vielmehr im systematischen Zusammenhang zu Art. 6 Abs. 1 lit. c, e, Abs. 2 und 3 steht und die Öffnung des Abs. 4 hinsichtlich ihrer Reichweite auf die Öffnung in Art. 6 Abs. 2 und 3 beschränkt ist (vgl. dazu auch Rn. 237).[525] Das EU-Recht und das Recht der Mitgliedstaaten sind jeweils eigene Rechtsordnungen mit jeweils eigenem Geltungsgrund. Es kann ein komplexes Nebeneinander einer Verordnung des Unionsrechts sowie korrespondierenden deutschen Regelungen entstehen. Fakt ist, dass in einem Konfliktfall die DS-GVO als Verordnung Anwendungsvorrang genießt.[526] Die Anwendung von nationalen Vorschriften ist nur insoweit eingeschränkt, als sie den Regelungen der Verordnung widersprechen.[527]
259
Im neuen BDSG sind eigenständige Rechtsgrundlagen für zweckändernde Datenverarbeitungen enthalten. Insofern ist davon auszugehen, dass der deutsche Gesetzgeber eine entsprechende Regelungsbefugnis im Rahmen einer Öffnungsklausel für sich in Anspruch nimmt.[528] Hierfür spricht auch, dass der deutsche Gesetzgeber insbesondere die Regelungen der §§ 23 ff. BDSG n.F. „zur Ausgestaltung“ der DS-GVO einordnet.[529] In der Gesetzesbegründung zu §§ 23 ff. BDSG n.F. ist zudem explizit von einem durch Art. 6 Abs. 4 „eröffneten Regelungsspielraum“ die Rede. Die Annahme, Art. 6 Abs. 4 stelle eine eigenständige Öffnungsklausel dar, läuft dem Ziel der Harmonisierung des Datenschutzrechts durch die DS-GVO entsprechend ErwG 3 und der Systematik von Art. 6 zuwider und überdehnt die Regelungsbefugnis des nationalen Gesetzgebers (dazu oben bereits in Rn. 237).[530] Letztlich sind die §§ 23 ff. BDSG neben Art. 6 Abs. 4 und dessen Voraussetzungen anwenden (vgl. dazu bereits Rn. 237).[531] Teilweise wird mangels Regelungsbefugnis des deutschen Gesetzgebers § 24 BDSG gar als unionsrechtswidrig erachtet.[532]
b) Allgemeines zu §§ 23 ff. BDSG n.F.
260
Die Regelungen entsprechen im Wesentlichen oder orientieren sich zumindest an den vergleichbaren Vorschriften des BDSG a.F. Hierauf wird in der folgenden Kommentierung der jeweiligen Vorschrift gesondert hingewiesen. Insofern kann zur Orientierung auch auf die hierzu bestehende Kommentarliteratur zurückgegriffen werden.
aa) Allgemeines
261
Die Vorschrift orientiert sich an den Regelungen des § 13 Abs. 2 und des § 14 Abs. 2–5 BDSG a.F.[533] Sie dient dazu für öffentliche Stellen im Rahmen der jeweiligen Aufgabenerfüllung eine nationale Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch denselben Verarbeiter zu einem anderen Zweck als zu demjenigen, zu dem er sie ursprünglich erhoben hat, zu etablieren. Die Vorschrift stellt damit die zentrale Norm für die Weiterverarbeitung personenbezogener Daten durch nationale öffentliche Stellen dar. Sie gilt ausweislich der Gesetzesbegründung explizit unabhängig davon, ob die Zwecke der Weiterverarbeitung mit den Zwecken, für die die Daten ursprünglich erhoben wurden, nach Art. 6 Abs. 4 VO (EU) Nr. 2016/679 (DS-GVO) vereinbar sind.[534] Zur Notwendigkeit der Rechtmäßigkeit des der Datenverarbeitung zugrunde liegenden Verwaltungshandelns vgl. oben Rn. 121 die Ausführungen zu § 3 BDSG.
bb) Norminhalt des § 23 Abs. 1 BDSG
262
Die Norm richtet sich allein an öffentliche Stellen i.S.d. § 2 Abs. 1 und 2 BDSG n.F. Öffentliche Stellen dürfen eine zweckändernde Weiterverarbeitung überhaupt nur dann durchführen, sofern dies „im Rahmen ihrer Aufgabenerfüllung“ geschieht. Hiermit ist das Erfordernis der Zuständigkeit reguliert, so dass jede Weiterverarbeitung außerhalb der Zuständigkeit einer Behörde nicht durch die Norm gerechtfertigt werden kann. Es muss ferner einer der im Gesetz explizit vorgesehenen Tatbestände einschlägig sein. Die Tatbestände sind recht konkret gefasst und haben daher einen zwar beschränkten aber gleichwohl bewusst spezifischen Anwendungsbereich. Da es sich um Ausnahmetatbestände handelt, sind die Voraussetzungen grundsätzlich eng auszulegen.
(1) Interesse der betroffenen Person (§ 23 Abs. 1 Nr. 1 BDSG)
263
Der Erlaubnistatbestand entspricht § 14 Abs. 2 Nr. 3 BDSG a.F. Hiernach muss offensichtlich sein, dass die Weiterverarbeitung zu einem anderen Zweck im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass die betroffene Person in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde. Das ist der Fall, wenn z.B. der Aufenthalt des Betroffenen unbekannt oder nur mit unverhältnismäßig hohem Aufwand feststellbar ist.[535]
264
Fraglich ist, wie der Wortlaut „ihre Einwilligung verweigern würde“ zu verstehen und praktisch umzusetzen ist. Nach dem reinen Wortverständnis müsste der Verantwortliche sich eine hypothetische Situation vorstellen, in der eine betroffene Person nach ihrer Einwilligung für die zweckändernde Weiterverarbeitung