Art. 6 DSGVO: Rechtmäßigkeit der Verarbeitung
| veröffentlicht am |
12.11.2019 |
|---|---|
| Änderung | Neu aufgenommen |
| Stand | 13.04.2018 |
|---|---|
| Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
| Rechtsgrundlage | |
| Version | 001.01 |
- Inhalt der Regelung
- Rechtmäßigkeit der Verarbeitung (Art. 6 Abs. 1 DSGVO)
- Einwilligung (Art. 6 Abs. 1 Buchst. a DSGVO)
- Vertragliche Verpflichtung (Art. 6 Abs. 1 Buchst. b DSGVO)
- rechtliche Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO)
- Wahrung lebenswichtiger Interessen (Art. 6 Abs. 1 Buchst. d DSGVO)
- öffentliches Interesse beziehungsweise öffentliche Gewalt (Art. 6 Abs. 1 Buchst. e DSGVO)
- Wahrung berechtigter Interessen (Art. 6 Abs. 1 Buchst. f DSGVO)
- Möglichkeit von spezifischeren Bestimmungen - Öffnungsklausel (Art. 6 Abs. 2 DSGVO und Art. 6 Abs. 3 DSGVO)
- Zweckänderung (Art. 6 Abs. 4 DSGVO)
- Ursprüngliche und spätere Zwecke (Art. 6 Abs. 4 Buchst. a DSGVO)
- Zusammenhang der Datenverarbeitung (Art. 6 Abs. 4 Buchst. b DSGVO)
- Art der personenbezogenen Daten (Art. 6 Abs. 4 Buchst. c DSGVO)
- Folgen der Weiterverarbeitung (Art. 6 Abs. 4 Buchst. d DSGVO)
- Geeignete Garantien (Art. 6 Abs. 4 Buchst. e DSGVO)
- Inhalt der Regelung
- Rechtmäßigkeit der Verarbeitung (Art. 6 Abs. 1 DSGVO)
- Einwilligung (Art. 6 Abs. 1 Buchst. a DSGVO)
- Vertragliche Verpflichtung (Art. 6 Abs. 1 Buchst. b DSGVO)
- rechtliche Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO)
- Wahrung lebenswichtiger Interessen (Art. 6 Abs. 1 Buchst. d DSGVO)
- öffentliches Interesse beziehungsweise öffentliche Gewalt (Art. 6 Abs. 1 Buchst. e DSGVO)
- Wahrung berechtigter Interessen (Art. 6 Abs. 1 Buchst. f DSGVO)
- Möglichkeit von spezifischeren Bestimmungen - Öffnungsklausel (Art. 6 Abs. 2 DSGVO und Art. 6 Abs. 3 DSGVO)
- Zweckänderung (Art. 6 Abs. 4 DSGVO)
- Ursprüngliche und spätere Zwecke (Art. 6 Abs. 4 Buchst. a DSGVO)
- Zusammenhang der Datenverarbeitung (Art. 6 Abs. 4 Buchst. b DSGVO)
- Art der personenbezogenen Daten (Art. 6 Abs. 4 Buchst. c DSGVO)
- Folgen der Weiterverarbeitung (Art. 6 Abs. 4 Buchst. d DSGVO)
- Geeignete Garantien (Art. 6 Abs. 4 Buchst. e DSGVO)
Inhalt der Regelung
Art. 6 Abs. 1 DSGVO normiert den Grundsatz des Verbots mit Erlaubnisvorbehalt, in dem abschließend und erschöpfend verschiedene Erlaubnistatbestände aufgezählt werden, welche für die Verarbeitung personenbezogener Daten gelten.
In Art. 6 Abs. 2 DSGVO und Art. 6 Abs. 3 DSGVO ist eine Öffnungsklausel geregelt. Diese hat insbesondere Auswirkungen auf den Bereich der Sozialversicherung.
Art. 6 Abs. 4 DSGVO konkretisiert den Zweckbindungsgrundsatz.
Ergänzende/korrespondierende Regelungen
Die Regelungen des Art. 6 DSGVO werden ergänzt durch § 35 SGB I und die §§ 67 ff SGB X, sowie durch den Art. 4 DSGVO, Art. 5 DSGVO, Art. 7 DSGVO, Art. 23 DSGVO und Art. 88 DSGVO. Weitere Erläuterungen und Auslegungshilfen finden sich in den Erwägungsgründen (ErwG) 40, 41, 44 bis 50 und 122 DSGVO.
Rechtmäßigkeit der Verarbeitung (Art. 6 Abs. 1 DSGVO)
Im Vordergrund der gesetzlichen Regelung des Art. 6 Abs. 1 DSGVO steht der Grundsatz des Verbots mit Erlaubnisvorbehalt. Es ist verboten, personenbezogene Daten zu verarbeiten, es sei denn, die Regelungen in Art. 6 Abs. 1 S. 1 Buchst. a bis f DSGVO benennen einen Erlaubnistatbestand, der die Verarbeitung zulässt beziehungsweise rechtfertigt.
Einwilligung (Art. 6 Abs. 1 Buchst. a DSGVO)
Die Einwilligung der betroffenen Person ist der erste Erlaubnistatbestand. Die Einwilligung stellt den eindeutigen Ausdruck der betroffenen Person zur informationellen Selbstbestimmung dar. Welche Voraussetzungen für eine gültige Einwilligungserklärung vorhanden sein müssen, ist in Art. 4 Nr. 11 DSGVO (Begriffsbestimmung) und in Art. 7 DSGVO (Bedingungen für die Einwilligung) geregelt. Art. 8 DSGVO enthält Besonderheiten für die Einwilligung von Kindern und Art. 9 Abs. 2 Buchst. a DSGVO enthält Besonderheiten für die Einwilligung zur Verarbeitung besonderer Kategorien personenbezogener Daten. Eine pauschale Einwilligungsklausel, welche sich nicht auf bestimmte Datenverarbeitungszwecke bezieht oder andere Bedingungen der Einwilligung nicht erfüllt, ist rechtlich unwirksam. Auf die Ausführungen in der GRA zu Art. 7 DSGVO, der GRA zu Art. 8 DSGVO und der GRA zu Art. 9 DSGVO wird verwiesen.
Im Sozialdatenschutz ist § 67b Abs. 2 SGB X zu beachten.
Vertragliche Verpflichtung (Art. 6 Abs. 1 Buchst. b DSGVO)
Eine Verarbeitung personenbezogener Daten ist zulässig, sofern die Datenverarbeitung für die Erfüllung eines (vor-)vertraglichen Schuldverhältnisses erforderlich ist. Insbesondere die Tatsache, dass die betroffene Person selbständig und freiwillig eine entsprechende vertragliche Verpflichtung eingeht, schließt die informationelle Selbstbestimmung für die Zulässigkeit der Datenverarbeitung ein, die im Zusammenhang mit diesem Vertragsverhältnis steht.
Vertragliches oder vorvertragliches Schuldverhältnis
Art. 6 Abs. 1 Buchst. b DSGVO schreibt vor, dass es sich bei der Beziehung zur betroffenen Person um ein vertragliches oder vorvertragliches Schuldverhältnis handeln muss. Ein vorvertragliches Schuldverhältnis erfasst hierbei insbesondere das Stadium der Vertragsverhandlungen und der Vertragsanbahnung. In jedem Fall müssen beide Parteien ihren Willen bekunden, Vertragsverhandlungen aufzunehmen. Ob die vorvertraglichen Verhandlungen tatsächlich zu einem Vertragsabschluss führen, ist jedoch unerheblich. Der Verantwortliche darf - soweit erforderlich - zum Beispiel Namen, Kontakt- und Kommunikationsdaten während der Verhandlungsphase erfragen und verarbeiten, um insbesondere konkrete Angebote zu unterbreiten. Zu diesem Zeitpunkt ist es aber noch nicht erforderlich, die Bankverbindung zu erheben, weil über die Art und Weise der Bezahlung noch keine Vereinbarung getroffen wurde.
Bei einem Einkauf in einem Einzelhandelsgeschäft, bei dem der Kunde die gewählte Ware auf das Transportband an der Kasse legt, die Ware vom Kassenpersonal des Handelsunternehmens gescannt und der Kaufpreis verlangt wird, ist es gar nicht erforderlich, personenbezogene Daten zu erfragen und zu verarbeiten, wenn der Kunde mit Bargeld bezahlt. Reicht der Kunde freiwillig seine Rabatt-Karte an das Kassenpersonal, fallen wiederum personenbezogene Daten an, die mit dem Rechtsgeschäft „Kauf der Ware“ jedoch nichts zu tun haben, sondern mit dem Vertrag über die Rabatt-Karte. Falls die Bezahlung unbar mittels ec- oder Kredit-Karte erfolgt, erhebt das Handelsunternehmen zur Abwicklung der Bezahlung personenbezogene Daten des Karteninhabers, um zeitverzögert die Übertragung des Geldbetrages von der Bank des Kunden auf das Konto des Handelsunternehmens abwickeln zu können.
Erforderlichkeit für die Erfüllung eines Vertrages
Die Regelung des Art. 6 Abs. 1 Buchst. b DSGVO zielt zwar auf die Erfüllung eines vertraglichen Schuldverhältnisses ab, schließt aber gleichzeitig die Erfüllung von Nebenpflichten und ggf. die nachträglichen Sorgfaltspflichten mit ein. Zum Beispiel ist es bei der Abwicklung bestimmter Wertpapiergeschäfte gesetzlich vorgeschrieben, dass die Bank bestimmte Daten des Anlegers an die Steuerbehörden meldet.
In jedem Fall muss der Verantwortliche prüfen, ob die Verarbeitung von personenbezogenen Daten für die Erfüllung des Vertrages wirklich erforderlich - angemessen, erheblich und für die Zwecke des Vertrages notwendig (Art. 5 Abs. 1 Buchst. c DSGVO) - ist. Es ist nicht ausreichend, dass aus Sicht des Verantwortlichen die Datenverarbeitung „dienlich“ oder „nützlich“ ist. Vielmehr ist entscheidend, dass die Erfüllung des Vertrages objektiv nur durch Verarbeitung von personenbezogenen Daten möglich ist. Beispielsweise stellt die Tatsache, dass der Verantwortliche bedarfsgerechte Leistungen (personalisierte Angebote), günstigere Preise oder eine schnellere Abwicklung gewährleisten will, keine Erforderlichkeit gemäß Art. 6 Abs. 1 Buchst. b DSGVO dar.
rechtliche Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO)
Der Begriff „rechtliche Verpflichtung“ ist in der DSGVO nicht näher definiert. Die Tatsache, dass die (vor)vertraglichen Verpflichtungen durch den Art. 6 Abs. 1 Buchst. b DSGVO geregelt sind, legt nahe, dass die Regelung des Art. 6 Abs. 1 Buchst. c DSGVO Fallgestaltungen erfasst, in denen der Verantwortliche eine Zweckbestimmung erfüllen muss, die ihm durch Unionsrecht oder das Recht eines EU-Mitgliedstaates auferlegt ist. Der Grundsatz, dass jede Beschränkung des Grundrechts auf Datenschutz durch eine Rechtsgrundlage gerechtfertigt sein muss, unterstreicht dies.
Neben der Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten ist die Erforderlichkeit zu prüfen (Art. 5 Abs. 1 Buchst. b DSGVO und Art. 5 Abs. 1 Buchst. c DSGVO). Für den Verantwortlichen muss die Verarbeitung erforderlich sein, um seiner rechtlichen Verpflichtung nachkommen zu können. Welche personenbezogenen Daten für die Verarbeitung notwendig sind, muss durch den Verantwortlichen anhand des Verarbeitungszwecks ermittelt werden.
Art. 6 Abs. 1 Buchst. c DSGVO stellt die gesetzliche Grundlage für den Bereich der Sozialversicherung dar. In diesem Zusammenhang ist die „Öffnungsklausel“ des Art. 6 Abs. 2 DSGVO zu beachten (siehe Abschnitt 3).
Im Sozialdatenschutz sind §§ 67a Abs. 1 S. 1 und 67b Abs. 1 S. 1 SGB X zu beachten.
Wahrung lebenswichtiger Interessen (Art. 6 Abs. 1 Buchst. d DSGVO)
Nach Art. 6 Abs. 1 Buchst. d DSGVO können personenbezogene Daten verarbeitet werden, wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Schutz von lebenswichtigen Interessen liegt beispielsweise beim Schutz der körperlichen Unversehrtheit und dem Schutz des Lebens vor. Auch besondere Konstellationen wie Epidemien, humanitäre Notfälle und Katastrophen fallen unter diese Kategorie (ErwG 46 DSGVO).
öffentliches Interesse beziehungsweise öffentliche Gewalt (Art. 6 Abs. 1 Buchst. e DSGVO)
Sofern die Verarbeitung von personenbezogenen Daten im Zusammenhang mit einer Aufgabenerledigung steht, welche im öffentlichen Interesse liegt oder die Aufgabenwahrnehmung in Ausübung der öffentlichen Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, greift der Erlaubnistatbestand des Art. 6 Abs. 1 Buchst. e DSGVO.
Bei einer Aufgabe im öffentlichen Interesse steht eindeutig die öffentliche Aufgabe im Vordergrund. Es handelt sich hierbei um sogenannte Staatsaufgaben.
Aufgaben der öffentlichen Gewalt können durch Behörden, öffentlich-rechtliche Einrichtungen oder durch Einrichtungen des privaten Rechts erfolgen, sofern diese entsprechende Befugnisse zur Durchsetzung des öffentlichen Interesses haben. Wenn es bei der Wahrnehmung solcher Aufgaben zur Verarbeitung personenbezogener Daten kommen sollte, soll diese zulässig sein, auch wenn diese Verarbeitung in den gesetzlichen Bestimmungen, die die Zweckbestimmung beziehungsweise Aufgabenfestlegung regeln, nicht ausdrücklich erwähnt wurde.
Wahrung berechtigter Interessen (Art. 6 Abs. 1 Buchst. f DSGVO)
Eine Verarbeitung personenbezogener Daten ist dann zulässig, wenn die Verarbeitung zur Wahrung des berechtigten Interesse des Verantwortlichen oder eines Dritten erforderlich ist (Art. 6 Abs. 1 Buchst. f DSGVO). Hierbei ist immer eine Interessenabwägung zwischen den Interessen des Verantwortlichen beziehungsweise des Dritten und den Interessen der betroffenen Person durchzuführen. Dabei ist zu prüfen, ob das Persönlichkeitsrecht des Betroffenen sowie die Auswirkungen, welche die Verarbeitung der personenbezogenen Daten für den Betroffenen mit sich bringen würden, im Einklang stehen. Durch die Interessenabwägung soll sichergestellt werden, dass die Interessen oder Grundrechte beziehungsweise Grundfreiheiten der betroffenen Person ausreichend berücksichtigt werden.
Für Behörden, beispielsweise die Rentenversicherungsträger, soweit sie Sozialdaten verarbeiten, ist Art. 6 Abs. 1 S. 2 DSGVO bedeutsam. Diese können keine Verarbeitung von Sozialdaten auf die Wahrung berechtigter Interessen stützen. Die Zwecke, für die Sozialdaten verarbeitet werden dürfen, müssen durch eine gesetzliche Vorschrift festgelegt sein (Art. 6 Abs. 1 Buchst. c Abschnitt 2.3 DSGVO).
Möglichkeit von spezifischeren Bestimmungen - Öffnungsklausel (Art. 6 Abs. 2 DSGVO und Art. 6 Abs. 3 DSGVO)
Der Art. 6 Abs. 2 DSGVO stellt eine sogenannte Öffnungsklausel dar. Diese Regelung erlaubt es den Mitgliedsstaaten „spezifischere Bestimmungen“ zum Art. 6 Abs. 1 Buchst. c DSGVO und Art. 6 Abs. 1 Buchst. e DSGVO beizubehalten beziehungsweise neu einzuführen. Die vom nationalen Gesetzgeber getroffenen Regelungen dürfen hierbei nicht gegen die Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 DSGVO) verstoßen. Auch das „Unterschreiten“ des durch die DSGVO festgelegten Datenschutzniveaus ist ausdrücklich verboten (Art. 23 DSGVO).
In Art. 6 Abs. 3 DSGVO wird näher definiert, welche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten durch den Verantwortlichen im Zusammenhang mit einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO) oder im Zusammenhang mit der Wahrnehmung öffentlichen Interesses beziehungsweise der öffentlichen Gewalt (Art. 6 Abs. 1 Buchst. e DSGVO) relevant sein können. Dies kann zum einen Unionsrecht, aber auch mitgliedstaatliches Recht sein, dem der Verantwortliche unterliegt.
Der deutsche Gesetzgeber - hier der Bundestag - hat die Möglichkeit der Öffnungsklausel genutzt. Die vor der Anwendung der DSGVO vorhandene Spezialgesetzgebung zum Sozialdatenschutz bleibt grundsätzlich bestehen. Die bisherigen Vorschriften wurden jedoch an die Begriffe und die Systematik der DSGVO angepasst (geregelt durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17.07.2017, BGBl I S. 2541, dort Artikel 19 und Artikel 24).
Die gesetzliche Grundlage für den Sozialdatenschutz bildet hierbei das Sozialgesetzbuch, insbesondere das Erste (SGB I) und Zehnte Buch des Sozialgesetzbuchs (SGB X). Die bisherigen Regelungen bleiben größtenteils erhalten (§ 35 SGB I, Zweites Kapitel SGB X - §§ 67-85a SGB X).
Zweckänderung (Art. 6 Abs. 4 DSGVO)
Grundsätzlich unterliegen die vom Verantwortlichen verarbeiteten personenbezogenen Daten einer engen Zweckbindung, wobei der Zweck bereits bei der Erhebung der Daten festgelegt sein muss (siehe Zweckbindungsgrundsatz des Art. 5 Abs. 1 Buchst. b DSGVO). Dieser Zweckbindungsgrundsatz kann jedoch durch eine Einwilligung der betroffenen Person oder durch eine Rechtsgrundlage auf Grundlage von Unions- oder mitgliedstaatlichem Recht durchbrochen werden.
Im Sozialdatenschutz ist § 67c SGB X zu berücksichtigen.
In Art. 6 Abs. 4 DSGVO gibt der Gesetzgeber dem für die Verarbeitung der personenbezogenen Daten Verantwortlichen Beurteilungskriterien an die Hand, unter welchen Voraussetzungen eine Zweckänderung mit dem ursprünglichen Verarbeitungszweck vereinbar ist.
Die Verarbeitung bereits vorhandener personenbezogener Daten für andere Zwecke ist nur unter den Voraussetzung des Vorliegens der Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO) und der Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO) zulässig beziehungsweise rechtmäßig.
Ursprüngliche und spätere Zwecke (Art. 6 Abs. 4 Buchst. a DSGVO)
Es ist zu prüfen, ob der Zweck der beabsichtigten Weiterverarbeitung im maßgeblichen Zusammenhang mit dem ursprünglichen Zweck steht. Dies ist insbesondere dann der Fall, wenn die Weiterverarbeitung ein „nächster logischer Schritt“ der Verarbeitung ist.
Zusammenhang der Datenverarbeitung (Art. 6 Abs. 4 Buchst. b DSGVO)
Bei der Prüfung der Vereinbarkeit der Zweckänderung ist der Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen zu berücksichtigen. Es darf durch die Zweckänderung kein Ungleichgewicht zwischen der betroffenen Person und dem Verantwortlichen entstehen. Als Grundsatz gilt: Je unvorhersehbarer und überraschender für die betroffene Person eine Weiterverarbeitung ist, desto mehr spricht dafür, dass die weitere Verarbeitung der Daten mit dem ursprünglichen Zweck unvereinbar ist.
Art der personenbezogenen Daten (Art. 6 Abs. 4 Buchst. c DSGVO)
Eine besondere Prüfung der Vereinbarkeit der Weiterverarbeitung durch den Verantwortlichen ist erforderlich, wenn besondere Kategorien personenbezogener Daten verarbeitet werden. Der Begriff „besondere Kategorien personenbezogener Daten“ ist in Art. 9 Abs. 1 DSGVO definiert.
Folgen der Weiterverarbeitung (Art. 6 Abs. 4 Buchst. d DSGVO)
Der Verantwortliche hat bei der Weiterverarbeitung der personenbezogenen Daten eine Abschätzung der Risiken, Eintrittswahrscheinlichkeit und Folgen und Schwere für die Rechte und Freiheiten der betroffenen Personen, durchzuführen. Diese Risikoabschätzung ist insbesondere dann erforderlich, wenn die personenbezogenen Daten einem größeren Personenkreis zugänglich gemacht oder veröffentlicht werden sollen oder sensible Daten, beispielsweise Gesundheitsdaten, verarbeitet werden. Hierbei ist auch eine Folgenabschätzung nach Art. 35 DSGVO zu prüfen und gegebenenfalls durchzuführen.
Geeignete Garantien (Art. 6 Abs. 4 Buchst. e DSGVO)
Der Verantwortliche hat sicherzustellen, dass die mit der Verarbeitung verbundenen Risiken durch das Ergreifen von geeigneten Schutzmaßnahmen ausgeschlossen werden können. Dies kann durch geeignete technische und organisatorische Maßnahmen gewährleistet werden. Der Gesetzgeber verweist in diesem Zusammenhang insbesondere auf Maßnahmen wie die Verschlüsselung und Pseudonymisierung (Art. 4 Nr. 5 DSGVO).
| Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |