DSGVO: Was bedeutet das Verbotsprinzip für gesetzliche Verpflichtungen zur Datenverarbeitung?
Die DSGVO in der betrieblichen Praxis. Das neue Buch erscheint in Kürze und beantwortet mehr als 120 Fragen zum neuen europäischen Datenschutzrecht, das ab 25. Mai 2018 anzuwenden ist. In diesem Blog werden vorab einige Fragen veröffentlicht (Härting, Datenschutz-Grundverordnung, 2016).
Gesetzliche Pflichten zur Datenverarbeitung stehen dem Verbotsprinzip entgegen.
Geltendes Recht
Art. 7 lit. c DSRL erlaubt die Verarbeitung personenbezogener Daten, wenn die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Verarbeitung Verantwortliche unterliegt.
Im BDSG findet sich keine Vorschrift, deren Wortlaut Art. 7 lit. c DSRL entspricht. Allerdings lässt § 4 Abs. 1 BDSG eine gesetzliche „Anordnung“ der Datenverarbeitung für eine Erlaubnis genügen: („soweit … eine andere Rechtsvorschrift dies erlaubt oder anordnet …“) (Plath, in: Plath (Hrsg.), BDSG, § 4 Rz. 3 u. 4).
Merke:
Soweit beispielsweise das Geldwäschegesetz (GWG) Banken, Versicherungen und Finanzdienstleister zur Erhebung und Speicherung von Daten und zu Auskünften an Behörden verpflichtet, ergibt sich die datenschutzrechtliche Befugnis zur Erhebung, Verarbeitung und Nutzung der jeweiligen Daten aus den jeweiligen Normen des GWG i.V.m. § 4 Abs. 1 BDSG.
Änderungen durch die DSGVO
Gemäß Art. 6 Abs. 1 Satz 1 lit. c DSGVO ist die Erfüllung einer rechtlichen Verpflichtung ein eigenständiger Erlaubnistatbestand:
“die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt”.
Die rechtliche Verpflichtung, aus der sich die Erlaubnis ableitet, muss sich aus EU-Recht ergeben oder aus dem Recht des Heimatsstaates des Datenverarbeiters (Art. 6 Abs. 3 Satz 1 DSGVO).
Merke:
Durch Art. 6 Abs. 1 Satz 1 lit. c DS-VO sind gesetzliche Normen erfasst, die insbesondere folgende Verpflichtungen enthalten:
- Pflichten zur Einholung von Auskünften und zur Erhebung von Kundendaten;
- Aufzeichnungs- und Dokumentationspflichten;
- Aufbewahrungs- und Speicherpflichten;
- Auskunfts- und Herausgabepflichten.
Konflikte zwischen dem Verbotsprinzip und gesetzlichen Pflichten zur Datenverarbeitung und zum Zusammenwirken mit Behörden werden durch Art. 6 Abs. 1 Satz 1 lit. c DSGVO somit gelöst:
Die Erfüllung der gesetzlichen Pflichten hat Vorrang vor dem Verarbeitungsverbot.