gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfers

Serie Rechtsgrundlagen: Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO

/von

Sie lesen den vierten Artikel unserer Serie zu den Rechtsgrundlagen der DSGVO. Im Rahmen dieser Serie konnten Sie bisher die in der DSGVO festgelegten Regelungsgrundsätze sowie die vermutlich bekanntesten und in der Praxis häufig anzuwendenden Rechtsgrundlagen, die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und die Vertragserfüllung oder vorvertragliche Maßnahme gemäß Art. 6 Abs. 1 lit. b DSGVO kennenlernen.

In unserem Blog haben Sie jederzeit Zugriff auf die bereits veröffentlichen Beiträge der Serie, sowie auch zu anderen Themen.

Die in diesem Beitrag erläuterte Rechtsgrundlage gehört zwar zu den weniger bekannten, spielt im Unternehmensalltag dennoch häufig eine wichtige Rolle. Unterliegt der für die Verarbeitung Verantwortliche einer rechtlichen Verpflichtung, so darf er gem. Art. 6 Abs. 1 lit. c DSGVO alle zu deren Erfüllung notwendigen personenbezogenen Daten verarbeiten.                                                  

Die Verarbeitung zur Erfüllung von Rechtsvorschriften.

Kurz gesagt: Ergibt sich aus irgendeiner Vorschrift eine Pflicht zur Datenverarbeitung, dann ist die datenschutzrechtliche Zulässigkeit nicht weiter zu prüfen, sondern diese ist durch Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der jeweiligen Vorschrift gegeben. Achtung: Bei einer solchen Vorschrift kann es sich niemals um eine vertragliche Verpflichtung handeln, in solchen Fällen wäre die im letzten Artikel behandelte Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO anzuwenden.

Die rechtliche Verpflichtung wird dabei durch Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt (Art. 6 Abs. 3 Satz 1 DSGVO). Sie kann also in einer beliebigen Verordnung der EU oder in einem nationalen Gesetz eines der Mitgliedsstaaten definiert werden. In Deutschland (wir beschränken uns in diesem Artikel auf die deutsche Gesetzgebung) könnten das Bundes- oder Landesgesetze, sowie Verordnungen sein. Allein diese Aufzählung zeigt, dass die Liste der möglichen rechtlichen Verpflichtungen, die infrage kommen, sehr lang ist.

Beispielsweise sind umfassende Dokumentations- und Aufbewahrungspflichten des Handels- und Steuerrechts oder der Abgabenordnung, sowie die Regelungen der Sozialgesetzbücher und des Arbeitsrechts durch den Verantwortlichen zu erfüllen und einzuhalten.

Zusammenspiel zwischen Art. 6 Abs. 1 lit. c und Abs. 3 DSGVO

Der reine Erlaubnistatbestand „rechtliche Verpflichtung“ aus Art. 6 Abs. 1 lit. c DSGVO allein reicht demnach zur Legitimierung einer Datenverarbeitung nicht aus. Die Datenverarbeitungen hängen zusätzlich immer von gesetzlichen Regelungen ab, die als Rechtsgrundlage für die Datenverarbeitung im Einzelnen dienen und beispielsweise in den Informationen zum Datenschutz gemäß der Artikel 13 und 14 DSGVO auch zu benennen sind.

Diese zusätzlichen Anforderungen werden in Art. 6 Abs. 3 DSGVO geregelt. Hierbei sind sowohl die Rechtssetzungen der Mitgliedstaaten als auch andere Rechtssetzungen der EU zu berücksichtigen. Hierbei muss nicht für jede einzelne Datenverarbeitung ein spezielles Gesetz herangezogen werden. Ein Gesetz kann vielmehr auch für eine Reihe von Verarbeitungsvorgängen die Basis bilden.

Typische Fallkonstellationen des Art. 6 Abs. 1 lit. c DSGVO

Einige typische Beispiele zur Anwendung des Art. 6 Abs. 1 lit. c DSGVO führen wir im Folgenden auf:

Aufbewahrungspflichten

Aufbewahrungspflichten stellen einen häufig vorkommenden Anwendungsfall dar, unter dem personenbezogene Daten zur Erfüllung einer gesetzlichen Verpflichtung verarbeitet werden. Solche Aufbewahrungspflichten finden sich in der deutschen Gesetzgebung über zahlreiche Gesetze verteilt: Zu nennen sind hier beispielsweise das Einkommen- und Umsatzsteuergesetz, die Abgabenordnung oder die Sozialgesetzbücher. Sogar das Bundesfinanzministerium hat sich das Recht herausgenommen, mit den „Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (kurz GoBD) entsprechende Regelungen zu erlassen. Bei den GoBD handelt es sich zwar um kein Gesetz, allerdings haben sie Gesetzescharakter und derzeit wird nicht bestritten, dass es sich bei den GoBD um eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO handelt.

Auch Ärzte und Krankenhäuser sind gesetzlich verpflichtet Daten über ihre Patienten über lange Zeiträume aufzubewahren. Hier kann die Verarbeitung allerdings nicht nur auf Art. 6 Abs. 1 lit. c DSGVO gestützt werden, sondern es sind zusätzlich die Bestimmungen des Art. 9 DSGVO zu beachten. Schließlich werden im Zusammenhang mit der Durchführung des Behandlungsvertrages naturgemäß Gesundheitsdaten verarbeitet werden, die zu den besonderen Kategorien personenbezogener Daten gehören.

Beschäftigungsverhältnisse

Auch Unternehmen müssen Daten der Beschäftigten zu Zwecken der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses verarbeiten und damit auch speichern. Neben den datenschutzrechtlichen Spezialregelungen für Beschäftigtenverhältnisse gibt es rechtliche Verpflichtungen, Daten an die Sozialversicherungsträger oder das Finanzamt zu übermitteln. Auch im Bereich der Arbeitssicherheit oder im Rahmen der Beschäftigten- und/oder Schwerbehindertenvertretungen gibt es gesetzliche Regelungen.

Flugreisen

Ob auf Urlaub- oder Geschäftsreise, stets wird eine Vielzahl von personenbezogenen Daten zu den einzelnen Flugreisenden gespeichert und verarbeitet und gegebenenfalls sogar an Dritte übermittelt.  Zur Abwicklung von Passagierflügen müssen die Daten der Fluggäste gespeichert und gegebenenfalls an die Bundespolizeibehörde weitergegeben werden (§ 31a BPolG).

Fazit

Der Art 6 Abs. 1 lit. c DSGVO reicht zwar für die Legitimation einer Datenverarbeitung aus. Allerdings sorgt er im ersten Schritt lediglich dafür, dass eine Verarbeitung aufgrund gesetzlicher Verpflichtung nicht direkt am allgemeinen Verarbeitungsverbot des Art. 6 Abs. 1 DSGVO scheitert.

Zusätzlich benötigen Sie – sozusagen als Begründung – die Angabe der rechtlichen Verpflichtung in Form einer Referenz in das entsprechende Gesetz.

 

Sie benötigen Unterstützung bei der Beurteilung der Rechtsgrundlage Ihrer Verarbeitungen? Sprechen Sie uns an, wir helfen Ihnen gerne!

Dieser Artikel ist Teil unserer Reihe zu den Rechtsgrundlagen. Die anderen finden Sie hier:

 

 


Diesen Beitrag teilen

Das könnte Dich auch interessieren
vdeoüberwachung10,4 Mio. Euro Bußgeldgeld wegen Videoüberwachung
brexit datenschutzBrexit – haben wir endlich eine Lösung?
betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungStandortbestimmung – ist Ihr Unternehmen fit für die DSGVO?
hacker pentest penetrationstest abmahnung abmahnfähigSind Verstöße gegen die DSGVO abmahnfähig? – Bislang keine Abmahnwelle
rechtsgrundlage lebenswichtige interessen übermittlung an anwalt rechtsverteidigung rechtsdurchsetzung bem einwilligung eugh bußgeldSerie Rechtsgrundlagen: Die lebenswichtigen Interessen nach Art. 6 Abs. 1 lit. d DSGVO
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigertMeldepflichten bei Datenpannen unter der DSGVO