§ 3 Allgemeine Verarbeitungsgrundsätze / I. Rechtmäßigkeit der Datenverarbeitung

Rz. 3

Nach Art. 5 Abs. 1a) DSGVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Nach Erwägungsgrund 40 soll dies der Fall sein, wenn personenbezogene Daten "mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden." Letzteres soll immer der Fall sein, wenn sich aus der DSGVO selbst oder aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten eine konkrete Ermächtigungsgrundlage zur Verarbeitung personenbezogener Daten ergibt. Derartige Ermächtigungsgrundlagen sind innerhalb der DSGVO konkret in Art. 6 DSGVO^[2] normiert, finden sich jedoch auch an anderen Stellen der Verordnung.^[3] Als Ermächtigungsgrundlagen "rechtmäßiger Verarbeitungen" kommen zudem nicht nur parlamentarische Gesetzgebungsakte, sondern auch untergesetzliche Rechtsnormen, wie Verordnungen o.ä., in Betracht soweit diese gemäß der Verfassungsordnung des betreffenden Mitgliedstaats ihrerseits rechtmäßig erlassen worden und selbst klar, präzise und für den Betroffenen vorhersehbar sind.^[4] Die Erwägungsgründe^[5] verweisen insoweit explizit auf die Rechtsprechung des EuGH und des EGMR, was insbesondere für die Anforderungen an die Vorhersehbarkeit erhebliche Auswirkungen haben kann, nachdem der EuGH zuletzt Ende 2015^[6] erneut bekräftigt hat, dass es

Zitat

"mit der Vorhersehbarkeit eines Gesetzes […] nicht unvereinbar [ist], dass die betreffende Person gezwungen ist, fachkundigen Rat einzuholen, um unter den Umständen des konkreten Falles angemessen zu beurteilen, welche Folgen sich aus einer bestimmten Handlung ergeben können."

Der EuGH sieht dies zwar insbesondere "für berufsmäßig tätige Personen, die gewohnt sind, sich bei der Ausübung ihrer Tätigkeit sehr umsichtig verhalten zu müssen" als selbstverständlich an, trifft indes innerhalb der vorgenannten Entscheidung insoweit keine konkrete Einschränkung.

Rz. 4

Damit bewegt sich der EuGH auf dem Pfad, den der Europäische Gerichtshof für Menschenrechte bereits 1982^[7] vorgegeben und seitdem mehrfach bestätigt hat.^[8] Hiernach muss ein "Gesetz" "hinreichend zugänglich und vorhersehbar, d.h., so genau formuliert sein, dass der Bürger sein Verhalten, gegebenenfalls nach Einholung sachkundigen Rates, danach richten kann", dass er in der Lage ist, "dessen Folgen für sich vorherzusehen", "unter den Umständen des Falles angemessen die Folgen einer bestimmten Handlung zu beurteilen".^[9] Auch im datenschutzrechtlichen Sinne muss die, eine Datenverarbeitung gestattende, Rechtsgrundlage daher hinreichend klar^[10] und vorhersehbar sein, was den Sinn und das Wesen der anwendbaren Maßnahmen angeht^[11] sowie den Umfang und die Art und Weise der Ausübung des Eingriffs in die Ausübung der durch die EMRK garantierten Rechte hinreichend klar definieren.^[12] Soweit Datenverarbeitungen vor diesem Hintergrund auf einen nationalstaatlichen Rechtssetzungsakt, der – ebenfalls im Einklang mit der Rechtsprechung des EGMR^[13] – nicht zwingend ein Gesetz im formellen Sinne darstellen muss, gestützt werden, ist die Rechtsgrundlage stets nicht nur auf ihre Vereinbarkeit mit der DSGVO selbst, sondern auch mit der Vereinbarkeit an die Anforderungen der Klarheit, Präzision und Vorhersehbarkeit hin zu überprüfen. Gleichsam können Verarbeitungen, die über die in der jeweiligen Rechtsgrundlage be- oder zumindest dem Sinn und Wesen nach umschriebenen Maßnahmen hinausgehen, nicht als rechtmäßige Verarbeitungen i.S.d. Art. 5 Abs. 1a) DSGVO gelten.^[14]

[2] Hierzu § 4 Rdn 1 ff.

[3] So beispielsweise in Art. 5 Abs. 1d), der vom Verantwortlichen fordert, "alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden", hierzu sogleich unter Rn 156; aber auch in Art. 13, 14 DSGVO soweit es um Datenverarbeitungen zum Zwecke der Informationsvermittlung gegenüber dem Betroffenen geht, hierzu ausführlich § 5 Rdn 35 ff.

[4] Erwägungsgrund 41.

[5] Ebenda.

[6] EuGH, Urt. v. 22.10.2015 – C-194/14 P – AC Treuhand II.

[7] EGMR, Urteil Leander gegen Schweden vom 26.3.1987, Beschwerde Nr. 9248/81, Serie A, Nr. 116, § 50.

[8] Vgl. EGMR, Urteil AFFAIRE GROPPERA RADIO AG ET AUTRES c. SUISSE vom 28.3.1990, Beschwerde Nr. 10890/84; EGMR, Urteil TOLSTOY MILOSLAVSKY v. THE UNITED KINGDOM vom 13.7.1995, Beschwerde Nr. 18139/91.

[9] EGMR, Urteil Margareta und Roger Andersson gegen Schweden vom 25.2.1992, Beschwerde Nr. 12963/87, Serie A, Nr. 226–A, S. 25, § 75.

[10] Hierzu bspw. EGMR, Urteil Tan gegen Türkei vom 3.7.2007, Beschwerde Nr. 9460/03, §§ 22 bis 26.

[11] EGMR, Urteil Kruslin gegen Frankreich vom 24.4.1990, Beschwerde Nr. 11801/85, Serie A, Nr. 176–A, § 30; Entscheidung Coban gegen Spanien vom 25.9.2006, Beschwerde Nr. 17060/02.

[12] Schlussanträge in der Rechtssache C-70/10, Scarlet Extended SA gegen Société Belge des Auteurs, Compositeurs et Éditeurs SCRL (SABAM); EGMR, Urteil Sanoma Uitgevers gegen Niederlande vom 14.9.2010, Beschwerde Nr. 38224/03, §§ 81, 82.

[...