Rz. 38
Die Rechtmäßigkeit der Verarbeitung ist unmittelbar in Art. 6 DSGVO definiert und in mehreren EG der DSGVO wie z. B. EG 39, 40, 44 bis 47, 51, 63, 69 und 112 erwähnt und näher erläutert.
Auf nationaler Ebene wird Art. 6 DSGVO im BDSG ergänzt bzw. konkretisiert und der bislang im deutschen Datenschutzrecht unbekannte Begriff der "Rechtmäßigkeit" der Verarbeitung übernommen; im Einzelnen enthalten dessen
- § 3 (Verarbeitung personenbezogener Daten durch öffentliche Stellen),
- § 4 (Videoüberwachung öffentlich zugänglicher Räume),
- § 23 (Verarbeitung zu anderen Zwecken durch öffentliche Stellen),
- § 24 (Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen),
- § 25 (Datenübermittlungen durch öffentliche Stellen),
- § 26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses),
- § 27 (Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken und
- § 31 (Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften).
Regelungen zur Rechtmäßigkeit der Verarbeitung. Lediglich § 31 BDSG verwendet noch den Begriff "Zulässigkeit".
Im Sozialdatenschutz wurde der Begriff Rechtmäßigkeit der Verarbeitung nicht aufgenommen; hier wird insbesondere in den §§ 67a bis 67d SGB X weiterhin die Zulässigkeit der verschiedenen Phasen der Verarbeitung von Sozialdaten geregelt. Insoweit wird ergänzend auf die entsprechenden Kommentierungen hingewiesen und nachstehend nur kurz auf Art. 6 DSGVO eingegangen.
Rz. 39
Nach Art. 6 Abs. 1 DSGVO ist eine Verarbeitung nur rechtmäßig, wenn eine der nachstehend aufgelisteten Bedingungen erfüllt ist:
- die betroffene Person hat ihre Einwilligung erteilt (Buchst. a),
- die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich (Buchst. b),
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (Buchst. c),
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Buchst. d),
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Buchst. e),
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Buchst. f). Diese Bedingung gilt nach Satz 2 nicht für die Aufgabenerfüllung von Behörden.
Rz. 40
Art. 6 Abs. 2 und 3 DSGVO enthalten Öffnungsklauseln zur Verarbeitung nach Abs. 1 Buchst. c und e.
Art. 6 Abs. 4 DSGVO regelt die Voraussetzungen für eine Zweckänderung der Verarbeitung. Diese sollte nur zulässig sein, "wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten" (EG 50 DSGVO). Zur Zweckbindung vgl. auch Rz. 43.
Im Sozialdatenschutz finden sich die entsprechenden ergänzenden Regelungen zur Zweckbindung oder -änderung vor allem in den §§ 67c und 78 SGB X. Auf die jeweiligen Kommentierungen wird ergänzend verwiesen.