Rz. 157
Nach Art. 6 Abs. 1 lit. c) DSGVO ist die Verarbeitung personenbezogener Daten zudem rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Die rechtliche Verpflichtung ist im Sinne einer gesetzlichen (nicht vertraglichen) Verpflichtung des Verantwortlichen zu verstehen, die ihre Grundlage im Unionsrecht oder im Recht des Mitgliedstaates, dem der Verantwortliche unterliegt, finden muss. Dabei wird nicht für jeden einzelnen Verarbeitungsvorgang ein spezifisches Gesetz verlangt, sondern ein Gesetz kann als Grundlage für mehrere Verarbeitungsvorgänge ausreichend sein. Gesetzliche Verpflichtungen im Unionsrecht oder im Recht der Mitgliedstaaten sollten jedoch bestimmen, für welche Zwecke die Daten verarbeitet werden dürfen. Weiter darf hierin festgelegt werden,
▪ |
wie der Verantwortliche zu bestimmen ist, |
▪ |
welche Art von personenbezogenen Daten verarbeitet werden, |
▪ |
welche Personen betroffen sind, |
▪ |
welchen Einrichtungen die personenbezogenen Daten offengelegt werden dürfen, |
▪ |
für welche Zwecke und wie lange sie gespeichert werden dürfen und |
▪ |
welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt. |
Rz. 158
Eine unmittelbar in der Verordnung selbst geregelte Verpflichtung findet sich z.B. in Art. 5 Abs. 1 lit. d) DSGVO, die den Verantwortlichen verpflichtet und damit auch berechtigt, die bei ihm vorhandenen personenbezogenen Daten Betroffener regelmäßig zu aktualisieren und deren Richtigkeit zu gewährleisten. Als rechtliche Verpflichtungen des Verantwortlichen kommen in Deutschland die Erfüllung der in § 11a RDG normierten Darlegungs- und Informationspflichten bei Inkassodienstleistungen oder Auskunftspflichten nach § 22 Abs. 1 GastG, 23 Abs. 2 WoGG oder 57 SGB II in Betracht; ebenso ist an Aufbewahrungspflichten für Buchführungsunterlagen (§§ 147, 169, 170 AO), Aufzeichnungspflichten über zahnärztliche Behandlung einschl. KfO (Patienten- Karteikarten) gem. § 5 Abs. 2 BMV –2 und § 4 Abs. 2 VdAK-Vertrag oder solche nach § 28 Abs. 3 RöV in Bezug auf Röntgenbilder zu denken. Diese Liste ließe sich unter Beachtung der zahlreichen Spezialgesetze und Verordnungen in Deutschland buchfüllend fortführen. Die vorstehenden Beispiele sollen lediglich ein Gefühl für das Regelungsgefüge in Art. 6 Abs. 1 lit. c) DSGVO geben.
Rz. 159
Eine rechtliche Verpflichtung kann sich auch aus einer gefestigten Rechtsprechung ergeben. In diesem Zusammenhang sei auf ein aktuelles Urteil des IV. Zivilsenates des BGH und die hier anklingende datenschutzrechtliche Problematik hingewiesen. In dem zu entscheidenden Sachverhalt ging es um die vorformulierte Einwilligung zum Erhalt von E-Mail-Werbung, die über das die Einwilligung konkret einholende Unternehmen auf zahlreiche weitere Unternehmen (sog. Sponsoren) erstreckt worden war. Die Einwilligung erwies sich genau aus diesem Grunde als unwirksam. Mit Blick auf die strengen Anforderungen an die Beseitigung eines Störungszustandes, war das Unternehmen, welches die Einwilligung eingeholt hatte, nicht nur dazu verpflichtet, für das eigene Unternehmen, sondern auch durch Einwirkung auf seine Werbepartner für die Zukunft sicher zu stellen, dass an den Betroffenen zukünftig keine Werbung per E-Mail versandt werden wird, solange eine gesetzesmäßige Einwilligung nicht vorliegt. Hierzu bedurfte es nach den gerichtlichen Feststellungen der Übermittlung personenbezogener Daten des Betroffenen an die Werbepartner ("Sponsoren"), insbesondere der Übermittlung seiner E-Mail-Adresse. Der Betroffene hatte der Bekanntgabe gegenüber dem Werbenden ausdrücklich widersprochen. Der BGH sieht diesen Widerspruch im Ergebnis jedoch als unbeachtlich an, da für selbige eine datenschutzrechtliche (gesetzliche) Befugnis des Werbenden/Verantwortlichen streitet. Mangels einer Befugnisnorm im BDSG, die auf die Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen abstellt, stützt sich der BGH insoweit auf das "Vorliegen eines berechtigten Interesses" und führt aus, dass ein solches in der Erfüllung der, sich aus dem bestehenden Unterlassungsanspruch ergebenden, Verpflichtung zur Folgenbeseitigung liegen könne. Unter Beachtung der DSGVO wäre die Übermittlung der zur effektiven Durchsetzung des Folgenbeseitigungsanspruches notwendigen personenbezogenen Daten zukünftig auf Grundlage des Art. 6 Abs. 1 lit. c) DSGVO zulässig.
Rz. 160
Da auch die Befugnis nach Art. 6 Abs. 1 lit c) DSGVO durch das Kriterium der "Erforderlichkeit" begrenzt wird, die hier – enger als in Art. 6 Abs. 1 lit. b) DSGVO – auf diejenigen Daten bezogen ist, die die jeweilige gesetzliche Verpflichtung konkret beschreibt, wären im von BGH behandelten Fall neben der E-Mail-Adresse auch weitere personenidentifizierbare Merkmale übermittlungsfähig gewesen, jedenfalls der vollständige Name des Betroffenen, ggf. auch weitere Informationen über seine ...