Art. 9 Abs. 2 der Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung besonders sensibler Daten. Bisher war unklar, ob zusätzlich noch eine Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO vorliegen muss. Der EuGH hat nun Rechtssicherheit geschaffen.
DSGVO als Verbotsgesetz
Der Zweck der Datenschutz-Grundverordnung ist der Schutz betroffener Personen bei Verarbeitung von deren personenbezogenen Daten. Um diesen Zweck effektiv umzusetzen, bedarf jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage, d.h. eines spezifischen Grundes des für die Verarbeitung Verantwortlichen, warum er die jeweiligen Daten verarbeiten darf. Ohne Rechtsgrundlage dürfen personenbezogene Daten nicht verarbeitet werden.
Man bezeichnet die DSGVO deswegen als Verbotsgesetz mit Erlaubnisvorbehalt. Diese Erlaubnisvorbehalte oder Rechtsgrundlagen sind in der DSGVO abschließend festgelegt.
Wir klären das Verhältnis der Erlaubnisnormen untereinander im Lichte bestehender Meinungen und Judikatur. Gibt es einen Vorrang? Und wie sind die daran geknüpften Rechtsfolgen zu beurteilen?
Erlaubnistatbestände in der DSGVO
Rechtsgrundlagen für die Verarbeitung finden sich in Kapitel II der DSGVO zu den Grundsätzen. Einerseits stehen sie in Art. 6 Abs. 1 Unterabs. 1 lit. a) bis f) DSGVO allgemein, also für jede Verarbeitung personenbezogener Daten. Eine rechtmäßige Verarbeitung kann zum Beispiel aufgrund einer Einwilligung der betroffenen Person erfolgen oder wenn die Verarbeitung zur Erfüllung eines Vertrags oder zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist.
Zum anderen gibt es zusätzliche Anforderungen in Art. 9 Abs. 2 lit a) bis j) DSGVO für die Verarbeitung besonders sensibler personenbezogener Daten. Besonders sensible Daten sind personenbezogene Daten
- zur rassischen und ethnischen Herkunft,
- zu politische Meinungen,
- zu religiösen oder weltanschaulichen Überzeugungen,
- zur Gewerkschaftszugehörigkeit,
- zu genetischen oder biometrischen Merkmalen,
- zur Gesundheit,
- zum Sexualleben oder der sexuellen Orientierung.
Diese zusätzlichen Anforderungen umfassen unter anderem eine ausdrückliche Einwilligung in die Verarbeitung, eine Erforderlichkeit zur Wahrung lebenswichtiger Interessen, zur Durchsetzung von Rechtsansprüchen oder zum Schutz der öffentlichen Gesundheit. Die Verarbeitung sensibler Daten muss daher entweder für bestimmte Zwecke erforderlich sein oder die betroffene Person ist mit der Verarbeitung einverstanden.
Bisherige juristische Diskussion zu Art. 6 und Art. 9 DSGVO
Bisher bestand Uneinigkeit darüber, ob für die Verarbeitung sensibler personenbezogener Daten eine Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO und zusätzlich die Voraussetzungen eines der Fälle aus Art. 9 Abs. 2 DSGVO erfüllt sein müssen – oder, ob letztere selbst Rechtsgrundlagen für die Verarbeitung sensibler Daten sein können und es auf Art. 6 Abs. 1 DSGVO nicht mehr ankommt.
Die Ansicht, die Fälle in Art. 9 Abs. 2 DSGVO seien eigenständige Rechtsgrundlagen, vertraten Teile der Literatur, der Rechtsprechung und die österreichische Datenschutzbehörde. Sie stützt sich darauf, dass in der Gesetzessystematik der DSGVO Art. 6 Abs. 1 und Art. 9 Abs. 2 nicht miteinander verknüpft seien, da an keiner Stelle das Erfordernis aufgestellt wird, diese müssen gemeinsam, also kumulativ, vorliegen. Insbesondere sei in anderen Vorschriften immer die Formulierung Art. 6 Abs. 1 „oder“ Art. 9 Abs. 2 zu finden und gerade nicht „und“ oder „sowie“.
Des Weiteren seien in Art. 9 Abs. 2 DSGVO keine neuen, von Art. 6 DSGVO abweichenden Erlaubnistatbestände formuliert. Art. 6 DSGVO sei in den Erlaubnistatbeständen des Art. 9 Abs. 2 DSGVO stets inkludiert.
Daher wird mit dieser Ansicht vielfach angenommen, dass bei Rückgriff auf Art. 9 Abs. 2 DSGVO eine Anwendung von Art. 6 Abs. 1 DSGVO generell ausgeschlossen sei.
Nach der Gegenansicht, die neben Teilen der Rechtsprechung und der Literatur auch die Deutsche Datenschutzkonferenz (DSK) vertritt, kann zwar nicht auf Art. 6 Abs. 1 zurückgegriffen werden, wenn bei der Verarbeitung sensibler Daten Art. 9 Abs. 2 DSGVO nicht einschlägig ist. Jedoch kann eine Verarbeitung nicht auf Art. 9 Abs. 2 DSGVO gestützt werden, ohne dass auch gleichzeitig Art. 6 Abs. 1 DSGVO erfüllt ist. Das leite sich unter anderem aus Erwägungsgrund 51 S. 5 DSGVO ab:
„Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten.“
Aufgrund einer höheren Eingriffsintensität seien an die Rechtfertigung des Eingriffs auch höhere Anforderungen zu stellen. Art. 9 Abs. 2 DSGVO ist daher zusätzlich und nicht alternativ zu Art. 6 Abs. 1 DSGVO anzuwenden (Kurzpapier Nr. 17 der DSK, S. 2).
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Rechtsprechung zur Rechtmäßigkeit der Datenverarbeitung
Der Europäische Gerichtshof (EuGH) schloss sich im Urteil vom 21. Dezember 2023 (Az.: C-667/21) der zweiten Ansicht an. Art. 6 Abs. 1 DSGVO sei ein allgemeiner Grundsatz, der die rechtmäßige Verarbeitung personenbezogener Daten betreffe und wie die anderen Grundsätze aus Kapitel II der DSGVO (z.B. Zweckbindung und Datenminimierung) für eine Verarbeitung personenbezogener Daten erfüllt sein müsse. Art. 6 Abs. 1 Unterabs. 1 lit. a) – f) DSGVO sei eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung als rechtmäßig angesehen werden kann. Kann eine Verarbeitung nicht unter einen dieser Fälle gefasst werden, ist eine rechtmäßige Verarbeitung nicht möglich.
Damit konkretisiert der EuGH in der Antwort zur Vorlagefrage in diesem Verfahren seine eigenen Ausführungen in vorherigen Urteilen, in denen er diese Position bereits kürzer, aber im selben Wortlaut vertrat, wie im Urteil vom 4. Juli 2023 (Az.: C-252/21, Rn. 90) und im Urteil vom 22. Juni (2021 C-439/19, Rn. 99).
Art. 9 Abs. 2 DSGVO als Teil von Art. 7 bis 11 DSGVO präzisiere für sensible Daten die Pflichten, die dem Verantwortlichen nach Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 DSGVO obliegen. Daraus ergebe sich, dass eine Verarbeitung, die auf einen Fall aus Art. 9 Abs. 2 DSGVO gestützt wird, nur rechtmäßig ist, wenn sie auch Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 DSGVO erfülle.
Eine Verarbeitung muss also auch bei sensiblen Daten immer auf mindestens einen der in Art. 6 Abs. 1 genannten Rechtmäßigkeitsgründe gestützt werden können. Der EuGH räumt damit auch letzte Zweifel zur Rechtsgrundlage für die Verarbeitung sensibler Daten aus.
Bedeutung für die Datenschutzpraxis
In der Praxis ist die Verarbeitung nach Art. 6 Abs. 1 DSGVO meist rechtmäßig, wenn eine Voraussetzung des Art. 9 Abs. 2 DSGVO erfüllt ist. Die praktische Relevanz der Frage zu den Voraussetzungen der Verarbeitung sensibler Daten, war immer auf die Fälle begrenzt, in denen die Verarbeitung zwar nach Art. 9 Abs. 2 DSGVO rechtmäßig ist, aber die Voraussetzungen der jeweiligen Alternativen in Art. 9 Abs. 2 DSGVO nicht gleichzeitig die Voraussetzungen einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO umfassen.
Beispiel Feindeslisten
Die prominenteste Ausnahme dieser Art findet sich in Art. 9 Abs. 2 lit. e DSGVO. Danach dürfen sensible Daten verarbeitet werden, wenn die betroffene Person sie selbst offensichtlich öffentlich gemacht hat. An dieser Stelle entfaltet die Fragestellung jedoch eine kritische Tragweite, da sie im presserechtlichen Kontext und beispielsweise bei sogenannten Feindeslisten von Bedeutung ist. Feindeslisten sind Listen mit Namen und – je nach Ausgestaltung – weiteren Kontakt- und Stammdaten betroffener Personen, die die politische Einstellung oder die Unterstützung politischer Zwecke einer Person widerspiegelt oder widerspiegeln soll. Es sind personenbezogene Daten, aus denen die politische Meinung der betroffenen Person hervorgeht und daher sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO.
Diese Informationen werden vielfach Onlinequellen entnommen, wo die betroffenen Personen diese Daten im Zuge von Spendenaktionen oder Petitionen öffentlich gemacht haben.
Durch das Zusammentragen der Informationen und die Veröffentlichung auf entsprechenden Websites werden die personenbezogenen Daten der Aufmerksamkeit eines neuen Publikums vorgeführt. Die betroffenen Personen werden in der Folge deutlich häufiger Opfer von Verletzungen ihrer Privatsphäre und anderer Rechtsgüter. Konkret reicht das von Nachstellungen im Onlinebereich bis zu physischen Angriffen.
Der deutsche Gesetzgeber und die Rechtsprechung haben auf diesen Fall bereits anderweitig reagiert. Zum einen wurde § 126a StGB in das Strafgesetzbuch eingeführt, der ein gefährdendes Verbreiten personenbezogener Daten unter Strafe stellt. Zum anderen konnten Unterlassungs- und Schadensersatzansprüche über §§ 1004, 823 BGB in Verbindung mit einer Verletzung des Rechts auf informationelle Selbstbestimmung geltend gemacht werden.
Rein datenschutzrechtlich betrachtet, konnte eine solche Verarbeitung personenbezogener Daten (mit der Ansicht, dass Art. 9 Abs. 2 DSGVO eine eigene Rechtsgrundlage darstellt) aber unter Art. 9 Abs. 2 lit. e DSGVO gefasst werden, da die personenbezogenen Daten durch die Entscheidung der betroffenen Person auf der ursprünglichen Website unbeschränkt einsehbar sind und dadurch offensichtlich öffentlich gemacht wurden. Zu einem anderen Ergebnis kommt man nur, wenn man in die Vorschrift eine Zweckbestimmung der Veröffentlichung hineinliest, die vom Wortlaut nicht umfasst ist. Es wäre auch keine Interessenabwägung erforderlich.
Wenn man sensible Daten selbst öffentlich gemacht hat, waren diese so nicht mehr effektiv geschützt. Zwar hat die betroffene Person gegenüber dem Verantwortlichen für die Website, auf der sie ihre Informationen veröffentlicht hat, ein Widerrufsrecht, nach dem die unter Einwilligung verarbeiteten personenbezogenen Daten entfernt werden müssten. Bereits gegen die erste Person, die sich nur auf Art. 9 Abs. 2 lit. e DSGVO beruft, stellt sich die Frage, wie der vorherige Widerruf sich auf die offensichtliche Veröffentlichung auswirkt. Es besteht außerdem kein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO, das bei einer Verarbeitung aufgrund berechtigter Interessen des Verantwortlichen bestehen würde. Hinzu kommen die praktischen Schwierigkeiten einer Nachverfolgung.
Handlungsempfehlungen
Wer sich bisher nur auf die speziellen Fälle des Art. 9 Abs. 2 DSGVO bezogen hat, muss in Zukunft zusätzlich auf eine Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO zurückgreifen. Das hat insbesondere Auswirkungen auf Datenschutzinformationen gegenüber Betroffenen, das Verzeichnis der Verarbeitungstätigkeiten und interne Datenschutzregeln und -konzepte. Diese sollten entsprechend angepasst werden.
Zudem kann unter Umständen die zusätzliche Durchführung einer Interessenabwägung anfallen, wenn man neben Art. 9 DSGVO ebenfalls auf den Auffangtatbestand des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) zurückgreifen muss.
Stellen sie daher sicher, dass Ihre gesamte Datenschutzdokumentation auf einem aktuellen Stand ist. Am zuverlässigsten ist das mit einem gut eingerichteten Datenschutz-Managementsystem (DSMS) und einem erfahrenen Datenschutzbeauftragten möglich.
