Buch Berechtigtes Interesse_Demo
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Das „berechtigte <strong>Interesse</strong><br />
iSd Art 6 Abs 1 lit f DSGVO<br />
1. Auflage<br />
mit<br />
Stellungnahme der Artikel-29-Datenschutzgruppe (WP 217)<br />
Stellungnahme 06/2014 zum Begriff des berechtigten <strong>Interesse</strong>s des<br />
für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie<br />
95/46/EG<br />
Ing. Mag. Michael Furtlehner
Sämtliche Angaben in diesem <strong>Buch</strong> erfolgen trotz sorgfältiger Bearbeitung und<br />
Kontrolle ohne Gewähr. Eine Haftung des Autors aus dem Inhalt dieses Werkes ist<br />
ausgeschlossen.<br />
Grafik & Design:<br />
Michael Furtlehner Netsystem, Bäckerfeld 13, 4331 Naarn<br />
Cover-Foto: © wladimir1804 / Fotolia<br />
Druck:<br />
epubli - ein Service der neopubli GmbH, Berlin<br />
Kontakt zum Autor:<br />
Ing. Mag. Michael Furtlehner<br />
Bäckerfeld 13<br />
4331 Naarn<br />
E-Mail: michael.furtlehner@netsystem.at<br />
Web: www.netsystem.at<br />
© 2018 Michael Furtlehner Netsystem
Vorwort<br />
In Art 6 Abs 1 DSGVO werden jene Erlaubnistatbestände taxativ<br />
aufgezählt, die eine Rechtsgrundlage für eine Datenverarbeitung<br />
personenbezogener Daten begründen. Unter anderem ist demnach eine<br />
Verarbeitung dann rechtmäßig, wenn die Verarbeitung zur Wahrung der<br />
berechtigten <strong>Interesse</strong>n des Verantwortlichen oder eines Dritten<br />
erforderlich ist, sofern nicht die <strong>Interesse</strong>n oder Grundrechte und<br />
Grundfreiheiten der betroffenen Person, die den Schutz<br />
personenbezogener Daten erfordern, überwiegen, insbesondere dann,<br />
wenn es sich bei der betroffenen Person um ein Kind handelt.<br />
Die in der Praxis häufig gestellte Frage „Was ist denn ein berechtigtes<br />
<strong>Interesse</strong>“ kann leider nur mit dem Juristen-Standardsatz „Das kommt<br />
darauf an …“ beantwortet werden, da dieser Begriff von vielen Faktoren<br />
abhängt und für jede Verarbeitung individuell ausgelegt werden muss.<br />
Das „berechtigte <strong>Interesse</strong>“ war bereits eine zulässige Rechtsgrundlage<br />
zur Verarbeitung personenbezogener Daten vor Geltung der DSGVO und<br />
erfordert immer eine <strong>Interesse</strong>nabwägung und Begründung im<br />
Einzelfall. Die Artikel-29-Datenschutzgruppe hat in ihrem Arbeitspapier<br />
WP 217 bereits am 9. April 2014 eine Stellungnahme zum Begriff des<br />
berechtigten <strong>Interesse</strong>s abgegeben, welche als Orientierungshilfe für die<br />
Begründung bzw Auslegung des Begriffs dient.<br />
Auf Grundlage dieser Stellungnahme wird in diesem <strong>Buch</strong> das<br />
„berechtigte <strong>Interesse</strong> iSd Art 6 Abs 1 lit f DSGVO“ aus verschiedenen<br />
Blickwinkeln betrachtet und versucht, eine praxistaugliche Anleitung<br />
sowie ein Prüfschema aufzustellen, welches für die einzelnen<br />
Datenverarbeitungen angewendet werden kann. Der Vollständigkeit<br />
halber darf hier gleich angemerkt werden, dass keine Art von Leitlinien<br />
die <strong>Interesse</strong>nabwägung durch den Verantwortlichen ersetzen kann,<br />
sondern nur als Orientierungshilfen für bestimmte, in der Praxis oft<br />
vorkommenden Verarbeitungssituationen unterstützen. 1<br />
Im zweiten Teil des <strong>Buch</strong>es wird die Stellungnahme 06/2014 zum Begriff<br />
des berechtigten <strong>Interesse</strong>s des für die Verarbeitung Verantwortlichen<br />
gemäß Artikel 7 der Richtlinie 95/46/EG der Artikel-29-Datenschutzgruppe<br />
abgedruckt.<br />
Naarn, im Oktober 2018<br />
Michael Furtlehner<br />
1 Vgl Heberlein in Ehmann/Selmayr, DS-GVO 2 (2018), Art 6 Rz 32.
Inhaltsverzeichnis<br />
Abkürzungsverzeichnis ............................................................................... 11<br />
Einleitung ......................................................................................... 13<br />
Historie ............................................................................................. 15<br />
Verbotsprinzip mit Erlaubnisvorbehalt ................................ 19<br />
III.1 Rechtmäßigkeit der Verarbeitung gem Art 6 Abs 1 .................... 19<br />
III.1.1 Behörden ................................................................................................................................... 29<br />
III.2<br />
III.3<br />
Rechtmäßigkeit bei Verarbeitung besonderer Kategorien<br />
personenbezogener Daten gem Art 9 ................................................ 31<br />
Rechtmäßigkeit bei Verarbeitung von personenbezogenen<br />
Daten über strafrechtliche Verurteilungen und Straftaten ...... 37<br />
Voraussetzungen ........................................................................... 38<br />
IV.1 <strong>Berechtigtes</strong> <strong>Interesse</strong> .............................................................................. 39<br />
IV.1.1 <strong>Interesse</strong> .................................................................................................................................... 40<br />
IV.1.2 Rechtmäßig .............................................................................................................................. 41<br />
IV.1.3 Hinreichend klar formuliert .............................................................................................. 41<br />
IV.1.4 Gegenwärtig und tatsächlich vorhanden..................................................................... 41<br />
IV.2 Erforderlichkeit der Verarbeitung ...................................................... 41<br />
IV.3 <strong>Interesse</strong>nabwägung ................................................................................. 42<br />
IV.3.1 Grundrechte und Grundfreiheiten des Betroffenen ............................................... 43<br />
IV.3.2 Vernünftige Erwartungen der betroffenen Person ................................................. 46<br />
IV.3.3 Kinder ......................................................................................................................................... 46<br />
IV.3.4 Folgen für die betroffene Person .................................................................................... 46<br />
IV.3.5 Art der Daten ........................................................................................................................... 47<br />
IV.3.6 Art und Weise, wie die Daten verarbeitet werden .................................................. 48<br />
IV.4 Schutzmaßnahmen .................................................................................... 49<br />
IV.5 Transparenz .................................................................................................. 52<br />
7
IV.5.1 Informationspflicht nach Art 13 DSGVO ...................................................................... 56<br />
IV.5.2 Informationspflicht nach Art 14 DSGVO ...................................................................... 59<br />
IV.6 Kein Widerspruch ...................................................................................... 63<br />
IV.6.1 Allgemeiner Widerspruch nach Art 21 Abs 1 ............................................................ 65<br />
IV.6.2 Widerspruch gegen Direktwerbung nach Art 21 Abs 2 ........................................ 66<br />
IV.6.3 EXKURS „Robinsonliste..................................................................................................... 67<br />
IV.6.4 EXKURS „ECG-Liste ............................................................................................................. 68<br />
IV.7 Dokumentationspflicht des Verantwortlichen .............................. 68<br />
IV.8 Empfohlene Prüfungsschritte ............................................................... 69<br />
Die Artikel-29-Datenschutzgruppe ........................................ 72<br />
V.1 Der Europäischen Datenschutzausschuss EDSA .......................... 73<br />
V.1.1 Zusammensetzung ................................................................................................................ 74<br />
V.1.2 Aufgaben ................................................................................................................................... 75<br />
WP 217 .......................................................................................... 83<br />
Zusammenfassung ........................................................................................ 85<br />
I. Einleitung ........................................................................................ 87<br />
Allgemeine Bemerkungen ......................................................... 90<br />
II.1 Kurze Vorgeschichte ................................................................................. 90<br />
II.2 Rolle des Begriffs ........................................................................................ 95<br />
II.3 Verwandte Begriffe .................................................................................... 97<br />
II.4 Kontext und strategische Konsequenzen ..................................... 100<br />
Analyse der Bestimmungen .................................................... 101<br />
III.1 Überblick über Artikel 7 ....................................................................... 101<br />
III.1.1 Einwilligung oder „erforderlich f“r... ........................................................................ 101<br />
8
III.1.2 Verbindung mit Artikel 8 ................................................................................................. 103<br />
III.2 Artikel 7 <strong>Buch</strong>staben a bis e ............................................................... 106<br />
III.2.1 Einwilligung ........................................................................................................................... 106<br />
III.2.2 Vertrag ..................................................................................................................................... 107<br />
III.2.3 Rechtliche Verpflichtung .................................................................................................. 111<br />
III.2.4 Lebenswichtige <strong>Interesse</strong>n .............................................................................................. 114<br />
III.2.5 Öffentliche Aufgabe ............................................................................................................ 115<br />
III.3 Artikel 7 <strong>Buch</strong>stabe f: berechtigte <strong>Interesse</strong>n............................. 119<br />
III.3.1 Berechtigte <strong>Interesse</strong>n des für die Verarbeitung Verantwortlichen (oder<br />
Dritter) ..................................................................................................................................... 120<br />
III.3.2 <strong>Interesse</strong>n oder Rechte der betroffenen Person .................................................... 129<br />
III.3.3 Einführung in die Anwendung der Prüfung der Ausgewogenheit der<br />
<strong>Interesse</strong>n ............................................................................................................................... 131<br />
III.3.4 Schlüsselfaktoren, die bei der Anwendung der Prüfung der Ausgewogenheit<br />
der <strong>Interesse</strong>n zu berücksichtigen sind ..................................................................... 136<br />
III.3.5 Rechenschaftspflicht und Transparenz ..................................................................... 154<br />
III.3.6 Das Widerspruchsrecht und mehr ............................................................................... 156<br />
Abschließende Bemerkungen ................................................ 163<br />
IV.1 Fazit ............................................................................................................... 163<br />
IV.2 Empfehlungen ........................................................................................... 169<br />
Anhang 1 ........................................................................................................ 175<br />
Anhang 2 ........................................................................................................ 183<br />
Stichwortverzeichnis ................................................................................. 205<br />
9
Das „berechtigte )nteresse<br />
Einleitung<br />
Einleitung<br />
Das geltende Datenschutzrecht ist eine Verbotsnorm mit<br />
Erlaubnisvorbehalt. Es ist also jegliche Datenverarbeitung personenbezogener<br />
Daten verboten, es sei denn es liegt ein Ausnahmetatbestand<br />
iSd Art 6 Abs 1, Art 9 bzw. Art 10 DSGVO 2 vor.<br />
Art 6 normiert sechs Alternativtatbestände, die eine Rechtsgrundlage für<br />
die Datenverarbeitung von personenbezogenen Daten geben und regelt<br />
das „Ob der Datenverarbeitung. 3 Die Verarbeitung von besonderen<br />
Kategorien personenbezogener Daten ist nur bei Vorliegen der<br />
Voraussetzungen des Art 9 und die Verarbeitung von personenbezogenen<br />
Daten über strafrechtliche Verurteilungen und Straftaten<br />
nach Art 10 DSGVO zulässig.<br />
Der oft fälschlicherweise verbreiteten Meinung, dass immer eine<br />
Einwilligung des Betroffenen eingeholt werden muss, kann<br />
entgegengehalten werden, dass die DSGVO noch fünf weitere<br />
Tatbestände kennt, die eine Datenverarbeitung erlauben.<br />
Neben der Zustimmung (Art 6 Abs 1 lit a) ist eine Verarbeitung auch<br />
dann möglich, wenn diese für die Erfüllung eines Vertrags (Art 6 Abs 1<br />
lit b) oder zur Erfüllung einer rechtlichen Verpflichtung (Art 6 Abs 1<br />
lit c) erforderlich ist. Weiters liegt eine gültige Rechtsgrundlage vor,<br />
wenn die Verarbeitung erforderlich ist, um lebenswichtige <strong>Interesse</strong>n<br />
der betroffenen Person oder einer anderen natürlichen Person zu<br />
schützen (Art 6 Abs 1 lit d) oder wenn die Verarbeitung für die<br />
Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen<br />
<strong>Interesse</strong> liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem<br />
Verantwortlichen übertragen wurde (Art 6 Abs 1 lit e).<br />
Letztendlich ist die Verarbeitung iSd Art 6 Abs 1 lit f auch dann zulässig,<br />
wenn diese zur Wahrung der berechtigten <strong>Interesse</strong>n des<br />
Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die<br />
<strong>Interesse</strong>n oder die Grundrechte und Grundfreiheiten der betroffenen<br />
Person, die den Schutz personenbezogener Daten erfordern,<br />
überwiegen.<br />
2 Artikel ohne Gesetzesangabe sind solche der DSGVO.<br />
3 Vgl Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO Rz 1 (Stand<br />
1.10.2018, rdb.at).<br />
13
Das „berechtigte )nteresse<br />
Einleitung<br />
Ob eine Rechtsgrundlage iSd Art 6 Abs 1 lit a bis e vorliegt ist in den<br />
meisten Fällen unkompliziert zu prüfen. Es herrscht aber weiterhin 4<br />
große Rechtsunsicherheit, ob und unter welchen Voraussetzungen ein<br />
berechtigtes <strong>Interesse</strong> als Rechtsgrundlage und somit als Zulässigkeitsvoraussetzung<br />
für die Datenverarbeitung greift.<br />
Einen Anhaltspunkt liefert die Stellungnahme der Artikel-29-<br />
Datenschutzgruppe zum Begriff des berechtigten <strong>Interesse</strong>s, welche<br />
auch im Anwendungsbereich der DSGVO gültig ist und für die Prüfung<br />
der Voraussetzungen und Abwägung der <strong>Interesse</strong>n herangezogen<br />
werden kann.<br />
Ob eine Rechtmäßigkeit im Sinne eines „berechtigten <strong>Interesse</strong>s nach<br />
Art 6 Abs 1 lit f vorliegt, ist immer im Einzelfall zu prüfen und zu<br />
dokumentieren.<br />
Wann ein <strong>Interesse</strong> als berechtigt anzusehen ist, welche Kriterien in eine<br />
<strong>Interesse</strong>nabwägung miteinbezogen werden müssen und nach welchem<br />
Schema ein eventuell vorliegendes berechtigtes <strong>Interesse</strong> geprüft<br />
werden kann, wird in diesem <strong>Buch</strong> zusammengefasst und vereinfacht<br />
dargestellt.<br />
Die Prüfung der Rechtmäßigkeit erfolgt nach den Regeln der DSGVO. Da<br />
diese in vielen Bereichen auslegungsbedürftig ist und deswegen oft ein<br />
Rückgriff auch die entsprechenden Erwägungsgründe empfehlenswert<br />
ist, werden in der Folge nach einem Auszug des Gesetzestextes die dazu<br />
passenden Erwägungsgründe angedruckt.<br />
Gerade bei der <strong>Interesse</strong>nabwägung ist es empfehlenswert sich an der<br />
Stellungnahme 06/2014 zum Begriff des berechtigten <strong>Interesse</strong>s des für<br />
die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie<br />
95/46/EG der Artikel-29-Datenschutzgruppe zu orientieren. Die in<br />
diesem <strong>Buch</strong> genannten Vorgehensweisen sowie die zu berücksichtigenden<br />
Faktoren bei der Abwägung greifen auf die von der Gruppe<br />
vorgeschlagenen Anleitung zur Durchführung der Prüfung der<br />
Ausgewogenheit der <strong>Interesse</strong>n zurück.<br />
Die vollständige Stellungnahme ist in diesem <strong>Buch</strong> ab Seite 83 enthalten.<br />
4 Ein überwiegendes berechtigtes <strong>Interesse</strong> war auch schon eine Rechtsgrundlage nach<br />
§ 8 Abs 1 Z 4 DSG 2000, welches seinen Ursprung in Art 7 lit f DSRL hatte.<br />
14
Das „berechtigte )nteresse<br />
Verbotsprinzip mit Erlaubnisvorbehalt<br />
Verbotsprinzip mit Erlaubnisvorbehalt<br />
Das Verbotsprinzip mit Erlaubnisvorbehalt wurde im Vergleich zur<br />
Datenschutz-Richtlinie 25 nicht verändert. Dh jegliche Datenverarbeitung<br />
mit personenbezogenen Daten ist grundsätzlich verboten, es sei denn,<br />
einer der in Art 6, 9 oder 10 DSGVO genannten Ausnahmetatbestände<br />
erlaubt die Datenverarbeitung.<br />
Bereits nach Art 8 Abs 2 GRC bedarf jede Verarbeitung personenbezogener<br />
Daten einer Einwilligung der betroffenen Person oder einer<br />
gesetzlichen Legitimation. Ausgangspunkt hierf“r ist, „dass der<br />
Einzelne grds selbst (err seiner Daten sein soll. 26<br />
Ergänzt wird das Verbot mit Erlaubnisvorbehalt durch das<br />
übergreifende Prinzip der Erforderlichkeit. Sämtliche Erlaubnistatbestände<br />
(mit Ausnahme der Einwilligung des Betroffenen) stehen<br />
unter dem ausdrücklichen Vorbehalt, dass die Verarbeitung personenbezogener<br />
Daten nur dann zulässig ist, wenn diese im Rahmen des<br />
jeweiligen Erlaubnistatbestands erforderlich ist. 27<br />
III.1 Rechtmäßigkeit der Verarbeitung gem Art 6 Abs 1<br />
Art 6 normiert die Rechtmäßigkeit der Datenverarbeitung für nichtsensible<br />
Daten. Abs 1 zählt dabei taxativ und damit abschließend die<br />
einzelnen Erlaubnistatbestände auf und differenziert hierbei neben der<br />
Einwilligung fünf Kategorien möglicher gesetzlicher Erlaubnistatbestände.<br />
Eine der sechs Tatbestands-Alternativen für die<br />
Rechtmäßigkeit einer Datenverarbeitung personenbezogener Daten ist<br />
das Vorliegen berechtigter <strong>Interesse</strong>n des Verantwortlichen oder eines<br />
Dritten gem Art 6 Abs 1 lit f DSGVO.<br />
Abs 2 normiert eine Öffnungsklausel, die den Mitgliedstaaten die<br />
Möglichkeit zur Bewahrung und Fortentwicklung des mitgliedstaatlichen<br />
Datenschutzrechts vor allem im öffentlichen Bereich<br />
eröffnet.<br />
Abs 4 konkretisiert den in Art 5 Abs 2 lit b normierten Zweckbindungsgrundsatz,<br />
ist jedoch kein eigener Erlaubnistatbestand. 28<br />
25 Art 7 DSRL.<br />
26 Vgl Frenz Handbuch Europarecht, Rn 1380; ähnlich Streinz/Michl EuZW 2011, 384 f.<br />
27 Vgl <strong>Buch</strong>ner/Petri in Kühling/<strong>Buch</strong>ner DS-GVO (2017), Art 6 Rz 15.<br />
28 Vgl <strong>Buch</strong>ner/Petri in Kühling/<strong>Buch</strong>ner DS-GVO (2017), Art 6 Rz 2-4.<br />
19
Das „berechtigte )nteresse<br />
Verbotsprinzip mit Erlaubnisvorbehalt<br />
Artikel 6 Rechtmäßigkeit der Verarbeitung<br />
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der<br />
nachstehenden Bedingungen erfüllt ist:<br />
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung<br />
der sie betreffenden personenbezogenen Daten für einen oder<br />
mehrere bestimmte Zwecke gegeben;<br />
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen<br />
Vertragspartei die betroffene Person ist, oder zur Durchführung<br />
vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der<br />
betroffenen Person erfolgen;<br />
c) die Verarbeitung ist zur Erfüllung einer rechtlichen<br />
Verpflichtung erforderlich, der der Verantwortliche unterliegt;<br />
d) die Verarbeitung ist erforderlich, um lebenswichtige <strong>Interesse</strong>n<br />
der betroffenen Person oder einer anderen natürlichen Person<br />
zu schützen;<br />
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe<br />
erforderlich, die im öffentlichen <strong>Interesse</strong> liegt oder in Ausübung<br />
öffentlicher Gewalt erfolgt, die dem Verantwortlichen<br />
übertragen wurde;<br />
f) die Verarbeitung ist zur Wahrung der berechtigten<br />
<strong>Interesse</strong>n des Verantwortlichen oder eines Dritten<br />
erforderlich, sofern nicht die <strong>Interesse</strong>n oder Grundrechte<br />
und Grundfreiheiten der betroffenen Person, die den Schutz<br />
personenbezogener Daten erfordern, überwiegen,<br />
insbesondere dann, wenn es sich bei der betroffenen Person<br />
um ein Kind handelt.<br />
Unterabsatz 1 <strong>Buch</strong>stabe f gilt nicht für die von Behörden in Erfüllung<br />
ihrer Aufgaben vorgenommene Verarbeitung.<br />
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur<br />
Anpassung der Anwendung der Vorschriften dieser Verordnung<br />
in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1<br />
<strong>Buch</strong>staben c und e beibehalten oder einführen, indem sie<br />
spezifische Anforderungen für die Verarbeitung sowie sonstige<br />
Maßnahmen präziser bestimmen, um eine rechtmäßig und nach<br />
Treu und Glauben erfolgende Verarbeitung zu gewährleisten,<br />
einschließlich für andere besondere Verarbeitungssituationen<br />
gemäß Kapitel IX.<br />
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1<br />
<strong>Buch</strong>staben c und e wird festgelegt durch<br />
20
Das „berechtigte )nteresse<br />
Verbotsprinzip mit Erlaubnisvorbehalt<br />
a) Unionsrecht oder<br />
b) das Recht der Mitgliedstaaten, dem der Verantwortliche<br />
unterliegt.<br />
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt<br />
oder hinsichtlich der Verarbeitung gemäß Absatz 1 <strong>Buch</strong>stabe e für die<br />
Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen <strong>Interesse</strong><br />
liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem<br />
Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann<br />
spezifische Bestimmungen zur Anpassung der Anwendung der<br />
Vorschriften dieser Verordnung enthalten, unter anderem<br />
Bestimmungen darüber, welche allgemeinen Bedingungen für die<br />
Regelung der Rechtmäßigkeit der Verarbeitung durch den<br />
Verantwortlichen gelten, welche Arten von Daten verarbeitet werden,<br />
welche Personen betroffen sind, an welche Einrichtungen und für welche<br />
Zwecke die personenbezogenen Daten offengelegt werden dürfen,<br />
welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden<br />
dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt<br />
werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer<br />
rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie<br />
solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel<br />
IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im<br />
öffentlichen <strong>Interesse</strong> liegendes Ziel verfolgen und in einem<br />
angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.<br />
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu<br />
demjenigen, zu dem die personenbezogenen Daten erhoben<br />
wurden, nicht auf der Einwilligung der betroffenen Person oder<br />
auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten,<br />
die in einer demokratischen Gesellschaft eine notwendige und<br />
verhältnismäßige Maßnahme zum Schutz der in Artikel 23<br />
Absatz 1 genannten Ziele darstellt, so berücksichtigt der<br />
Verantwortliche — um festzustellen, ob die Verarbeitung zu<br />
einem anderen Zweck mit demjenigen, zu dem die<br />
personenbezogenen Daten ursprünglich erhoben wurden,<br />
vereinbar ist — unter anderem<br />
a) jede Verbindung zwischen den Zwecken, für die die<br />
personenbezogenen Daten erhoben wurden, und den Zwecken<br />
der beabsichtigten Weiterverarbeitung,<br />
b) den Zusammenhang, in dem die personenbezogenen Daten<br />
erhoben wurden, insbesondere hinsichtlich des Verhältnisses<br />
zwischen den betroffenen Personen und dem Verantwortlichen,<br />
21
Das „berechtigte )nteresse<br />
Verbotsprinzip mit Erlaubnisvorbehalt<br />
c) die Art der personenbezogenen Daten, insbesondere ob<br />
besondere Kategorien personenbezogener Daten gemäß Artikel<br />
9 verarbeitet werden oder ob personenbezogene Daten über<br />
strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10<br />
verarbeitet werden,<br />
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für<br />
die betroffenen Personen,<br />
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung<br />
oder Pseudonymisierung gehören kann.<br />
Artikel 6 gibt vor, unter welchen Voraussetzungen eine<br />
Datenverarbeitung rechtmäßig ist. Neu ist die Einführung des Worts<br />
„mindestens 29 , wodurch verstanden werden kann, dass eine<br />
Datenverarbeitung auch auf mehrere Rechtsgrundlagen gestützt werden<br />
kann. 30<br />
Die Rechtmäßigkeit ist auch nach den Grundsätzen der Datenverarbeitung<br />
iSd Art 5 Abs 1 lit a bei jeder Verarbeitung personenbezogener<br />
Daten im ersten Schritt zu prüfen und somit die wichtigste<br />
Voraussetzung bei der Prüfung, ob eine Datenverarbeitung datenschutzrechtlich<br />
zulässig ist.<br />
Liegt zumindest ein alternativer Rechtsgrund iSd Art 6 Abs 1 lit a bis f<br />
vor, ist die Datenverarbeitung grundsätzlich zulässig. 31 Kann die<br />
Datenverarbeitung keinem Rechtsgrund zugeordnet werden, ist die<br />
Verarbeitung von vornherein nicht zulässig.<br />
Die entsprechenden Erwägungsgründe können bei der Auslegung der<br />
Rechtmäßigkeit Aufschluss geben, wobei der Begriff des berechtigten<br />
<strong>Interesse</strong>s hauptsächlich auf ErwGr 47 zurückzuführen ist.<br />
ErwGr 39 (Grundsätze der Datenverarbeitung) 32<br />
Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und<br />
Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen,<br />
dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder<br />
anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten<br />
29 Vgl die englische Sprachfassung „[…] at least one oft he following applies“.<br />
30 Vgl Schulz in Gola, DS-GVO Art 6 Rz 18; Frenzel in Paal/Pauly, DS-GVO/BDSG2 Art 6 Rz<br />
3, 8; <strong>Buch</strong>ner/Petri in Kühling/<strong>Buch</strong>ner, DS-GVO Art 6 Rz 13,22; Siehe auch<br />
Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO (Stand 1.10.2018,<br />
rdb.at) Rz 15.<br />
31 Für die Verarbeitung personenbezogener Daten besonderer Kategorien siehe die<br />
Erlaubnistatbestände des Art 9; für die Verarbeitung strafrechtlicher Daten siehe Art 10.<br />
32 Die folgenden Titel der Erwägungsgründe sind inoffizielle Bezeichnungen des Autors.<br />
22
Das „berechtigte )nteresse<br />
Verbotsprinzip mit Erlaubnisvorbehalt<br />
verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der<br />
Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung<br />
dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und<br />
einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die<br />
Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung<br />
und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick<br />
auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine<br />
Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende<br />
personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die<br />
Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung<br />
personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre<br />
diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten<br />
Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und<br />
rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten<br />
feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie<br />
verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer<br />
Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die<br />
Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß<br />
beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen,<br />
wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel<br />
erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht<br />
länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre<br />
Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte<br />
unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder<br />
berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre<br />
Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass<br />
Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit<br />
denen diese verarbeitet werden, benutzen können.<br />
ErwGr 39 ist maßgeblich für die Normierung des Grundsatzes der<br />
Rechtmäßigkeit, Transparenz und der Verarbeitung nach Treu und<br />
Glauben. 33 Weiters finden sich darin auch die Grundsätze der<br />
Speicherbegrenzung 34 , Datenminimierung 35 , Richtigkeit 36 sowie<br />
Integrität und Vertraulichkeit. 37<br />
ErwGr 40 (Rechtmäßigkeit der Datenverarbeitung)<br />
Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit<br />
Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen<br />
Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder — wann<br />
immer in dieser Verordnung darauf Bezug genommen wird — aus dem sonstigen<br />
Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der<br />
Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche<br />
unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene<br />
33 Vgl Art 5 Abs 1 lit a DSGVO.<br />
34 Vgl Art Abs 1 lit e DSGVO.<br />
35 Vgl Art 5 Abs 1 lit c DSGVO.<br />
36 Vgl Art 5 Abs 1 lit d DSGVO.<br />
37 Vgl Art 5 Abs 1 lit f DSGVO.<br />
23
Das „berechtigte )nteresse<br />
Verbotsprinzip mit Erlaubnisvorbehalt<br />
die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von<br />
gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit<br />
zusammenhängender Dienste, die über diese Netze oder Informationssysteme<br />
angeboten werden bzw. zugänglich sind, beeinträchtigen. Ein solches berechtigtes<br />
<strong>Interesse</strong> könnte beispielsweise darin bestehen, den Zugang Unbefugter zu<br />
elektronischen Kommunikationsnetzen und die Verbreitung schädlicher<br />
Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von<br />
Servern „Denial of service-Angriffe) und Schädigungen von Computer- und<br />
elektronischen Kommunikationssystemen abzuwehren.<br />
ErwGr 50 (Weiterverarbeitung)<br />
Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die<br />
personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn<br />
die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich<br />
erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte<br />
Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen<br />
Daten. Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im<br />
öffentlichen <strong>Interesse</strong> liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem<br />
Verantwortlichen übertragen wurde, so können im Unionsrecht oder im Recht der<br />
Mitgliedstaaten die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die<br />
eine Weiterverarbeitung als vereinbar und rechtmäßig erachtet wird. Die<br />
Weiterverarbeitung für im öffentlichen <strong>Interesse</strong> liegende Archivzwecke, für<br />
wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke<br />
sollte als vereinbarer und rechtmäßiger Verarbeitungsvorgang gelten. Die im<br />
Unionsrecht oder im Recht der Mitgliedstaaten vorgesehene Rechtsgrundlage für die<br />
Verarbeitung personenbezogener Daten kann auch als Rechtsgrundlage für eine<br />
Weiterverarbeitung dienen. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit<br />
dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden,<br />
vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die<br />
Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein<br />
Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben<br />
wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, in welchem<br />
Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der<br />
betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug<br />
auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten<br />
es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen<br />
Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten<br />
Weiterverarbeitungsvorgang geeignete Garantien bestehen. Hat die betroffene Person<br />
ihre Einwilligung erteilt oder beruht die Verarbeitung auf Unionsrecht oder dem Recht<br />
der Mitgliedstaaten, was in einer demokratischen Gesellschaft eine notwendige und<br />
verhältnismäßige Maßnahme zum Schutz insbesondere wichtiger Ziele des allgemeinen<br />
öffentlichen <strong>Interesse</strong>s darstellt, so sollte der Verantwortliche die personenbezogenen<br />
Daten ungeachtet der Vereinbarkeit der Zwecke weiterverarbeiten dürfen. In jedem Fall<br />
sollte gewährleistet sein, dass die in dieser Verordnung niedergelegten Grundsätze<br />
angewandt werden und insbesondere die betroffene Person über diese anderen Zwecke<br />
und über ihre Rechte einschließlich des Widerspruchsrechts unterrichtet wird. Der<br />
Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der<br />
öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen<br />
Daten in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben<br />
Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, an eine<br />
zuständige Behörde sollten als berechtigtes <strong>Interesse</strong> des Verantwortlichen gelten. Eine<br />
27
Das „berechtigte )nteresse<br />
Verbotsprinzip mit Erlaubnisvorbehalt<br />
hoheitlichen Maßnahmen fällt. Ob ein Organ eine Behörde ist, legt der<br />
Gesetzgeber fest, indem er hoheitliche Aufgaben zuweist. 46 Ob der Staat<br />
hoheitlich oder nichthoheitlich handelt, erkennt man an der Form des<br />
Handelns. Bedient er sich einer Rechtsatzform, wie etwa Verordnung<br />
oder Bescheid, liegt hoheitliches Handeln vor.<br />
Der Tatbestand des Art 6 Abs 1 lit f ist nicht für Behörden in Erfüllung<br />
ihrer Aufgaben vorgenommener Datenverarbeitungen anwendbar.<br />
Eine Behörde kann demnach bei der Erfüllung ihrer Aufgaben kein<br />
berechtigtes <strong>Interesse</strong> an einer Datenverarbeitung personenbezogener<br />
Daten haben.<br />
Hoheitsverwaltung liegt immer dann vor, wenn der Staat dem Bürger<br />
hoheitlich in Ausübung von imperium, also mit Befehls- und<br />
Zwangsgewalt, gegenübertritt.<br />
Somit ist bei der Frage, ob es sich um eine Behörde handelt und eine<br />
Zulässigkeit aufgrund eines berechtigten <strong>Interesse</strong>s iSd Art 6 Abs 1 lit f<br />
ausscheidet, mE immer wichtig abzugrenzen, ob die Behörde die<br />
Datenverarbeitung im Zuge der Hoheitsverwaltung durchführt.<br />
Eine Schule bspw kann als Behörde angesehen werden, da sie Bescheide<br />
erlässt. Zwar keine Bescheide iSd AVG, allerdings „bescheidähnliche<br />
Entscheidungen, die nach den Grundregeln eines rechtsstaatlichen<br />
Verfahrens erstellt und kundgemacht werden. 47 Bei diesen hoheitlichen<br />
Datenverarbeitungen kommt Art 6 Abs 1 letzter Satz DSGVO zur<br />
Anwendung, welcher besagt, dass sich die Behörde nicht auf den<br />
Rechtsgrund des berechtigten <strong>Interesse</strong>s stützen kann.<br />
Handelt die Schule aber nicht hoheitlich, indem sie zB eine Schulwebsite<br />
betreibt oder Fotos während einer Schulveranstaltung aufnimmt, ist mE<br />
jedenfalls eine Rechtsgrundlage iSd Art 6 Abs 1 lit f DSGVO zulässig, da<br />
es gerade in diesen Fällen nicht dem Gesetzgeber obliegt, per<br />
Rechtsvorschrift die Rechtsgrundlage für diese Verarbeitungen von<br />
personenbezogenen Daten durch die Behörden zu schaffen.<br />
Außerdem wären ohne Unterscheidung in hoheitliche und nicht<br />
hoheitliche Datenverarbeitungen sämtliche Datenverarbeitungen einer<br />
Behörde unzulässig, die bereits vor Geltung der DSGVO vorgenommen<br />
wurden und sich auf die Zulässigkeitsvoraussetzung nach § 8 Abs 1 Z 4<br />
46 Vgl Leitl, Öffentliches Recht I 2 (2007), Rz 14/28.<br />
47 Vgl Juranek, Wo die Schule juristisch wird, S&R 1/2016, 56.<br />
30
Das „berechtigte )nteresse<br />
Verbotsprinzip mit Erlaubnisvorbehalt<br />
DSG 2000 stützten. Demnach dürften in Behörden dann auch keine<br />
Videoüberwachungen durchgeführt werden oder keine Maßnahmen zur<br />
Einhaltung der IT-Sicherheit gesetzt werden, die sich auf den<br />
Rechtsgrund des berechtigten <strong>Interesse</strong>s stützen.<br />
Folglich wird diese Einschränkung so auszulegen sein, dass ein<br />
berechtigtes <strong>Interesse</strong> einer Behörde nur bei Verarbeitungen<br />
personenbezogener Daten für gesetzliche Aufgaben der Behörde<br />
ausgeschlossen ist.<br />
Liegt also kein hoheitliches Handeln vor, sondern handelt die Behörde<br />
bzw im weiteren Sinne der Staat iSd Privatwirtschaftsverwaltung 48 , kann<br />
sehr wohl auf die Rechtsgrundlage des Art 6 Abs 1 lit f DSGVO<br />
zurückgegriffen werden. 49<br />
III.2 Rechtmäßigkeit bei Verarbeitung besonderer<br />
Kategorien personenbezogener Daten gem Art 9<br />
Art 9 regelt die Verarbeitung besonderer Kategorien personenbezogener<br />
Daten. Dies sind personenbezogene Daten, aus denen die<br />
rassische und ethnische Herkunft, politische Meinungen, religiöse oder<br />
weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit<br />
hervorgehen, sowie die Verarbeitung von genetischen Daten,<br />
biometrischen Daten zur eindeutigen Identifizierung einer natürlichen<br />
Person, Gesundheitsdaten oder Daten zum Sexualleben oder der<br />
sexuellen Orientierung einer natürlichen Person. 50<br />
Biometrische Daten sind mit speziellen technischen Verfahren<br />
gewonnene personenbezogene Daten, zu den physischen, physiologischen<br />
oder verhaltenstypischen Merkmale einer natürlichen Person<br />
zählen, die die eindeutige Identifizierung dieser natürlichen Person<br />
ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische<br />
Daten. 51 Biometrische Daten sind allerdings nur dann als Daten<br />
besonderer Kategorien einzustufen, wenn sie nicht nur abstrakt zur<br />
eindeutigen Identifizierung einer natürlichen Person führen, sondern<br />
auch tatsächlich zu diesem Zweck verarbeitet werden. 52<br />
48 Vgl Art 17, 116 Abs 2 B-VG.<br />
49 Ebenso Schulz in Gola, Art 6 Rz 50; bzw Herberlein in Ehmann/Selmayr, DS-GVO 2<br />
(2018) Art 6 Rz 21.<br />
50 Vgl Art 9 Abs 1 DSGVO.<br />
51 Darunter sind Fingerabdruckdaten zu verstehen.<br />
52 Vgl Feiler/Forgó, EU-DSGVO Kurzkommentar (2006), Art 9 Rz 3.<br />
31
Das „berechtigte )nteresse<br />
Voraussetzungen<br />
Voraussetzungen<br />
Um eine Datenverarbeitung auf die Rechtsgrundlage „berechtigtes<br />
)nteresse“ iSd Art 6 Abs 1 lit f DSGVO stützen zu können, müssen<br />
folgende Voraussetzungen erfüllt werden. Eine Datenverarbeitung ist<br />
demnach – wie auch bereits nach Art 7 lit f DSRL – rechtmäßig, wenn<br />
1. ein berechtigtes <strong>Interesse</strong> des Verantwortlichen oder eines<br />
Dritten vorliegt,<br />
2. als Ergebnis einer <strong>Interesse</strong>nabwägung die Grundrechte und<br />
Grundfreiheiten der Betroffenen nicht den berechtigten<br />
<strong>Interesse</strong>n des Verantwortlichen überwiegen 55 ,<br />
3. die Datenverarbeitung für die Erreichung des berechtigten<br />
<strong>Interesse</strong>s erforderlich ist.<br />
Sind diese Voraussetzungen gegeben, ist die Datenverarbeitung soweit<br />
zulässig. Zusätzlich sind natürlich auch neben der Rechtmäßigkeit noch<br />
die restlichen Grundsätze der Datenverarbeitung gem Art 5 DSGVO<br />
einzuhalten.<br />
Weiters dürfen personenbezogene Daten nur so lange verarbeitet<br />
werden, als kein Widerspruch gem Art 21 DSGVO vorliegt! Für<br />
Verantwortliche bedeutet dies, dass es für jede Datenverarbeitung<br />
basierend auf Art 6 Abs 1 lit f die Möglichkeit geben muss, personenbezogene<br />
Daten von Betroffenen auszuschließen, die von ihrem<br />
Betroffenenrecht auf Widerspruch Gebrauch gemacht haben.<br />
Damit betroffene Personen über die Verarbeitungen informiert werden,<br />
obliegt dem Verantwortlichen eine sog Informationspflicht. Die<br />
Datenverarbeitungen müssen somit dem Transparenz-Grundsatz<br />
entsprechen und dürfen personenbezogene Daten nur nach Treu und<br />
Glauben verarbeiten.<br />
Im Zuge der Rechenschaftspflicht wird dem Verantwortlichen dringend<br />
empfohlen, eine schriftliche Dokumentation über das Vorliegen eines<br />
berechtigten <strong>Interesse</strong>s anzufertigen und im Verarbeitungsverzeichnis<br />
abzulegen.<br />
55 Vgl Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung Praktikerhandbuch<br />
(2018), 132.<br />
38
Das „berechtigte )nteresse<br />
Voraussetzungen<br />
IV.1 <strong>Berechtigtes</strong> <strong>Interesse</strong><br />
Es reicht nicht aus, dass der Verantwortliche ein <strong>Interesse</strong> daran hat,<br />
einen wirtschaftlichen oder ideellen Nutzen aus der Verarbeitung zu<br />
ziehen. Vielmehr muss ein berechtigtes <strong>Interesse</strong> vorliegen. Zu den<br />
berechtigten <strong>Interesse</strong>n eines Verantwortlichen zählen neben den<br />
rechtlichen <strong>Interesse</strong>n auch tatsächliche, wirtschaftliche bzw ideelle<br />
<strong>Interesse</strong>n.<br />
Bloße Allgemeininteressen sind demgegenüber nicht ausreichend.<br />
Handelt es sich um <strong>Interesse</strong>n der öffentlichen Sicherheit, Gesundheit<br />
oder des Wohlergehens des Menschens, ist hier nicht das berechtigte<br />
<strong>Interesse</strong>, sondern eher Art 6 Abs 1 lit e DSGVO maßgebend.<br />
In den ErwGr 47 ff werden beispielhaft berechtigte <strong>Interesse</strong>n genannt,<br />
die aber jeweils im Einzelfall genau zu prüfen und zu dokumentieren<br />
sind. Pauschale Aussagen können in diesem Zusammenhang schwer<br />
getroffen werden, da es immer auf die gesamten Umstände des<br />
Einzelfalls ankommt.<br />
Beispiele für berechtigte <strong>Interesse</strong>n:<br />
<br />
Verhinderung von Betrug im unbedingt erforderlichen<br />
Umfang 56 ,<br />
Direktwerbung 57<br />
Übermittlung personenbezogener Daten in einer<br />
Unternehmensgruppe<br />
<br />
Wahrung der Sicherheit wie zB Netz- und Informationssicherheit<br />
58<br />
Eine Liste von Beispielen für das Vorliegen von berechtigten <strong>Interesse</strong>n<br />
findet sich im Anhang 2 der Artikel-29-Datenschutzgruppe WP 217. 59<br />
56 Vgl Anhang 2 der Artikel-29-Datenschutzgruppe WP 217 (Praktische Beispiele zur<br />
Veranschaulichung der Anwendung der Prüfung der Ausgewogenheit der <strong>Interesse</strong>n<br />
nach Artikel 7 <strong>Buch</strong>stabe f); siehe in diesem <strong>Buch</strong> ab Seite 193.<br />
57 Vgl Anhang 2 der Artikel-29-Datenschutzgruppe WP 217; siehe in diesem <strong>Buch</strong> ab<br />
Seite 188.<br />
58 Vgl Anhang 2 der Artikel-29-Datenschutzgruppe WP 217; siehe in diesem <strong>Buch</strong> ab<br />
Seite 197.<br />
59 Siehe in diesem <strong>Buch</strong> ab Seite 183.<br />
39
Das „berechtigte )nteresse<br />
Voraussetzungen<br />
vollständig erfüllt werden kann. 69 Darunter fällt auch, dass die<br />
Aufgabe auf andere Weise nur<br />
— mit unverhältnismäßig großen Schwierigkeiten oder<br />
— mit unvertretbar höheren Aufwand oder<br />
— verspätet erfüllt werden könnte.<br />
Es sollte jedoch immer geprüft werden, ob es für die konkrete<br />
Zielerreichung noch gelindere Maßnahmen gibt. Die Ausnahmen und<br />
Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten<br />
sind dabei auf das absolut Notwendige zu beschränken. 70<br />
IV.3 <strong>Interesse</strong>nabwägung<br />
Liegt ein (erforderliches) berechtigtes <strong>Interesse</strong> des Verantwortlichen<br />
vor, ist im nächsten Schritt zu prüfen, ob diesem berechtigten <strong>Interesse</strong><br />
die Grundrechte und Grundfreiheiten des Betroffenen überwiegen.<br />
Dabei sind sämtliche Umstände zu berücksichtigen und zu bewerten<br />
sowie einerseits die Bedeutung der Verarbeitung für den<br />
Verantwortlichen mit dem Eingriff in die Privatsphäre des Betroffenen<br />
andererseits gegenüberzustellen.<br />
Auch die in Frage kommenden Schutzmaßnahmen müssen angemessen<br />
und ausreichend sein und im Zuge der <strong>Interesse</strong>nabwägung<br />
berücksichtigt werden.<br />
Sind die <strong>Interesse</strong>n gleichwertig, ist die Datenverarbeitung iSd<br />
Art 6 Abs 1 lit f DSGVO bereits rechtmäßig.<br />
Der Beweis, dass die Grundrechte des Betroffenen überwiegen und<br />
deshalb gerade keine Rechtmäßigkeit gegeben ist, obliegt dem<br />
Betroffenen. Dieser muss ein überwiegendes <strong>Interesse</strong> am Schutz der<br />
personenbezogenen Daten gegenüber dem berechtigten <strong>Interesse</strong> des<br />
Verantwortlichen oder Dritten an der Datenverarbeitung nachweisen. 71<br />
Die Beweislast des überwiegenden Schutzinteresses des Betroffen liegt<br />
beim Betroffenen selbst. 72 Erst im Zuge eines Widerspruchs iSd Art 21<br />
69 Vgl https://www.datenschutz-wiki.de/Erforderlichkeit (Abfrage am 19.9.2018).<br />
70 Vgl EuGH 4.5.2017, C-13/16, Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas<br />
pārvalde gegen Rīgas pašvaldības S)A „Rīgas satiksme<br />
71 Vgl Fercher/Riedl, DSGVO: Entstehungsgeschichte und Problemstellungen aus<br />
österreichischer Sicht, in Knyrim (Hrsg), Datenschutz-Grundverordnung (2016) 20.<br />
72 Georgieva in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zur Datenschutz-<br />
Grundverordnung 1 , 2017.<br />
42
Das „berechtigte )nteresse<br />
Voraussetzungen<br />
DSGVO tritt eine ex-post Beweislastumkehr ein, wodurch dann den<br />
Verantwortlichen die Behauptungs- und Beweislast trifft. 73<br />
Je größer der Eingriff und das mit der Datenverarbeitung verbundene<br />
Risiko für die Grundrechte und Grundfreiheiten der betroffenen Person,<br />
desto eher bedarf es einer Rechtfertigung des Verantwortlichen. 74<br />
IV.3.1<br />
Grundrechte und Grundfreiheiten des Betroffenen<br />
Bei der Abwägung der berechtigten <strong>Interesse</strong>n an der Verarbeitung mit<br />
den <strong>Interesse</strong>n und den Grundrechten und Grundfreiheiten der<br />
betroffenen Person sind insbesondere die Grundrechte aus Art 7 und 8<br />
GRC, sowie Art 8 EMRK und § 1 DSG zu berücksichtigen. 75<br />
Art 7 GRC<br />
Achtung des Privat- und Familienlebens<br />
Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens,<br />
ihrer Wohnung sowie ihrer Kommunikation.<br />
Art 8 GRC<br />
Schutz personenbezogener Daten<br />
(1) Jede Person hat das Recht auf Schutz der sie betreffenden<br />
personenbezogenen Daten.<br />
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte<br />
Zwecke und mit Einwilligung der betroffenen Person oder auf<br />
einer sonstigen gesetzlich geregelten legitimen Grundlage<br />
verarbeitet werden. Jede Person hat das Recht, Auskunft über die<br />
sie betreffenden erhobenen Daten zu erhalten und die<br />
Berichtigung der Daten zu erwirken.<br />
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen<br />
Stelle überwacht.<br />
Art 8 EMRK<br />
Recht auf Achtung des Privat- und Familienlebens<br />
(1) Jedermann hat Anspruch auf Achtung seines Privat- und<br />
Familienlebens, seiner Wohnung und seines Briefverkehrs.<br />
73 Vgl Haidinger in Knyrim, DatKomm Art 21 DSGVO Rz 39 (Stand 1.10.2018, rdb.at).<br />
74 Vgl Diregger, Handbuch Datenschutzrecht (2018), 294.<br />
75 Vgl Heberlein in Ehmann/Selmayr, DS-GVO 2 (2018), Art 6 Rz 28.<br />
43
Das „berechtigte )nteresse<br />
Voraussetzungen<br />
<br />
<br />
<br />
<br />
die Erteilung der Information unmöglich ist, ODER<br />
einen unverhältnismäßigen Aufwand erfordert, ODER<br />
die Daten für eine in einem öffentlich <strong>Interesse</strong> liegenden<br />
Archivzweck, für wissenschaftliche oder historische<br />
Forschungszwecke oder für statistische Zwecke verarbeitet<br />
werden, ODER<br />
die Ziele der Verarbeitung dadurch gefährdet werden.<br />
Artikel 14<br />
Informationspflicht, wenn die personenbezogenen Daten nicht bei<br />
der betroffenen Person erhoben wurden<br />
(1) Werden personenbezogene Daten nicht bei der betroffenen<br />
Person erhoben, so teilt der Verantwortliche der betroffenen<br />
Person Folgendes mit:<br />
a) den Namen und die Kontaktdaten des Verantwortlichen sowie<br />
gegebenenfalls seines Vertreters;<br />
b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;<br />
c) die Zwecke, für die die personenbezogenen Daten verarbeitet<br />
werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;<br />
d) die Kategorien personenbezogener Daten, die verarbeitet<br />
werden;<br />
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern<br />
der personenbezogenen Daten;<br />
f) gegebenenfalls die Absicht des Verantwortlichen, die<br />
personenbezogenen Daten an einen Empfänger in einem<br />
Drittland oder einer internationalen Organisation zu<br />
übermitteln, sowie das Vorhandensein oder das Fehlen eines<br />
Angemessenheitsbeschlusses der Kommission oder im Falle von<br />
Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49<br />
Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder<br />
angemessenen Garantien und die Möglichkeit, eine Kopie von<br />
ihnen zu erhalten, oder wo sie verfügbar sind.<br />
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der<br />
Verantwortliche der betroffenen Person die folgenden<br />
Informationen zur Verfügung, die erforderlich sind, um der<br />
betroffenen Person gegenüber eine faire und transparente<br />
Verarbeitung zu gewährleisten:<br />
60
Das „berechtigte )nteresse<br />
Voraussetzungen<br />
a) die Dauer, für die die personenbezogenen Daten gespeichert<br />
werden oder, falls dies nicht möglich ist, die Kriterien für die<br />
Festlegung dieser Dauer;<br />
b) wenn die Verarbeitung auf Artikel 6 Absatz 1 <strong>Buch</strong>stabe f beruht,<br />
die berechtigten <strong>Interesse</strong>n, die von dem Verantwortlichen oder<br />
einem Dritten verfolgt werden;<br />
c) das Bestehen eines Rechts auf Auskunft seitens des<br />
Verantwortlichen über die betreffenden personenbezogenen<br />
Daten sowie auf Berichtigung oder Löschung oder auf<br />
Einschränkung der Verarbeitung und eines Widerspruchsrechts<br />
gegen die Verarbeitung sowie des Rechts auf<br />
Datenübertragbarkeit;<br />
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 <strong>Buch</strong>stabe a oder<br />
Artikel 9 Absatz 2 <strong>Buch</strong>stabe a beruht, das Bestehen eines<br />
Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die<br />
Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf<br />
erfolgten Verarbeitung berührt wird;<br />
e) das Bestehen eines Beschwerderechts bei einer<br />
Aufsichtsbehörde;<br />
f) aus welcher Quelle die personenbezogenen Daten stammen und<br />
gegebenenfalls ob sie aus öffentlich zugänglichen Quellen<br />
stammen;<br />
g) das Bestehen einer automatisierten Entscheidungsfindung<br />
einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und —<br />
zumindest in diesen Fällen — aussagekräftige Informationen<br />
über die involvierte Logik sowie die Tragweite und die<br />
angestrebten Auswirkungen einer derartigen Verarbeitung für<br />
die betroffene Person.<br />
(3) Der Verantwortliche erteilt die Informationen gemäß den<br />
Absätzen 1 und 2<br />
a) unter Berücksichtigung der spezifischen Umstände der<br />
Verarbeitung der personenbezogenen Daten innerhalb einer<br />
angemessenen Frist nach Erlangung der personenbezogenen<br />
Daten, längstens jedoch innerhalb eines Monats,<br />
b) falls die personenbezogenen Daten zur Kommunikation mit der<br />
betroffenen Person verwendet werden sollen, spätestens zum<br />
Zeitpunkt der ersten Mitteilung an sie, oder,<br />
c) falls die Offenlegung an einen anderen Empfänger beabsichtigt<br />
ist, spätestens zum Zeitpunkt der ersten Offenlegung.<br />
61
Das „berechtigte )nteresse<br />
Voraussetzungen<br />
Abs 6 enthält ein separates Widerspruchsrecht für Datenverarbeitungen<br />
zu wissenschaftlichen oder historischen Forschungszwecken oder zu<br />
statistischen Zwecken, soweit die Verarbeitung nicht zur Erfüllung einer<br />
im öffentlichen <strong>Interesse</strong> liegenden Aufgabe erforderlich ist.<br />
Je nach Art der Datenverarbeitung kann ein allgemeiner<br />
Widerspruch 109 gem Art 21 Abs 1 oder ein Widerspruch gegen<br />
Datenverarbeitungen zum Zweck der Direktwerbung 110 vorliegen.<br />
Für einen rechtmäßigen Widerspruch ist eine Erklärung der betroffenen<br />
Person gegenüber dem Verantwortlichen erforderlich, mit der die<br />
betroffene Person mitteilt, dass sie mit der Verarbeitung nicht<br />
einverstanden ist. Durch die Geltendmachung eines Widerspruchs tritt<br />
die Ex-post-Beweislastumkehr ein, die auch von der Artikel-29-<br />
Datenschutzgruppe in ihrer Stellungnahme zum Begriff des berechtigten<br />
<strong>Interesse</strong>s (siehe ab Seite 87) ausdrücklich befürwortet wurde. 111<br />
Es gibt keine Formvorschriften, wobei aber die Schriftlichkeit im<br />
Hinblick auf die Fristen gem Art 12 Abs 3 und 4 DSGVO empfehlenswert<br />
ist. Der Betroffene sollte bei der Antragstellung seine Identität in<br />
geeigneter Weise nachweisen.<br />
IV.6.3<br />
EXKURS „Robinsonliste“<br />
Unabhängig von den Regeln des Datenschutzrechts gibt es auch für<br />
unerwünschtes persönlich adressiertes Werbematerial die sog<br />
Robinsonliste, welche beim Fachverband Werbung und<br />
Marktkommunikation gem § 151 Abs 9 GewO 1994 zu führen und den<br />
österreichischen Adressverlagen und Direktmarketingunternehmen zur<br />
Verfügung zu stellen ist.<br />
Ein Eintrag 112 in der Robinsonliste bewirkt, dass ein Konsument oder ein<br />
Unternehmen kein persönlich adressiertes Werbematerial per Post<br />
zugesandt bzw verteilt bekommen. Wobei lediglich Adressverlage und<br />
Direktwerbeunternehmen diese Liste berücksichtigen müssen. Plant ein<br />
Unternehmen bspw eine Werbeaussendung für ihre Kunden, ist diese<br />
109 Siehe IV.6.1 Allgemeiner Widerspruch nach Art 21 Abs 1, Seite 65.<br />
110 Siehe IV.6.2 Widerspruch gegen Direktwerbung nach Art 21 Abs 2, Seite 66.<br />
111 Vgl Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO (Stand<br />
1.10.2018, rdb.at) Rz 52.<br />
112 Ein Antrag auf Aufnahme in die Robinsonliste kann elektronisch gestellt werden<br />
unter https://apppool.wko.at/Robinsonliste/Registrierung.aspx.<br />
67
Das „berechtigte )nteresse<br />
Voraussetzungen<br />
Liste nicht verpflichtend zu berücksichtigen. 113 Der Empfänger muss<br />
bloß die Möglichkeit haben, sich von künftigen Werbezusendungen<br />
abzumelden.<br />
Die Robinsonliste wird monatlich aktualisiert und den österreichischen<br />
Adressverlagen und Direktmarketingunternehmen von der WKO<br />
kostenlos zur Verfügung gestellt. 114<br />
IV.6.4<br />
EXKURS „ECG-Liste“<br />
Analog der Robinsonliste gibt es auch eine sog elektronische<br />
Robinsonliste, die bei der Telekom-Regulierungsbehörde RTR<br />
(Rundfunk und Telekom Regulierungs-GmbH) geführt wird. In die gem §<br />
7 ECG geführte ECG-Liste können sich alle natürlichen und juristischen<br />
Personen kostenlos eintragen können, um künftig keine Werbe-E-Mails<br />
mehr zu erhalten.<br />
Diensteanbieter, die Werbe-E-Mails versenden, haben diese Liste zu<br />
beachten und dürfen an die in dieser Liste enthaltenen<br />
Empfängeradressen keine Werbe-E-Mails zusenden.<br />
Ein zuverlässiger Schutz gegen jegliche SPAM-Nachrichten ist dies<br />
freilich nicht, da SPAM-Mails überwiegend von Personen versandt<br />
werden, denen rechtliche Vorschriften egal sind und als Absender meist<br />
nicht identifiziert werden können.<br />
Eine Nichteintragung in die ECG-Liste bedeutet aber nicht, dass<br />
unaufgeforderte, unerbetene E-Mail-Werbung zulässig ist. Nach § 107<br />
TKG 2003 ist E-Mail-Werbung grds nur mit vorheriger Einwilligung des<br />
Empfängers zulässig. Es gibt aber gewisse Ausnahmen bei bestehender<br />
Geschäftsbeziehung. 115<br />
Verstöße gegen § 107 TKG 2003 werden mit Verwaltungsstrafen bis zu<br />
€ . sanktioniert.<br />
IV.7 Dokumentationspflicht des Verantwortlichen<br />
Den Verantwortlichen trifft iSd Art 5 Abs 2 eine sog Rechenschaftspflicht.<br />
Dh er muss nachweisen können, dass die Grundsätze der Daten-<br />
113 § 151 Abs 9 Satz 3 GewO.<br />
114 Eine Anforderung der Robinsonliste ist per E-Mail möglich unter werbung@wko.at.<br />
115 § 107 Abs 3 TKG 2003.<br />
68
Das „berechtigte )nteresse<br />
Voraussetzungen<br />
verarbeitung einhalten werden und somit auch die Rechtmäßigkeit iSd<br />
Art 6 Abs 1 lit f DSGVO besteht. 116<br />
Es wird empfohlen die einzelnen Prüfschritte zum Vorliegen eines<br />
berechtigten <strong>Interesse</strong>s iSd Art 6 Abs 1 lit f DSGVO genau zu<br />
dokumentieren und bei Bedarf der Datenschutzbehörde vorzuweisen.<br />
IV.8 Empfohlene Prüfungsschritte<br />
Auf Grundlage des Anhang I der Stellungnahme der Artikel-29-<br />
Datenschutzgruppe 117 ergeben sich folgende empfohlene Prüfungsschritte,<br />
wobei sich daraus nicht ableiten lässt, dass bei Berücksichtigung<br />
sämtlicher Faktoren eine definitive Rechtssicherheit gegeben ist.<br />
Da jede Datenverarbeitung individuell betrachtet werden muss und auch<br />
die einzelnen zu berücksichtigenden Punkte ggf individuell angepasst<br />
werden müssen, gibt es für diesen Tatbestand derzeit leider kein<br />
allgemein gültiges und verbindliches Konzept.<br />
Die auf der folgenden Doppelseite gezeigten Prüfungsschritte geben<br />
stichwortartig Impulse, auf welche Punkte jedenfalls näher eingegangen<br />
werden soll und welche Faktoren jedenfalls bei der <strong>Interesse</strong>nabwägung<br />
berücksichtigt werden sollen.<br />
Eine teilweise detailliertere Beschreibung sowie Beispiele von<br />
berechtigten <strong>Interesse</strong>n finden sich in der Stellungnahme WP 217 der<br />
Artikel-29-Datenschutzgruppe, welche in diesem <strong>Buch</strong> ab Seite 83<br />
abgedruckt ist.<br />
Es liegt immer in der Verantwortung des Verantwortlichen (bzw<br />
des Auftragsverarbeiters) die entsprechenden Faktoren zu<br />
bewerten und entsprechend zu dokumentieren!<br />
116 Vgl Artikel-29-Datenschutzgruppe, Stellungnahme 8/2012 mit weiteren Beiträgen<br />
zur Diskussion der Datenschutzreform (WP 199), S 14.<br />
117 Siehe Anhang 1 der Stellungnahme WP 217, in diesem <strong>Buch</strong> ab Seite 175.<br />
69
Das „berechtigte )nteresse<br />
Voraussetzungen<br />
4. Schutzmaßnahmen<br />
TOMs<br />
Art 32 DSGVO<br />
Privacy by Design<br />
Art 25 Abs 1 DSGVO<br />
Privacy by Default<br />
Art 25 Abs 2 DSGVO<br />
5. Transparenz<br />
Transparente<br />
Information<br />
Informationspflicht<br />
Art 13 DSGVO<br />
Informationspflicht<br />
Art 14 DSGVO<br />
6. Kein Widerspruch<br />
Allgemeiner<br />
Widerspruch<br />
Widerspruch<br />
gegen<br />
Direktwerbung<br />
ggf<br />
Robinson-Liste<br />
ggf<br />
ECG-Liste<br />
71
Das „berechtigte )nteresse<br />
Die Artikel-29-Datenschutzgruppe<br />
Die Artikel-29-Datenschutzgruppe<br />
Die Artikel-29-Datenschutzgruppe wurde aufgrund von Artikel 29 der<br />
DSRL 118 vom 24. Oktober 1995 eingesetzt und hatte hauptsächlich<br />
beratende Funktion.<br />
Artikel 29 DSRL<br />
Datenschutzgruppe<br />
(1) Es wird eine Gruppe für den Schutz von Personen bei der<br />
Verarbeitung personenbezogener Daten eingesetzt (nachstehend<br />
"Gruppe" genannt). Die Gruppe ist unabhängig und hat beratende<br />
Funktion.<br />
(2) Die Gruppe besteht aus je einem Vertreter der von den einzelnen<br />
Mitgliedstaaten bestimmten Kontrollstellen und einem Vertreter der<br />
Stelle bzw. der Stellen, die für die Institutionen und Organe der<br />
Gemeinschaft eingerichtet sind, sowie einem Vertreter der<br />
Kommission. Jedes Mitglied der Gruppe wird von der Institution, der<br />
Stelle oder den Stellen, die es vertritt, benannt. Hat ein Mitgliedstaat<br />
mehrere Kontrollstellen bestimmt, so ernennen diese einen<br />
gemeinsamen Vertreter. Gleiches gilt für die Stellen, die für die<br />
Institutionen und die Organe der Gemeinschaft eingerichtet sind.<br />
(3) Die Gruppe beschließt mit der einfachen Mehrheit der Vertreter der<br />
Kontrollstellen.<br />
(4) Die Gruppe wählt ihren Vorsitzenden. Die Dauer der Amtszeit des<br />
Vorsitzenden beträgt zwei Jahre. Wiederwahl ist möglich.<br />
(5) Die Sekretariatsgeschäfte der Gruppe werden von der Kommission<br />
wahrgenommen.<br />
(6) Die Gruppe gibt sich eine Geschäftsordnung.<br />
(7) Die Gruppe prüft die Fragen, die der Vorsitzende von sich aus oder<br />
auf Antrag eines Vertreters der Kontrollstellen oder auf Antrag der<br />
Kommission auf die Tagesordnung gesetzt hat.<br />
Die amtliche Bezeichnung lautete Gruppe für den Schutz von Personen<br />
bei der Verarbeitung personenbezogener Daten. Die Aufgaben waren in<br />
Art 30 festgelegt. Neben beratender Tätigkeit konnte sie auch<br />
118 Richtlinie 95/46/EG des europäischen Parlaments und des Rates vom 24 . Oktober<br />
1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten<br />
und zum freien Datenverkehr<br />
72
Das „berechtigte )nteresse<br />
Die Artikel-29-Datenschutzgruppe<br />
Empfehlungen und Stellungnahmen zu allen Fragen betreffend den<br />
Schutz von Personen bei der Verarbeitung personenbezogener Daten,<br />
wobei auch die Stellungnahmen der Art-29-Datenschutzgruppe nicht<br />
bindend waren.<br />
V.1 Der Europäischen Datenschutzausschuss EDSA<br />
Durch das Inkrafttreten der DSGVO wurde die Artikel-29-<br />
Datenschutzgruppe durch den Europäischen Datenschutzausschuss<br />
EDSA bzw auf Englisch „European Data Protection Board kurz EDPB<br />
abgelöst. Rechtsgrundlage hierfür ist Art 68 DSGVO. Die Bestimmungen<br />
des EDSA sind in den Art 68 – 76 DSGVO geregelt.<br />
Art 68 DSGVO<br />
Europäischer Datenschutzausschuss<br />
Der Europäische Datenschutzausschuss im Folgenden „Ausschuss<br />
wird als Einrichtung der Union mit eigener Rechtspersönlichkeit<br />
eingerichtet.<br />
(2) Der Ausschuss wird von seinem Vorsitz vertreten.<br />
(3) Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes<br />
Mitgliedstaats und dem Europäischen Datenschutzbeauftragten<br />
oder ihren jeweiligen Vertretern.<br />
(4) Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die<br />
Überwachung der Anwendung der nach Maßgabe dieser Verordnung<br />
erlassenen Vorschriften zuständig, so wird im Einklang mit den<br />
Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter<br />
benannt.<br />
(5) Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten<br />
und Sitzungen des Ausschusses teilzunehmen. Die Kommission<br />
benennt einen Vertreter. Der Vorsitz des Ausschusses unterrichtet<br />
die Kommission über die Tätigkeiten des Ausschusses.<br />
(6) In den in Artikel 65 genannten Fällen ist der Europäische<br />
Datenschutzbeauftragte nur bei Beschlüssen stimmberechtigt, die<br />
Grundsätze und Vorschriften betreffen, die für die Organe,<br />
Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich<br />
den Grundsätzen und Vorschriften dieser Verordnung entsprechen.<br />
ErwGr 139<br />
Zur Förderung der einheitlichen Anwendung dieser Verordnung sollte der Ausschuss als<br />
unabhängige Einrichtung der Union eingesetzt werden. Damit der Ausschuss seine Ziele<br />
73
Das „berechtigte )nteresse<br />
Die Artikel-29-Datenschutzgruppe<br />
Im folgenden Abschnitt des <strong>Buch</strong>es wird die Stellungnahme WP 217 der<br />
Artikel-29-Datenschutzgruppe abgedruckt, welche auch für die DSGVO<br />
grds noch anwendbar ist und folgende Schritte für die Durchführung<br />
einer <strong>Interesse</strong>nabwägung vorsieht: 122<br />
Schritt 1: Einschätzung, welche Rechtsgrundlage nach Art 6 Abs 1<br />
potentiell anwendbar sein könnte.<br />
Schritt 2: Einstufung eines )nteresses als „berechtigt<br />
Schritt 3: Feststellung, ob die Verarbeitung „erforderlich ist<br />
Schritt 4: Abwägung der <strong>Interesse</strong>n und Abschätzung, ob die<br />
Grundrechte oder <strong>Interesse</strong>n der Betroffenen überwiegen<br />
Schritt 5: Berücksichtigung von zusätzlichen Schutzmaßnahmen<br />
Schritt 6: Nachweis der Einhaltung und Sicherstellung der<br />
Transparenz<br />
Schritt 7: Sicherstellung, dass keine personenbezogenen Daten<br />
verarbeitet werden, sofern von der betroffenen Person ein<br />
Widerruf geltend gemacht wurde.<br />
122 Vgl Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO (Stand<br />
1.10.2018, rdb.at) Rz 55.<br />
80
WP 217<br />
Die Artikel-29-Datenschutzgruppe<br />
WP 217<br />
der Artikel-29-<br />
Datenschutzgruppe 123<br />
Stellungnahme 06/2014 zum Begriff des berechtigten <strong>Interesse</strong>s<br />
des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der<br />
Richtlinie 95/46/EG<br />
WP 217<br />
Angenommen am 9. April 2014<br />
123 Die Datenschutzgruppe wurde durch Artikel 29 der Richtlinie 95/46/EG eingesetzt.<br />
Sie ist das unabhängige europäische Beratungsgremium in Datenschutzfragen. Ihre<br />
Aufgaben sind in Artikel 30 der Richtlinie 95/46/EG festgelegt, ferner in Artikel 15 der<br />
Richtlinie 2002/58/EG. Als Sekretariat fungiert die Direktion C (Grundrechte und<br />
Unionsbürgerschaft) der Europäischen Kommission, Generaldirektion Justiz, B-1049<br />
Brüssel, Belgien, Büro LX-46 01/190. Website: http://ec.europa.eu/justice/dataprotection/index_en.htm<br />
83