ZAP-2019-21
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Verfassungsrecht/Verwaltungsrecht Fach 19, Seite 941<br />
Datenschutz: Kommunalebene<br />
Hinweis:<br />
Behörden ist deshalb anzuraten hier entsprechende „neue“ Maßnahmenpläne zu erstellen, die durch<br />
den mandatierten Rechtsanwalt auch im Rahmen einer streitigen Auseinandersetzung eingesehen<br />
und bewertet werden können. Datenschutzrechtliche Strukturdefizite sind dann bei der juristischen<br />
Gesamtbeurteilung mit zu berücksichtigen.<br />
III.<br />
Umsetzung der DSGVO<br />
1. Rechtmäßigkeit der Erhebung und Verarbeitung personenbezogener Daten<br />
Nach Art. 6 Abs. 1 DSGVO ist die Erhebung und Verarbeitung personenbezogener Daten nur rechtmäßig,<br />
wenn einer der dort genannten Voraussetzungen (Art. 6 Abs. 1a bis f) gegeben ist.<br />
Bei der DSGVO handelt es sich um ein sog. Verbot mit Erlaubnisvorbehalt: Dies bedeutet – alles ist<br />
verboten, sofern es nicht ausdrücklich erlaubt ist. Eine Rechtmäßigkeit für die Erhebung und Verarbeitung<br />
personenbezogener Daten liegt also nur dann vor, wenn entweder die Einwilligung des Betroffenen<br />
gegeben ist oder aber das Gesetz dies ausdrücklich zulässt. Ist beides nicht gegeben, ist jegliche<br />
Form der Erhebung und Verarbeitung personenbezogener Daten unrechtmäßig. Hiervon gibt es<br />
keine Ausnahme.<br />
a) Einwilligung<br />
Die „Champions-League-Lösung“ ergibt sich aus Art. 6 Abs. 1a DSGVO, wonach die betroffene Person<br />
ihre Einwilligung in die Erhebung und Verarbeitung personenbezogener Daten erteilen kann. Von<br />
überragender Bedeutung ist dabei aber, dass für den Einwilligenden der Zweck deutlich erkennbar sein<br />
muss. Erfolgt außerhalb des vereinbarten Zwecks die Erhebung und Verarbeitung personenbezogener<br />
Daten, so ist auch diese rechtswidrig.<br />
Praxistipp:<br />
Auch wenn der Gesetzgeber für die Einwilligung keine Schriftform verlangt, so ist dies aber schon aus<br />
Beweiszwecken dringend zu empfehlen. Direkte inhaltliche Anforderungen an die Einwilligung macht der<br />
Gesetzgeber im Übrigen aber direkt nicht.<br />
Wichtig ist nur, dass die Einwilligung aus Sicht des objektivierten Empfängerhorizonts verständlich,<br />
leicht zugänglich sein und vor allem den Zweck der Einwilligung erkennen lassen muss. Der Einwilligende<br />
muss auch wissen, dass er seine einmal erteilte Einwilligung zum späteren Zeitpunkt auch<br />
widerrufen kann.<br />
Für die Einwilligungen, die vor dem 25.5.2018 erteilt wurden, kommt es für die Wirksamkeit darauf an, ob<br />
diese schon damals DSGVO konform gewesen sind. Denn Einwilligungen erledigen sich im Übrigen nicht<br />
durch bloßen Zeitablauf (BGH NJW-RR 2018, 486). In der Praxis geht man davon aus, dass zumindest für<br />
solche Einwilligungen, die nicht älter als zwei Jahre sind, diese Vorgehensweise opportun ist.<br />
Praxistipp:<br />
Beruft sich die Behörde also auf eine solche ggf. auch schon ältere Einwilligung, so ist zu prüfen, ob diese<br />
zum damaligen Zeitpunkt bereits den Anforderungen der DSGVO entspricht. Dabei kann auch den Umständen,<br />
wie die Einwilligungserklärung zustande gekommen ist, eine entscheidende Bedeutung zukommen.<br />
Der Mandant ist hier also entsprechend zu befragen. Dies nicht nur im Hinblick auf mögliche weitere<br />
Tatbestände, wie z.B. diejenige nach dem AGG.<br />
<strong>ZAP</strong> Nr. <strong>21</strong> 7.11.<strong>2019</strong> 1143