Grundzüge der Datenerhebung nach der DSGVO und dem BayDSG

Jetzt bewerten!

Newsletter Ausgabe November/Dezember 2018:

Vor dem Hintergrund der für den Rechtsanwender nicht einfachen Gemengelage von DSGVO und BayDSG gibt unser Beitrag auf viele Fragen kompakte Antworten.

 

Wann liegt eine Datenerhebung vor (dazu 1.), was sind die materiellen Voraussetzungen (dazu 2.), wer ist der richtige Erhebungsadressat (dazu 3.) und welche Informationspflichten bestehen (dazu 4.)?


1. Das Erheben personenbezogener Daten ist ein Unterfall der Verarbeitung (Art. 4 Nr. 2 DSGVO). Die DSGVO enthält keine Definition des Begriffs „Erheben“. Aus Art. 4 Nr. 2 DSGVO lässt sich nur der Hinweis entnehmen, dass das „Erheben“ vom „Erfassen“ zu unterscheiden ist.

 

Erheben meint das auf die Gewinnung von Daten abzielende aktive Beschaffen von Daten und grenzt sich ab vom eher passiven Entgegen- und Aufnehmen (dem „Erfassen“). Kein Fall der Erhebung personenbezogener Daten liegt deshalb vor, wenn Informationen unauf­gefordert zugetragen („aufgedrängt“) werden, etwa im Zusammenhang mit Anzeigen und Anfragen. Solche erfassten („aufgedrängten“) Informationen kön­nen aber für eine Be­hörde Anlass für Nachfragen und weitere Ermittlungen sein. Insoweit lie­gt dann eine Er­hebung vor.

 

Typische Situationen einer Datenerhebung sind mündliche oder schriftliche Befragungen, Recherchen im Internet oder in Datenbanken. Bei individuell zum Ausfüllen ausgegebenen bzw. bei allgemein ausliegenden oder im Internet zum Ausfüllen bereitgestellten Formula­ren (Formularmasken) liegt eine Erhebung nur unter zwei kumulativen Voraussetzungen vor: Das Ausfüllen und Einreichen der Formulare muss zum einen eine Verpflichtung oder zumindest eine Obliegenheit des Betroffenen sein und zum anderen müssen die ausgefüll­ten Formulare auch tatsächlich eingereicht werden. Praktisch bedeutet dies, dass die In­formationspflichten (dazu 4.) schon mit dem Bereitstellen der Formulare erfüllt werden müssen.

 

 

2. Jede Datenerhebung braucht – wie jede Verarbeitung – eine materiell-rechtliche Befugnisgrundlage. Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO, wonach die Datenverarbeitung nur rechtmäßig ist, wenn sie „für die Wahrnehmung einer Aufgabe erforderlich ist, die im öf­fentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verant­wortlichen übertragen wurde“, bildet keine solche Befugnisgrundlage. Dies ergibt sich ein­deutig aus Art. 6 Abs. 2, Abs. 3 DSGVO. Die entsprechenden Befugnisgrundlagen musste – als Durchführungsvorschriften – der nationale Gesetzgeber schaffen.

 

Solche Durchführungsvorschriften sind zum einen bereichsspezifische Normen (z.B. § 24 Abs. 1 BMG; Art. 85 Abs. 1, Abs. 1a BayEUG) und zum anderen die allgemeine Verarbeitungsbefugnis des Art. 4 Abs. 1 BayDSG. Nach Letzterer ist die Erhebung (bestimmter) personenbezogener Daten durch eine öffentliche Stelle zulässig, wenn sie zur Erfüllung ei­ner ihr obliegenden Aufgabe erforderlich ist. Erforderlich ist die Erhebung dann, wenn ohne die mit ihr beabsichtigte (anschließende) Datenverarbeitung die Aufgabenerfüllung nicht, nur unzulänglich, nicht mit angemessenem Aufwand oder nicht in angemessener Zeit erfolgen könnte.

 

Die Erhebung sensibler Daten im Sinne das Art. 9 Abs. 1 DSGVO kann nicht auf Art. 4 Abs. 1 BayDSG gestützt werden, denn Art. 9 Abs. 2 DSGVO enthält hierfür spezielle Voraussetzungen, die allerdings ebenfalls z.T. durch Durchführungsvorschriften „aktiviert“ werden mussten. Eine wichtige Durchführungsvorschrift ist hier der (recht versteckte) Art. 8 Abs. 1 Satz 1 Nr. 5 BayDSG i.V.m. Art. 6 Abs. 2 Nr. 3 Buchst. a BayDSG. Durch diese Normkette wird Art. 9 Abs. 2 Buchst. g DSGVO umgesetzt und eine Erhebung (auch) sensibler Daten zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit oder Ordnung ermöglicht.

 

Aus der Befugnis zur Datenerhebung folgt weder aus der DSGVO nach aus dem BayDSG eine Pflicht des Erhebungsadressaten, die Daten, um die er angegangen worden ist, auch preiszugeben. Für eine solche (über die Übermittlungsbefugnis hinausgehende) Übermittlungspflicht bedarf es immer einer besonderen bereichsspezifischen Rechtsgrundlage. Eine solche Übermittlungspflicht kann sich aus der Amtshilfepflicht (Art. 4 Abs. 1 BayVwVfG) ergeben. Wenn Daten von der ersuchten Behörde an die ersuchende Behörde übermittelt werden dürfen (z.B. nach Art. 5 Abs. 1 Nr. 1 BayDSG), dann führt die Amtshilfepflicht dazu, dass die Daten grundsätzlich (vorbehaltlich von Ausnahmen, vgl. z.B. Art. 5 Abs. 2, Abs. 3 BayVwVfG) auch über­mittelt werden müssen.

 

 

3. In Bezug auf den Erhebungsadressaten lässt sich aus der DSGVO kein Vorrang der Direkterhebung beim Betroffenen gegenüber der Erhebung bei Dritten entnehmen. Ein solcher Vorrang folgt auch nicht aus dem Transparenzgebot (Art. 5 Abs. 1 Nr. 1 DSGVO), denn dieses ist europarechtlich durch die Informationspflichten nach Art. 13 und 14 DSGVO (dazu 4.) ausgestaltet.

 

Jedoch hat der Bayerische Gesetzgeber in Art. 4 Abs. 2 BayDSG 2018 einen Vor­rang der Direkterhebung im Grundsatz festgelegt. Hierzu war er aufgrund der Öffnungs­klausel des Art. 6 Abs. 3 Satz 3 DSGVO befugt. Art. 4 Abs. 2 BayDSG unterscheidet vier Fälle des Erhebungsadressaten:

  • Personenbezogene Daten können immer beim Betroffenen mit seiner Kenntnis erho­ben werden (Art. 4 Abs. 2 Satz 1 BayDSG).

  • Personenbezogene Daten können immer in allgemein zugänglichen Quellen erhoben wer­den (Art. 4 Abs. 2 Satz 1 mittlerer Teilsatz); dies betrifft insbesondere Internetrecherchen.

  • Bei Dritten können personenbezogene Daten nur unter den besonderen Voraussetzungen des Art. 4 Abs. 2 Satz 2, Satz 3 BayDSG erhoben werden.

  • Die Erhebung personenbezogener Daten beim Betroffenen ohne Kenntnis, d.h. das Aus­spähen, ist zwar in Art. 4 Abs. 2 Satz 4 BayDSG formal geregelt, die Norm ist jedoch praktisch bedeutungslos. Ausspähungen sind im Sicherheitsrecht abschließend bereichsspezifisch geregelt

 

 

4. Die Datenschutzgrundverordnung legt Informationspflichten gegenüber dem Betroffenen fest und unterscheidet hierbei, ob Daten beim Betroffenen (Art. 13 DSGVO) oder bei Dritten („nicht bei der betroffenen Person“; Art. 14 DSGVO) erhoben werden.

 

Nimmt man einerseits Art. 13 Abs. 1, 2 und 3 DSGVO und andererseits Art. 14 Abs. 1, 2 und 4 DSGVO jeweils insgesamt in den Blick, unterscheiden sich die zu gebenden Informationen kaum. Bei der Datenerhebung bei Dritten entfällt – da der Betroffene in die Da­tenerhebung nicht eingebunden war – naturgemäß die Information des Betroffenen über eine eventuelle Auskunftspflichtigkeit (Art. 13 Abs. 2 Buchst. e DSGVO). Andererseits sind dem Betroffenen bei einer „Dritterhebung“ zusätzlich

  • die Daten, die erhoben worden sind (abstrakt) nach Kategorien mitzuteilen (Art. 14 Abs. 1 Buchst. d DSGVO; bei der Direkterhebung sind ihm diese Daten bereits bekannt, denn dort weiß er, was bei ihm angefragt wird),

  • die Quellen mitzuteilen, aus denen oder bei denen die Daten erhoben worden sind (Art. 14 Abs. 2 Buchst. f DSGVO).

Die Unterscheidung zwischen zwingenden (jeweils Absatz 1 von Art. 13 und 14 DSGVO) und fakultativen (jeweils Absatz 2 von Art. 13 und 14 DSGVO) Informationen dürfte in der Praxis wenig Bedeutung haben. Es empfiehlt sich, immer auch die Informationen gemäß Absatz 2 von Art. 13 und 14 DSGVO zu geben.

 

Die Informationspflichten bestehen nicht bzw. entfallen bei einer Datenerhebung beim Betroffenen, wenn die betroffene Person bereits über die Informationen verfügt (Art. 13 Abs. 4 DSGVO) oder ein Fall des Art. 9 Abs. 1 BayDSG i.V.m. Art. 6 Abs. 2 Nr. 3 Bcuhst. a (Gefahrenabwehr), b (Verfolgung von Straftaten oder Ordnungswidrigkeiten) oder d (Abwehr einer schwerwiegenden Beeinträchtigung einer anderen Person) BayDSG vorliegt. Art. 9 Abs. 1 BayDSG ist eine Durchführungsvorschrift zu Art 23 DSGVO. Für die Datenerhebung bei Dritten („nicht bei der betroffenen Person) beinhaltet Art. 14 Abs. 5 Buchst. b DSGVO noch darüberhinausgehend wichtige Ausnahmetatbestände: Keine Informa­tionspflicht wird einschlägig wenn

  • sich die Erteilung als unmöglich erweist (in tatsächlicher Hinsicht oder weil sie die Ziele der Verarbeitung vereitelt, vgl. Art. 14 Abs. 5 Buchst. b Satz 1 am Ende DSGVO) oder

  • anhand einer Gesamtschau (in die auch die Sensi­bilität der Daten einzustellen ist) einen unverhältnismäßigen Aufwand erfordert. Diese Ausnahme wird regelmäßig bei Internetrecherchen (vgl. oben 3. Spiegelpunkt 2) einschlägig werden.

 

Wenn die Informationspflichten bestehen, dann müssen die Informationen im Fall der Erhebung beim Betroffenen zum Zeitpunkt der Erhebung (Art. 13 Abs. 1 und Absatz 2 am Anfang DSGVO) gegeben werden. Im Fall der Erhebung bei Dritten richtet sich der (späteste) Zeitpunkt der Information nach Art. 14 Abs. 3 DSGVO. Über eine Zweckänderung ist jeweils vor dieser zu informieren (Art. 13 Abs. 3; Art. 14 Abs. 4 DSGVO).

 

Zur Form der Informationserteilung finden sich Hinweise in Art. 12 Abs. 1 DSGVO: präzise, transparent, verständlich, leicht zugänglich, sprachlich klar und einfach. Bei der for­mularmäßigen Erhebung von Daten (vgl. oben 1. am Ende) in Papierform kann die Infor­mationserteilung dadurch erfolgen, dass die Information auf einem separat beigegebenen Hinweispapier zusammengefasst werden und auf diese separate Zusammenfassung jeweils auf dem Formular verwiesen wird. Werden Formulare ins Internet eingestellt, ist auf der Homepage entsprechend zu verfahren. Bei Informationen über Zweckänderungen (vgl. Art. 13 Abs. 3; Art. 14 Abs. 4 DSGVO) werden sich demgegenüber einzelfallangepasste Hinweise nicht vermeiden lassen.

 

Marcus Niese

Mitautor Datenschutz in Bayern

Wilde / Ehmann / Niese / Knoblauch

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Vierteljahrespreis‎ 49,99 €
Online-Produkt
Wilde / Ehmann / Niese / Knoblauch

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Fortsetzungspreis‎ 179,99 €
Loseblattwerk zzgl. Aktualisierungslieferungen
Ehmann

Spezialausgabe für Behörden

49,99 €
Softcover
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.

Sicherheitskontrolle: Bitte rechnen Sie die Werte aus und tragen Sie das Ergebnis in das dafür vorgesehene Feld ein. *

0 Kommentare zu diesem Beitrag
Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • +49 0800-2183-333
  • Montag - Donnerstag:    8-17 Uhr
  • Freitag:                           8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

Unsere Themen und Produkte

 

Service

 

Rechtliches

Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung