Kostenlose Hotline: 0049 0800-2183-333 Versandkostenfrei
Menü schließen
Wann liegt eine Datenerhebung vor (dazu 1.), was sind die materiellen Voraussetzungen (dazu 2.), wer ist der richtige Erhebungsadressat (dazu 3.) und welche Informationspflichten bestehen (dazu 4.)?
1. Das Erheben personenbezogener Daten ist ein Unterfall der Verarbeitung (Art. 4 Nr. 2 DSGVO). Die DSGVO enthält keine Definition des Begriffs „Erheben“. Aus Art. 4 Nr. 2 DSGVO lässt sich nur der Hinweis entnehmen, dass das „Erheben“ vom „Erfassen“ zu unterscheiden ist.
Erheben meint das auf die Gewinnung von Daten abzielende aktive Beschaffen von Daten und grenzt sich ab vom eher passiven Entgegen- und Aufnehmen (dem „Erfassen“). Kein Fall der Erhebung personenbezogener Daten liegt deshalb vor, wenn Informationen unaufgefordert zugetragen („aufgedrängt“) werden, etwa im Zusammenhang mit Anzeigen und Anfragen. Solche erfassten („aufgedrängten“) Informationen können aber für eine Behörde Anlass für Nachfragen und weitere Ermittlungen sein. Insoweit liegt dann eine Erhebung vor.
Typische Situationen einer Datenerhebung sind mündliche oder schriftliche Befragungen, Recherchen im Internet oder in Datenbanken. Bei individuell zum Ausfüllen ausgegebenen bzw. bei allgemein ausliegenden oder im Internet zum Ausfüllen bereitgestellten Formularen (Formularmasken) liegt eine Erhebung nur unter zwei kumulativen Voraussetzungen vor: Das Ausfüllen und Einreichen der Formulare muss zum einen eine Verpflichtung oder zumindest eine Obliegenheit des Betroffenen sein und zum anderen müssen die ausgefüllten Formulare auch tatsächlich eingereicht werden. Praktisch bedeutet dies, dass die Informationspflichten (dazu 4.) schon mit dem Bereitstellen der Formulare erfüllt werden müssen.
2. Jede Datenerhebung braucht – wie jede Verarbeitung – eine materiell-rechtliche Befugnisgrundlage. Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO, wonach die Datenverarbeitung nur rechtmäßig ist, wenn sie „für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“, bildet keine solche Befugnisgrundlage. Dies ergibt sich eindeutig aus Art. 6 Abs. 2, Abs. 3 DSGVO. Die entsprechenden Befugnisgrundlagen musste – als Durchführungsvorschriften – der nationale Gesetzgeber schaffen.
Solche Durchführungsvorschriften sind zum einen bereichsspezifische Normen (z.B. § 24 Abs. 1 BMG; Art. 85 Abs. 1, Abs. 1a BayEUG) und zum anderen die allgemeine Verarbeitungsbefugnis des Art. 4 Abs. 1 BayDSG. Nach Letzterer ist die Erhebung (bestimmter) personenbezogener Daten durch eine öffentliche Stelle zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Erforderlich ist die Erhebung dann, wenn ohne die mit ihr beabsichtigte (anschließende) Datenverarbeitung die Aufgabenerfüllung nicht, nur unzulänglich, nicht mit angemessenem Aufwand oder nicht in angemessener Zeit erfolgen könnte.
Die Erhebung sensibler Daten im Sinne das Art. 9 Abs. 1 DSGVO kann nicht auf Art. 4 Abs. 1 BayDSG gestützt werden, denn Art. 9 Abs. 2 DSGVO enthält hierfür spezielle Voraussetzungen, die allerdings ebenfalls z.T. durch Durchführungsvorschriften „aktiviert“ werden mussten. Eine wichtige Durchführungsvorschrift ist hier der (recht versteckte) Art. 8 Abs. 1 Satz 1 Nr. 5 BayDSG i.V.m. Art. 6 Abs. 2 Nr. 3 Buchst. a BayDSG. Durch diese Normkette wird Art. 9 Abs. 2 Buchst. g DSGVO umgesetzt und eine Erhebung (auch) sensibler Daten zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit oder Ordnung ermöglicht.
Aus der Befugnis zur Datenerhebung folgt weder aus der DSGVO nach aus dem BayDSG eine Pflicht des Erhebungsadressaten, die Daten, um die er angegangen worden ist, auch preiszugeben. Für eine solche (über die Übermittlungsbefugnis hinausgehende) Übermittlungspflicht bedarf es immer einer besonderen bereichsspezifischen Rechtsgrundlage. Eine solche Übermittlungspflicht kann sich aus der Amtshilfepflicht (Art. 4 Abs. 1 BayVwVfG) ergeben. Wenn Daten von der ersuchten Behörde an die ersuchende Behörde übermittelt werden dürfen (z.B. nach Art. 5 Abs. 1 Nr. 1 BayDSG), dann führt die Amtshilfepflicht dazu, dass die Daten grundsätzlich (vorbehaltlich von Ausnahmen, vgl. z.B. Art. 5 Abs. 2, Abs. 3 BayVwVfG) auch übermittelt werden müssen.
3. In Bezug auf den Erhebungsadressaten lässt sich aus der DSGVO kein Vorrang der Direkterhebung beim Betroffenen gegenüber der Erhebung bei Dritten entnehmen. Ein solcher Vorrang folgt auch nicht aus dem Transparenzgebot (Art. 5 Abs. 1 Nr. 1 DSGVO), denn dieses ist europarechtlich durch die Informationspflichten nach Art. 13 und 14 DSGVO (dazu 4.) ausgestaltet.
Jedoch hat der Bayerische Gesetzgeber in Art. 4 Abs. 2 BayDSG 2018 einen Vorrang der Direkterhebung im Grundsatz festgelegt. Hierzu war er aufgrund der Öffnungsklausel des Art. 6 Abs. 3 Satz 3 DSGVO befugt. Art. 4 Abs. 2 BayDSG unterscheidet vier Fälle des Erhebungsadressaten:
4. Die Datenschutzgrundverordnung legt Informationspflichten gegenüber dem Betroffenen fest und unterscheidet hierbei, ob Daten beim Betroffenen (Art. 13 DSGVO) oder bei Dritten („nicht bei der betroffenen Person“; Art. 14 DSGVO) erhoben werden.
Nimmt man einerseits Art. 13 Abs. 1, 2 und 3 DSGVO und andererseits Art. 14 Abs. 1, 2 und 4 DSGVO jeweils insgesamt in den Blick, unterscheiden sich die zu gebenden Informationen kaum. Bei der Datenerhebung bei Dritten entfällt – da der Betroffene in die Datenerhebung nicht eingebunden war – naturgemäß die Information des Betroffenen über eine eventuelle Auskunftspflichtigkeit (Art. 13 Abs. 2 Buchst. e DSGVO). Andererseits sind dem Betroffenen bei einer „Dritterhebung“ zusätzlich
Die Unterscheidung zwischen zwingenden (jeweils Absatz 1 von Art. 13 und 14 DSGVO) und fakultativen (jeweils Absatz 2 von Art. 13 und 14 DSGVO) Informationen dürfte in der Praxis wenig Bedeutung haben. Es empfiehlt sich, immer auch die Informationen gemäß Absatz 2 von Art. 13 und 14 DSGVO zu geben.
Die Informationspflichten bestehen nicht bzw. entfallen bei einer Datenerhebung beim Betroffenen, wenn die betroffene Person bereits über die Informationen verfügt (Art. 13 Abs. 4 DSGVO) oder ein Fall des Art. 9 Abs. 1 BayDSG i.V.m. Art. 6 Abs. 2 Nr. 3 Bcuhst. a (Gefahrenabwehr), b (Verfolgung von Straftaten oder Ordnungswidrigkeiten) oder d (Abwehr einer schwerwiegenden Beeinträchtigung einer anderen Person) BayDSG vorliegt. Art. 9 Abs. 1 BayDSG ist eine Durchführungsvorschrift zu Art 23 DSGVO. Für die Datenerhebung bei Dritten („nicht bei der betroffenen Person) beinhaltet Art. 14 Abs. 5 Buchst. b DSGVO noch darüberhinausgehend wichtige Ausnahmetatbestände: Keine Informationspflicht wird einschlägig wenn
Wenn die Informationspflichten bestehen, dann müssen die Informationen im Fall der Erhebung beim Betroffenen zum Zeitpunkt der Erhebung (Art. 13 Abs. 1 und Absatz 2 am Anfang DSGVO) gegeben werden. Im Fall der Erhebung bei Dritten richtet sich der (späteste) Zeitpunkt der Information nach Art. 14 Abs. 3 DSGVO. Über eine Zweckänderung ist jeweils vor dieser zu informieren (Art. 13 Abs. 3; Art. 14 Abs. 4 DSGVO).
Zur Form der Informationserteilung finden sich Hinweise in Art. 12 Abs. 1 DSGVO: präzise, transparent, verständlich, leicht zugänglich, sprachlich klar und einfach. Bei der formularmäßigen Erhebung von Daten (vgl. oben 1. am Ende) in Papierform kann die Informationserteilung dadurch erfolgen, dass die Information auf einem separat beigegebenen Hinweispapier zusammengefasst werden und auf diese separate Zusammenfassung jeweils auf dem Formular verwiesen wird. Werden Formulare ins Internet eingestellt, ist auf der Homepage entsprechend zu verfahren. Bei Informationen über Zweckänderungen (vgl. Art. 13 Abs. 3; Art. 14 Abs. 4 DSGVO) werden sich demgegenüber einzelfallangepasste Hinweise nicht vermeiden lassen.
Marcus Niese
Mitautor Datenschutz in Bayern
Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.
KontaktformularKundenservice
Verlag und Marken
Unsere Themen und Produkte
Service
Rechtliches
Partner der
Welt
