Einführung

Die Verarbeitung von personenbezogenen Daten braucht, auch in Betrieben und Verwaltungen, immer eine rechtliche Grundlage. Also eine wirksame persönliche Einwilligung, ein Gesetz, eine Kollektivvereinbarung (wie einen Tarifvertrag, oder eine Betriebs- oder Dienstvereinbarung). Liegt diese rechtliche Grundlage nicht vor, so ist die Verarbeitung verboten. Im Juristendeutsch ist das ein sogenanntes „Verbot mit Erlaubnisvorbehalt“.

Die Verarbeitung von personenbezogenen Daten ist nur erlaubt, wenn die betroffene Person gegenüber dem Verantwortlichen eine wirksame Einwilligung (Art. 4 Nr. 11, Art. 7, Art. 9 DSGVO; § 26 Abs. 2 BDSG) erteilt hat oder eine gesetzliche Erlaubnis vorliegt. Zu beachten ist, dass auch Kollektivvereinbarungen wie Tarifverträge oder Betriebsvereinbarungen als Gesetze im materiellen Sinn (also verbindliche Regeln enthält) ebenfalls eine Erlaubnis zur Verarbeitung von Beschäftigtendaten enthalten können (Art. 88 Abs. 1 DSGVO; § 26 Abs. 4 BDSG; ErwG 155 DSGVO).

Die Datenschutzgrundverordnung (DSGVO) als europäische Verordnung ist unmittelbar geltendes Recht in Deutschland und hat vor nationalen Gesetzen Vorrang. Ist also die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten zu beurteilen, muss der erste Blick immer in die DSGVO selbst gehen.

Grundlegend sind die allgemeinen Datenschutzvorschriften aus unmittelbar in allen Mitgliedstaaten geltenden EU-Datenschutz-Grundverordnung (DSGVO), insbesondere die Art. 6 und Art. 9 DSGVO. Hier finden sich mehrere gesetzlichen Erlaubnistatbestände, deren Einschlägigkeit im Einzelnen geprüft werden muss.

Lässt die DSGVO Regelungsspielraum zu, ist zu prüfen ob es ein fachspezifisches Datenschutzrecht gibt. Solche fachspezifisches Datenschutzvorschriften gibt es sehr viele, die in den unterschiedlichsten Gesetzen zu finden sind.

Spezialgesetzliche Erlaubnisse für die Verarbeitung von Beschäftigtendaten finden sich etwa im Vierten Buch Sozialgesetzbuch – SGB IV (Einbehalt und Abführung von Sozialbeiträgen) oder im Einkommensteuergesetz – EstG (Einbehalt von Lohn- und Kirchensteuern).

Und zum Schluss – wenn es keine fachspezifischen Datenschutzregelungen gibt, oder sie nicht abschließend sind, gilt das Bundesdatenschutzgesetz (BDSG) mit seinen Erlaubnistatbeständen. Dieses Gesetz ist eine erlaubte Konkretisierung der DSGVO und trotzdem müssen die Anforderungen aus der DSGVO weiter beachtet werden.