Position der Datenschutzaufsicht

BfDI Info 01 DSGVO – BDSG, Texte und Erläuterungen, 01/2020:

Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 UAbs.1 Buchst. C) DSGVO

Art. 6 Abs. 1 UAbs. 1 Buchst. c) DSGVO erlaubt die Verarbeitung dann, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Eine solche rechtliche Verpflichtung kann sich aus Vorschriften des Unionsrechts oder des nationalen Rechts ergeben. Hierunter fallen beispielsweise Meldepflichten auf der Grundlage gesetzlicher Bestimmungen (z. B. nach dem Geldwäschegesetz) oder – im öffentlichen Bereich – auch die Verpflichtung zur Herausgabe auch personenbezogener Daten nach dem Informationsfreiheitsgesetz.

Art. 6 Abs. 1 UAbs. 1 Buchst. c) DSGVO ist nicht auf öffentliche Stellen beschränkt, sondern erfasst grundsätzlich auch nichtöffentliche Stellen, wenn diese etwa gesetzlich verpflichtet sind, personenbezogene Daten an Dritte weiterzugeben.“

Zusammenfassend stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit fest …, „dass die Rechtmäßigkeit der Verarbeitung personenbezogener Daten wegen ihres Anwendungsvorrangs zuerst nach der DSGVO zu beurteilen ist. Lässt diese einen Regelungsspielraum zu, ist zu prüfen, ob es ein bereichsspezifisches Datenschutzrecht gibt. Ist dies nicht der Fall oder sind die bereichsspezifischen Vorschriften nicht abschießend, gilt ergänzend das BDSG.

Bereichsspezifische Regelungen finden sich beispielsweise
→ in den Büchern des Sozialgesetzbuchs,
→ im BSI-Gesetz,
→ in der Abgabenordnung.

Diese und viele weitere bereichsspezifischen Regelungen gehen dem BDSG – nicht aber der DSGVO – vor.

Beispiele:

→ Eine gesetzliche Krankenkasse kann Sozialdaten nur nach der DSGVO und ergänzend den speziellen Vorschriften des SGB V und ggf. des SGB X übermitteln. Ein Rückgriff auf das BDSG ist hingegen ausgeschlossen.

→ Das BSI kann sich bei der Verarbeitung personenbezogener Daten auf die DSGVO und ergänzend auf die Vorschriften des BSIG stützen.

→ Eine Steuerbehörde kann die Verarbeitung personenbezogener Daten nur auf die DSGVO und ergänzend auf die §§ 30 ff. AO stützen; ein Rückgriff auf das BDSG ist nur ausnahmsweise möglich, soweit dies in der Abgabenordnung oder in den Steuergesetzen ausdrücklich vorgesehen ist.