Das berechtigte Interesse nach Abwägung, von vielen nur als berechtigtes Interesse bezeichnet, nach Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO stellt zugleich eine der spannendsten und herausforderndsten Rechtsgrundlagen des Art. 6 Abs. 1 DS-GVO dar. Mit den Anforderungen an das berechtigte Interesse und die Abwägungsfragen im Rahmen der Interessenabwägung haben wir uns hier bereits früher beschäftigt.
Im Blickpunkt des heutigen Blog-Beitrags soll aber nicht der Tatbestand des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO stehen, sondern Art. 6 Abs. 1 UAbs. 2 DS-GVO. Wer sich jetzt an dieser Stelle bereits fragt, was in dieser Norm geregelt ist beziehungsweise welcher Zusammenhang zum berechtigten Interesse nach Abwägung besteht, der steht vermutlich nicht allein da. Die potenziellen (praktischen) Herausforderungen bei der Anwendung von Art. 6 Abs. 1 UAbs. 2 DS-GVO haben wir bereits im Zusammenhang mit den Anforderungen an Art. 32 DS-GVO als Rechtsgrundlage dargestellt. Diese sollen heute ebenfalls noch einmal vertieft werden. Doch der Reihe nach.
Art. 6 Abs. 1 UAbs. 2 DS-GVO
So umfangreich stellt sich die Norm eigentlich nicht dar. Vielmehr heißt es kurz und prägnant: „Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“ Zum besseren Verständnis kann Erwägungsgrund (ErwG) 47 Satz 5 DS-GVO – welche die Anwendung von Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO konkretisieren soll – noch herangezogen werden: „Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen.“
Nimmt man den Gesetzestext nunmehr wortwörtlich, dann wäre ein Rückgriff für Behörden (nicht öffentliche Stellen) auf das berechtigte Interesse nach Abwägung ausgeschlossen. Die Schwierigkeiten beginnen aber nun in der tatsächlichen Anwendung des Art. 6 Abs. 1 UAbs. 2 DS-GVO.
Der Rückgriff für Behörden im Bereich der IT- und Cybersicherheit
Richtet man nun den Blick auf Datenverarbeitungen im Bereich der IT- beziehungsweise Cybersicherheit so trifft man über kurz oder lang auch auf ErwG 49 DS-GVO, welcher das berechtigte Interesse im Rahmen von Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO konkretisieren soll. Dieser nennt nun ausdrücklich Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT, beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten als verantwortliche Stellen, welche sich auf die die Gewährleistung der Netz- und Informationssicherheit als berechtigtes Interesse berufen können. Besteht hier nun ein Widerspruch?
Bezüglich der Erwägungsgründe ist zu wissen, dass diese keine Verbindlichkeit beanspruchen, sodass weder Rechte noch Pflichten aus ihnen abzuleiten sind. Sie sind grundsätzlich geeignete, wichtige Orientierungshilfen zur Auslegung, haben einen starken Charakter und sind Teil einer Verordnung, jedoch im Falle eines Widerspruchs zwischen Erwägungsgrund und Artikel, ist dem Artikeltext unmittelbar Vorrang einzuräumen.
Für die Konstellation des Art. 6 Abs. 1 UAbs. 2 DS-GVO und ErwG 49 DS-GVO bedeutet dies, dass die für die vom ErwG 49 DS-GVO explizit genannten und im öffentlichen Bereich angesiedelt Stellen, der Gesetzgeber für die notwendigen Datenverarbeitungen personenbezogener Daten auch die erforderlichen gesetzlichen Ermächtigungen schaffen muss.
IT-Sicherheit, eine originäre Aufgabe?
Die sich anschließende Frage, die in diesem Kontext aufgeworfen werden kann, ist, ob die Herstellung von IT- beziehungsweise Cybersicherheit als solche Verarbeitung überhaupt zu den originären Aufgaben einer öffentlichen Stelle zu zählen ist. Ein Rückgriff auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO könnte nur insoweit verwehrt sein, als dass die Datenverarbeitung in Erfüllung der öffentlichen Aufgaben vorgenommen wird.
Das Ergreifen entsprechender Sicherheitsmaßnahmen und die damit einhergehenden erforderlichen Verarbeitungen personenbezogener Daten könnten wiederrum als Verarbeitung im Interesse einer ordnungsgemäßen Verwaltung und des reibungslosen Funktionierens einer Behörde verstanden werden. Dies würde letztendlich bedeuten, dass sich Behörden auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO insoweit stützen können, als sie sich mit dem Betroffenen in keinem spezifisch staatlichen Verhältnis befinden. Die sogenannte Eingriffs- und Leistungsverwaltung liegt im Bereich der IT-Sicherheit bzw. Cybersicherheit gerade nicht vor. Die Behörden befinden sich beim Ergreifen möglicher Sicherheitsmaßahmen zu Herstellung und Aufrechterhaltung der IT-Sicherheit bzw. Cybersicherheit weder in einem spezifischen staatlichen Verhältnis noch dient dies der Erfüllung originärer Aufgaben.
Folgt man dieser Einschätzung, wäre für Behörden im Bereich der IT-Sicherheit bzw. Cybersicherheit ein Rückgriff auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO nicht durch Art. 6 Abs. 1 UAbs. 2 DS-GVO gesperrt.
Wie sehen Aufsichtsbehörden die Rechtslage?
Zugegeben, die hier vertreten Ansicht wird nicht von allen gleichermaßen geteilt. Im seinem aktuellen Tätigkeitsbericht äußert sich beispielsweise der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) wie folgt:
„Ob die Gewährleistung der IT-Sicherheit zu den originären Aufgaben einer öffentlichen Stelle gehört, ist umstritten […]. Art. 6 Abs. 1 Buchst. e) DS-GVO erlaubt Datenverarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die den Verantwortlichen übertragen wurde. Erwägungsgrund 49 DS-GVO bezeichnet die Verarbeitung von personenbezogenen Daten, die für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, auch durch Behörden, als berechtigtes Interesse der Verantwortlichen. Die Aufgabe zur Gewährleistung von IT-Sicherheit wurde öffentlichen Stellen des Landes Baden-Württemberg durch mehrere Normen übertragen.“ Der LfDI lässt die Frage letztendlich offen und stützt sich bei seinen weiteren Ausführungen auf die jeweiligen Einzelnormen.
Die Sächsische Datenschutz- und Transparenzbeauftragte äußert sich in Ihrem aktuellen Tätigkeitsbericht zu einem entfernt vergleichbaren Thema – dem Einsatz von KI-Systemen wie folgt: „Die Datenschutz-Grundverordnung (DSGVO) setzt hierbei für öffentliche Stellen auch teilweise andere Voraussetzungen voraus als im nichtöffentlichen Bereich, insbesondere ist eine Verarbeitung auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 Buchstabe f DSGVO) nicht möglich.“
Fazit
Es wird sichtbar, dass die Anwendung des Art. 6 Abs. 1 UAbs. 2 DS-GVO nicht zu klar ist, wie sie beim ersten Lesen zunächst schient. Ein vermittelnder Ansatz könnte sich aus der Gesamtschau der Tatbestände des Art. 6 Abs. 1 DS-GVO ergeben: Ein Rückgriff auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO ist nicht generell über Art. 6 UAbs. 2 DS-GVO ausgeschlossen wird, jedoch nur dann möglich ist, wenn die Datenverarbeitung weder zur Erfüllung einer rechtlichen Verpflichtung (lit. c)) erforderlich ist noch der hoheitlichen Aufgabenerfüllung dient (lit. e)) oder im Zusammenhang mit einer Vertragserfüllung (lit.b)) steht.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
