target="_blank" rel="nofollow" href="#ulink_767d8f7d-664b-58a1-8b51-5f97ff6f4f8f">114
I. Allgemeines
1. Bedeutung der Vorschrift
1
Aus Art. 8 Abs. 2 Satz 1 GRCh folgt, dass personenbezogene Daten von hoheitlichen Stellen nur „mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet“ werden dürfen.1 Als primären Grundsatz der Verarbeitung personenbezogener Daten verlangt auch Art. 5 Abs. 1 lit. a DSGVO, dass personenbezogene Daten – von staatlichen wie privaten Stellen – nur rechtmäßig verarbeitet werden und nach Buchstabe b auch nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben worden sein dürfen.2 Hieran knüpft Art. 6 DSGVO an. Schon die Überschrift „Rechtmäßigkeit der Verarbeitung“ bringt dies zum Ausdruck. Art. 6 Abs. 1 UAbs. 1 DSGVO listet die in Betracht kommenden Erlaubnistatbestände auf, aus denen sich die Rechtmäßigkeit der Verarbeitung ergeben kann. Über die in Abs. 1 UAbs. 1 lit. a bis f aufgeführten Rechtmäßigkeitsalternativen hinaus kann es allerdings spezifische Regelungen im Unionsrecht oder im Recht der Mitgliedstaaten aufgrund einer in der DSGVO enthaltenen Öffnungsklausel geben.3
2
Weitere mitgliedstaatliche Datenschutzvorschriften mit fachspezifischen Erlaubnistatbeständen für die Verarbeitung personenbezogener Daten finden sich darüber hinaus dann, wenn sie der Umsetzung einer fachspezifischen Richtlinie wie beispielsweise der RL 2016/680 (Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung) oder RL 2002/58/EG (E-Privacy-Richtlinie) dienen. Nationales Datenschutzrecht findet sich auch, wenn der Mitgliedstaat eine Datenschutzvorschrift mit Erlaubnistatbestand auf einem Gebiet verabschiedet, auf dem die EU nach dem AEUV keine Regelungskompetenz besitzt. Insofern kann nicht die Rede davon sein, dass Art. 6 DSGVO die Erlaubnistatbestände für die Verarbeitung personenbezogener Daten abschließend regelt.4 Damit bleibt es bei der aus dem nationalen Datenschutzrecht bekannten Situation, dass sich auch aus dem allgemeinen Datenschutzrecht, bestehend aus BDSG und Landesdatenschutzgesetzen, und den fachspezifischen Datenschutzgesetzen Erlaubnistatbestände ergeben können. Es gilt auch unter der DSGVO, dass stets zu prüfen ist, ob für eine Datenverarbeitung (neben oder statt der DSGVO) andere Datenschutzvorschriften zur Anwendung kommen, aus denen sich eine Erlaubnis für die Verarbeitung personenbezogener Daten ergeben können. Darunter sollte nach einer Mitteilung des BMI5 auch § 23 KUG fallen, der Ausnahmen vom Verbot der Verarbeitung von Bildnissen vorsieht. Nach einer Entscheidung des BGH6 findet das KUG allerdings aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DSGVO nur für eine Verarbeitung von Bildnissen im journalistischen Bereich Anwendung. Die §§ 22, 23 KUG stellen Regelungen zur Umsetzung des Medienprivilegs dar.
3
Es besteht demzufolge weiter eine große Zahl von Gesetzen, die in dem 1. Anpassungsgesetz des Bundes7 mit dem BDSG als Artikel 1 und dem 2. Gesetz zur Anpassung des Datenschutzrechts8 aufgeführt sind und Erlaubnistatbestände enthalten oder die sich aus Anpassungsgesetzen der Länder ergeben oder, ohne in Anpassungsgesetzen erwähnt zu werden, aufgrund von Öffnungsklauseln weiter gelten oder neu verabschiedet werden. Es kann deshalb kaum die Rede davon sein, dass die DSGVO zu einer Vereinheitlichung des Datenschutzrechts innerhalb der EU geführt hat.9 Insofern trifft die Bemerkung zu, dass die DSGVO eher Richtliniencharakter habe (siehe Art. 94 Rn. 5).10
4
Auch unter der DSGVO wird das Datenschutzrecht vom Grundsatz des „Verbots mit Erlaubnisvorbehalt“ geprägt. Ein gesetzliches Verbot im verwaltungsrechtlichen Sinn, das durch einen Verwaltungsakt aufzuheben wäre, enthält die Vorschrift, die als Verbotsadressaten auch die öffentlichen Stellen anspricht, nicht.11 Die legislativen Ausnahmen vom Verbot ergeben sich unmittelbar aus dem Gesetz selbst. Soweit öffentliche Stellen personenbezogene Daten erheben, handelt es sich um einen Eingriff in das Datenschutzgrundrecht und bedarf einer gesetzlichen Legitimation; insoweit lässt sich von einem „Verbot mit Eingriffsvorbehalt“ sprechen. Die Datenverarbeitung öffentlicher Stellen oder solcher, die öffentliche Aufgaben wahrnehmen, „bedarf einer detaillierten gesetzlichen Ermächtigung, die festlegt, unter welchen Bedingungen die Behörden zu welchem Zweck welche Daten erheben dürfen“.12
5
Das gilt nicht in gleicher Weise für die Verarbeitung durch Private, die nicht durch eine „Eingriffserlaubnis“ legitimiert werden müsste. Zur Freiheit