2021/392).126
80
Wertpapierdienstleistungsunternehmen unterliegen seit der Einführung des § 83 WpHG,127 der Art. 16 Abs. 7 MiFID II umsetzt, verschärften Pflichten zur Aufzeichnung von Telefongesprächen und elektronischer Kommunikation hinsichtlich der beim Handel für eigene Rechnung getätigten Geschäfte und der Erbringung von Dienstleistungen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen. Diese dem Schutz von Anlegern und Verbrauchern dienende wertpapierhandelsrechtliche Aufzeichnung von Daten hat zweifelsfrei datenschutzrechtliche Bezüge.128 Beide europäischen Gesetze, DSGVO und MiFID II, stehen auf gleicher Hierarchieebene. Keine Vorschrift verdrängt die andere. Art. 78 MiFID II betont, dass ihre Vorschriften im Einklang mit der DSGVO stehen; gleichwohl sind beide Regelwerke für sich autonom auszulegen. Aus Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO i.V.m. § 83 WpHG ergibt sich die Erlaubnis, die Aufzeichnungen vorzunehmen und zu dokumentieren. Die Erlaubnis hat zu berücksichtigen, dass die Verarbeitung nur erfolgen darf, soweit sie erforderlich ist. Aus § 83 Abs. 3 Satz 1 WpHG folgt, dass die Verarbeitung der Beweissicherung dient. Bei europarechtskonformer Auslegung des § 83 WpHG ist die Vorschrift im Lichte von Art. 16 Abs. 7 UAbs. 1 MiFID II weit auszulegen („zumindest“129 und „vollumfänglich“130), was mit der Pflicht zur Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO kollidieren könnte. Für den Wertpapierdienstleister folgt daraus eine Normenkollision131 und das Risiko, entweder sanktionsbedroht zu viele Daten aufzuzeichnen oder, ebenso bußgeldbedroht, zu wenige.132 Für die Praxis wird deshalb empfohlen, für die Erlaubnis der „vollumfänglichen“ Aufzeichnung eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO einzuholen.133 Wird die Einwilligung verweigert, dürfte das Wertpapierdienstleistungsunternehmen auf telefonischem oder elektronischem Weg keine Wertpapierdienstleistungen erbringen. Rechtsunsicher wäre es wohl, den Kunden nur über die Aufzeichnung zu informieren und bei fehlendem Widerspruch von der Zustimmung auszugehen. Im Ergebnis zeigt sich, dass „die regulatorische Abstimmung zwischen der MiFID II bzw. dem WpHG und der DSGVO nicht vollständig gelungen“ ist.134
81
Eine rechtliche Verpflichtung, die zu einer Erlaubnis der Verarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO führt, kann sich auch aus der DSGVO – also mitgliedstaatlichem Recht i.S.v. Art. 6 Abs. 3 DSGVO – selbst ergeben.135 Nach Art. 32 DSGVO haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen“ zur Gewährleistung eines angemessenen Schutzniveaus zu treffen. Art. 32 DSGVO verpflichtet allerdings nicht unmittelbar zu einer Verarbeitung, um die rechtliche Pflicht zu erfüllen; eine explizite Verpflichtung zur Nennung der Datenverarbeitung kennt die Norm ebenso wenig wie der ErwG 45, der die Anforderungen an die Erlaubnis aus Buchstabe c konkretisiert. Orientiert man sich an einer Entscheidung des VGH Mannheim,136 dann enthält auch § 99 VwGO eine rechtliche Verpflichtung, die datenschutzrechtlich die Verarbeitung erlaubt; denn danach sind Behörden „zur Vorlage von Urkunden oder Akten, zur Übermittlung elektronischer Dokumente und zu Auskünften verpflichtet“, ohne dass ausdrücklich eine elektronische Vorlage von personenbezogene Daten enthaltenden Dokumenten erwähnt wird. Ein Aktenvorlageverlangen stellt damit eine rechtliche Verpflichtung dar, die datenschutzrechtlich (neben Buchstabe e auch) nach Buchstabe c zulässig ist. Ist hier, in der rechtlichen Verpflichtung nach § 99 VwGO, keine ausdrückliche Verpflichtung zu einer Datenverarbeitung enthalten, so gilt das auch für Art. 32 DSGVO. Eine „Spezifizierung zu den Arten der Daten oder der Verarbeitung selbst“ muss die Vorschrift, aus der sich eine rechtliche Verpflichtung ergibt, nicht enthalten.137 Art. 32 Abs. 1 lit. a DSGVO sieht in dem hier genannten Regelbeispiel im Übrigen eine Pseudonymisierung vor, die nach der Definition in Art. 4 Nr. 5 DSGVO eine „Verarbeitung“ darstellt. Erfordert die Gewährleistung eines angemessenen Schutzniveaus nach Art. 32 DSGVO eine Datenverarbeitung, so dürfte für diesen Zweck auch eine Verarbeitung personenbezogener Daten vorgenommen werden.138
82
Ein rechtlicher Betreuer kann sich bei der von ihm vorgenommenen Verarbeitung personenbezogener Daten der von ihm betreuten, nicht einsichtsfähigen Person, die für die Wahrnehmung seiner Aufgaben erforderlich sind, auf Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO als Erlaubnistatbestand stützen. Die Vertretung des Betroffenen durch den Betreuer nach § 1902 BGB stellt eine rechtliche Verpflichtung i.S.d. Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO dar.139 Darüber hinaus kann der rechtliche Betreuer auch für den Betreuten trotz der Höchstpersönlichkeit der Einwilligungserklärung Einwilligungen in die Datenverarbeitung durch Dritte erteilen. Dieser Aspekt wird künftig durch den Einsatz von Pflegerobotern, die etwa durch Sensoren personenbezogene Daten – auch besonderer Arten personenbezogener Daten (Gesundheitsdaten) – an Bedeutung zunehmen, in deren Verarbeitung der rechtliche Betreuer einwilligen muss, wenn die Einwilligungsfähigkeit beim Betreuten nicht mehr gegeben ist.140
83
Auf die Erlaubnis aus Buchstabe c kann sich sowohl eine öffentliche wie auch eine nichtöffentliche Stelle berufen. Der Adressat der Verpflichtung muss sich aus einer Rechtsvorschrift ergeben, die gerade ihn und nicht etwa die betroffene Person141 zu einer Verarbeitung verpflichtet. Dass der Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO „vor allem die staatliche Datenverarbeitung“ oder „primär die Datenverarbeitung durch öffentliche Stellen“ betreffe und die hiernach erlaubte Datenverarbeitung eine „klassische Staatsaufgabe“ sei, ist ganz und gar unzutreffend.142 Vielmehr ist dieser Erlaubnistatbestand nicht ausschließlich, aber „vor allem für privatrechtliche Verantwortliche relevant, weil Behörden sich auf die Erlaubnis nach Buchstabe e berufen können“.143 Dann, wenn die Datenverarbeitung nicht dem Zweck der ihr zugewiesenen hoheitlichen Aufgabenerfüllung dient, kann sich für öffentliche Stellen eine Rechtspflicht zur Verarbeitung auch aus dem Buchstaben c ergeben (siehe die Beispiele bei Rn. 79).
c) Rechtliche Verpflichtungen in Kollektivvereinbarungen
84
Für die nichtöffentlichen Stellen sind der normative Teil der Tarifverträge und auch Betriebsvereinbarungen, für die § 4 Abs. 1 TVG und § 77 Abs. 4 Satz 1 BetrVG die normative Außenwirkung anordnet, sowie der eine Betriebsvereinbarung ersetzende Spruch der Einigungsstelle als Rechtsvorschrift (Gesetz im materiellen Sinne) grundsätzlich anerkannt, sodass sich aus ihnen rechtliche Verpflichtungen im Sinne des Buchstaben c ergeben können.144 Das Gleiche gilt entsprechend auch für Dienstvereinbarungen öffentlicher Stellen mit der Personalvertretung.145 In anderen Normen der DSGVO wie Art. 9 Abs. 2 lit. b DSGVO („Recht der Mitgliedstaaten oder einer Kollektivvereinbarung“) und Art. 88 Abs. 1 DSGVO („Rechtsvorschriften oder durch Kollektivvorschriften“) werden Kollektivvorschriften neben den Rechtsvorschriften erwähnt. Daraus kann nicht geschlossen werden, dass das Fehlen der ausdrücklichen Erwähnung von Kollektivvorschriften in Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO sich aus Kollektivvereinbarungen ergebende Rechtspflichten ausschließt.146 Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO erwähnt den Terminus „Rechtsvorschriften“ gar nicht, die die DSGVO in Art. 88 DSGVO neben den Kollektivvereinbarungen als „Vorschrift“ ansieht. In Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO ist nur die Rede davon, dass sich eine „rechtliche Verpflichtung“ ergeben muss; diese kann auch aus einer sowohl „Rechtsvorschriften“ als auch „Kollektivvereinbarungen“ begrifflich umfassenden „Vorschrift“, nämlich einem Gesetz im materiellen Sinn wie eben einer Kollektivvereinbarung, folgen.147
85
Aus ihnen können sich auch Verpflichtungen des Arbeitgebers ergeben, Beschäftigtendaten zu einem darin konkret vorgesehenen Zweck zu verarbeiten. § 26 Abs. 1 Satz 1 BDSG, der aufgrund der Öffnungsklausel des Art. 88 DSGVO die Verarbeitung von Beschäftigtendaten u.a. spezifisch regelt, bestimmt, dass personenbezogene Beschäftigtendaten zur Erfüllung der sich aus einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung, siehe ErwG 155 DSGVO) ergebenden Pflichten der Interessenvertretung der Beschäftigten verarbeitet werden dürfen. Sowohl den Arbeitgebern als auch den Interessenvertretungen der Beschäftigten wird damit die Verarbeitung von Beschäftigtendaten auch dann erlaubt, wenn dies aufgrund