des Verantwortlichen höher wiegen oder zu den Interessen der betroffenen Person gleichwertig sind. Danach ist die Datenverarbeitung regelmäßig zulässig, wenn den für eine Datenverarbeitung sprechenden berechtigten Interessen ein solches Gewicht zukommt, dass die Belange der betroffenen Person demgegenüber zurücktreten müssen.
149
Grundsätzlich gelten die zu § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. herangezogenen Abwägungskriterien auch weiter. Bei der Abwägung werden zahlreiche Faktoren sowohl auf Seiten des Verantwortlichen wie auf derjenigen der betroffenen Person zu berücksichtigen sein. Zu ihnen zählen die Art der personenbezogenen Daten, der mit der Verarbeitung verfolgte Zweck, die Legitimität und Intensität des Eingriffs der Verarbeitung in Grundfreiheiten und -rechte, die Gewährleistung der Datensicherheit und die – unter Umständen von der betroffenen Person selbst hergestellte – öffentliche Zugänglichkeit256 der Daten. Der die DSGVO prägende „risikobasierte Ansatz“ führt dazu, dass vom Verantwortlichen die Abwägung sorgfältig vorzunehmen ist und eine von ihm als zulässig angesehene Datenverarbeitung umso sorgfältiger begründet und dokumentiert werden muss, je eher Zweifel an der zu seinen Gunsten erfolgten Abwägung aufkommen können.257 Zu prüfen ist mit dem ErwG 47, ob eine betroffene Person zum Zeitpunkt der Datenverarbeitung und angesichts der Umstände, unter denen sie erfolgt, „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“. Zu bewerten ist also die vernünftige Erwartungshaltung der betroffenen Person, die neben anderen Gesichtspunkten ein Indiz für die Zulässigkeit der Verarbeitung sein kann. Wird im Rahmen der dem Verantwortlichen obliegenden Informationspflichten der Zweck der Datenverarbeitung genau bezeichnet und zugesagt, dass die Daten beispielsweise nicht für Werbezwecke verarbeitet werden, dann bestehen beim Betroffenen auch entsprechende Erwartungen, die nicht durch eine Abwägung zugunsten des Verantwortlichen enttäuscht werden dürfen.258 Auch unter diesem Gesichtspunkt kommt der gem. Art. 13 und 14 DSGVO vom Verantwortlichen herzustellenden Transparenz eine besondere Bedeutung zu.
150
Ein besonderes Augenmerk hat der abwägende Verantwortliche nach dem grammatikalisch misslungenen 2. Hs. von Buchstabe f auf die Interessen von Kindern zu richten (siehe auch Rn. 120). Danach sind mögliche entgegenstehende Interessen von betroffenen Personen besonders dann sorgfältig zu prüfen, wenn es sich bei ihnen um Kinder handelt, die die DSGVO unter einen besonderen Schutz stellt. Die Tatsache, dass die betroffene Person ein Kind ist, schließt nicht von vornherein aus, dass die Abwägung stets oder regelmäßig gegen die Rechtmäßigkeit einer auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützten Datenverarbeitung spricht.259 Der Sorgfaltsmaßstab wird aber erhöht, um die Belange von Kindern besonders aufmerksam zu berücksichtigen.260
h) Informationspflichten
151
Der Verantwortliche, der die Verarbeitung personenbezogener Daten mit Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO begründet, muss die betroffenen Personen darüber informieren und darlegen, welche berechtigten Interessen er mit der Datenverarbeitung verfolgt (Art. 13 Abs. 1 lit. d DSGVO, Art. 14 Abs. 2 lit. b DSGVO). Auf das Widerspruchsrecht aus Art. 21 Abs. 1 und 2 DSGVO ist die betroffene Person hinzuweisen (Art. 13 Abs. 2 lit. b bzw. Art. 14 Abs. 2 lit. c DSGVO). Der Hinweis auf das Widerspruchsrecht hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen (Art. 31 Abs. 4 DSGVO).
i) Widerspruchsrecht
152
Gegen eine Verarbeitung, die sich auf eine Erlaubnis nach Buchstabe f stützt, besteht – anders als bei einer Verpflichtung zur Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO – ein Widerspruchsrecht nach Art. 21 Abs. 1 und 2 DSGVO, wenn sich Gründe für ein überwiegendes Interesse aus der besonderen Situation der betroffenen Person ergeben (Art. 21 Abs. 1 Satz 1 DSGVO). Aber auch dann könnte eine auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützte Datenverarbeitung noch zulässig sein, wenn der Verantwortliche dem „zwingende schutzwürdige Interessen“ entgegenhalten kann (Art. 21 Abs. 1 Satz 2 DSGVO), für die er die Darlegungslast trägt.
III. Spezifische Bestimmungen der Mitgliedstaaten (Abs. 2 und 3)
153
In den Absätzen 2 und 3 finden sich fakultative Öffnungsklauseln, aufgrund derer die Mitgliedstaaten die Erlaubnistatbestände aus Art. 6 Abs. 1 UAbs. 1 lit. c und e DSGVO aktivieren können.261 Absatz 3 sieht als Rechtsgrundlage für eine Verarbeitung nach den Buchstaben c und e solche des Unionsrechts (unmittelbar geltendes Primärrecht)262 und des Rechts des Mitgliedstaates, dem der Verantwortliche unterliegt, vor. Eine rechtliche Verpflichtung oder ein öffentliches Interesse, das in einer Rechtsgrundlage eines Drittstaates normiert wurde, sind folglich ausgeschlossen.263 Damit sind EU-Verordnungen sowie Rechtsvorschriften des Bundes- und Landesrechts, aber auch kommunales Recht und Satzungen anderer juristischer Personen des öffentlichen Rechts erfasst, aber keine individuellen Rechtsakte (Verwaltungsakte) oder Urteile.264 Untergesetzliche Normen, die aufgrund einer Ermächtigungsgrundlage erlassen wurden und unmittelbare Außenwirkung haben,265 sind Bestimmungen im Sinne des Absatzes 2. Zu den spezifischen Bestimmungen zählen vornehmlich Gesetze im formellen Sinn,266 von denen es in Deutschland bereichs- oder fachspezifische Datenschutzregelungen auf Bundes- und Landesebene in ganz erheblicher Zahl gab und die aufgrund dieser Regelung des Absatz 3 erhalten oder an die Rahmenvorschriften der DSGVO terminologisch und inhaltlich angepasst werden müssen.267
154
Die Bestimmungen der Union und in den Mitgliedstaaten sollen spezifische Anforderungen an die zur Erfüllung der Verarbeitung gem. Buchstabe c oder e vorsehen. Sie sollen auch Maßnahmen präzise formulieren, damit eine rechtmäßige und nach Treu und Glauben (siehe dazu Art. 5 Rn. 13) erfolgende Verarbeitung gewährleistet ist.
155
Genau genommen finden sich unter den Buchstaben c und e keine selbstständigen Erlaubnistatbestände.268 Erst in Verbindung mit den spezifischen mitgliedstaatlichen Bestimmungen können sie einen Erlaubnistatbestand für die öffentliche Hand ergeben.269 Nach Absatz 2 dürfen die Mitgliedstaaten „spezifische Bestimmungen“ beibehalten oder einführen. Damit sollen spezifische Anforderungen für die Verarbeitung und „für sonstige Maßnahmen“ präziser bestimmt werden.270 Bezweckt wird damit, eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten. Die Anforderung, dass die Bestimmungen der DSGVO präziser bestimmt werden können, schließt eine Wiederholung von Vorschriften der DSGVO aus.271 Anerkannt ist allerdings, dass Wiederholungen von Textpassagen der DSGVO dann zulässig sind, wenn die DSGVO eine Präzisierung durch mitgliedstaatliches Recht zulässt und die Wiederholung als erforderlich gilt, um die Kohärenz sicherzustellen und um die nationalen Vorschriften verständlich und normenklar zu formulieren, ohne den Eindruck entstehen zu lassen, dass die Verordnung nicht direkt anzuwenden sei. Diese Möglichkeit der Wiederholung wird von ErwG 8 ausdrücklich genannt. Deshalb wird es auch als zulässig angesehen, dass das BDSG stellenweise Normtexte der DSGVO in den Wortlaut des BDSG aufnimmt, weil es im Interesse der Rechtsanwender ist, „ein homogenes und verständliches Regelungsgefüge zu schaffen“.272 Dabei ist eine Bezugnahme auf die DSGVO unerlässlich. Mit der Präzisierung dürfen keine verbindlichen Auslegungsregelungen geschaffen werden.
156
Im Absatz 3 werden Anforderungen zusammengefasst, die ein Verantwortlicher zusätzlich zu den Merkmalen zu beachten hat, die sich aus den Erlaubnistatbeständen des Absatz 1 lit. c und e ergeben. Absatz 3 enthält keine eigene Kompetenzermächtigung zur Konkretisierung, sondern erweitert die in Absatz 2 enthaltenen Anforderungen an die Konkretisierung durch die Mitgliedstaaten und schränkt die Ermächtigung inhaltlich weiter ein. Diese Regelungswechselwirkung wurde als „Schranken-Schranke“ bezeichnet.273 So muss sich nach Absatz 3 Satz 1 ein Rechtsgrund dafür, dass eine Verarbeitung auf Art. 6 Abs. 1 UAbs. 1 lit. c oder lit. e DSGVO gestützt werden