Gemäß Art. 6 Abs.. 1 Buchst. (c) der DSGVO, Organisationen, die personenbezogene Daten verarbeiten, wenn diese Verarbeitung erforderlich ist, um die rechtlichen Verpflichtungen des Betreibers zu erfüllen.
Aber wie immer steckt hinter den scheinbar einfachen Problemen eine Vielzahl komplexer Sachverhalte. Die Organisationen müssten insbesondere die folgenden Fragen erörtern:
Was ist die Grundlage für diese rechtliche Verpflichtung?
Das „Gesetz“, das die Pflicht zur Verarbeitung personenbezogener Daten festlegt, muss ein interner oder europäischer Rechtsakt sein.
Interne normative Akte können sowohl vom Parlament erlassene Gesetze als auch normative Akte mit schwächerer Rechtskraft sein, wie Regierungsbeschlüsse und Verordnungen. Es kann sich auch um eine Quelle für eine rechtliche Verpflichtung zur Verarbeitung und sekundäre Maßnahmen handeln, wie z. B. Gesetze, Richtlinien, Leitlinien, Regeln, Stellungnahmen oder ähnliches, wenn sie Organisationen Verpflichtungen (obligatorisches Verhalten) hinsichtlich der Verarbeitung personenbezogener Daten auferlegen.
Die folgenden Punkte können nicht als „Quellen“ der rechtlichen Verpflichtung identifiziert werden:
Rechtliche Verpflichtung vs. berechtigtes Interesse
Um die Grundlage für die Erhebung personenbezogener Daten nach Artikel 6 Abs. (1) lit. (c) der DSGVO darzustellen, muss die gesetzliche Vorschrift hinreichend bestimmt sein. Die allgemeine Regel kann nicht die Grundlage für die Verarbeitung von Daten sein; möglicherweise kann in solchen Fällen die Grundlage für die Verarbeitung von Daten das berechtigte Interesse der Organisationen sein, der jeweiligen rechtlichen Verpflichtung nachzukommen – Art. 6 Abs. (1) lit. up. (f) der DSGVO.
Um den erforderlichen Verarbeitungsgrund zu definieren, müssen Organisationen auch ständig zwischen der rechtlichen Verpflichtung (Art. 6 Abs. (1) (c) der DSGVO) und dem berechtigten Interesse an der Einhaltung dieser rechtlichen Verpflichtungen (Art. 6 Abs. (1) (f) der DSGVO) „pendeln“.
Das Kriterium für die Unterscheidung wäre immer der Grad der Charakterisierung der betreffenden rechtlichen Verpflichtung. Je weniger ausgeprägt die Verpflichtung ist und je freier das Unternehmen die wesentlichen Elemente der Verarbeitung (Zweck, Daten, Mittel, betroffene Personen, Empfänger usw.) festlegen kann, desto wahrscheinlicher ist es, dass die Grundlage der Verarbeitung das berechtigte Interesse und nicht die Notwendigkeit der Einhaltung der rechtlichen Verpflichtung ist.
Natürlich würde es nicht immer ausreichen, wenn die rechtliche Verpflichtung eine detaillierte und erschöpfende Zusammenfassung aller Elemente enthielte, die zur Erfüllung der betreffenden rechtlichen Verpflichtung erforderlich sind (kumulativ: Arten von Daten, Verarbeitungsvorgänge, Kategorien von Empfängern, betroffene Personen usw.). Eine kurze Angabe der Elemente, die geeignet sind, die nach dieser Rechtsnorm erforderliche Verarbeitung zu „umreißen“, wäre ausreichend (z. B. die Angabe der Arten und des Gegenstands der Verarbeitung).
Organisationen müssen sorgfältig das Risiko abwägen, das entsteht, wenn sie sich zur Rechtfertigung der Verarbeitung personenbezogener Daten auf die gesetzliche Pflicht verlassen.
Zusammenfassung
Die Unternehmen müssten sich die Frage stellen:
Je nach der Antwort auf diese Fragen könnte das Unternehmen entscheiden, ob es die Verarbeitung der Daten auf die Notwendigkeit der Erfüllung der rechtlichen Anforderungen (Artikel 6 Absatz 1 Buchstabe c der DSGVO) oder umgekehrt auf eine andere in der DSGVO vorgesehene Grundlage für die Verarbeitung stützen sollte (möglicherweise auf das berechtigte Interesse der Organisation oder eines anderen Betreibers).
Die Erhebung personenbezogener Daten, die über die durch die rechtliche Verpflichtung gesetzten Grenzen hinausgeht (z. B. die spätere Aufbewahrung von Daten zum Nachweis der Einhaltung der rechtlichen Verpflichtung), beruht in jedem Fall höchstwahrscheinlich auf dem berechtigten Interesse des Unternehmens oder eines Dritten und nicht auf der rechtlichen Verpflichtung.