DSG:§ 40. Verarbeitung für andere Zwecke und Übermittlung

Aus Datencockpit
Wechseln zu:Navigation, Suche
Inhaltsverzeichnis

(1)

Eine Verarbeitung von personenbezogenen Daten nach den Bestimmungen dieses Hauptstücks durch denselben oder einen anderen Verantwortlichen für einen anderen Verarbeitungszweck, als jenen, für den sie erhoben wurden, ist nur zulässig, wenn dieser andere Zweck vom Anwendungsbereich des § 36 Abs. 1 umfasst ist und die Voraussetzungen der §§ 38 und 39 erfüllt sind.

(2)

Die Übermittlung von nach den Bestimmungen dieses Hauptstücks verarbeiteten personenbezogenen Daten für einen nicht in § 36 Abs. 1 genannten Zweck ist nur zulässig, wenn dies gesetzlich oder in unmittelbar anwendbaren Rechtsvorschriften, die innerstaatlich den Rang eines Gesetzes haben, ausdrücklich vorgesehen ist und der Empfänger zur Verarbeitung dieser personenbezogenen Daten für diesen anderen Zweck befugt ist.

(3)

Unterliegt die Verarbeitung von personenbezogenen Daten besonderen Bedingungen, so hat die übermittelnde zuständige Behörde den Empfänger der personenbezogenen Daten darauf hinzuweisen, dass diese Bedingungen gelten und einzuhalten sind. Die Übermittlung an Empfänger in anderen Mitgliedstaaten oder nach Titel V Kapitel 4 und 5 AEUV errichtete Einrichtungen und sonstige Stellen darf keinen Bedingungen unterworfen werden, die nicht auch für entsprechende Datenübermittlungen im Inland gelten.

Erläuterung zu § 40. Verarbeitung für andere Zwecke und Übermittlung

Mit dieser Bestimmung werden Art. 4 Abs. 2 und 3 sowie Art. 9 der Richtlinie (EU) 2016/680 umgesetzt.

Der Begriff der „Weiterverarbeitung“ wird im vorliegenden Kontext bewusst vermieden, weil die Richtlinie (EU) 2016/680 diesbezüglich von einem grundlegend anderen Konzept ausgeht als die DSGVO und diese Konzepte nicht vermischt werden sollten.

In der Richtlinie (EU) 2016/680 sind Regelungen über die Verarbeitung von personenbezogenen Daten zu anderen Zwecken sowie die Übermittlung in mehreren Bestimmungen enthalten. Das komplexe Zusammenspiel zwischen DSGVO und Richtlinie (EU) 2016/680 in Schnittstellenbereichen – etwa wenn personenbezogene Daten aus dem Strafverfolgungskontext für andere Zwecke weiterverarbeitet oder an andere Behörden übermittelt werden sollen – kommt dadurch in der Richtlinie nicht klar zum Ausdruck. Die Regelungen sollen deshalb im Zuge der Umsetzung in einer gemeinsamen Bestimmung zusammengeführt werden. Abs. 1 sieht vor, dass auch die Verarbeitung zu anderen Zwecken gemäß § 34 stets einer eigenen gesetzlichen Grundlage bedarf. Davon umfasst ist jedenfalls auch eine Verarbeitung von personenbezogenen Daten eines Geschäftsfalles für einen anderen Geschäftsfall (zB Austausch von personenbezogenen Daten zwischen mehreren Strafverfahren ohne entsprechende gesetzliche Vorgaben). Abs. 1 findet dabei jedoch nur Anwendung, wenn die Verarbeitung zu einem anderen Zweck innerhalb des Anwendungsbereichs des § 34 erfolgt. Übermittlungen zu einem Zweck außerhalb des Anwendungsbereichs des § 34 sind hingegen nach Abs. 2 zu beurteilen. Die Weiterverarbeitung personenbezogener Daten im Strafverfolgungskontext ist insofern gegenüber der Erstermittlung grundsätzlich nicht privilegiert (es können jedoch materienspezifische Sonderregelungen getroffen werden, zB hinsichtlich der Verwertung von Zufallsfunden). Die Verarbeitung personenbezogener Daten zu Zwecken der Archivierung im öffentlichen Interesse sowie die wissenschaftliche, statistische oder historische Verarbeitung durch zuständige Behörden stellt ebenfalls einen Anwendungsfall des Abs. 1 dar, wenn sie zu Zwecken des § 34 durchgeführt wird (zB Auswertung zu Präventionszwecken). Die Verarbeitung nach dem Abs. 1 umfasst sowohl die Verarbeitung für einen anderen Zweck durch denselben Verantwortlichen sowie einen anderen Verantwortlichen.

Eine Verarbeitung von nach den Bestimmungen dieses Hauptstücks verarbeiteten personenbezogenen Daten zu anderen als den in § 34 genannten Zwecken ist durch denselben Verantwortlichen hingegen dann nur zulässig, soweit dies gesetzlich oder durch unmittelbar anwendbares Unionsrecht (zB DSGVO) vorgesehen ist.

Abs. 2 sieht vor, dass jede Übermittlung von personenbezogenen Daten einer ausdrücklichen gesetzlichen Grundlage bedarf und nur zulässig ist, wenn der Empfänger zur Verarbeitung der personenbezogenen Daten befugt ist. Die Regelung gilt unabhängig davon, welchen konkreten Rechtsvorschriften der Empfänger unterliegt bzw. zu welchen Zwecken die weitere Verarbeitung erfolgt. Die Zulässigkeit der Übermittlung von personenbezogenen Daten ist grundsätzlich getrennt von der Zulässigkeit der Verarbeitung zu prüfen. Das Verhältnis zwischen der Zulässigkeit der Übermittlung und der Verarbeitung beim Empfänger stellt sich somit wie folgt dar: Voraussetzung jeder Übermittlung ist die Zulässigkeit der Verarbeitung durch den Empfänger. Umgekehrt berechtigt aber die bloße Tatsache, dass der Empfänger zur Verarbeitung der personenbezogenen Daten berechtigt wäre, eine zuständige Behörde nicht zur Übermittlung der Daten; die Übermittlung muss zudem gesetzlich ausdrücklich vorgesehen sein.

Eine solche Regelung ist unerlässlich, um personenbezogene Daten, die im Strafverfolgungskontext ermittelt wurden, ausreichend zu schützen: So sind den Strafverfolgungsbehörden bestimmte Ermittlungsmaßnahmen, die besonders gravierend in die Rechte der betroffenen Personen eingreifen – insbesondere geheime Überwachungsmaßnahmen – vorbehalten, die weder sonstigen Behörden noch Privaten erlaubt sind. Dass ein Empfänger zur Verarbeitung der personenbezogenen Daten (etwa aufgrund eines überwiegend berechtigten Interesses) dem Grunde nach berechtigt wäre, soll nicht dazu führen, dass solche im Strafverfolgungskontext ermittelten personenbezogenen Daten von der zuständigen Behörde, die die personenbezogenen Daten ursprünglich ermittelt und verarbeitet hat, etwa an Private übermittelt werden dürfen oder sogar müssen, obwohl der Empfänger die für ihre Ermittlung eingesetzten Mittel selbst niemals hätte einsetzen dürfen. Die Entscheidung, ob eine solche Übermittlung mit den Rechten der betroffenen Person vereinbar ist, wird somit dem Gesetzgeber überantwortet. Entsprechende Übermittlungsregelungen sind schon jetzt in zahlreichen Materiengesetzen (zB SPG und StPO) enthalten, sodass sich diesbezüglich kein zusätzlicher Umsetzungsbedarf ergibt.

Fragestellungen Fragestellungen: 0

Derzeit sind keine Fragestellungen zu diesem Paragraphen vorhanden.

Diskussionsbeiträge Diskussion

Metadaten Metadaten

  • Nummer: 40
  • Bezeichnung: Verarbeitung für andere Zwecke und Übermittlung
  • Hauptstück: 3. Hauptstück. Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei
  • Abschnitt: 1. Abschnitt. Allgemeine Bestimmungen
  • Fragestellungen:
  • Paragraph unverändert
  • Letzte Änderung: 3. 11. 2017 durch Admin (ID: 372, Revision 997)