Gemäß Artikel 23 DSGVO können die Rechtsvorschriften der EU oder der Mitgliedstaaten den Umfang bestimmter Rechte der betroffenen Person einschränken, um bestimmte Ziele zu erreichen:
- die nationale Sicherheit;
- die Landesverteidigung;
- die öffentliche Sicherheit
- die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
- den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;
- den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
- die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;
- Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;
- den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
- die Durchsetzung zivilrechtlicher Ansprüche.
Damit eine Einschränkung rechtmäßig ist, muss sie nach Artikel 23 Absatz 1 DSGVO in einer Rechtsvorschrift vorgesehen sein, die Rechte der einzigen betroffenen Person und die entsprechenden Pflichten nach den Artikeln 5, 12–22 und 34 DSGVO betreffen, den Kern der Grundrechte und -freiheiten achten und eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme darstellen.
Wie der EDSB erläutert, bedeutet die Bedingung, dass der Wesensgehalt der Grundrechte und -freiheiten geachtet werden muss, dass die Einschränkungen nicht so weitreichend und einschneidend sein dürfen, dass diese Rechte und Freiheiten ihres grundlegenden Inhalts beraubt werden.[1] Was die Erfordernisse der Notwendigkeit und der Verhältnismäßigkeit anbelangt, so stellt der EDSB fest, dass Ersteres erfüllt ist, wenn das Ziel des Allgemeininteresses hinreichend genau bestimmt ist. Auf diese Weise kann beurteilt werden, ob die restriktive Maßnahme notwendig ist. Was die Verhältnismäßigkeit anbelangt, so bedeutet dies, dass die gesetzgeberische Maßnahme geeignet sein muss, die legitimen Ziele zu erreichen.[2]
Später sieht Artikel 23 Absatz 2 DSGVO vor, dass die gesetzgeberischen Maßnahmen, die die Rechte der betroffenen Person und die Pflichten des Verantwortlichen einschränken, gegebenenfalls Folgendes umfassen müssen:
- die Zwecke der Verarbeitung oder die Verarbeitungskategorien;
- die Kategorien personenbezogener Daten;
- den Umfang der vorgenommenen Beschränkungen,
- die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;
- die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,
- die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,
- die Risiken für die Rechte und Freiheiten der betroffenen Personen und
- das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.
In seinen Leitlinien stellt der EDSB außerdem klar, dass „der Verantwortliche die Anwendung von Beschränkungen in konkreten Fällen dokumentieren sollte, indem er ein Protokoll über deren Anwendung führt“[3]und zwar im Einklang mit dem Grundsatz der Rechenschaftspflicht (siehe „Grundsatz der Richtigkeit“ in Teil II Abschnitt „Grundsätze“ dieser Leitlinien). Diese Aufzeichnung sollte die Gründe für die Beschränkungen, die in Artikel 23 Absatz 1 DSGVO aufgeführten Gründe, den Zeitpunkt sowie das Ergebnis der Prüfung der Notwendigkeit und Verhältnismäßigkeit enthalten.
Quellenangaben
1Europäischer Datenschutzausschuss, Guidelines 10/2020 on Restrictions under Article 23 GDPR, angenommen am 15. Dezember 2020, S. 10, verfügbar unter: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-102020-restrictions-under-article-23_en [letzter Zugriff: 15.09.2021] ↑
2 Ivi. ↑
3 Ibidem, S. 14 ↑