Ein Teilnehmer meines Datenschutzauditor-Seminars (TÜV) hat mich zu folgender Frage angeregt:
Ist es zulässig, zusätzlich zu einer vorhandenen legitimen Rechtsgrundlage gemäß Artikel 6 Absatz 1 Buchstabe b bis f der Datenschutz-Grundverordnung (DSGVO) eine Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a der DSGVO einzuholen? Wie verhält es sich, wenn ein Gesetz eine solche Regelung vorsieht?
Um die Frage besser zu verstehen, hier etwas Kontext:
Im Rahmen des Transplantationsgesetzes holen einige Verantwortliche, in unserem Fall eine öffentliche Stelle, neben einer bereits genannten Rechtsgrundlage wie oben erwähnt zusätzlich eine Einwilligung ein. Hierbei wird insbesondere auf die §§ 4 und 7 des Transplantationsgesetzes (TPG) verwiesen.
Grundsätzlich gilt, dass eine der in Artikel 6 Absatz 1 der DSGVO genannten Voraussetzungen erfüllt sein muss, um die Verarbeitung personenbezogener Daten überhaupt durchführen zu dürfen. Es kommt also darauf an, ob eine Einwilligung oder eine andere Rechtsgrundlage vorliegt. Wenn mehrere Gründe vorliegen, sollte immer diejenige Rechtsgrundlage verwendet werden, die der Verarbeitung und dem Zweck am nächsten liegt.
Die Frage ist, ob es sinnvoll oder sogar zulässig ist, eine Einwilligung einzuholen, wenn ein Gesetz die Verarbeitung erlaubt. Denn bei der Einwilligung gelten gemäß Artikel 7 der DSGVO strenge Bedingungen. Daher wäre eine Verarbeitung ohne Einwilligung rechtswidrig. Wenn also ein Gesetz die Verarbeitung von Daten erlaubt, aber gleichzeitig eine Einwilligung erfordert, wäre das Gesetz ohne die Einwilligung nicht anwendbar.
Persönlich habe ich erhebliche Bedenken gegenüber einer solchen Regelung. Aus meiner Sicht wäre sie wahrscheinlich nicht wirksam und könnte aufgrund der Widersprüchlichkeit sogar infrage gestellt werden.
Was sagt das Transplantationsgesetz dazu?
Im Rahmen einer Organtransplantation regelt § 4 des TPG unter anderem, dass im Falle des Fehlens eines Organspendeausweises und der darauf erkennbaren Einwilligung des Organspenders zu Lebzeiten die Einwilligung der nächsten Angehörigen eingeholt werden muss. Diese Regelung bezieht sich jedoch nicht auf die Frage der Datenverarbeitung selbst, sondern darauf, ob die Einrichtung, normalerweise ein Krankenhaus, die Organentnahme zu Spendezwecken durchführen darf.
Dies ergibt sich auch aus der Tatsache, dass die Datenverarbeitung personenbezogener Daten von potenziellen Organspendern und ihren Angehörigen, insbesondere die Datenübermittlung zwischen den entsprechenden Einrichtungen, in der Regel durch § 7 Absatz 1 Satz 1 und § 7 Absatz 1 Satz 2 des TPG geregelt ist, die als Rechtsgrundlage für die Verarbeitung bestimmter Daten und die Übermittlung von Daten dienen.
Angenommen, es wäre immer erforderlich, zusätzlich zur Rechtsgrundlage eine Einwilligung einzuholen (für die eigentliche Datenverarbeitung), dann würde dies die Grundlage für Organtransplantationen, Koordinationsstellen und weitere Hilfsleistungen, die das Leben vieler Menschen retten, nicht nur gefährden, sondern sogar beenden. Denn im Falle des Todes einer Person läge keine Einwilligung vor, und die Einrichtung dürfte die Daten nicht zur Einholung einer Einwilligung nutzen.
Was ist nun das Ergebnis?
Aus dem Zweck der Regelung ergibt sich, dass § 4 des TPG nicht die Datenverarbeitung regelt, sondern vielmehr die Frage der Organentnahme und -transplantation. Somit ist eine Einwilligung neben der Rechtsgrundlage nicht im Gesetz vorgesehen. Eine Einwilligung zur Datenverarbeitung durch die Einrichtung, beispielsweise zur Kontaktaufnahme mit den Angehörigen zur Klärung der Frage einer Organspende oder zur Weitergabe an andere Stellen, ist weder vorgeschrieben noch sinnvoll.
Die Datenverarbeitung selbst ist durch eine gesetzliche Regelung gestattet, und die entsprechende Rechtsgrundlage lautet wie folgt:
Artikel 6 Absatz 1 Buchstabe e der DSGVO in Verbindung mit § 7 Absatz 1 Satz 1 des TPG.
Die Frage, ob neben einer Rechtsgrundlage eine Einwilligung eingeholt werden darf und ob beides parallel gilt, kann klar mit Nein beantwortet werden. Es wäre auch im Interesse des Unternehmens, darauf hinzuweisen, dass durch das Einholen einer Einwilligung unnötige Arbeit und Stress verursacht werden, denn sobald eine Einwilligung verweigert oder für die Zukunft widerrufen wird, muss die Datenverarbeitung sofort eingestellt werden. Die Verwendung einer entsprechenden (an sich zulässigen) Rechtsgrundlage würde auch gegen die Anforderungen von Artikel 5 Absatz 1 Buchstabe a der DSGVO verstoßen, da dem Betroffenen mitgeteilt wird, dass die Verarbeitung auf seiner Einwilligung beruht. Zudem würde dies wahrscheinlich den Anforderungen einer Einwilligung gemäß Artikel 7 der DSGVO widersprechen.
