226
Art. 9 Abs. 4 sieht zusätzliche Bedingungen im Falle der Verarbeitung von biometrischen, genetischen und von Gesundheitsdaten vor.
227
So können die Mitgliedstaaten zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten. Insofern stellt Art. 9 Abs. 4 eine weitere Öffnungsklausel dar, die den Mitgliedstaaten eine Gesetzgebungskompetenz zugesteht.[360]
228
Inhaltlich legt Art. 9 Abs. 4 die Kompetenz der Mitgliedstaaten fest, weitere Beschränkungen oder Bedingungen sowohl beizubehalten als auch gegebenenfalls neu einzuführen und zu erlassen. Zu beachten ist hierbei, dass die Regelung keineswegs die Ermächtigung der Mitgliedstaaten enthält weitere Ausnahmetatbestände i.S.d. Art. 9 Abs. 2 für die Verarbeitung von biometrischen, genetischen oder Gesundheitsdaten festzulegen. Vielmehr zielt die Regelung des Art. 9 Abs. 4 darauf ab, dass die bereits in Art. 9 enthaltenen Voraussetzungen zur Verarbeitung der o.g. sensiblen Daten zusätzlich verschärft und ausgestaltet werden können. Die DS-GVO legt also insoweit nur einen Mindeststandard fest.[361] Art. 9 Abs. 4 zielt also darauf ab, das Schutzniveau im Falle der Verarbeitung der genannten sensiblen Daten gegebenenfalls noch weiter zu erhöhen.[362]
229
In praktischer Hinsicht ist somit bedeutsam, dass die nationalen Regelungen eine Anwendung der DS-GVO sperren können. Dies gilt insbesondere dann, wenn diese strengere Maßstäbe als die DS-GVO enthalten. So können etwa die Erlaubnistatbestände des Art. 9 Abs. 2 lit. a, sowie c–f infolge dessen verdrängt werden.[363]
230
Gleichwohl legt ErwG 53 S. 5 einschränkend fest, dass die mitgliedstaatlichen Regelungen nicht den freien Verkehr personenbezogener Daten innerhalb der Union beeinträchtigen dürfen, falls die Regelungen für die grenzüberschreitende Verarbeitung von Daten gelten. Daraus folgt, dass die jeweiligen nationalen Regelungen hinsichtlich ihres Schutzzwecks geeignet, erforderlich und hinsichtlich der Vereinbarkeit mit dem freien Datenverkehr angemessen sein müssen.[364]
231
Im Rahmen der Verarbeitung von genetischen Daten[365] finden sich insbesondere im Gendiagnostikgesetz (GenDG) weitere Voraussetzungen, z.B. § 8 Abs. 1 GenDG hinsichtlich des Schriftformerfordernisses. Insofern ist eine ausdrückliche und schriftliche Einwilligung erforderlich. Der Ausnahmetatbestand des Art. 9 Abs. 2 lit. a wird also mangels ausdrücklichen Formerfordernisses von der nationalen Regelung nach Art. 9 Abs. 4 verdrängt. Besondere Anforderungen hinsichtlich genetischer Verfahren finden sich zudem in den §§ 81e–g StPO. Darüber hinaus sind § 3 Embryonenschutzgesetz und § 1598a BGB zur Feststellung der biologischen Vaterschaft zu beachten.
232
Spezifische mitgliedstaatliche Regelungen hinsichtlich der Verarbeitung biometrischer Daten[366] finden sich etwa in §§ 4 Abs. 4, 16 Abs. 3 PaßG sowie den §§ 5 Abs. 2, 14 ff. PAuswG. Nach § 4 Abs. 4 PaßG sind etwa die in dem Reisepass gespeicherten Daten durch besondere Sicherungsmaßnahmen gegen Manipulationen zu sichern. § 16 Abs. 3 PaßG enthält besondere Bestimmungen hinsichtlich der Speicherung von Daten und enthält Löschfristen.
233
Für Gesundheitsdaten[367] finden sich spezifische Bestimmungen z.B. in den Sozialgesetzbüchern (§§ 284 ff. SGB V, 15 Abs. 2 Nr. 9 SGB VII, 67 ff. SGB X, 93 ff. SGB XI), im BGB (§§ 630a ff. BGB), im Infektionsschutzgesetz (§ 9 InfSchG) oder im Arzneimittel- und Medizinproduktegesetz (§§ 62 Abs. 2 AMG sowie § 20 Abs. 1 Nr. 2 MPG).
234
Für die Mitgliedstaaten ist somit die Regelung des Art. 9 Abs. 4 Segen und Fluch zugleich: Zwar erhalten sie durch die Öffnungsklausel nationale Regelungskompetenzen, gleichwohl müssen Rechtsanwender und Verantwortliche nunmehr sorgsam prüfen, ob das Schutzniveau der mitgliedstaatlichen Regelungen oder dasjenige der DS-GVO höher ist. Diese Prüfung entscheidet darüber, welche Norm zur Anwendung gelangt und darüber, ob die datenschutzrechtlichen Anforderungen eingehalten wurden. Dies ist insbesondere vor dem Hintergrund einer möglichen Geldbuße entscheidend. Gerade für international agierende Unternehmen wird dies eine besondere Herausforderung darstellen, da sie eine Vielzahl von Normen miteinander vergleichen müssen, um den Anforderungen des Art. 9 Abs. 4 gerecht zu werden. Daher ist es nicht ausreichend, sich strikt an den Vorgaben des Art. 9 zu orientieren. Vielmehr muss stets die Verzahnung der Regelungen der DS-GVO mit den mitgliedstaatlichen Regelungen beachtet und die jeweiligen Tatbestandsvoraussetzungen der einschlägigen Normen sorgsam geprüft werden.
a) Kommentierung zu § 27 BDSG n.F. – Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
235
§ 27 BDSG n.F. macht von der Öffnungsklausel des Art. 9 Abs. 2 lit. j Gebrauch.
236
Nach § 27 Abs. 1 BDSG n.F. ist die Verarbeitung sensibler Daten nach Art. 9 Abs. 1 auch ohne Einwilligung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke zulässig, wenn die Verarbeitung für diese Zwecke erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen.
237
§ 27 BDSG n.F. schafft demnach eine zusätzliche Regelung zu Art. 9 Abs. 2 lit. j auf nationaler Ebene.
238
§ 27 BDSG n.F. ist dabei § 28 Abs. 6 Nr. 4 BDSG a.F. nachempfunden.
Die Vorschrift gilt für die öffentliche und private Forschung durch öffentliche und nichtöffentliche Stellen.[368]
239
Die Verarbeitung nach § 27 Abs. 1 BDSG n.F. gilt ausschließlich für sensible Daten i.S.d.