Personenbezogene Daten dürfen zur Wahrung berechtigter Interessen Dritter, zur Gefahrenabwehr oder zur Strafverfolgung übermittelt und genutzt werden, § 28 Abs. 2 Nr. 2 BDSG. Als gesetzlicher Erlaubnistatbestand ermöglicht diese Regelung somit eine Datennutzung auch ohne Einwilligung des Betroffenen. Ein besonders praxisrelevanter Anwendungsbereich stellt dabei etwa die Veräußerung eines Betriebs unter Einbeziehung der Kundendatei dar.
Datenverarbeitung zur Wahrung berechtigter Interessen Dritter, § 28 Abs. 2 Nr. 2 lit. a BDSG
Soweit berechtigte Interessen von Dritten vorliegen, können bereits erhobene personenbezogene Daten unter bestimmten Voraussetzungen weiter übermittelt oder genutzt werden.
Dritter ist dabei jede Person oder Stelle außerhalb der verantwortlichen Stelle (vgl. die Definition in § 3 Abs. 8 S. 2 BDSG), also praktisch jeder mit Ausnahme der ursprünglich datenverarbeitenden Stelle. Dritter kann auch ein anderes Unternehmen innerhalb einer Konzernstruktur sein.
Für eine gesetzliche Erlaubnis der Datennutzung und -übermitlung nach § 28 Abs. 2 Nr. 2 lit. b BDSG kommt es entscheidend darauf an, dass der Dritte ein berechtigtes Interesse an den genannten Formen der Datenverarbeitung hat. Es wird hierbei also auf den Dritten abgestellt. Dessen Interessen sind im Einzelfall zu ermitteln und zu bewerten.
Beispiel: Ein Malermeister möchte seinen Betrieb veräußern. Der Erwerber (=Dritter) hat dabei regelmäßig ein sehr großes Interesse, auch und vor allem die Kundenkartei des Veräußerers zu erwerben. Der Malermeister informiert zunächst alle seine Kunden von der beabsichtigten Übergabe der Kundenkartei und räumt ihnen ein Widerrufsrecht ein. Anschließend veräußert er seinen Betrieb mit der Kundenkartei, soweit einzelne Kunden nicht widerrufen haben. Hier wird man von berechtigten Interessen des Erwerbers und damit einer zulässigen Datenübermittlung ausgehen können.
Der von der Datennutzung oder -übermittlung Betroffene darf kein schutzwürdiges entgegenstehendes Interesse haben. Derartige entgegenstehenden Betroffeneninteressen schließen regelmäßig ein berechtigtes Interesse des Dritten aus.
Gegenbeispiel: Nicht der Malermeister, sondern ein Arzt veräußert seine Praxis. Hier stehen schutzwürdige Interessen der Patienten an der Einhaltung der ärztlichen Schweigepflicht (vgl. auch § 203 StGB) einer Datenübermittlung nach dem dargestellten "Widerrufs-Modell" i.d.R. entgegen. Eine Datenübermittlung wäre unzulässig. Erforderlich ist die ausdrückliche Einwilligung der Patienten in die Datenübermittlung.
Schließlich muss die Nutzung oder Übermittlung der Daten auch erforderlich sein. Das bedeutet, dass der Erforderlichkeitsgrundsatz beachtet werden muss. Der Grundsatz der Direkterhebung ist hier im Rahmen der Erforderlichkeit ebenfalls zu beachten.
Datenverarbeitung zur Gefahrenabwehr oder Strafverfolgung, § 28 Abs. 2 Nr. 2 lit. b BDSG
Die Datennutzung und -übermittlung ist nach § 28 Abs. 2 Nr. 2 lit. b BDSG auch zur Gefahrenabwehr oder zur Strafverfolgung zulässig. Diese Regelung stellt einen Auffangtatbestand dar. Spezielle Auskunftsregelungen, z.B. nach § 100a StPO oder § 93 AO, gehen zunächst vor.
Bei dem Tatbestand der Gefahrenabwehr muss es sich um Gefahren für die staatliche oder öffentliche Sicherheit handeln. Dieser Begriff erfasst die Gesamtheit der Rechtsordnung, die staatlichen Einrichtungen sowie die Rechtsgüter von Privaten, sofern diese sich nicht selbst helfen können.
Weiterhin kann eine Nutzung oder Übermittlung auch zur Verfolgung von Straftaten, nicht aber von Ordnungswidrigkeiten, stattfinden.
