Nach Art. 6 Abs. 1 S. 2 DSGVO gilt Abs. 1 lit. f „nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung“. Das bedeutet (mE auch unstreitig), dass Behörden nicht den Erlaubnistatbestand der Interessenabwägung (Art. 6 Abs. 1 lit. f) DSGVO) nutzen können, wenn die Verarbeitung „in Erfüllung ihrer Aufgaben“ erfolgt.
Gleichzeitig lässt der Wortlaut von Abs. 1 S. 2 aber durchaus die Interpretation zu, dass Behörden die Interessenabwägung nutzen können, wenn es um Verarbeitungen geht, die gerade nicht der Aufgabenerfüllung dienen. Nun mag man etwas ketzerisch fragen: dürfen denn Behörden überhaupt außerhalb der Aufgabenerfüllung tätig werden? Beantwortet man diese Frage mit „nein“, wäre Art. 6 Abs. 1 lit. f) DSGVO für Behörden tatsächlich per se gesperrt.
Ich halte auch die Ansicht, dass Art. 6 Abs. 1 lit. f) DSGVO für Behörden per se nicht greifen sollte, durchaus für begründbar. Zum einen dürfte sich in der Praxis wirklich die Frage stellen, welche Tätigkeiten eine Behörde außerhalb ihrer Aufgaben durchführt (bzw. nationalrechtlich überhaupt durchführen darf), die nicht gesetzlich geregelt sind; womit dann eher Art. 6 Abs. 1 lit. c) oder e) DSGVO ins Spiel kämen. Zum anderen kann man etwa auch argumentieren, dass die VO (EU) 2018/1725, die datenschutzrechtliche Vorgaben für EU Institutionen (also Behörden) enthält, gerade keinen solchen Erlaubnistatbestand kennt.
Andererseits wird man aber dem Grunde nach mit dem Wortlaut des Abs. 1 S. 2 begründen können, dass von der Norm eben nur die Aufgabenerfüllung ausgeschlossen ist. Daneben mögliche Verarbeitungen, die nicht direkt der Aufgabenerfüllung dienen, könnten daher auf Basis des Art. 6 Abs. 1 lit. f) DSGVO zulässig sein. Für diese Ansicht könnte auch ErwG 49 S. 1 DSGVO sprechen. Dort heißt es, dass die Verarbeitung von personenbezogenen Daten durch Behörden… in dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen darstellt, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist. Hier scheint die DSGVO also ausdrücklich von einer Verarbeitung basierend auf einem berechtigten Interesse von Behörden auszugehen.
Zuletzt möchte ich für Interessierte noch einen kleinen Wochenendfund anführen. Im Rahmen der Sitzung vom 27.4.2017 (PDF, TOP 3) der Expertengruppe der Kommission zur DSGVO und zur JIRL, wurde unter den Mitgliedstaaten die oben beschrieben Frage diskutiert. Die EU Kommission positionierte sich hierbei sehr deutlich:
„COM took the view that in line also with case-law and also based on the reading of the GDPR (in particular Recital 49) a public authority could use a CCTV system to protect its staff and property under the legitimate interest legal ground.”