Rechtmäßigkeit der Verarbeitung personenbezogener Daten

Rechtmäßigkeit der Verarbeitung personenbezogener Daten

Man kann wahrscheinlich behaupten, dass die Mehrheit der Einrichtungen und Unternehmen personenbezogene Daten verarbeiten. Das lässt sich meist einfach nicht vermeiden. Beispielsweise beginnt es schon damit, dass ein Unternehmen Stellen ausschreibt und daraufhin Bewerbungen erhält. Beschäftigten-, Kunden- und Kontaktdaten (von Ansprechpartnern bei Kunden, Lieferanten, Dienstleistern, Behörden etc.) sind weitere typische Datenkategorien, mit denen nahezu jede Einrichtung und jedes Unternehmen zu tun hat, die es im Datenschutzterminus “verarbeitet” (siehe auch “Verarbeitung personenbezogener Daten nach der DSGVO“). Dabei muss es gar nicht zum Geschäftsmodell des Unternehmens gehören, dass es personenbezogene Daten verarbeitet. Auf der anderen Seite gibt es natürlich auch Unternehmen, bei denen genau dies der Fall ist. Sie sammeln Daten betroffener Person, um diese Daten zum Geschäftsgegenstand zu machen und die Daten zu vermarkten.

Weshalb auch immer ein Unternehmen personenbezogene Daten verarbeitet, es muss darauf achten, dass eine Rechtsgrundlage zur Verarbeitung dieser Daten vorliegt. Denn nur dann dürfen personenbezogene Daten verarbeitet werden.

Verbot mit Erlaubnisvorbehalt

Generell gilt für Unternehmen, Einrichtungen etc. – für jeden, der Daten nicht nur für rein private Zwecke verarbeitet – ein Verbot mit Erlaubnisvorbehalt. Demnach ist es grundsätzlich nicht erlaubt, personenbezogene Daten zu verarbeiten, es sei denn, es ist erlaubt. Um dies dennoch machen zu können, muss es also eine Rechtsgrundlage geben. Im folgenden Abschnitt betrachten wir die Rechtsgrundlagen, die eine Verarbeitung personenbezogener Daten legitimieren, näher.

Rechtmäßigkeiten für die Verarbeitung personenbezogener Daten

Wie schon erwähnt: Egal um welche Art personenbezogener Daten es sich handelt, sie dürfen nur verarbeitet werden, wenn mindestens eine der folgenden Rechtsgrundlagen bzw. Bedingungen nach Art. 6 Abs. 1 DSGVO zutrifft:

1)    Die betroffene Person hat für die jeweilige Verarbeitung ihre Einwilligung erteilt (Art. 6 Abs. 1 lit. a) DSGVO).

2)    Die Verarbeitung ist nötig, um vorvertragliche Maßnahmen oder einen Vertrag erfüllen zu können (Art. 6 Abs. 1 lit. b) DSGVO).

3)    Die personenbezogenen Daten müssen verarbeitet werden, um rechtlichen Pflichten nachzukommen (Art. 6 Abs. 1 lit. c) DSGVO), z. B. Archivierungspflichten nach dem Steuerrecht.

4)    Die Daten einer Person dürfen verarbeitet werden, um ihre lebenswichtigen Interessen zu schützen (Art. 6 Abs. 1 lit. d) DSGVO).

5)    Die Verarbeitung personenbezogener Daten dient dem Schutz der Allgemeinheit (Art. 6 Abs. 1 lit. e) DSGVO).

6)    Die Verarbeitung beruht auf dem berechtigten Interesse des Verantwortlichen, wobei die Rechte und Freiheiten der betroffenen Person nicht überwiegen dürfen (Art. 6 Abs. 1 lit. f) DSGVO).

Die Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO zur Rechtmäßigkeit der Verarbeitung personenbezogener Daten

Egal, auf welcher Rechtsgrundlage die Verarbeitung personenbezogener Daten beruht, es ist dabei wichtig, dies auch nachweisen zu können (siehe Art. 5 Abs. 2 DSGVO). Des Weiteren sollte man auch die „Wahl“ der jeweiligen Rechtsgrundlage und mögliche Folgen genau betrachten. So ist es nicht zwangsläufig immer die beste Wahl, die Verarbeitung auf eine Einwilligung – Art. 6 Abs. 1 lit. a) DSGVO – zu stützen. Der Grund dafür ist, dass eine Einwilligung jederzeit und ohne Angabe von Gründen widerrufen werden kann, worauf man sogar ausdrücklich bei der Information, die der Einwilligung zugrunde liegt, hinweisen muss. Der Widerruf der Einwilligung kann gegebenenfalls mit Änderungen mit hohem Arbeits- und Kostenaufwand verbunden sein – mit Ausnahmen, sofern diese Änderungen die Grenze des Zumutbaren übersteigen würden.

Zudem birgt die Rechtsgrundlage “Einwilligung” die Gefahr, dass sie mangels verständlicher und transparenter Information sowie mangels Freiwilligkeit nicht als wirksam anerkannt wird.

Durch die vertragliche Gestaltung des Leistungsangebotes hat ein Verantwortlicher in gewissen Grenzen die Möglichkeit, sich auf diese Weise eine Rechtsgrundlage zur Datenverarbeitung zu schaffen, die ihn nicht durch einen Widerruf entzogen werden kann.

Das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO zur Rechtmäßigkeit der Verarbeitung personenbezogener Daten

Wer die Datenverarbeitung auf ein berechtigtes Interesse stützt (siehe Art. 6 Abs. 1 lit. f) DSGVO), läuft Gefahr, dass die von ihm getroffene Abwägungsentscheidung der widerstreitenden Interessen nicht gerichtlich anerkannt wird oder dass der Betroffene dem berechtigten Interesse aus individuellen Gründen widerspricht. Denn auf das Widerspruchsrecht muss im Rahmen der Datenschutzinformationspflichten (siehe “Rechte nach Artikel 12 – 14 DSGVO“) hingewiesen werden.

Fazit

Wenn der Gesetzgeber eine Datenverarbeitung vorschreibt oder erlaubt, beispielweise zur Berechnung zu zahlender Steuern, ist es demnach sogar inkorrekt, die Datenverarbeitung auf einer Einwilligung zu stützen. Vielfach finden sich gesetzliche Erlaubnisnormen in Spezialgesetzen, z. B. im Gesundheitsbereich finden sich viele Regelungen zum Sozialgesetzbuch, im Strahlenschutzgesetz aber auch im BGB (z. B. Dokumentations- und Aufbewahrungspflicht im Behandlungsvertrag). Daher lohnt die vertiefte Suche nach der einschlägigen Rechtsgrundlage in vielen Fällen.

Gern beraten wir Sie bei der Wahl und Gestaltung der bestmöglichen Rechtsgrundlage in Ihrem individuellen Fall. Kontaktieren Sie uns dazu am besten noch heute.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.