Datenschutz-Grundverordnung: Rechtmäßigkeit der Datenverarbeitung

Fachbeitrag

Einer der Grundsätze der Datenschutz-Grundverordnung ist die rechtmäßige Verarbeitung personenbezogener Daten. Dafür muss immer eine Rechtsgrundlage zu deren Legitimation vorliegen. Je nach Zweck der Datenverarbeitung, kann der Verantwortliche die Rechtmäßigkeit dabei auf verschiedene Tatbestände stützen. Dieser Fachbeitrag ist Teil unserer Reihe zur Datenschutz-Grundverordnung.

Ausgangspunkt für die Rechtmäßigkeit der Verarbeitung

Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist in Art. 6 Abs. 1 DSGVO geregelt.

Danach ist die Verarbeitung personenbezogener Daten rechtmäßig,

  • wenn eine Einwilligung der betroffenen Person vorliegt,
  • zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen,
  • zur Erfüllung einer rechtlichen Verpflichtung
  • zum Schutze lebenswichtiger Interessen,
  • zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt oder
  • aufgrund einer Interessenabwägung erforderlich ist.

Die Datenverarbeitung ist bereits dann rechtmäßig, wenn einer der genannten Tatbestände vorliegt.

Im Grundsatz bleibt daher alles verboten, was nicht ausdrücklich erlaubt ist (Verbot mit Erlaubnisvorbehalt).

Demgemäß heißt es in EG 40 der DSGVO:

Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.

Einwilligung des Betroffenen

Die Einwilligung des Betroffenen ist selbstverständlich nach wie vor eine / die (!) Möglichkeit, um eine rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten.

Die Einwilligung muss in erster Linie

  • freiwillig,
  • bestimmt,
  • in informierter Weise,
  • ausdrücklich und unmissverständlich

erklärt werden (vgl. Art. 4 Nr. 11, Art. 5 Abs. 1 lit. b), Art. 6 Abs. 1 lit. a), Art. 7 DSGVO). Ein Erklärungsbewusstsein / Einwilligungsbewusstsein sowie eine gewisse Einsichtsfähigkeit werden darüber hinaus ebenfalls vorausgesetzt (vgl. Art. 4 Nr. 11, EG 32, Art. 8 DSGVO).

Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DSGVO).

Vertrag und vorvertragliche Maßnahmen

Wie bisher auch, ist die Verarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen grundsätzlich rechtmäßig (vgl. Art. 7 lit. b) DSRL, § 28 Abs. 1 S. 1 Nr. 1 BDSG).

Zu berücksichtigen ist insbesondere aber, dass die Verarbeitung personenbezogener Daten nur soweit erfolgt, wie dies objektiv erforderlich ist. Dies gilt – mit Ausnahme der Einwilligung – für alle genannten Tatbestände.

Im Rahmen bestehender Verträge ist es beispielsweise nahezu unumgänglich die Vertrags-, Stammdaten und Abrechnungsdaten des Vertragspartners, wie etwa seinen Name und seine Adresse zu verarbeiten, um beispielsweise die Rechnung oder die Lieferung adressieren zu können.

Rechtliche Verpflichtung

Demgegenüber stellt Art. 6 Abs. 1 lit. c) DSGVO die Verarbeitung in den Vordergrund, die durch oder aufgrund von Rechtsvorschriften erforderlich ist. Die Rechtsgrundlage wird dabei durch Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt (Art. 6 Abs. 3 Satz 1 DSGVO).

Etwa aus Rechtsvorschriften des Handels- und Steuerrechts können sich umfassende Dokumentations- und Aufbewahrungspflichten ergeben, die erfüllt werden müssen.

Wahrung lebenswichtiger Interessen

Die Verarbeitung personenbezogener Daten ist nach der DSGVO auch rechtmäßig, soweit dies erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 Satz 1 lit. d) DSGVO).

Da hier Fälle gemeint sind, die das Leben oder die Gesundheit betreffen, beispielsweise bei Naturkatastrophen oder vom Menschen verursachte Katastrophen, ist die Bedeutung für die Praxis gering. Vielmehr kommt diese Rechtsgrundlage nur dann in Betracht, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann (vgl. EG 46).

Im öffentlichen Interesse liegende Aufgabe und Ausübung öffentlicher Gewalt

Nach Art. 6 Abs. 1 Satz 1 lit. e) DSGVO ist die Verarbeitung personenbezogener Daten auch dann rechtmäßig, wenn dies zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Die Rechtsgrundlage für die Verarbeitung wird wiederum durch das Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt.

Hier kommt beispielsweise die Verarbeitung personenbezogener Daten in Betracht, die im Rahmen der Daseinsvorsorge erforderlich sind.

Abwägung bei berechtigtem Interesse

Darüber hinaus kommt nach Art. 6 Abs. 1 Satz 1 lit. f) das berechtigte Interesse des Verantwortlichen oder eines Dritten als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in Betracht. Das berechtigte Interesse umfasst das rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen, wobei eine umfassende Interessenabwägung insbesondere anhand des Zwecks der Datenverarbeitung sowie der Art und des Inhalts der betroffenen Daten erfolgen muss. Dabei dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Im Zweifelsfall sollte der Datenschutzbeauftragte beurteilen, ob die Verarbeitung personenbezogener Daten rechtmäßig ist.

Eine Behörde kann sich bei einer Verarbeitung in Erfüllung ihrer Aufgaben nicht auf Art. 6 Abs. 1 Satz 1 lit. f) DSGVO stützen.

Hier finden Sie weitere Artikel zur Datenschutz-Grundverordnung.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Hinweis auf mögliche „Dokumentationspflichten“ gem. Artikel 5 Abs. 2: …..Der Verantwortliche/Verantwortlicher ist für die Einhaltung verantwortlich und muss dieses Nachweisen (Rechenschaftspflicht)….

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.