DSGVO-Wissen

Rechtmäßigkeit der Verarbeitung

Datenschutz bezieht sich im Kern auf die Verarbeitung von personenbezogenen Daten. Personen, deren Daten verarbeitet werden, sollen im Zuge dessen vor missbräuchlichen Verarbeitungen ihrer Daten geschützt werden. Vor diesem Hintergrund ist jede Verarbeitung von personenbezogenen Daten grundsätzlich zunächst verboten, wenn sie nicht auf Basis einer Rechtsgrundlage ausdrücklich erlaubt ist (Verbot mit Erlaubnisvorbehalt). Wann eine Verarbeitung rechtmäßig und somit erlaubt ist, ergibt sich im Wesentlichen aus Artikel 6 DSGVO.

Rechtmäßigkeit, rechtsgrundlage, verarbeitung, dsgvo
Quelle: iStock.com/deepblue4you
Wann eine Verarbeitung personenbezogener Daten auf rechtmäßige Weise im Sinne der Datenschutzgrundverordnung stattfindet, wird im folgenden Teil dieses Beitrags dargelegt. Eine Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Die Verarbeitung auf Basis einer Einwilligung
Eine rechtmäßige Variante ist eine sogenannte Einwilligung. Rechtmäßig und erlaubt ist also eine Verarbeitung, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Die Bedingungen der Einwilligung ergeben sich im Zuge dessen aus Artikel 7 DSGVO. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, Artikel 7 Absatz 1 DSGVO. Es bietet sich also an, zu Beweiszwecken eine Einwilligung immer in Textform oder Schriftform einzuholen. Im Zug einer Einwilligung durch schriftliche Erklärung muss das Ersuchen um Einwilligung stets in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von anderen Sachverhalten klar zu unterscheiden ist, Artikel 7 Absatz 2 DSGVO. Gleichzeitig hat eine betroffene Person, die eine Einwilligung erteilt, jederzeit das recht, ihre Einwilligung zu widerrufen. Dies ergibt sich aus Artikel 7 Absatz 3 DSGVO. Deutlich muss derjenige , der seine Verarbeitung personenbezogener Daten lediglich auf eine Einwilligung stützt jederzeit mit einer Widerrufserklärung rechnen Punkt für ihn ist eine Verarbeitung auf Basis einer Einwilligung somit Stets dem Risiko eines Widerrufs ausgesetzt. Folglich ist die Einwilligung aus Sicht des Verantwortlichen in den meisten Fällen eine wackelige und nicht dauerhaft verlässliche Rechtsgrundlage.
Die Verarbeitung im Zusammenhang mit einem Vertrag
Eine weitere Variante der rechtmäßigen Verarbeitung ist die Verarbeitung für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung erforderlicher vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Folglich dürfen personenbezogene Daten eines Kunden beziehungsweise Geschäftspartner verarbeitet werden, wenn dies zur Erfüllung eines Vertrages stattfindet oder wenn zwar noch kein Vertrag geschlossen wurde, aber die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
Die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung
Die dritte Variante einer rechtmäßigen Verarbeitung findet statt, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist. Damit ist gemeint, dass ein Gesetz eine Verarbeitung vorschreibt, beispielsweise aus dem Handelsrecht oder der Abgabenordnung. Wenn etwa gesetzliche Aufbewahrungspflichten bestehen, hat ein Unternehmer gar keine andere Wahl, als die damit verbundene Verarbeitung zu veranlassen. Aufbewahrungsfristen gibt es beispielsweise für Eingangs- und Ausgangsrechnungen für 10 Jahre. Für diese Dauer ist ein Unternehmer also zur Aufbewahrung rechtlich verpflichtet. Eine solche Verarbeitung auf Basis rechtlicher Verpflichtungen ist in Artikel 6 Absatz 1c DSGVO geregelt.
Die Verarbeitung zur Wahrung eines berechtigten Interesses
Zudem ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Das hört sich erstmal kompliziert an. Vereinfacht dargestellt sind die Fälle, wo ein Unternehmen als Verantwortlicher ein Interesse an einer Verarbeitung hat und dieses Interesse im Zuge einer Abwägung gegenüber dem Interesse an einem Unterlassen der Verarbeitung auf Seiten der betroffenen Person überwiegt, Artikel 7 Absatz 1 f DSGVO.
Ob nun das eine oder das andere Interesse überwiegt und eine Verarbeitung auf ein berechtigtes Interesse gestützt werden darf, ist jedoch ein schmaler Grat. In vielen Fälle bietet es sich daher an, Einen Vorgesetzten oder den Datenschutz beauftragten des Unternehmens zu kontaktieren, bevor eine Verarbeitung auf die unsichere Rechtsgrundlage des berechtigten Interesses gestützt wird.
Die Verarbeitung auf Basis sonstiger Rechtsgrundlagen
Für das unternehmerische Umfeld waren dies die vier wichtigsten Rechtsgrundlagen, von denen stets mindestens eine vorliegen muss. Die DSGVO kennt daneben auch noch die erforderliche Verarbeitung, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, Artikel 7 Absatz 1 d DSGVO sowie die erforderliche Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, Artikel 7 Absatz 1 e DSGVO.
Das Merkmal der persönlichen Berechtigung
Wenn mindestens eine dieser Rechtsgrundlagen vorliegt, muss Verarbeitende Person als weiteres Zulässigkeitskriterium zudem auch persönlich berechtigt sein, um die Verarbeitung zu veranlassen. Persönlich berechtigt ist jeweils die zuständige Fachabteilung eines Unternehmens. Sind sie beispielsweise im Einkauf tätig, dürfen sie keine Bewerberdaten verarbeiten. Diese Verarbeitung dürfte aber durch Kollegen und Kolleginnen der Personalabteilung stattfinden. Genauso wäre umgekehrt jemand aus der Personalabteilung nicht persönlich berechtigt, die Daten eines Lieferanten zu verarbeiten, mit dem jemand aus ihrem Einkauf in Kontakt steht. Eine Verarbeitung braucht also neben einer Rechtsgrundlage auch zusätzlich noch eine persönliche Berechtigung.
Zusammenfassung zur rechtmäßigen Verarbeitung personenbezogener Daten
Für jede Verarbeitung ist mindestens eine der erwähnten Rechtsgrundlagen und eine persönliche Berechtigung erforderlich. Sind diese Voraussetzungen nicht gegeben, wird eine Verarbeitung personenbezogener Daten im Sinne der DSGVO voraussichtlich nicht rechtmäßig und somit nicht erlaubt sein.
Machen Sie Ihr Business DSGVO-konform.

Einfach loslegen mit Deutschlands beliebter Datenschutz-Lösung:

Externer Datenschutzbeauftragter
Datenschutz-Management-Software
Online-Mitarbeiterschulungen
Individuelle Datenschutzberatung
Jetzt mehr erfahren
Rechtmäßigkeit der Verarbeitung

Mehr über DATENDO erfahren

Datenschutz, der Sie
nach vorne bringt.
Let’s DSGVgO!
Übersicht
Machen Sie Ihr Business DSGVO-konform. Einfach loslegen mit Deutschlands beliebter digitaler Datenschutz-Lösung.
DSGVO-Wissen
Externer Datenschutzbeauftragter
Ein Datenschutz-beauftragter ist mehr als bloße Pflichterfüllung
Mehr erfahren
DSGVO-Wissen
Datenschutz-Management-Software
My.DATENDO: Ihre Datenschutzpflichten digital erfüllen
Mehr erfahren
DSGVO-Wissen
DSGVO-Mitarbeiterschulung
Ihr Datenschutz ist nur so stark wie Ihre Mitarbeitenden
Mehr erfahren
DSGVO-Wissen
Individuelle Beratung
Individuelle Datenschutzfragen? Wir sind für Sie da.
Mehr erfahren
Bundesverband IT-Mittelstand e.V. Mitglied im GDD Wissenswertes zum Datenschutz in der EU Software hosted in Germany - DATENDO
Trustpilot
Bild Bild