Die Rechtfertigung einer rechtmäßigen Verarbeitung

Sind Sie darauf vorbereitet, die Verarbeitung von personenbezogenen Daten zu rechtfertigen?

Worum geht‘s?

Bei der Rechtmäßigkeit geht es um nicht mehr und nicht weniger als um einen wesentlichen Grundsatz bei einer Verarbeitung von personenbezogenen Daten unter der DSGVO. Das bedeutet unter anderem, dass eine Datenverarbeitung nur erlaubt ist, wenn Sie diese mit einer Rechtsgrundlage aus Artikel 6 der DSGVO „rechtfertigen“ können. Die Rechtsgrundlage ist eng mit dem vorgesehenen Zweck einer Datenverarbeitung verknüpft.

Es bedarf daher einer Rechtsgrundlage, also einer Erlaubnis, wenn Sie personenbezogene Daten verarbeiten möchten.

Wenn Sie besondere Kategorien personenbezogener Daten (wie zum Beispiel Gesundheitsdaten) verarbeiten wollen, dann benötigen Sie neben der Erlaubnis aus Artikel 6 einen sogenannten Ausnahmetatbestand, unter welchem Sie diese Daten verarbeiten dürfen.

Achten Sie also darauf, ob Sie „nur“ personenbezogene Daten verarbeiten oder ob Sie „besondere Kategorien personenbezogener Daten“ verarbeiten.

Die Verarbeitung dieser besonderen Kategorien personenbezogener Daten einer natürlichen Person ist verboten. Diese Daten dürfen nur in bestimmten Fällen verarbeitet werden. Da diese Daten und die Ausnahmen im Art. 9 Abs. 1 und 2 beschrieben sind, spricht man abgekürzt auch von „Artikel-9-Daten“.

Muss das denn sein?

Ja. Es gilt der Grundsatz der Rechtmäßigkeit – ohne Rechtgrundlage darf keine Verarbeitung von personenbezogenen Daten erfolgen und ohne einen Ausnahmetatbestand ist die Verarbeitung von besonderen Kategorien personenbezogener Daten sogar verboten. In Art. 6 Abs. 1 DSGVO sind die möglichen Rechtsgrundlagen (Erlaubnistatbestände) für eine Verarbeitung von personenbezogenen Daten aufgeführt. Art. 9 Abs. 2 DSGVO enthält alle Vorgaben für die Verarbeitung von besonderen Kategorien.

  • Art. 5 Abs. 1 a DSGVO – Grundsätze für die Verarbeitung

  • Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung

  • Art. 9 DSGVO – Verarbeitung besonderer Kategorien

Sie wollen mehr wissen?

Was ist erlaubt?

Die DSGVO bestimmt sechs Rechtsgrundlagen, wonach die Verarbeitung von personenbezogenen Daten erfolgen darf. In der Praxis sind für kleine Unternehmen folgende vier Erlaubnistatbestände regelmäßig relevant.

Top 4 der Rechtsgrundlagen

Im Unternehmensalltag spielen folgende Erlaubnistatbestände die größte Rolle:

  • Vertrag
  • Gesetz
  • berechtigtes Interesse
  • Einwilligung

Die Rechtsgrundlagen im Überblick

Einwilligung

Art. 6 Abs. 1 a DSGVO

Die Verarbeitung kann auf Grundlage einer Einwilligung erfolgen. Die Einwilligung muss durch die betroffene Person für einen oder mehrere bestimmte Zwecke erteilt worden sein.

Vertrag

Art. 6 Abs. 1 b DSGVO 

Die Verarbeitung ist für die Erfüllung eines mit der betroffenen Person geschlossenen Vertrags oder für die Durchführung vorvertraglicher Maßnahmen erforderlich, d. h. bereits zur Anbahnung und Verhandlung eines Vertragsverhältnisses können die erforderlichen Daten verarbeitet werden. 

Gesetz

Art. 6 Abs. 1 c DSGVO 

Die Verarbeitung dient der Erfüllung einer rechtlichen Verpflichtung aus Gesetzen, der der Verantwortliche unterliegt. Beispiel: Datenspeicherung und -archivierung zur Erfüllung von handels- und steuerrechtlichen Aufbewahrungspflichten

Lebenswichtige Interessen

Art. 6 Abs. 1 d DSGVO

Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, z. B. im Fall eines lebensbedrohlichen Unfalls.

Öffentliche Einrichtungen/Interessen

Art. 6 Abs. 1 e DSGVO 

Die Verarbeitung erfolgt zur Wahrnehmung öffentlicher Aufgaben bzw. in Ausübung öffentlicher Gewalt. Diese Rechtsgrundlage ist für die öffentlichen Stellen (Behörden) und für privatwirtschaftlich Tätige relevant, soweit ihnen öffentliche Aufgaben übertragen wurden.

Berechtigtes Interesse

Art. 6 Abs. 1 f DSGVO

Die Verarbeitung erfolgt zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten. Es ist eine Interessenabwägung erforderlich. Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Besonderes Gewicht haben dabei Daten von Kindern. Die Betroffenen haben zudem nach Art. 21 Abs. 1 DSGVO gegen die Datenverarbeitung ein Widerspruchsrecht.

Welche Rechtsgrundlage passt?

Es ist gar nicht so einfach, die richtige Rechtsgrundlage zu finden. Am einfachsten ist es, wenn die Datenverarbeitung auf einen Vertrag oder auf ein Gesetz gestützt werden kann.

Vertrag

Sowohl im Geschäftsalltag als auch intern gegenüber den Beschäftigten erfolgt in vielen Fällen die Datenverarbeitung im Zusammenhang mit einem Vertragsverhältnis.

  • Kundengeschäft: Sie verkaufen Ihre Ware an Ihre Kunden und benötigen hierfür deren Namen und Kontaktdaten. Auch Zahlungsdaten werden i. d. R. verarbeitet, sofern es sich nicht um ein Bargeschäft handelt. Sie verarbeiten somit die für die Durchführung des Vertrags erforderlichen Daten gemäß Art. 6 Abs. 1 b DSGVO rechtmäßig. Auch ist bereits die Datenerfassung und -verarbeitung mit dem ersten Kontakt Ihrer Kunden, die Interesse an der Ware haben, hiervon gedeckt.

  • Arbeitsverhältnis: Gegenüber Ihren Beschäftigten nehmen Sie ebenfalls Daten zur Durchführung des Arbeitsverhältnisses auf und verarbeiten diese rechtmäßig auf Grundlage des Arbeitsvertrags.

Einwilligung

Eine „Einwilligung“ ist zwar schnell eingeholt. Zu ihrer Wirksamkeit sind jedoch folgende Voraussetzungen zu beachten: 

  • Informiertheit: Wer einwilligt, muss ausreichend über die beabsichtigte Datenverarbeitung informiert sein. Dazu gehört, den Verantwortlichen zu bezeichnen, die Verarbeitungszwecke zu benennen, über die Art der verarbeiteten Daten zu informieren und auf das jederzeit ausübbare Widerrufsrecht hinzuweisen.
  • Bestimmheit: Die Einwilligung muss sich auf eine konkrete Datenverarbeitung beziehen. Es sind keine Blankoeinwilligungen oder pauschale Einwilligungen zu nutzen!
  • Unmissverständlichkeit:  Mit der Einwilligung muss eindeutig das Einverständnis in die betreffende Verarbeitung erklärt werden.  
  • Freiwilligkeit: Die Einwilligung muss freiwillig erfolgen. Wer einwilligt, muss eine echte und freie Wahl haben und somit in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Die Erfüllung eines Vertrags darf nicht von der Erteilung einer hierfür nicht erforderlichen Einwilligung in die Datenverarbeitung abhängig gemacht werden. Problematisch wird die Freiwilligkeit im Arbeitsverhältnis gesehen –  hier sollte eine Einwilligung nur mit Vorsicht eingesetzt werden, da der Arbeitgeber sich in einer Machtposition befindet.
  • Nachweisbarkeit: Die Einwilligung ist zu dokumentieren. Kann der Verarbeiter den Nachweis der Einwilligung nicht (ausreichend) erbringen, gilt die Einwilligung als nicht erteilt.
  • Widerruflichkeit: Insbesondere ist auch zu berücksichtigen, dass die Einwilligung jederzeit widerrufen werden kann und dass dann die Datenverarbeitung nicht mehr erfolgen darf.

Berechtigtes Interesse

Das „berechtigte Interesse“ ist ebenfalls geeignet, um eine Datenverarbeitung zu rechtfertigen. Jedoch ist in diesem Rahmen eine Interessenabwägung vorzunehmen und zu dokumentieren. Ob ein berechtigtes Interesse die Verarbeitung rechtfertigen kann, müssen Sie als Verantwortlicher anhand einer Abwägung zwischen Ihren Interessen und den Interessen der von der Verarbeitung Betroffenen beurteilen. Eine Interessenabwägung gehört eher zum juristischen Handwerk, das kleine Unternehmen ohne Rechtsabteilung nicht unbedingt beherrschen. Gleichwohl muss eine Interessenabwägung sorgfältig erfolgen und dokumentiert werden, damit die vorgesehene Verarbeitung nicht auf tönernen Füßen, sondern einem belastbaren Fundament steht.

Die drei wichtigen Prüfungsschritte

  1. Es liegt ein berechtigtes Interesse auf Ihrer Seite als Verantwortlicher oder aufseiten eines Dritten vor.

  2. Die Datenverarbeitung muss zwingend erforderlich zur Wahrung dieses Interesses sein.

  3. Die Abwägung zwischen den eigenen Interessen und den Interessen der von der Datenverarbeitung Betroffenen fällt zu Ihren Gunsten aus. Die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person dürfen Ihre Interessen an der Datenverarbeitung nicht überwiegen.

1. Schritt: Eigenes berechtigtes Interesse feststellen

Unter das berechtigte Interesse fallen vielfältige Interessen des Verantwortlichen oder Dritten. Hierzu zählt jedes wirtschaftliche oder ideelle oder rechtliche Interesse an der Datenverarbeitung.

Beispiele:

  • Kundengewinnung
  • Verhinderung von Betrug
  • Direktwerbung
  • Datenaustausch innerhalb einer Unternehmensgruppe
  • Gewährleistung der IT-Sicherheit
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
  • Grundrechte: Meinungs-, Presse- und Rundfunkfreiheit
  • Grundrecht: Beruftsfreiheit
  • Website-Betrieb: freie Gestaltung einer Website auch unter Effizienz- und Kostenaspekten, Bereitstellung besonderer Funktionalitäten (insb. Warenkorb-Funktion), Reichweitenmessung und statistische Analysen oder allgemein die Optimierung des eigenen Webangebots mittels Personalisierung und Individualisierung

2. Schritt: Erforderlichkeit der Datenverarbeitung sichern

Auf der zweiten Stufe ist zu klären, ob die vorgesehene konkrete Datenverarbeitung tatsächlich erforderlich ist, um das berechtigte Interesse zu wahren. Es darf hierfür kein milderes und gleich effektives Mittel zur Verfügung stehen. Die Verarbeitung muss auf das notwendige Maß beschränkt sein.

3. Schritt: Interessenabwägung durchführen
Interessen; Grundrechte, Grundfreiheiten des Betroffenen ermitteln

Zunächst sind die Interessen, Grundrechte, Grundfreiheiten des Betroffenen zu ermitteln, die der Verarbeitung entgegenstehen könnten.

Zu berücksichtigen sind unter anderem die Rechte aus der EU-Grundrechtecharta (EU-GRCh) und dem Grundgesetz der BRD (GG):

  • Meinungsfreiheit (Art. 11 EU-GRCh, Art. 5 GG)
  • Recht auf Schutz personenbezogener Daten (Art. 8 EU-GRCh)

  • Recht auf Achtung des Privat- und Familienlebens und der Kommunikation (Art. 7 EU-GRCh)

  • Recht auf Vertraulichkeit der Kommunikation (Art. 11 EU-GRCh)

Auch andere Freiheiten und Interessen der betroffenen Personen sind zu berücksichtigen, beispielsweise:

  • Interesse an einer freien Informationsgewinnung
  • Interesse, keine wirtschaftlichen Nachteile zu erleiden (durch Preisbildung)
  • Resozialisierungsinteresse
  • und weitere Interessen...
Abwägung durchführen

Dann erfolgt die eigentliche Abwägung der beiderseitigen Interessen gegeneinander. Dabei ist ein besonderes Augenmerk auf die Ausgestaltung der Datenverarbeitung und deren Auswirkungen für die betroffene Person zu richten.

Zu berücksichtigen sind bei der Abwägung insbesondere:

  • Grundrechte haben ein höheres Gewicht als einfache Interessen.
  • Die vernünftigen Erwartungen der betroffenen Person stehen im Fokus der Abwägung. Danach ist zu beurteilen, ob der Betroffene mit der Datenerhebung und -verarbeitung für den vorgesehenen Zweck vernünftigerweise rechnen konnte.
  • Eine umfangreiche Datenerhebung und -verarbeitung belastet den Betroffenen i. d. R. stärker als ein datensparsames Vorgehen.
  • Profilbildung (z. B. von Bewegungs-, Nutzungs- oder Persönlichkeitsprofilen) geht meist mit erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen einher (z. B. Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, Rufschädigung).
  • Verkettung, Verknüpfung oder Anreicherung von Daten begründet eine besondere Schutzwürdigkeit der betroffenen Person. Dies gilt umso mehr, wenn Dritte in die Datenverarbeitung einbezogen werden oder die Daten geräteübergreifend verknüpft oder verfügbar sind.
  • Je mehr Akteure in die Datenverarbeitung eingebunden sind, desto höher ist die Beeinträchtigung für den Betroffenen.
  • Je länger die Dauer der Beobachtung ist, d. h. je länger es möglich ist, den Betroffenen zu identifizieren und zu verfolgen, desto mehr wird der Betroffenen belastet und in seinen Rechten beeinträchtigt.
  • Bestehen Interventionsmöglichkeiten, die es der betroffenen Person ermöglichen, ihre Interessen zu wahren?
  • Kind als betroffene Person: Es ist von einer überwiegenden Schutzbedürftigkeit der Interessen eines Kindes auszugehen, dessen Daten verarbeitet werden sollen. Sollen Kinderdaten verarbeitet werden, ist sorgfältig abzuwägen, insbesondere ob die Daten ohne Einbeziehung der Eltern und deren Zustimmung verarbeitet werden sollten. Das Alter des Kindes findet in der Abwägung Berücksichtigung, ab 16 Jahren verringert sich die Schutzbedürftigkeit.

Zum Abschluss: Dokumentieren

Die Interessenabwägung sollten Sie schriftlich dokumentieren. 

Überprüfen Sie Ihre Rechtsgrundlagen regelmäßig

Gesetze oder andere rechtliche Grundlagen können sich ändern, erneuert werden, ganz wegfallen oder durch den Europäischen Gerichtshof für nicht anwendbar oder nichtig erklärt werden. Ebenso könnten Ihre Rechtsgrundlagen aus Unwissen schlichtweg falsch in Ihrem Verzeichnis der Verarbeitungstätigkeiten (VVT) und in Ihren Datenschutzhinweisen eingetragen worden sein. Eine Änderung kann z. B. auch vorliegen, wenn Sie eine Datenverarbeitung bislang auf ein berechtigtes Interesse gestützt haben, weil es keine andere gesetzliche Grundlage für diese Verarbeitung gab, und der Gesetzgeber nachträglich einen gesetzlichen Rahmen dafür geschaffen hat.

Eine regelmäßige Überprüfung (z. B. mindestens jährlich) der zugeordneten Rechtsgrundlagen im VVT ist daher zu empfehlen. Neben einer regelmäßigen Überprüfung sollten die Rechtsgrundlagen immer dann geprüft und angepasst werden, wenn sich Gesetze oder Ihre Geschäftsprozesse geändert haben oder neue gesetzliche Verordnungen umzusetzen sind.

Bei Streitigkeiten entscheidet letztendlich eine gerichtliche Instanz darüber, ob die jeweilige Verarbeitung rechtmäßig gewesen ist oder nicht. Dabei werden alle möglichen Aspekte berücksichtigt, die für eine Entscheidung relevant sind.

Wer wirft einen Blick darauf?

Wenn die Aufsichtsbehörde anfragt, sollten Sie die entsprechende Rechtsgrundlage der jeweiligen Datenverarbeitung dokumentiert haben, um so die Rechtmäßigkeit der Verarbeitung nachweisen zu können. Hierfür bietet sich die Erfassung im Verzeichnis der Verarbeitungstätigkeiten (VVT) an.

Die Information über die jeweilige Rechtsgrundlage der Verarbeitung ist außerdem Bestandteil von Datenschutzhinweisen und einer betroffenen Person vor der Datenverarbeitung mitzuteilen. Wie Sie über die Rechtsgrundlage in den Datenschutzhinweisen informieren können, erfahren Sie im Basiswissen Informationspflichten.

 

Wie geht‘s weiter?

Schritt 03
Erlaubnis
Basiswissen
Zweckbindung