In diesem Schritt geben wir Ihnen Hilfestellung dazu, wie Sie eine passende Rechtsgrundlage für Ihre Datenverarbeitungen bestimmen können. Es liegt in der Natur der Sache, dass wir bei diesem Thema etwas juristisch werden müssen.
Die DSGVO führt die Bedingungen auf, unter denen eine Verarbeitung von personenbezogenen Daten vorgenommen werden darf. Erst wenn mindestens eine solche Bedingung auf Ihre Verarbeitung zutrifft, ist die Verarbeitung rechtmäßig und der Grundsatz der Rechtmäßigkeit hergestellt. Statt Bedingung wird auch gerne von einer "Rechtsgrundlage" gesprochen.
Um jeweils eine zur Verarbeitung passende Rechtsgrundlage zuordnen zu können, sind vorab sowohl der Zweck einer Datenverarbeitung als auch die Datenkategorien zu bestimmen. Sie sollten also benennen können, wofür Sie die Daten benötigen und ob es sich hierbei um "normale“ oder um „besondere“ Datenkategorien handelt.
Benennen Sie (kurz) den von Ihnen für die Verarbeitung festgelegten Zweck, um ihn somit zu dokumentieren. Wenn es für das Verständnis notwendig ist, erläutern Sie den Zweck der Verarbeitung kurz. Mehr zum Zweck erfahren Sie im Basiswissen: Zweckbindung.
Stellen Sie vorab sicher, dass keine Daten verarbeitet werden, die unter Art. 9 Abs. 1 DSGVO – Besondere Kategorien von personenbezogenen Daten genannt sind (z. B. Gesundheitsdaten); hierfür sind anders gelagerte Prüfschritte notwendig.
Gehen Sie nun die einzelnen Rechtsgrundlagen durch und ordnen Sie diese Ihrer Verarbeitung zu. Wir haben Ihnen hierzu die möglichen Rechtsgrundlagen mit dem Wortlaut des Gesetzes verlinkt und geben Ihnen im Schaubild einige Beispiele dazu.
… Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
… die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
… die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
… die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
… die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
… die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Wenn Sie besondere Datenkategorien von personenbezogenen Daten verarbeiten wollen, wie z. B. Gesundheitsdaten, dann benötigen Sie eine besondere Erlaubnis. In Art. 9 DSGVO werden die Erlaubnistatbestände aufgeführt, die für diese Datenkategorien vorgesehen sind. Da diese Ausnahmefälle in der DSGVO in Artikel 9 beschrieben sind, wird oft abgekürzt von „Artikel-9-Daten“ gesprochen.
In der Regel fallen Artikel-9-Daten zusätzlich zu den „normalen“ personenbezogenen Daten an. Es ist daher eine Abgrenzung zwischen den „normalen“ und den Daten „besonderer Kategorien“ erforderlich, die nicht immer auf den ersten Blick zu erkennen ist. Ein Beispiel zum Umgang mit der Krankschreibung finden Sie weiter unten.
Sofern Sie besondere Datenkategorien (Artikel-9-Daten) identifiziert haben, müssen Sie die besondere Zulässigkeit der Verarbeitung anhand der in Art. 9 Abs. 2 DSGVO genannten Ausnahmeregelungen prüfen. Wir haben Ihnen diese mit einem Stichwort und dem Wortlaut des Gesetzes verlinkt. Eine Verarbeitung von Artikel-9-Daten aufgrund eines „berechtigten Interesses“ sieht die DSGVO grundsätzlich nicht vor.
Art. 9 Abs. 2 a DSGVO
… Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
Art. 9 Abs. 2 b DSGVO
… die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
Art. 9 Abs. 2 c DSGVO
… die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
Art. 9 Abs. 2 d DSGVO
… die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
Art. 9 Abs. 2 e DSGVO
… die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
Art. 9 Abs. 2 f DSGVO
… die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
Art. 9 Abs. 2 g DSGVO
… die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
Art. 9 Abs. 2 h DSGVO
… die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
Art. 9 Abs. 2 i DSGVO
… die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
Art. 9 Abs. 2 j DSGVO
… die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
Anhand eines Praxisbeispiels lässt sich die Problematik rund um Daten besonderer Kategorien veranschaulichen.
Torge Müller arbeitet in einer kleinen Firma mit 16 Beschäftigten.
1. Vorname, Name
2. Abwesenheit
3. Krankschreibung/Erkrankung
Wenn Sie keine Rechtsgrundlage zuordnen können oder keine so recht passen will, ist der Verarbeitungszweck evtl. zu allgemein gehalten. Wir empfehlen an dieser Stelle eine datenschutzrechtliche Beratung.
Je nach Rechtsgrundlage sind weitere Schritte zu beachten. Wir gehen auf die vier wichtigsten Erlaubnistatbestände in der Unternehmenspraxis ein:
Vetragserfüllung samt vorvertraglicher Maßnahmen
Einwilligung
Rechtliche oder gesetzliche Verpflichtung
Berechtigtes Interesse
Sie verarbeiten regelmäßig die Daten Ihrer Kunden, weil Sie mit ihnen Verträge über Verkauf, Dienstleistungen oder Werkleistungen geschlossen haben. Von Ihren Beschäftigten benötigen Sie die Personaldaten, um das Arbeitsverhältnis umzusetzen. Auch dies geschieht in der Regel aufgrund eines Arbeitsvertrags.
Das Vertragsverhältnis zum Kunden stellt die nach DSGVO zulässige Grundlage dar, um Kundendaten zu verarbeiten. Ohne Daten des Kunden können mit Ausnahme der Bargeschäfte des täglichen Lebens (Einkauf im Ladengeschäft) heutzutage keine Verträge durchgeführt und in Rechnung gestellt werden.
Personaldaten erheben Sie, um den Arbeitsvertrag zu begründen. Anschließend verarbeiten Sie die Personaldaten, um das Arbeitsverhältnis durchzuführen. Das heißt, Sie können Ihren Verpflichtungen aus dem Arbeitsverhältnis nicht nachkommen, ohne personenbezogene Daten Ihrer Beschäftigten zu verarbeiten.
Der Vertrag dient somit in beiden Beispielen als Rechtsgrundlage gemäß Art. 6 Abs. 1b DSGVO.
Aber nicht nur die Abwicklung und Durchführung des Vertrags an sich ist hiervon gedeckt, sondern ausdrücklich auch die Datenerhebung und -verarbeitung anlässlich von vorvertraglichen Maßnahmen – also wenn noch gar kein unterschriebener Vertrag besteht. Das sind zum Beispiel Anfragen zu Ihren Angeboten oder Bewerbungen.
Sofern Ihre Verarbeitungserlaubnis auf einer Einwilligung beruht, müssen Sie die Einwilligung erstellen und einholen. Im Zweifel müssen Sie beweisen können, dass Ihnen eine korrekt eingeholte Einwilligung vorliegt.
Wie die Einwilligung eingeholt wird, ist unterschiedlich. Eine Einwilligung kann per Unterschrift auf einem Papier erfolgen oder durch aktives Anklicken eines bestimmten Kästchens auf der Website oder durch die Rückbestätigung einer zugesendeten E-Mail oder durch das Betätigen einer Taste auf dem Telefon oder durch konkludentes Verhalten.
Nähere Informationen zur Einwilligung finden Sie im BASISWISSEN > Rechtmäßigkeit > Einwilligung.
Was Sie bei einer Einwilligung beachten sollten und wie Sie diese umsetzen können, haben wir in unserer Arbeitshilfe ausgeführt.
Steht eine rechtliche Verpflichtung hinter der Verarbeitung, dann sollten Sie diese rechtliche Verpflichtung kennen, benennen und im VVT dokumentieren.
Beispiel: Sie bewahren die Rechnungen nach Geschäftsabwicklung in Ihren Buchhaltungsunterlagen auf. Rechtsgrundlage ist Art. 6 Abs. 1c DSGVO bzgl. der Erfüllung einer gesetzlichen Aufbewahrungspflicht gemäß § 147 AO.
Ein berechtigtes Interesse kann eine solide Rechtsgrundlage sein. Das berechtigte Interesse kann bei Ihnen selbst oder auch bei einem Dritten liegen. Wichtig bei dieser Rechtsgrundlage ist, dass Sie stets die Interessen und insb. die Grundrechte und Grundfreiheiten der betroffenen Personen gegenüber Ihren eigenen Interessen abwägen.
Nähere Informationen zur Interessenabwägung finden Sie im Basiswissen > Rechtsmäßigkeit.