Die DSGVO ist ein sogenanntes „Verbotsgesetz mit Erlaubnisvorbehalt“. Das heißt, dass die Verarbeitung von personenbezogenen Daten grundsätzlich erst einmal verboten ist. Es sei denn es gibt eine Rechtsgrundlage, die die Verarbeitung der Daten erlaubt. Die DSGVO hält hier selbst verschiedene Rechtsgrundlagen bereit, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann. Diese finden sich in Art. 6 Abs. 1 DSGVO. Die Datenschutzgrundverordnung kennt insgesamt sechs solcher Rechtsgrundlagen. Dabei müssen die Bedingungen nicht gebündelt vorliegen; es reicht, wenn die Datenverarbeitung auf eine der sechs Rechtsgrundlagen gestützt werden kann.
Im heutigen Blogbeitrag werden die drei für die Praxis relevantesten Bestimmungen genauer unter die Lupe genommen:
1. Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a DSGVO)
Wann braucht man eine Einwilligung?
Eine Einwilligung des Betroffenen ist immer dann einzuholen, wenn personenbezogene Daten erhoben werden sollen, die über ein bestehendes Vertragsverhältnis hinausgehen, die also nicht konkret zur Erfüllung des Vertrags benötigt werden. Das ist immer dann der Fall, wenn der Vertrag auch ohne Erhebung dieser Daten ordnungsgemäß erfüllt werden könnte. Ein Beispiel hierfür sind Geburtsdaten, die zur Versendung von Geburtstagspost erhoben werden sollen oder Fotos von Mitarbeitern, die in einer Firmenpräsentation veröffentlicht werden. Zur Erfüllung des Arbeitsvertrages sind diese Daten nicht erforderlich. Hier muss immer eine Einwilligung vor der Verarbeitung eingeholt werden.
Ausnahme: Gesundheitsdaten
Eine Besonderheit stellen Gesundheitsdaten bzw. andere sensible Daten nach Art. 9 DSGVO dar. Selbst wenn solche Daten zur Vertragserfüllung zwingend erforderlich sind, müssen Sie hierbei in der Regel eine Einwilligung zur Verarbeitung einholen.
Die wirksame Einwilligung
An die Einwilligung sind strenge Maßgaben geknüpft. Zunächst muss der Betroffene eindeutig über die Verarbeitung seiner Daten informiert werden, also wer die Daten wann zu welchem Zweck verarbeitet. Hintergrund ist, dass nur dann eine wirksame Einwilligung erteilt werden kann, wenn der Betroffenen auch genau weiß, auf was sich die Einwilligung erstreckt. Die Einwilligung muss freiwillig erfolgen für einen bestimmten Zweck und darf nicht von der Erbringung einer Dienstleistung oder der Erfüllung eines Vertrages abhängig gemacht werden (Stichwort: Kopplungsverbot). Außerdem muss der Betroffene jeder Zeit seine Einwilligung widerrufen können.
2. Vertrag als Rechtsgrundlage
Gem. Art. 6 Abs. 1 lit. b DSGVO können personenbezogene Daten auch dann verarbeitet werden, wenn dies zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Der geschlossene Vertrag setzt in diesen Fällen die Verarbeitung personenbezogener Daten voraus. Anders wäre der Vertrag nicht durchführbar. Für diese Verarbeitungsvorgänge muss dann auch keine Einwilligung des Betroffenen eingeholt werden. Beispielsweise muss ein Arbeitgeber Personaldaten seiner Mitarbeiter verwalten und somit verarbeiten, um das Arbeitsverhältnis durchführen zu können oder ein Onlineshop-Händler benötigt zwangsläufig die Adressdaten des Käufers, um bestellte Ware an diesen zu schicken.
Eine vorvertragliche Maßnahme liegt immer dann vor, wenn die betroffene Person bei einem Unternehmen anfragt und ein Vertragsschluss für möglich gehalten werden muss. Typisches Beispiel wäre hier, wenn eine Person ein Angebot von einem Unternehmen für eine Dienstleistung einholt. Zur Angebotserstellung müssen die personenbezogenen Daten von dem Unternehmen, zumindest Name und Anschrift, verarbeitet werden.
3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Häufig kommt es vor, dass das Vorliegen eines Vertrages oder ähnlichem die Verarbeitung personenbezogener Daten nicht ausreichend legitimieren kann. In diesen Fällen muss die Datenverarbeitung auf die berechtigten Interessen des Unternehmens, bzw. des Verantwortlichen gestützt werden. Dies erfordert eine Abwägung zwischen den schutzwürdigen Interessen des Betroffenen und den Interessen des Unternehmens.
Es gibt drei Voraussetzungen, wann ein solches berechtigtes Interesse vorliegt.
• Es besteht ein berechtigtes Interesse des Verantwortlichen an der Datenverarbeitung
• Die Verarbeitung ist zur Wahrung dieses Interesses erforderlich
• Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen nicht.
Was ist das „berechtigte Interesse“?
Schon das Herausarbeiten des berechtigten Interesses kann kompliziert sein. Nach juristischer Definition ist zunächst jedes Interesse berechtigt, das aufgrund der Rechtsordnung gebilligt ist, also jedes legale Interesse. Allerdings reicht ein allgemeiner Hinweis auf ein etwaiges Interesse nicht aus. Es muss dargelegt werden, warum die Verarbeitung der personenbezogenen Daten für den Verantwortlichen wichtig sind, worin genau die Bedeutung der Interessenswahrung besteht und welche Interessen genau das sein sollen. Diese Feststellung der berechtigten Interessen muss unbedingt, für den Fall eines Rechtsstreits oder einer Kontrolle durch die Aufsichtsbehörde, schriftlich dokumentiert werden.
Genauso wie die Angabe, warum zur Wahrung dieses berechtigten Interesses die Verarbeitung der personenbezogenen Daten der Betroffenen erforderlich ist. Erforderlichkeit ist dann gegeben, wenn der Zweck der Verarbeitung durch kein anderes, milderes Mittel erreicht werden kann. Steht dem Verantwortlichen also eine weniger einschneidende Variante zur Erreichung des Zwecks zur Verfügung, die gleich effektiv ist, ist die Datenverarbeitung eben nicht erforderlich.
Erwägungsgründe zur DSGVO geben Anhaltspunkte
Wann ein berechtigtes Interesse auf Seiten des Verantwortlichen vorliegen kann, wird unter anderem in den Erwägungsgründen zur DSGVO erläutert. In Erwägungsgrund 47 heißt es beispielsweise, dass ein berechtigtes Interesse angenommen werden kann, wenn „eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“. Ebenfalls in Erwägungsgrund 47 als berechtigte Interessen genannt sind die Verarbeitung personenbezogener Daten zur Betrugsbekämpfung oder zur Direktwerbung.
Ebenfalls ein berechtigtes Interesse kann auch die Ausübung spezieller Grundrechte, wie die Meinungs-, Presse- und Rundfunkfreiheit sein oder die Verarbeitung personenbezogener Daten im Rahmen des kleinen Konzernprivilegs (Erwägungsgrund 48). Insgesamt sind viele Anhaltspunkte, was als berechtigtes Interesse herangezogen werden kann, in den Erwägungsgründen 47 bis 49 zu finden.
Insgesamt muss allerdings immer eine Einzelfallprüfung vorgenommen werden.
In einem letzten Schritt muss das berechtigte Interesse des Verantwortlichen nun den Interessen des Betroffenen in einer Interessensabwägung gegenübergestellt werden.
Da dies der weitaus anspruchsvollste Schritt ist, soll dieser in einem separaten Beitrag beleuchtet werden.
Stay tuned…
[…] und weitere Beispiele für die Rechtmäßigkeit einer Datenverarbeitung finden Sie auch unterhttps://sidit.de/blog/wann-duerfen-personenbezogene-daten-verarbeitet-werden/. Sollten Sie noch Fragen in diesem Bereich haben, sprechen Sie uns gerne an. Wir sind bundesweit […]