Der EU-Datenschutzgrundsatz macht eine eindeutige Aussage, wonach die Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn sie und in dem Maße in dem dies nach geltendem Recht zulässig ist, erfolgt. Jede Begründung für die Verarbeitung, die der für die Verarbeitung Verantwortliche angeben könnte, die nicht in diesem präzisen Umfang gegeben ist, ist ohne gesetzliche Grundlage und wird als rechtswidrig erachtet.
Unternehmen gehen manchmal davon aus, dass sie die Einwilligung der betroffenen Personen zur Verarbeitung derer Daten einholen müssen. Dies kann als unüberwindbare administrative Hürde erscheinen, aber die Einholung und Verwaltung von Einwilligungen ist nicht für alle Tätigkeiten der Verarbeitung personenbezogener Daten vorgeschrieben. Die Einwilligung ist nur eine von mehreren Möglichkeiten, um Verarbeitungstätigkeiten zu legitimieren, wenn andere rechtliche Grundlagen für die Verarbeitung erschöpft sind.
Hier ein Überblick über die sechs Rechtsgrundlagen für die Verarbeitung, die von der DSGVO anerkannt werden:
1. Gesetzliche Verpflichtungen und Einhaltung gesetzlicher Vorschriften
Die strengste, genaueste, aber auch optimale Grundlage für die Verarbeitung (in Bezug auf den Datenverantwortlichen) ist das Vorliegen von mindestens einer Rechtsvorschrift (Erwägungsgrund 39, 40, 41; Artikel 6 Absatz 1), die die Verarbeitungstätigkeiten fordert (d.h. rechtfertigt). Die Angabe des Rechtsakts und seines nummerierten Auszuges ist für die Datenverantwortlichen / -auftragsverarbeiter obligatorisch und muss vor oder zum Zeitpunkt der Datenerhebung bereitgestellt werden. Weitere Informationen zu den Unterschieden zwischen Datenverantwortlichen und -auftragsverarbeiter finden Sie in diesem Artikel: EU DSGVO Verantwortlicher vs. Auftragsverarbeiter – Was sind die Unterschiede?
Auszüge der DSGVO Erwägungsgrund 45 und Artikel 6 (1)(c), 6 (3) erlauben eine Verarbeitung, wenn dies zur Einhaltung einer rechtlichen Verpflichtung nach EU-Recht oder nach den Rechtsvorschriften eines Mitgliedstaats erforderlich ist.
Für diese Rechtsgrundlage gibt es viele Beispiele: Beschäftigungsunterlagen, Unfallberichte für Patientenunterlagen und Arbeitsschutzaufzeichnungen usw.
2. Vertragserfüllung
Die Anerkennung der Grundlagen der Geschäftstätigkeit (d.h. vertragliche Verpflichtungen) stellt die Rechtsgrundlage dar (Erwägungsgrund 44, Artikel 6 (1)(b)), die die Verarbeitung in zwei Szenarien erlaubt. Erstens, wenn es notwendig ist, einen neuen Vertrag abzuschließen oder im Rahmen des bestehenden Vertrags mit der betroffenen Person zu arbeiten, dann ist die Datenverarbeitung erlaubt. Das zweite Szenario ist, wenn die betroffene Person Aktivitäten gegenüber dem Datenverantwortlichen einleitet, in diesem Fall ist die Verarbeitung bereits vor Vertragsabschluss erlaubt. Dies ist der Fall bei vorvertraglichen Beziehungen (Vorbereitung oder Verhandlung vor Abschluss eines Vertrags), in denen die DSGVO betont, dass die Einleitung von Verarbeitungsschritten eher auf Antrag der betroffenen Person als vom Verantwortlichen erfolgen sollte.
Ein Beispiel hierfür ist die Verarbeitung von Angaben bezüglich Kreditkarten, um die Zahlung durchführen zu können. In Fällen, in denen ein Vertrag noch nicht vorliegt, beispielsweise wenn eine Person Informationen von einem Dienstanbieter über einen bestimmten Dienst per E-Mail oder sozialem Netzwerk anfordert, ist die Verarbeitung der personenbezogenen Daten dieser Person für die Beantwortung der Anfrage gestattet.
3. Lebenswichtige Interessen
In Situationen, die nicht durch das spezifische Gesetz abgedeckt sind und in Ermangelung eines Vertrages, ist die Verarbeitung zulässig, wenn dies zum Schutz lebenswichtiger Interessen (Erwägungsgrund 46, Artikel 6 Absatz 1 (d)) der betroffenen Person erforderlich ist. Die Bedingung kann auf andere Personen (z. B. Kinder der betroffenen Person) erweitert werden.
Es wird jedoch geraten, die Anwendbarkeit abzuwägen, da „lebenswichtige Interessen“ normalerweise nur für Situationen gelten, in denen es um Leben oder Tod geht. Zu solchen Situationen kann gehören, dass Notfalldienste eine Liste mit Namen- und Altersangaben der Bewohner erhalten, wenn sie auf einen Notruf reagieren.
4. Öffentliches Interesse oder unter öffentlicher Gewalt handeln
Wenn die Durchführung einer im öffentlichen Interesse liegenden Aufgabe oder die Ausübung einer dem Verantwortlichen von einer Behörde übertragenen Aufgabe die Verarbeitung personenbezogener Daten erfordert, ist dies aufgrund des Erwägungsgrundes 45 zulässig. Artikel 6 (1)(e) der DSGVO.
Obwohl die Genehmigung standardmäßig erteilt wird, kann die Verarbeitung auf dieser Grundlage Einwänden von betroffenen Personen unterliegen. Dies wird offiziell anerkannt, um eine Überprüfung der Besonderheiten der Situation zu ermöglichen. Es gibt der betroffenen Person grundsätzlich die Möglichkeit, die Definition des öffentlichen Interesses des Verantwortlichen zu hinterfragen. Der Einwand kann berechtigt oder nicht berechtigt sein, aber er muss anerkannt und rechtzeitig beantwortet werden.
Ein Beispiel für diese Art von Verarbeitung ist, dass es politischen Parteien erlaubt sein könnte, eine Kopie des Wählerverzeichnisses zu verwalten.
5. Legitime Interessen
Die vielleicht am wenigsten eindeutige Rechtsgrundlage für die Verarbeitung ist der Grundsatz der „legitimen Interessen“ (Erwägung 47, 48; Artikel 6 (1)(f)). Kurz gesagt, bietet er die Möglichkeit, eine Rechtfertigung für die Verarbeitung von Daten, die nicht in die oben genannten rechtlichen Modelle fallen, zu entwickeln. Mit dieser Begründung können Daten verarbeitet werden, ohne die Einwilligung der betroffenen Personen zu verwalten. Sie kann sowohl für den Datenverantwortlichen als auch für den Dritten gelten, dem die Daten offengelegt werden.
Dies gilt jedoch nur in Situationen, in denen die Interessen, Rechte oder Freiheiten der betroffenen Personen die Interessen des Verantwortlichen nicht außer Kraft setzen. Um diese potenziell gegensätzlichen Interessen zu vergleichen, müssen die Datenverantwortlichen einen sogenannten „Abwägungstest“ durchführen (der Gegenstand eines gesonderten Artikels sein wird).
Die DSGVO gibt vage Beschreibungen möglicher Szenarien, die in die Grundlage legitimer Interessen passen. Beispiele sind: bestimmte Kunden- oder Dienstleistungsbeziehungen zwischen der betroffenen Person und dem Verantwortlichen (mit Einschränkungen in Bezug auf Arbeitsverträge und Behörden). Sie umfasst auch Verfahren zur Verhinderung von Betrug sowie die Übermittlung personenbezogener Daten in Unternehmen oder Einrichtungen des Verantwortlichen, die einer zentralen Stelle für interne Verwaltungszwecke angeschlossen sind. Dies kann die Verarbeitung personenbezogener Daten von Kunden oder Mitarbeitern umfassen.
6. Einverständnis betroffener Personen
Für Szenarien, die nicht in eine der oben genannten Kategorien fallen, bleibt den Datenverantwortlichen eine letzte Möglichkeit: die Erlaubnis zur Verarbeitung personenbezogener Daten einzuholen, d.h. die Zustimmung der betroffenen Personen (Erwägungsgründe 32, 42, 43; Artikel 6(1)(a)) einzuholen.
Die Einwilligung muss ausschließlich sein und das Ermessen der betroffenen Person widerspiegeln, eine positive und frei gegebene Antwort auf die gut strukturierte, eindeutige Beschreibung der Verarbeitungstätigkeit. Der Grundsatz des „Opt-In“ ist obligatorisch, d.h. es kann keine Verarbeitung stattfinden, bevor die Zustimmung geleistet wurde. Ein Datenverantwortlicher muss nachweisen können, dass das Einverständnis erteilt wurde und darüber muss ein Protokoll bestehen.
Was diese Rechtsgrundlage am wenigsten attraktiv macht, sind die Anforderungen der DSGVO an die Gültigkeit der Einholung und Verwaltung der Einwilligung und die Tatsache, dass die Einwilligung jederzeit und auf einfache Weise, wie sie auch erteilt wurde, zurückgezogen werden kann.
Die DSGVO schreibt vor, dass das Alter eines Kindes bestätigt wird und dass das Einverständnis der Eltern/der Erziehungsberechtigten für die Datenverarbeitungstätigkeit (mit einigen Ausnahmen) erteilt werden muss. Je nach Alter des Kindes kann es verpflichtend sein, auch dem Kind Informationen über die Verarbeitung in einer ihm leicht verständlichen Sprache zu vermitteln.
Eines der häufigsten Szenarien bei der Verwaltung des Einverständnisses, die obligatorisch und nicht vermieden werden kann, ist die Erhebung von Kontaktangaben der betroffenen Personen für Marketingzwecke, wie E-Mail-Newsletter. Die Verarbeitung personenbezogener Daten zur bloßen Verbesserung der Geschäftsaussichten des Datenverantwortlichen unterliegt weder einer gesetzlichen Regelung noch der Einhaltung gesetzlicher Vorschriften noch gehört sie zu einer der oben genannten Kategorien und ist nur mit einer überprüfbaren und gültigen Zustimmung gestattet.
So viele Möglichkeiten, so wenig Zeit…
Unter Berücksichtigung all dieser Fakten sollten Organisationen, die als Datenverantwortliche tätig sind, eine detaillierte Überprüfung aller ihrer Datenverarbeitungstätigkeiten durchführen, wobei für jede von ihnen eine Rechtsgrundlage festgelegt und die vorgeschriebene Dokumentation bezüglich der Einhaltungszwecke aufbewahrt werden muss.
Organisationen sollten versuchen, die Verwendung von Zustimmungen zu vermeiden, um das Risiko der Verweigerung und des Widerrufs zu verringern, aber diese Ausweichstrategie wird nicht bei allen rechtlichen Bedingungen funktionieren. Bei jeder der sechs Grundlagen ist eine rechtlich fundierte und transparent kommunizierte Definition der Verarbeitung ein absolutes Muss.
Klicken Sie hier, um den kostenlosen Projektplan für die EU DSGVO Umsetzung herunterzuladen und zu erfahren, wie alle Anforderungen der DSGVO einzuhalten sind.