Allgemeine Rechtsgrundlagen gemäß Art. 6 DS-GVO
Wann dürfen personenbezogene Daten verarbeitet werden?
Keine Datenverarbeitung ohne Rechtsgrundlage!
So lautet der Grundsatz für jede Form der Datenverarbeitung. Soweit so unklar. Um die Rechtmäßigkeit der Datenverarbeitung legitimieren zu können, muss erstmal klar sein, welche möglichen Rechtsgrundlagen die Datenschutz-Grundverordnung (DS-GVO) überhaupt vorgibt. Und dann muss man die juristischen Formulierungen erstmal verstehen, um die richtige Wahl treffen zu können. Und dann ist da noch das Problem, dass es oftmals gar nicht so eindeutig ist, welche Rechtsgrundlage die richtige ist.
Um mehr Licht ins Dunkel zu bringen, beleuchtet dieser Artikel die allgemeinen Rechtsgrundlagen aus Art. 6 der DS-GVO.
Übersicht über die Rechtsgrundlagen
Bei der Datenverarbeitung nach DS-GVO sind sechs mögliche Rechtsgrundlagen vorgesehen, welche passenderweise in Art. 6 Abs. 1 geregelt sind. Demnach ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn die betroffene Person eingewilligt hat, wenn die Verarbeitung für die Erfüllung eines Vertrages, für die Erfüllung rechtlicher Verpflichtungen, zur Wahrung lebenswichtiger Interessen, für die Wahrnehmung von Aufgaben im öffentlichen Interesse oder zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist.
1. Vertrag und vorvertragliche Maßnahmen
Um die Datenverarbeitung gemäß dieser Rechtsgrundlage durchführen zu dürfen, muss in Variante 1 ein Vertragsverhältnis zugrunde liegen und die betroffene Person muss selbst Vertragspartei sein. Beispielsweise ist es hiernach zulässig, dass Soziale Einrichtungen Daten ihrer Klienten verarbeiten, die für die Erfüllung des Betreuungsverhältnisses notwendig sind.
Gemäß Variante 2 ist eine Datenverarbeitung auch zulässig, bevor der eigentliche Vertrag zustande kommt, sofern eine Anfrage durch den Betroffenen erfolgt. Das klassische Beispiel für einen derartigen Sachverhalt sind Interessentenanfragen durch potentielle Kunden. Die Daten des Anfragenden dürfen selbstverständlich dafür verwendet werden, um z.B. ein Vertragsangebot zu unterbreiten.
2. Rechtliche Verpflichtung
Eine Datenverarbeitung kann zudem dann rechtmäßig sein, wenn der Verantwortliche die Daten verarbeiten muss, um einer rechtlichen Verpflichtung nachkommen zu können. Ein Beispiel hierfür ist der Mutterschutz bei schwangeren Arbeitnehmerinnen. Der Arbeitgeber ist verpflichtet entsprechende Maßnahmen gemäß dem Mutterschutzgesetz zu ergreifen, um die Gesundheit der Frau und des Kindes zu schützen. Dafür muss er natürlich entsprechende Informationen über die Schwangerschaft verarbeiten und ist auch berechtigt, einen Nachweis über die Schwangerschaft einzufordern.
3. Lebenswichtige Interssen
Ein weiterer Erlaubnistatbestand ist die Datenverarbeitung, um lebenswichtige Interessen der betroffenen Person oder einer anderen Person schützen zu können. Ein lebenswichtiges Interesse kommt nur in absoluten Notsituationen in Betracht. Die Rechtfertigung sollte immer am Maßstab gemessen werden, ob die betroffene Person die Verarbeitung der Daten selbst wollen würde (mutmaßliche Einwilligung). Eine solche Notsituation ist zum Beispiel dann gegeben, wenn ein Klient einer sozialen Einrichtung oder ein Mitarbeiter bewusstlos wird. Selbstverständlich ist es dann gerechtfertigt, dass dem Rettungsdienst beispielsweise ein Notfallblatt mit entsprechenden Daten übergeben wird.
4. Öffentliches Interesse oder in Ausübung öffentlicher Gewalt
Diese Rechtsgrundlage betrifft ausschließlich Datenverarbeitungen durch öffentliche Stellen. Hierbei handelt es sich wie bei der rechtlichen Verpflichtung um eine Norm, die nicht alleine stehen kann. Für die Verarbeitung muss zusätzlich eine konkrete gesetzliche Grundlage des öffentlichen Rechts einschlägig sein, die sich zum Beispiel im Polizei- oder im Steuerrecht befinden kann.
5. Berechtigtes Interesse
Von großer praktischen Bedeutung ist das berechtigte Interesse des Verantwortlichen. Es handelt sich hierbei um einen sogenannten Auffangtatbestand. Das heißt, wenn von den vorher genannten Rechtsgrundlagen keine greift, muss man prüfen, ob das Unternehmen ein berechtigtes Interesse an der Datenverarbeitung hat, welches das Interesse der Betroffenen überwiegt. Man muss also die Interessen beider Parteien in einem risikobasierten Ansatz gegenüberstellen und mit konkreten Argumenten bewerten, welches Interesse mehr Gewicht hat.
6. Einwilligung
Wenn keine der oben genannten Rechtsgrundlagen einschlägig ist, lässt sich die Datenverarbeitung noch über eine Einwilligung legitimieren. Im Gegensatz zu den anderen Rechtsgrundlagen, die die Datenverarbeitung ohne aktive Nachfrage beim Betroffenen erlauben, ist hier die aktive Zustimmung durch den Betroffenen erforderlich. Die Einwilligung ist ein Ausdruck dessen, dass Datenschutz ein Recht auf Selbstbestimmung ist. Ein Betroffener hat damit also auch das Recht, eine Datenverarbeitung aus individuellen Motiven ausdrücklich zu wünschen. Zum Beispiel ist für die Veröffentlichungen von Fotos von Mitarbeitern auf der Webseite immer eine Einwilligung von Nöten. Auch bekam die Einwilligung für Cookies nach dem Urteil des EuGH im Oktober 2019 und nach dem dies bestätigenden Urteil des BGH vom Mai 2020 ein neues Gewicht. Demnach ist der Einsatz von Tracking-Cookies, die das Nutzerverhalten analysieren, nur nach einer aktiven Einwilligung zulässig.
Fazit
Die Datenverarbeitung nach DS-GVO bietet eine Vielzahl an Rechtsgrundlagen, die diese ermöglichen. Jedoch ist die Bewertung in vielen Fällen nicht einfach. Zumal es über die Rechtsgrundlagen aus Art. 6 hinaus noch weitere Rechtsgrundlagen speziell für die Erfassung besonders sensibler Daten oder Beschäftigtendaten gibt. Erfahren Sie dazu in den kommenden Artikeln der Blogbeitragsreihe „Wann dürfen Daten verarbeitet werden?“ mehr.
Sie haben Fragen zur Einschätzung eines Sachverhaltes und benötigen Unterstützung bei der Suche der richtigen Rechtsgrundlage? Gerne helfen wir ihnen weiter.
von Bastian Maute
Hilfreiche Links:
Wann dürfen Daten verarbeitet werden? Teil 2 – Erlaubnisnormen aus Art. 9 DS-GVO