(Art.6 DSGVO)

In Artikel 6 der DSGVO finden sich die für die Praxis relevantesten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Welches die wichtigsten und häufigsten sind wollen wir ihnen hier kurz darstellen.

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:“

  • 6 Abs. 1 (1) lit. a. DSGVO: Auf dem ersten Platz der Aufzählungen der Rechtsgrundlagen liegt die Einwilligung. Auch wenn Sie sich den ersten Platz der häufigst vorkommenden Rechtsgrundlagen vermutlich mit Litera b. und f. teilen müsste.

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben“

Klargestellt wird, dass die betroffene Person, also der dessen Daten mit Personenbezug verarbeitet werden sollen, Ihre Einwilligung bereits vor Beginn der Verarbeitung geben haben muss. Damit eine Einwilligung wirksam erteilt werden kann, muss der Betroffene außerdem über die Art der Verarbeitung und den Zweck aufgeklärt worden sein. Andernfalls kann der Betroffene nicht erkennen wofür er seine Einwilligung abgegeben hat. Dem Betroffenen ist stets die Möglichkeit zu eröffnen, seine Einwilligung zu widerrufen.

  • 6 Abs. 1 (1) lit. b. DSGVO: Dicht gefolgt wird die Einwilligung in der Aufzählung vom wahrscheinlich in der Praxis ebenso häufigen Fall. Der Verarbeitung zu Vertragszwecken.

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;“

Klargestellt wird, dass personenbezogene Daten immer dann verarbeitet werden dürfen, wenn Sie zur Anbahnung (Verhandlung, vorvertragliche Absprachen, etc.), zum Abschluss, oder zur Durchführung eines Vertrages notwendig sind, wenn der Betroffene Vertragspartei ist. Diese Rechtsgrundlage erfasst eine riesige Vielzahl von Fällen und ermöglicht datenschutzrechtlich konforme Abwicklung von Alltagsgeschäften.

Jeder am Rechtsverkehr Teilnehmende muss davon ausgehen, dass zur Abwicklung z.B. eines Kaufes, sofern er nicht in Bar geschieht, personenbezogene Daten (Adresse, IBAN, Kreditkartennummer) verarbeitet werden müssen. Entsprechend gering soll die Hürde für den Verkäufer (und Verarbeiter der Daten) ausfallen. Nichtsdestotrotz dürfen die personenbezogenen Daten nur im notwendigen Maße erhoben und verarbeitet werden, darüber hinausgehende Erhebungen und Verarbeitungen sind von dieser Rechtsgrundlage nicht gedeckt. Mit dem Abschluss des Rechtsgeschäftes sind die personenbezogenen Daten wieder zu löschen. Ausnahmen gelten nur, wenn noch Ansprüche im Vertragsverhältnis (man denke an Garantie oder Mängelrechte) denkbar sind. Darüber hinaus sind von den Vertragsparteien mögliche steuerrechtliche Aufbewahrungsfristen einzuhalten.

  • 6 Abs. 1 (1) lit. f. DSGVO: Die Dritte häufig vorkommende Rechtsgrundlage stellt die Verarbeitung im Rahmen eines berechtigten Interesses des Verarbeiters dar.

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Bei der Verarbeitung im Rahmen eines berechtigten Interesses reicht es aus, wenn der Verarbeiter ein tatsächliches, wirtschaftliches oder ideelles Interessen an der Verarbeitung hat, das von der Rechtsordnung anerkannt wird. Auch die Verarbeitung zu Geschäftszwecken ist nach bisherigem Stand zulässig. Ziele können insbesondere sein, neue Daten zu sammeln und diese wirtschaftlich zu nutzen, bereits bestehende Daten zu analysieren und Erkenntnisse daraus zu erlangen oder Daten zu übermitteln und zu nutzen, um aus ihnen Informationen zu generieren.

Nach der Festlegung bzw. Identifikation des Verarbeitungsziels kann dann eine Abwägung vorgenommen werden, ob im Einzelfall schutzwürdige Interessen des Betroffenen das Datenverarbeitungsinteresse überwiegen. Der bloße Eingriff in die Rechte des Betroffenen reicht dabei nicht aus, seine Interessen müssen in der Abwägung auch überwiegen.

Indikatoren für das überwiegen des Interesses des Verarbeiters in den Erwägungsgründen zur DSGVO zu finden. Z.B. heißt es in Erwägungsgrund 47: „Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“

Auch kann davon ausgegangen werden, dass die Interessen des Verarbeiters die des Betroffenen überwiegen, wenn der Betroffene eine „vernünftige Erwartung“ haben müsste, dass seine Daten verarbeitet werden.

(Art. 5 DSGVO)

Die DSGVO stellt in ihrem Art. 5 einige Grundsätze auf, die aufgrund einer neuen digitalen Realität, in den Auge des EU-Gesetzgebers, notwendig geworden sind. Diese Zielsetzung soll durch die in Art.5 DSGVO definierten Grundsätze für die Verarbeitung personenbezogener Daten erreicht werden.

Folgende Regeln stellt die DSGVO verbindlich an eine Datenverarbeitung:

  • Für die betroffene Person muss die Verarbeitung ihrer Daten in nachvollziehbarer Weise erfolgen, sodass dem Grundsatz der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben sowie der Transparenz genüge getan wird.
  • Eine Zweckbindung liegt nur dann vor, wenn die Absicht der Datenerhebung und Verarbeitung festgelegt, eindeutig und legitim ist, sowie die Datenerhebung dem Umfang nach angemessen ist, d.h. auf das notwendige Maß beschränkt ist (Zweckbindung).
  • Mit Hinblick auf den Zweck der Verarbeitung ist der Datenerhebende/die verantwortliche Stelle angehalten, unrichtige Daten unverzüglich zu korrigieren oder zu löschen (Richtigkeit).
  • Zum Schutz der Identität betroffener Personen dürfen erhobene Daten nur solange gespeichert werden, wie der Zweck der Datenerhebung vorliegt (Speicherbegrenzung).
  • Eine Ausnahme stellt der Schutz Dritter, sowie öffentliches Interesse gem. Art.89 Abs. 1 DSGVO dar.
  • Darüber hinaus sind die erhobenen Daten vor dem unrechtmäßigen Zugriff Dritter, durch die Ergreifung geeigneter Maßnahmen, technischer und organisatorischer Art, zu schützen (Integrität u. Vertraulichkeit).
  • Für die Einhaltung der Grundsätze sowie dem Nachweis eben dieser Einhaltung, ist der Erhebende der Daten verantwortlich (Rechenschaftspflicht).
  • Für die Überwachung dieser Grundsätze sind die jeweils zuständigen Aufsichtsbehörden zuständig.

Leave a Reply