Rechtsgrundlagen im Datenschutz

Im Datenschutz gilt der eiserne Grundsatz, dass du keine Daten verarbeiten darfst, wenn hierfür keine entsprechende Rechtsgrundlage existiert. Wir reden hier von einem sogenannten „Verbot mit Erlaubnisvorbehalt“. Zum Glück gibt es hier genug Rechtsgrundlagen im Datenschutz, auf die du deine Verarbeitung stützen kannst. Hier stellen wir sie dir vor.

Nach Art. 5 DSGVO müssen personenbezogenen Daten auf rechtmäßige Weise verarbeitet werden. Zentraler Anlaufpunkt ist hier Art. 6 DSGVO. Danach kommen folgende Rechtsgrundlagen in Betracht:

  • Einwilligung der betroffenen Person;
  • Durchführung eines Vertrages oder vorvertraglicher Maßnahmen;
  • Erfüllung einer rechtlichen Verpflichtung;
  • Schutz lebenswichtiger Interessen;
  • Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt;
  • berechtigtes Interesse

Einwilligung

Die Einwilligung ist die wichtigste Rechtsgrundlage für die Datenverarbeitung, allerdings für dein Unternehmen auch die unpraktischste Rechtsgrundlage. Die betroffene Person muss freiwillig, in informierter Weise und eindeutig ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten erklären. Die Einwilligung muss in einer für die betroffene Person leicht zugänglichen Weise erteilt werden und in klarer und verständlicher Sprache formuliert sein. Außerdem kann die Einwilligung durch die betroffene Person jederzeit widerrufen werden. In diesem Fall musst du die Datenverarbeitung beenden. Deswegen ist die Einwilligung aus Sicht des Datenschutzes zwar ideal, für dein Unternehmen aber unpraktisch. Du solltest also versuchen, die Datenverarbeitung auf eine andere Rechtsgrundlage zu stützen. Mehr zur Einwilligung erfährst du in unserem Artikel „Die Einwilligung im Sinne der DSGVO“.

Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen

Eine der wichtigsten Rechtsgrundlagen für dein Unternehmen ist die Verarbeitung zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen. Dazu gehören etwa die Verarbeitung personenbezogener Daten für die Bestellung von Waren oder Dienstleistungen, die Anmeldung zu einem Newsletter oder die Registrierung für ein Online-Konto, aber auch Verarbeitungen, die im Rahmen deiner Personalverwaltung erforderlich sind wie Lohnbuchhaltung.

Die Verarbeitungen müssen erforderlich sein. Das setzt voraus, dass anstelle der geplanten Verarbeitung kein milderes, wirtschaftlich gleich effizientes Mittel zur Verfügung steht. Erforderlich ist eine Verarbeitung immer dann, wenn du ohne die geplante Verarbeitung den eigentlichen Zweck gar nicht erreichen kannst (absolute Unmöglichkeit). Aber auch wenn du den Zweck zwar mit anderen Mitteln erreichen kannst, aber diese Mittel für dich unzumutbar sind, liegt Erforderlichkeit vor (relative Unmöglichkeit). Ist die Verarbeitung für dich nur ein „Nice-to-have“ reicht das in der Regel aber nicht aus. Bei der Verarbeitung zur Erfüllung torvertraglicher Maß.

Erfüllung einer rechtlichen Verpflichtung

In bestimmten Fällen ist die Verarbeitung personenbezogener Daten auch dann rechtmäßig, wenn sie zur Erfüllung deiner rechtlichen Verpflichtungen erforderlich ist. Dazu gehören etwa die Verarbeitung personenbezogener Daten für die Erfüllung von Steuerpflichten oder für die Erfüllung von Meldepflichten gegenüber Behörden.

Wahrung lebenswichtiger Interessen

Die Verarbeitung personenbezogener Daten ist auch dann rechtmäßig, wenn sie zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist. Dazu gehören unter anderem die Verarbeitung personenbezogener Daten im Kontext der medizinischen Versorgung oder der Notfallhilfe.

Ausführung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt

In bestimmten Fällen ist die Verarbeitung personenbezogener Daten auch dann rechtmäßig, wenn sie zur Erfüllung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist, die dem Verantwortlichen übertragen wurde. Dazu gehören unter anderem die Verarbeitung personenbezogener Daten durch Behörden oder öffentliche Einrichtungen.

Berechtigtes Interesse

Eine Art Auffangtatbestand ist die Verarbeitung auf Basis des berechtigten Interesses. Auf dieser Basis kannst du personenbezogene Daten verarbeiten, wenn, wenn sie zur Wahrung deiner berechtigten Interessen erforderlich sind. Dabei dürfen aber die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Wenn du die Verarbeitung auf das berechtigte Interesse stützen willst, ist also eine Interessenabwägung erforderlich. Ausführliche Informationen zum berechtigten Interesse haben wir im Artikel „Das berechtigte Interesse im Sinne der DSGVO“ zusammengefasst.

Auswahl der richtigen Rechtsgrundlagen im Datenschutz

Als Verantwortlicher musst du für die Verarbeitung personenbezogener Daten die richtige Rechtsgrundlage auswählen. Nur so kannst die Rechtmäßigkeit der Datenverarbeitung gewährleisten. Die Rechtsgrundlage muss auch im Verzeichnis der Verarbeitungstätigkeiten angegeben werden.

Bei der Auswahl der Rechtsgrundlage solltest du darauf achten, dass die Rechtsgrundlagen in der DSGVO unterschiedliche Anforderungen an die Verarbeitung personenbezogener Daten stellen.

Besondere Kategorien von Daten

Spezielle Regelungen gibt es bei der Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO. Dazu gehören Daten, aus denen

  • die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder die
  • Gewerkschaftszugehörigkeit hervorgehen. Außerdem gehören dazu:
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Die Verarbeitung solcher Daten ist per se untersagt und nur unter strengen Anforderungen zulässig. Nach Art. 9 Abs. 2 DSGVO ist die Verarbeitung beispielsweise zulässig, wenn:

  • eine wirksame Einwilligung vorliegt
  • die Verarbeitung zur Erfüllung von Pflichten aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes notwendig ist
  • die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
  • sich Verarbeitung auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat, bezieht,
  • die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist,
  • die Verarbeitung für bestimmte Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten erforderlich ist

Dies sind nur einige Beispiele für nach Art. 9 Abs. DSGVO zulässige Verarbeitungen. In jedem Fall solltest du dir bewusst machen, dass bei Daten nach Art. 9 DSGVO besondere Vorsicht geboten.

BDSG

Neben der DSGVO musst du ggf. auch noch andere Regelungen beachten, etwa aus dem BDSG oder den Datenschutzgesetzen der Länder. So gibt dir etwa § 26 BDSG spezielle Regelungen für Verarbeitung von personenbezogenen Daten im Rahmen von Arbeitsverhältnissen vor. § 26 Abs. 1 BDSG dürfte aber nach einer Entscheidung des EuGH 30. März 2023 (EuGH C‑34/21) nicht mehr anwendbar sein, was aber in der Praxis kaum Auswirkungen für dich haben dürfte.

Fazit – Rechtsgrundlagen im Datenschutz

Die DSGVO und das BDSG legen klare Regeln für die Verarbeitung personenbezogener Daten fest. Die Auswahl der richtigen Rechtsgrundlage ist wichtig, um die Rechtmäßigkeit der Datenverarbeitung zu gewährleisten.

Datenschutz? Weil du deine Kunden und Mitarbeiter liebst!Löschkonzept Muster