In diesem Post schauen wir uns die sechs Rechtsgrundlagen an.
Datenverarbeitung: Sechs Rechtsgrundlagen
Es gibt 6 Rechtsgrundlagen, die man braucht, um personenbezogene Daten verarbeiten zu können. Eine Rechtsgrundlage muss gegeben sein, damit Du ohne Probleme personenbezogene Daten verarbeiten kannst. Zu finden sind die Rechtsgrundlagen in Artikel 6 DSGVO. Folgend sind die sechs Grundlagen zusammengefasst:
a.) Einwilligung: Der oder die Betroffene muss die Einwilligung für die Verarbeitung geben
b.) Vertrag: Verarbeitung von personenbezogenen Daten durch Vertrag
c.) Rechtliche Pflicht: Daten werden auf Basis einer rechtlichen Verpflichtung verarbeitet
d.) Leben und Tod: Verarbeitung von personenbezogenen Daten erforderlich, um lebenswichtige Interessen zu schützen
e.) Öffentliches Interesse: In der Privatwirtschaft fast gar keine Anwendung –
f.) Interessenabwägung: Die Interessen der Verarbeitung von personenbezogenen Daten müssen gut entschieden werden, um den Schutz der betroffenen Person weiterhin zu gewährleisten
Jeden Prozess, in dem man Daten verarbeitet sollte man jedoch immer auf den Prüfstand stellen. Im Video haben wir nochmal alle Rechtsgrundlagen zusammengefasst.
Und wenn dich auch Betroffenenrechte und was du bei deren Datenverarbeitung beachten musst interessieren, findest du hier den passenden Blogpost.
Datenverarbeitung und Datentransfer
Darf man Daten in einem Drittland, also in einem Land außerhalb der EU überhaupt verarbeiten beziehungsweise in ein Drittland transferieren? Weißt du was Standardvertragsklauseln beziehungsweise Standard Contract to classes bedeuten und weißt du, warum diese in der Zusammenarbeit bzw. in der Datenverarbeitung mit den USA auf einmal so wichtig sind?
Gehen wir mal kurz einen Schritt zurück. Es geht hier um das Thema wie der Transfer von personenbezogenen Daten aus EU-Staaten, wo die DSGVO gültig ist, zu Drittstaaten, wo die DSGVO der EU natürlich nicht gültig ist. Darf man das überhaupt? Und wenn ja, wie? Antwort: Ja man darf es. Die DSGVO besagt, dass es für Länder außerhalb der EU 3 Möglichkeiten gibt, um den Datentransfer also den Transfer von personenbezogenen Daten zu ermöglichen.
Der Erste ist der Angemessenheitsbeschluss, zweitens geeignete Garantie und drittens Ausnahmesituationen.
Ein Beispiel für einen Angemessenheitsbeschluss, der in der Vergangenheit stattgefunden hat, ist Großbritannien nach dem Brexit. Da gab es seitens der EU ein Angemessenheitsbeschluss und dadurch können problemlos personenbezogene Daten zwischen Großbritannien und der EU transferiert werden. Der BfDI (also Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) sagt Zita: „Wird eine Datenübermittlung von einem Angemessenheitsbeschluss umfasst, bedarf es keiner weiteren Schutzmaßnahme.“
Die aktuelle Liste der Länder, die einen Angemessenheitsbeschluss beinhaltet, findet ihr hier.
Falls es keinen Angemessenheitsbeschluss gibt, dann geht die DSGVO erstmal davon aus, dass kein angemessenes Datenschutzniveau besteht. Außer: Es gibt geeignete Garantien.
Und hier kommen die Standardvertragsklauseln ins Spiel. Die Europäische Kommission hat im Juni 2021 SVK erlassen im „Durchführungsbeschluss (EU) 2021/914“. Seit dem 27. September 2021 können nur noch die aktuellen SVK abgeschlossen werden. Ab 27.12.2022 wiederrum, müssen alle alten SKVs auf die neuen umgeändert worden sein. Das wird also ein wichtiges Datum!
Dann gibt’s neben den SVK noch andere Garantien, zum Beispiel einzeln ausgehandelte Vertragsklauseln, die jedoch von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden müssen. Dann gibt es noch die verbindlichen internen Datenschutzvorschriften oder auf Englisch: die Binding Corporate Rules. das wird vor allem von großen und international tätigen Konzernen mit internem Datenfluss unter anderem auch in Drittländer verwendet. Auch die Binding Corporate Rules müssen durch die zuständige Aufsichtsbehörde genehmigt werden und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden. Dann gibt es noch die genehmigten Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus und spezielle Garantien für Behörden.
Als drittes gibt es noch die Ausnahmesituation. Es kann zum Beispiel sein, wenn eine Einzelperson ausdrücklich in die vorgeschlagene Übermittlung eingewilligt hat, nachdem sie alle erforderlichen Informationen über die mit der Übermittlung verbundenen Risiken erhalten hat. Das heißt man könnte ja eigentlich argumentieren: Es braucht gar keine Standardvertragsklauseln, ich brauche auch keine Binding Corporate Rules. Ich informiere einfach den Betroffenen ausführlich darüber, dass ich seine Daten in ein Drittland weitergebe. Dann stimmt er oder sie zu und alles ist fine. Ja in der Theorie stimmt das zwar, in der Praxis sieht das anders aus. Diese Information muss so umfangreich und aufklärend sein, dass es in der Praxis nicht wirklich praktiable ist. Also leider doch per SVKs.
Eine zweite Ausnahme kann sein, dass die Datenübermittlung aus wichtigen Gründen für das öffentliche Interesse notwendig ist. Oder wenn die Datenübermittlung für die Verwahrung der zwingend berechtigten Interessen der Organisation erforderlich sind. Das sind aber alles in Anführungsstrichen gefährliche Ausnahmen, weil wenn man von der Aufsichtsbehörde abgemahnt wird oder einen Bußgeldbescheid bekommt, muss man sich anwaltlich beraten lassen. Das kann teuer werden.
