Welche 6 Rechtsgrundlagen musst du bei der Datenverarbeitung beachten?

Rechtsgrundlagen

Teile diesen Blogbeitrag

Eine Übersicht: 6 Rechtsgrundlagen Datenverarbeitung

Es gibt 6 Rechtsgrundlagen, die man braucht, um personenbezogene Daten verarbeiten zu können. Eine Rechtsgrundlage muss gegeben sein, damit Du ohne Probleme personenbezogene Daten verarbeiten kannst. Zu finden sind die Rechtsgrundlagen in Artikel 6 DSGVO. Folgend sind die sechs Grundlagen zusammengefasst:

a.) Rechtsgrundlage ist die Einwilligung (Art. 6 Abs. 1 lit. a): Der oder die Betroffene muss die Einwilligung für die Verarbeitung geben

b.) Rechtsgrundlage ist der Vertrag (Art. 6 Abs. 1 lit. b): Verarbeitung von personenbezogenen Daten durch Vertrag

c.) Rechtsgrundlage ist die rechtliche Pflicht (Art. 6 Abs. 1 lit. c): Daten werden auf Basis einer rechtlichen Verpflichtung verarbeitet

d.) Rechtsgrundlage ist Leben und Tod (Art. 6 Abs. 1 lit. d): Verarbeitung von personenbezogenen Daten erforderlich, um lebenswichtige Interessen zu schützen

e.) Rechtsgrundlage ist öffentliches Interesse (Art. 6 Abs. 1 lit. e): In der Privatwirtschaft fast gar keine Anwendung –

f.) Rechtsgrundlage ist eine Interessenabwägung (Art. 6 Abs. 1 lit. f): Die Interessen der Verarbeitung von personenbezogenen Daten müssen gut entschieden werden, um den Schutz der betroffenen Person weiterhin zu gewährleisten. Hier ist eine Abwägung zwischen dem Schutz des Betroffenen und dem Interesse des Unternehmens vorzunehmen. Wichtig ist hierbei außerdem, dass dem Betroffenen das berechtigte Interesse immer mitgeteilt werden muss. Und er oder sie können dann widersprechen.

Jeden Prozess, in dem man Daten verarbeitet sollte man jedoch immer auf den Prüfstand stellen. Im Video haben wir nochmal alle Rechtsgrundlagen zusammengefasst.

Weitere Details zu den 6 Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten ist ein sensibles Thema und muss stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) erfolgen. Die sechs Rechtsgrundlagen gemäß Artikel 6 DSGVO bieten eine rechtliche Basis, auf der Unternehmen und Organisationen personenbezogene Daten verarbeiten dürfen. Doch was bedeutet das genau in der Praxis? In diesem ergänzenden Abschnitt erläutern wir die Anwendungsbereiche und geben Beispiele für jede der sechs Rechtsgrundlagen.

1. Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO)

Die Einwilligung ist eine der bekanntesten und häufigsten Rechtsgrundlagen zur Datenverarbeitung. Eine betroffene Person muss freiwillig, informiert und unmissverständlich in die Verarbeitung ihrer personenbezogenen Daten einwilligen.

Beispiel: Ein Unternehmen betreibt eine Online-Plattform und möchte Newsletter versenden. Um die personenbezogenen Daten (z. B. Name und E-Mail-Adresse) hierfür zu nutzen, benötigt es die ausdrückliche Zustimmung der Nutzer.

Wichtige Aspekte:

  • Die Einwilligung muss dokumentiert werden.
  • Sie kann jederzeit widerrufen werden.
  • Sie darf nicht erzwungen oder an andere Bedingungen geknüpft sein.

2. Vertragliche Notwendigkeit (Art. 6 Abs. 1 lit. b DSGVO)

Diese Grundlage greift, wenn die Datenverarbeitung erforderlich ist, um einen Vertrag zu erfüllen oder um vorvertragliche Maßnahmen durchzuführen.

Beispiel: Bei einem Online-Shop müssen Kunden personenbezogene Daten angeben, um eine Bestellung aufzugeben. Die Verarbeitung dieser Daten ist notwendig, um den Vertrag zu erfüllen, also die Ware zu liefern und Zahlungen abzuwickeln.

Wichtige Aspekte:

  • Ohne diese Daten kann der Vertrag nicht erfüllt werden.
  • Die Verarbeitung darf sich nur auf das Notwendige beschränken.

3. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

In vielen Fällen gibt es gesetzliche Vorgaben, die Unternehmen zur Datenverarbeitung verpflichten.

Beispiel: Ein Unternehmen muss für steuerliche Zwecke Rechnungen und Buchhaltungsunterlagen aufbewahren. Diese Pflicht ergibt sich aus nationalen Gesetzen wie der Abgabenordnung (AO) oder dem Handelsgesetzbuch (HGB).

Wichtige Aspekte:

  • Die Verarbeitung ist zwingend erforderlich, um gesetzlichen Anforderungen nachzukommen.
  • Unternehmen können sich nicht auf andere Rechtsgrundlagen berufen, wenn eine rechtliche Verpflichtung besteht.

4. Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d DSGVO)

Diese Rechtsgrundlage kommt selten zur Anwendung, findet aber insbesondere im medizinischen Bereich und in Notfallsituationen Anwendung.

Beispiel: Wenn eine bewusstlose Person in ein Krankenhaus eingeliefert wird, kann es notwendig sein, personenbezogene Daten ohne ihre ausdrückliche Einwilligung zu verarbeiten, um eine lebensrettende Behandlung durchzuführen.

Wichtige Aspekte:

  • Die Verarbeitung muss unmittelbar notwendig sein, um Leben oder Gesundheit zu schützen.
  • Eine Anwendung außerhalb von Notfällen ist kaum zulässig.

5. Wahrnehmung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 lit. e DSGVO)

Diese Rechtsgrundlage betrifft vor allem Behörden und öffentliche Einrichtungen. Private Unternehmen können sich nur in Ausnahmefällen darauf berufen.

Beispiel: Statistische Ämter erheben personenbezogene Daten zur Erstellung von Berichten über die wirtschaftliche Lage eines Landes. Diese Verarbeitung dient dem öffentlichen Interesse und ist gesetzlich geregelt.

Wichtige Aspekte:

  • Die Verarbeitung muss durch gesetzliche Vorschriften geregelt sein.
  • Sie darf nicht über den Zweck der öffentlichen Aufgabe hinausgehen.

6. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Hierbei müssen Unternehmen eine Abwägung zwischen ihren eigenen Interessen und den Rechten der betroffenen Personen vornehmen.

Beispiel: Eine Firma setzt Sicherheitskameras zur Überwachung ihres Firmengeländes ein, um Diebstähle zu verhindern. Die Interessen des Unternehmens an der Sicherheit müssen jedoch gegen das Recht der Mitarbeiter und Besucher auf Datenschutz abgewogen werden.

Wichtige Aspekte:

  • Es muss eine Interessenabwägung stattfinden.
  • Betroffene Personen müssen über ihr Widerspruchsrecht informiert werden.

Fazit

Die Wahl der richtigen Rechtsgrundlage ist essenziell, um die Datenschutzvorgaben der DSGVO einzuhalten. Unternehmen sollten sorgfältig prüfen, welche Grundlage für ihre spezifischen Datenverarbeitungsprozesse zutrifft. Zudem müssen sie darauf achten, die Daten nur so lange zu speichern, wie es für den jeweiligen Zweck erforderlich ist.

Wenn du mehr darüber erfahren möchtest, wie du Datenschutz in deinem Unternehmen umsetzt oder welche Rechte betroffene Personen haben, sieh dir unsere weiteren Blogbeiträge an!

Datenverarbeitung und Datentransfer ins Drittland

Darf man Daten in einem Drittland, also in einem Land außerhalb der EU überhaupt verarbeiten beziehungsweise in ein Drittland transferieren? Weißt du was Standardvertragsklauseln beziehungsweise Standard Contract to classes bedeuten und weißt du, warum diese in der Zusammenarbeit bzw. in der Datenverarbeitung mit den USA auf einmal so wichtig sind? 

Gehen wir mal kurz einen Schritt zurück. Es geht hier um das Thema wie der Transfer von personenbezogenen Daten aus EU-Staaten, wo die DSGVO gültig ist, zu Drittstaaten, wo die DSGVO der EU natürlich nicht gültig ist. Darf man das überhaupt? Und wenn ja, wie? Antwort: Ja man darf es. Die DSGVO besagt, dass es für Länder außerhalb der EU 3 Möglichkeiten gibt, um den Datentransfer also den Transfer von personenbezogenen Daten zu ermöglichen. 

Der Erste ist der Angemessenheitsbeschluss, zweitens geeignete Garantie und drittens Ausnahmesituationen. 

Ein Beispiel für einen Angemessenheitsbeschluss, der in der Vergangenheit stattgefunden hat, ist Großbritannien nach dem Brexit.  Da gab es seitens der EU ein Angemessenheitsbeschluss und dadurch können problemlos personenbezogene Daten zwischen Großbritannien und der EU transferiert werden. Der BfDI (also Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) sagt Zita: „Wird eine Datenübermittlung von einem Angemessenheitsbeschluss umfasst, bedarf es keiner weiteren Schutzmaßnahme.“ 

Die aktuelle Liste der Länder, die einen Angemessenheitsbeschluss beinhaltet, findet ihr hier.

Falls es keinen Angemessenheitsbeschluss gibt, dann geht die DSGVO erstmal davon aus, dass kein angemessenes Datenschutzniveau besteht. Außer: Es gibt geeignete Garantien. 

Und hier kommen die Standardvertragsklauseln ins Spiel. Die Europäische Kommission hat im Juni 2021 SVK erlassen im „Durchführungsbeschluss (EU) 2021/914“. Seit dem 27. September 2021 können nur noch die aktuellen SVK abgeschlossen werden. Ab 27.12.2022 wiederrum, müssen alle alten SKVs auf die neuen umgeändert worden sein. Das wird also ein wichtiges Datum!

Dann gibt’s neben den SVK noch andere Garantien, zum Beispiel einzeln ausgehandelte Vertragsklauseln, die jedoch von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden müssen. Dann gibt es noch die verbindlichen internen Datenschutzvorschriften oder auf Englisch: die Binding Corporate Rules. das wird vor allem von großen und international tätigen Konzernen mit internem Datenfluss unter anderem auch in Drittländer verwendet. Auch die Binding Corporate Rules müssen durch die zuständige Aufsichtsbehörde genehmigt werden und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden. Dann gibt es noch die genehmigten Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus und spezielle Garantien für Behörden. 

Als drittes gibt es noch die Ausnahmesituation. Es kann zum Beispiel sein, wenn eine Einzelperson ausdrücklich in die vorgeschlagene Übermittlung eingewilligt hat, nachdem sie alle erforderlichen Informationen über die mit der Übermittlung verbundenen Risiken erhalten hat. Das heißt man könnte ja eigentlich argumentieren: Es braucht gar keine Standardvertragsklauseln, ich brauche auch keine Binding Corporate Rules. Ich informiere einfach den Betroffenen ausführlich darüber, dass ich seine Daten in ein Drittland weitergebe. Dann stimmt er oder sie zu und alles ist fine. Ja in der Theorie stimmt das zwar, in der Praxis sieht das anders aus. Diese Information muss so umfangreich und aufklärend sein, dass es in der Praxis nicht wirklich praktiable ist. Also leider doch per SVKs.

Eine zweite Ausnahme kann sein, dass die Datenübermittlung aus wichtigen Gründen für das öffentliche Interesse notwendig ist. Oder wenn die Datenübermittlung für die Verwahrung der zwingend berechtigten Interessen der Organisation erforderlich sind. Das sind aber alles „gefährliche Ausnahmen“, weil wenn man von der Aufsichtsbehörde abgemahnt wird oder einen Bußgeldbescheid bekommt, muss man sich anwaltlich beraten lassen. Das kann teuer werden.

Und wenn dich auch Betroffenenrechte und was du bei deren Datenverarbeitung beachten musst interessieren, findest du hier den passenden Blogpost.

Datenschutz-beauftragung

Brauchst du Hilfe in der Bearbeitung der oben genannten Themen? Oder sucht ihr schon länger nach einem externen Datenschutzbeauftragten, der euch monatlich unterstützt?
Melde dich hier!
Dein eigenes Onlinetraining!

Möchtest du dir die Dinge lieber in deiner eigenen Zeit und auf effiziente sowie strukturierte Art beibringen? Dann buche unser DSGVO-Onlinetraining ab 249 Euro.

Buche deinen Kurs hier!

Mehr Blogbeiträge

Onboarding und Offboarding
DSGVO

Was macht ein Datenschutzbeauftragter?

Was macht ein Datenschutzbeauftragter? Ein Datenschutzbeauftragter hat feste Aufgaben und ist eine Art „Zwischenposition“ zwischen Behörde und Berater des Unternehmens. Sie berät das Unternehmen nämlich im Auftrag der Behörde. Dazu

weiter lesen »
Januar 30, 2022
verschlüsselung
DSGVO

Verschlüsselung und DSGVO

In diesem Text geht es um die Verschlüsselung von personenbezogenen Daten. Es wird gezeigt, wie die Verschlüsselung vollzogen wird und was das im Bezug zu dem Datenschutz bedeutet.

weiter lesen »
Juli 19, 2022

Datenschutz muss nicht Langweilig sein!

Wir helfen Ihnen gerne, aber...

Bitte beachten Sie: wir haben aktuell Kapazität für 10 zusätzliche, neue Mandanten pro Monat.

Unsere Dienstleistung ist stark nachgefragt und gerne besprechen wir Ihren Bedarf in einem kostenfreien Erstgespräch.

Angebot anfordern

© All Rights Reserved 2024

Wie können wir Ihnen helfen?