Die europäische Datenschutz-Grundverordnung (DSGVO) regelt für die Verarbeitung personenbezogener Daten zahlreiche Pflichten. Diese sind in Art. 5 DSGVO als Grundsätze verankert. Der erste besagt, dass personenbezogene Daten nur „auf rechtmäßige Weise“ verarbeitet werden dürfen. Für die praktische Umsetzung im Unternehmen hat dieser Grundsatz der Rechtmäßigkeit weitreichende Folgen.
Die Verarbeitungsgrundsätze nach Art. 5 DSGVO
- Rechtmäßigkeit der Verarbeitung von Daten
- Verarbeitung nach Treu und Glauben
- Transparenz der Verarbeitung
- Zweckbindung bei der Datenverarbeitung
- Datenminimierung bei der Verarbeitung
- Richtigkeit der Datenverarbeitung
- Speicherbegrenzung bei der Datenverarbeitung
- Integrität und Vertraulichkeit bei der Datenverarbeitung
- Rechenschaftspflichten bei der Datenverarbeitung
Verbot mit Erlaubnisvorbehalt
Nach dem Grundsatz der Rechtmäßigkeit dürfen personenbezogene Daten grundsätzlich nicht verarbeitet werden, es sei denn, dass es ausnahmsweise eine Rechtsgrundlage gibt, welche die Verarbeitung erlaubt. Deshalb wird hier von einem Verbot mit Erlaubnisvorbehalt gesprochen.
Wann eine Verarbeitung personenbezogener Daten erlaubt ist, wird in Art. 6 DSGVO geregelt, bzw. für besondere Kategorien personenbezogener Daten in Verbindung mit Art. 9 DSGVO. Weitere (spezifische) Rechtsgrundlagen für Deutschland ergeben sich aus dem Bundesdatenschutzgesetz (BDSG).
Rechtsgrundlagen nach Art. 6 DSGVO
Soweit die Verarbeitung keine besonderen personenbezogenen Daten betrifft, bemisst sich die Rechtmäßigkeit nach Art. 6 DSGVO. Hiernach ist die Datenverarbeitung unter folgenden Bedingungen ausnahmsweise erlaubt:
- Einwilligung des Betroffenen, Art. 6 Abs. 1 lit. a) DSGVO;
- Erfüllung eines Vertrages (Betroffener muss Vertragspartner sein) oder Durchführung vorvertraglicher Maßnahmen (Vertragsanbahnung muss vom Betroffenen ausgehen), Art. 6 Abs. 1 lit. b) DSGVO;
- Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen, Art. 6 Abs. 1 lit. c) DSGVO;
- Schutz lebenswichtiger Interessen, Art. 6 Abs. 1 lit. d) DSGVO;
- Wahrnehmung einer Aufgabe im öffentlichen Interesse, Art. 6 Abs. 1 lit. e) DSGVO;
- Wahrung eines überwiegenden berechtigten Interesses des Verantwortlichen (Interessenabwägung erforderlich), Art. 6 Abs. 1 lit. f) DSGVO.
Zwischen den Rechtsgrundlagen gibt es keinen Vorrang oder eine Hierarchie. Dies bedeutet, dass nicht primär eine Einwilligung gefordert werden muss, bevor man sich auf eine andere Rechtsgrundlage berufen darf. Vielmehr stehen alle Rechtsgrundlagen gleichwertig nebeneinander.
Tipp: Lesen Sie in unserem Ratgeber, welche Rechtsgrundlage für welche Verarbeitungen am besten geeignet ist.
Rechtsgrundlagen nach Art. 9 DSGVO
Werden besondere Kategorien personenbezogener Daten verarbeitet, bedarf es neben einer Rechtsgrundlage nach Art. 6 DSGVO einer zusätzlichen Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO.
Besondere Kategorien personenbezogener Daten sind etwa solche über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben bzw. der sexuellen Orientierung.
Die Verarbeitung solcher Daten ist entsprechend ihrer höheren Schutzwürdigkeit beispielsweise nur erlaubt
- aufgrund einer ausdrücklichen Einwilligung, Art. 9 Abs. 2 lit. a) DSGVO,
- zum Schutz lebenswichtiger Interessen, Art. 9 Abs. 2 lit. c) DSGVO,
- aufgrund eines erheblichen öffentlichen Interesses Art. 9 Abs. 2 lit. g) DSGVO oder
- zur individuellen Versorgung im Gesundheitsbereich Art. 9 Abs. 2 lit. h) DSGVO.
Rechtgrundlagen nach BDSG
Aus dem Bundesdatenschutzgesetz ergeben sich ebenfalls einige Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die in dieser Form von der DSGVO nicht genannt werden:
- Verarbeitung personenbezogener Daten durch öffentliche Stellen, § 3 BDSG;
- Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, § 27 BDSG.
Achtung: Die ursprünglich in § 26 BDSG geschaffene Rechtsgrundlage für Datenverarbeitungen zum Zweck des Beschäftigungsverhältnisses wurde vom Europäischen Gerichtshof (EuGH) für nichtig erklärt (siehe die Urteilsbesprechung bei activeMind.legal Rechtsanwälte).
Umfang einer Rechtsgrundlage
Alle Verarbeitungsvorgänge müssen umfassend von einer Rechtsgrundlage gedeckt sein. Dies betrifft nicht nur die Frage, ob die Daten überhaupt verarbeitet werden dürfen, sondern auch, wie diese Verarbeitung zu erfolgen hat. Hierbei ist insbesondere zu beachten, an wen die Daten weitergegeben und zu welchen Zwecken sie verarbeitet werden dürfen.
Weitergabe von Daten an Dritte
Die Existenz einer Rechtsgrundlage zur Erhebung von Daten berechtigt nicht zwangsläufig zur Weiterleitung der Daten an Dritte. Dies wird insbesondere bei der Verarbeitung von Daten innerhalb einer Unternehmensgruppe relevant, wo die gemeinsame Verarbeitung durch die Teilung der Ressourcen verschiedener Unternehmen praktisch, aber nicht ohne Weiteres erlaubt ist.
Nach Erwägungsgrund 48 DSGVO kann ein überwiegendes berechtigtes Interesse hinsichtlich der Übermittlung von Kunden- und Beschäftigtendaten zu internen Verwaltungszwecken angenommen werden. Soweit die Übermittlung jedoch nicht aufgrund eines überwiegenden berechtigten Interesses erforderlich ist (Art. 6 Abs. 1 lit. f) DSGVO), bedarf es einer anderen Rechtsgrundlage, um die konzerninterne Übermittlung zu legitimieren.
Andere Nutzung der Daten als zum Erhebungszweck
Erhebt ein Unternehmen im Rahmen eines Bestellvorganges in einem Onlineshop Kontakt-, Liefer- und Zahlungsdaten des Kunden, ist dies erlaubt, da dies gemäß Art. 6 Abs. 1 lit. b) DSGVO zur Erfüllung vertraglicher Pflichten erforderlich ist.
Dies rechtfertigt jedoch nicht automatisch die Nutzung dieser Daten zu Werbezwecken. Vielmehr ist individuell zu ermitteln, ob die Nutzung der Daten zu Werbezwecken etwa aufgrund eines überwiegenden berechtigten Interesses gem. Art. 6 Abs. 1 lit. f) DSGVO vorliegt oder ob eine zusätzliche Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO erforderlich ist. Außerdem sind die Anforderungen an eine Zweckänderung aus Art. 6 Abs. 4 DSGVO zu beachten.
Fazit: Verstöße gegen Grundsätze sind keine Kavaliersdelikte
Verstöße gegen die Grundsätze des Art. 5 DSGVO, hierunter auch der Grundsatz der Rechtmäßigkeit, gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden.
Gemäß Art. 83 Abs. 5 lit. a) DSGVO können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.