Die europäische Datenschutz-Grundverordnung (DSGVO) formuliert für die Verarbeitung personenbezogener Daten zahlreiche Pflichten. Diese werden Art. 5 DSGVO als Grundsätze verankert. Der erste besagt, dass personenbezogene Daten nur „auf rechtmäßige Weise“ verarbeitet werden dürfen. Für die praktische Umsetzung im Unternehmen hat dieser Grundsatz der Rechtmäßigkeit umfangreiche Konsequenzen.
Verbot mit Erlaubnisvorbehalt
Nach dem Grundsatz der Rechtmäßigkeit dürfen personenbezogene Daten grundsätzlich nicht verarbeitet werden, es sei denn, dass es ausnahmsweise eine Rechtsgrundlage gibt, welche die Verarbeitung erlaubt. Deshalb wird hier von einem Verbot mit Erlaubnisvorbehalt gesprochen.
Wann eine Verarbeitung personenbezogener Daten ausnahmsweise erlaubt ist, wird in Art. 6 DSGVO geregelt; für personenbezogene Daten besonderer Kategorien in Art. 9 DSGVO. Weitere Rechtsgrundlagen ergeben sich aus dem neuen Bundesdatenschutzgesetz (BDSG-neu).
Rechtsgrundlagen nach Art. 6 DSGVO
Soweit die Verarbeitung keine besonderen personenbezogenen Daten betrifft, bemisst sich die Rechtmäßigkeit nach Art. 6 DSGVO. Hiernach ist die Datenverarbeitung unter folgenden Bedingungen ausnahmsweise erlaubt:
- Einwilligung des Betroffenen, Art. 6 Abs. 1 lit. a DSGVO;
- Erfüllung eines Vertrages (Betroffener muss Vertragspartner sein) oder vorvertraglichen Maßnahme (Vertragsanbahnung muss vom Betroffenen ausgehen), Art. 6 Abs. 1 lit. b DSGVO;
- Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen, Art. 6 Abs. 1 lit. c DSGVO;
- Schutz lebenswichtiger Interessen, Art. 6 Abs. 1 lit. d DSGVO;
- Wahrnehmung einer Aufgabe im öffentlichen Interesse, Art. 6 Abs. 1 lit. e DSGVO;
- Wahrung eines überwiegenden (Interessenabwägung erforderlich) berechtigten Interesses des Verantwortlichen, Art. 6 Abs. 1 lit. f DSGVO.
Zwischen den Rechtsgrundlagen gibt es keinen Vorrang oder eine Hierarchie. Dies bedeutet, dass nicht primär eine Einwilligung gefordert werden muss bevor man sich auf eine andere Rechtsgrundlage berufen darf. Vielmehr stehen alle Rechtsgrundlagen gleichwertig nebeneinander (lesen Sie in diesem Ratgeber, welche Rechtsgrundlage für welche Verarbeitungen am besten geeignet ist).
Rechtsgrundlagen nach Art. 9 DSGVO
Werden besondere Kategorien personenbezogener Daten verarbeitet, bedarf es einer gesonderten Rechtsgrundlage aus Art. 9 DSGVO.
Besondere Kategorien personenbezogener Daten sind etwa solche über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben bzw. der sexuellen Orientierung.
Die Verarbeitung solcher Daten ist entsprechend ihrer höheren Schutzwürdigkeit beispielsweise nur erlaubt
- aufgrund einer ausdrücklichen Einwilligung, Art. 9 Abs. 2 lit. a DSGVO,
- zum Schutz lebenswichtiger Interessen, Art. 9 Abs. 2 lit. c DSGVO,
- aufgrund eines erheblichen öffentlichen Interesses Art. 9 Abs. 2 lit. g DSGVO oder
- zur individuellen Versorgung im Gesundheitsbereich Art. 9 Abs. 2 lit. h DSGVO.
Rechtgrundlagen nach BDSG-neu
Aus dem neuen Bundesdatenschutzgesetz ergeben sich ebenfalls einige Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die in dieser Form von der DSGVO nicht genannt werden:
- Verarbeitung personenbezogener Daten durch öffentliche Stellen, § 3 BDSG-neu;
- Videoüberwachung öffentlich zugänglicher Räume, § 4 BDSG-neu;
- Datenverarbeitungen für Zwecke des Beschäftigungsverhältnisses, § 26 BDSG-neu;
- Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, § 27 BDSG-neu.
Umfang einer Rechtsgrundlage
Alle Verarbeitungsvorgänge müssen umfassend von einer Rechtsgrundlage gedeckt sein. Dies betrifft nicht nur die Frage ob die Daten überhaupt verarbeitet werden dürfen, sondern auch wie. Hierbei ist insbesondere zu beachten, an wen die Daten weitergegeben und zu welchen Zwecken sie verarbeitet werden dürfen.
Weitergabe von Daten an Dritte
Die Existenz einer Rechtsgrundlage zur Erhebung von Daten berechtigt nicht zwangsläufig zur Weiterleitung der Daten an Dritte. Dies wird insbesondere bei der Verarbeitung von Daten innerhalb einer Unternehmensgruppe relevant, wo die gemeinsame Verarbeitung durch die Teilung der Ressourcen verschiedener Unternehmen praktisch, aber nicht ohne Weiteres erlaubt ist.
Nach Erwägungsgrund 48 DSGVO kann ein überwiegendes berechtigtes Interesse hinsichtlich der Übermittlung von Kunden- und Beschäftigtendaten zu internen Verwaltungszwecken angenommen werden. Soweit die Übermittlung jedoch nicht aufgrund eines überwiegenden berechtigten Interesses erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO), bedarf es einer anderen Rechtsgrundlage, um die konzerninterne Übermittlung zu legitimieren.
Andere Nutzung der Daten als zum Erhebungszweck
Erhebt ein Unternehmen im Rahmen eines Bestellvorganges in einem Onlineshop Kontakt-, Liefer- und Zahlungsdaten des Kunden, ist dies erlaubt, da dies gemäß Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung vertraglicher Pflichten erforderlich ist.
Dies rechtfertigt jedoch nicht automatisch die Nutzung dieser Daten zu Werbezwecken. Vielmehr ist individuell zu ermitteln, ob die Nutzung der Daten zu Werbezwecken etwa aufgrund eines überwiegenden berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO vorliegt oder ob eine zusätzliche Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erforderlich ist.
Verstöße gegen Grundsätze sind keine Kavaliersdelikte
Verstöße gegen die Grundsätze des Art. 5 DSGVO, hierunter auch der Grundsatz der Rechtmäßigkeit, gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Gemäß Art. 83 Abs. 5 lit. a DSGVO können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.