Die EU-Datenschutz-Grundverordnung (DSGVO) hält verschiedene Rechtsgrundlagen bereit, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann. Da sich die Anwendungsbereiche der Grundlagen oftmals überschneiden, kommt es in der Praxis ganz entscheidend darauf an, die geeignetste und nachhaltigste Rechtsgrundlage zu finden. Der folgende Leitfaden soll hierbei Orientierung bieten.
Welche Rechtsgrundlage ist die Richtige?
In der Unternehmenspraxis sind vor allem die drei folgenden Legitimationsgründe bedeutsam:
- Einwilligung des Betroffenen ( 6 Abs. 1 lit. a DSGVO)
- Erforderlichkeit für die Abwicklung eines Vertragsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO bzw. § 26 Abs. 1 S. 1 BDSG)
- Abwägung zwischen berechtigten Unternehmensinteressen und evtl. schutzwürdigen Interessen des Betroffenen (Art. 6 Abs. 1 lit. f DSGVO).
Die Gründe stehen rechtlich in keinem Hierarchie-Verhältnis zueinander. So ist z.B. die Einwilligung keine „bessere“ Rechtsgrundlage als die Interessensabwägung. Die Rechtsgrundlagen sind vielmehr gleichrangige Optionen, die – je nach Sachverhalt – eine gute, eine schlechte oder keine Lösung für die Verarbeitung personenbezogener Daten sind.
Man kann sich die Grundlagen wie Stromstecker vorstellen, die, je nach Aufenthaltsort, auf die vorhandene Steckdose (= unternehmerische Datenverarbeitung) passen, nur wacklig passen oder gar nicht passen. Die datenschutzrechtliche Herausforderung besteht darin, für einen unternehmerischen Sachverhalt den bestpassendsten Stecker, also die optimale Rechtsgrundlage zu finden.
Einwilligung als Rechtsgrundlage
Das Einholen einer Einwilligung wird vielerorts als Königsweg propagiert. Dabei bleibt oft unberücksichtigt, dass das Bitten um Zustimmung ein Weg mit vielen Tücken ist. So darf die Bereitstellung eines Services in einigen Konstellationen nicht an das „Ja“ des Betroffenen zu einer Datenverarbeitung gekoppelt werden. Die Einwilligung muss vielmehr auch verweigert werden können (sog. „Kopplungsverbot“). Zudem darf eine einmal erteilte Einwilligung jederzeit vom Betroffenen widerrufen werden, woraus eine erhebliche Unsicherheit hinsichtlich des Fortbestands einer Datenverarbeitung resultieren kann.
Der Hype um die Einwilligung ist aber vor allem deshalb irreführend, weil sie faktisch nur für relativ wenige Konstellationen als Legitimationsbasis benötigt wird, also, nach der obigen Metapher, der richtige bzw. der geeignete Stecker ist. Insbesondere für folgende Konstellationen kann die Einwilligung die richtige Lösung sein:
“Verarbeitung besonderer Kategorien personenbezogener Daten”
Werden Daten verarbeitet, aus denen Informationen zur rassischen bzw. ethnischen Herkunft, zu politischen Meinungen, religiösen bzw. weltanschaulichen Überzeugungen oder der Gewerkschaftszugehörigkeit einer Person abgeleitet werden können, bedarf die Verarbeitung in der Regel einer Einwilligung. Gleiches gilt, wenn Gesundheitsdaten, Daten zum Sexualleben bzw. zur sexuellen Orientierung oder genetische bzw. biometrische Daten verarbeitet werden sollen. Soweit die Daten zur Durchführung eines Vertrags mit dem Betroffenen (z.B. einem Versicherten) erforderlich sind, kann die Einwilligung ausnahmsweise an den Vertragsschluss gekoppelt werden. Ist die Verarbeitung hingegen bereits aufgrund nationaler (z.B. arbeitsrechtlicher) Vorschriften gesetzlich vorgeschrieben, bedarf es keiner Einwilligung mehr.
“Verarbeitungen, die einen starken Persönlichkeitseingriff beinhalten”
Ein starker Persönlichkeitseingriff ist etwa bei manchen Werbemaßnahmen zu bejahen, z.B. beim Telefonmarketing. Marketingmaßnahmen sind vor allem dann als sensitiv anzusehen, wenn auf umfassende Persönlichkeitsprofile zurückgegriffen wird, etwa beim Personal-Pricing. Letzteres kann ggf. auf sogenannten automatisierten Einzelentscheidungen beruhen, die den Persönlichkeitseingriff zusätzlich verstärken. Ein starker Persönlichkeitseingriff kann auch bei der Verarbeitung von Bildnissen (z.B. Mitarbeiterfotos) und Videoaufnahmen vorliegen.
“Verarbeitungen, deren vertragliche Vereinbarung ein gesetzliches Verbot umgehen würde”
Zahlreiche Verarbeitungen lassen sich vertraglich mit dem Betroffenen vereinbaren (siehe weiter unten). Begrenzt wird die Privatautonomie durch gesetzliche Verarbeitungsverbote. Solche Verbote dürfen Unternehmen nicht torpedieren, indem sie die verbotene Datenverarbeitung zum Vertragsgegenstand machen, also eine Zustimmung vom Betroffenen „abpressen“. Wird dem Betroffenen hingegen freigestellt, die Zustimmung – unabhängig vom Vertragsschluss – zu erteilen oder zu verweigern, kann auf die Einwilligung zurückgegriffen werden. Dies gilt allerdings nicht für Konstellationen, in denen aufgrund eines starken Abhängigkeitsverhältnisses zwischen Betroffenem und Unternehmen bereits die Möglichkeit der Freiwilligkeit fraglich ist, wie dies bei manchen Konstellationen im Dienstverhältnis der Fall sein kann.
Vertrag als Rechtsgrundlage
Datenverarbeitungen brauchen und sollten dann nicht auf die Einwilligung gestützt werden, wenn sie auch vertraglich vereinbart werden könnten. Überschneidet sich im Einzelfall der Anwendungsbereich der Einwilligung mit dem des Vertrags – kann also sowohl der Stecker „Einwilligung“ als auch der Stecker „Vertrag“ genutzt werden – empfiehlt es sich in der Regel, die Verarbeitung auf den Vertrag zu stützen. Der Vertrag ist in folgenden Fällen der richtige Stecker:
“Verarbeitungen, die erforderlich für den vom Unternehmen angebotenen und vom Betroffenen gewünschten Service sind”
Der Vertrag setzt in diesen Fällen die Datenverarbeitung voraus – ohne sie wäre er nicht denkbar. So muss ein Onlineshop Adressdaten verarbeiten, um die bestellte Ware ausliefern zu können.
“Verarbeitungen, die als solche Gegenleistung für die Gewährung eines Services sein sollen”
Ein Beispiel dafür ist die Verarbeitung von Daten für Marketingzwecke als Gegenleistung für einen Download oder die Teilnahme an einem sozialen Netzwerk. Ein solcher Vertrag ist jedoch nur zulässig, wenn er nach zivilrechtlichen Maßstäben vereinbart werden darf (gemäß dem sog. konkret-objektiven Maßstab, Engeler ZD 2018, 57f.). Das Zivilrecht hält Schutzbarrieren bereit, die ein Ausnutzen der (wirtschaftlichen) Unterlegenheit des Betroffenen durch das Unternehmen verhindern sollen, z.B. den Tatbestand der Sittenwidrigkeit (§ 138 BGB). Das Datenschutzrecht ergänzt diese Grenzen der Privatautonomie durch eigene Maßstäbe, etwa den Datenminimierungsgrundsatz (Art. 5 Abs. 1 lit. c DSGVO), den Speicherbegrenzungsgrundsatz (Art. 5 Abs. 1 lit. e DSGVO) und die Grundsätze von Privacy by Design und Privacy by Default (Art. 25 Abs. 1, 2 DSGVO). Diese Grundsätze dienen allesamt dazu, den Eingriff in das Persönlichkeitsrecht des Betroffenen abzumildern. Unverhältnismäßige Eingriffe dürfen auch vertraglich nicht vereinbart werden.
“Verarbeitungen, die zum Kern des Dienstverhältnisses gehören”
Der Arbeitnehmer muss solche Datenverarbeitungen tolerieren, ohne die eine Abwicklung seines Arbeitsverhältnisses nicht möglich wäre. Hierzu gehören zum einen Verarbeitungen, die die „Verwaltung“ des Mitarbeiters betreffen, allen voran das Führen einer Personalakte. Daneben lassen sich auch solche Verarbeitungen mit dem Arbeitsverhältnis des Mitarbeiters rechtfertigen, ohne die selbiges nicht oder nicht sinnvoll ausgeübt werden könnte. Hierzu gehört die Gesprächsaufzeichnung beim Telefonbanking oder das Lotsen von Lagerarbeitern mittels (schonend auszugestaltender) Ortung. Eine mögliche Folge der Verweigerung des Mitarbeiters kann hier die Auflösung des Arbeitsverhältnisses sein.
Interessenabwägung als Rechtsgrundlage
Kann der Vertag mit dem Betroffenen die Verarbeitung nicht ausreichend legitimieren, kann diese ggf. stattdessen auf die berechtigten Interessen des Unternehmens gestützt werden. In diesem Fall bildet eine Abwägung mit den schutzwürdigen Interessen des Betroffenen die Rechtsgrundlage. Die – zu Gunsten des Unternehmens ausgefallene – Interessenabwägung kann in folgenden Konstellationen die richtige Legitimationsbasis sein:
“Verarbeitungen, die aus einer wirtschaftlichen Risikoabwägung heraus geboten sind”
Beispiel: Ein Unternehmen vermietet an den Betroffenen hochpreisige oder gefährliche Unternehmensgüter und möchte sich mit einer (schonend auszugestaltenden) Überwachungsmaßnahme gegen einen Missbrauch absichern – etwa mithilfe einer zeitlich begrenzten Verarbeitung von Standortdaten im Falle des Angebots eines Mobilitätsdienstes. Ein erhöhtes Risiko kann auch in Räumen bestehen, in denen gefahranfällige Dienstleistungen angeboten (z.B. Bargeldausgabe) oder hochpreisige Güter (z.B. Gemälde) ausgestellt werden. In diesen Fällen kann ausnahmsweise sogar eine (partielle) Videoüberwachung von Mitarbeitern zulässig sein. Nicht zuletzt ist auch der Schutz vor betrügerischen Handlungen ein legitimes Interesse. So darf in einem Onlineshop unter bestimmten Voraussetzungen eine automatisierte Identitäts- und Bonitäts- bzw. Seriositätsprüfung erfolgen.
“Verarbeitungen, die aufgrund des spezifischen Dienstverhältnisses wirtschaftlich geboten sind”
Bestimmte Mitarbeiterdatenverarbeitungen sind zwar nicht erforderlich, um das Beschäftigtenverhältnis durchführen zu können, jedoch angesichts der Tätigkeit des Mitarbeiters unternehmerisch geboten. So kann in sehr engen Grenzen und bei ausreichender Einbindung des Mitarbeiters eine Gesprächsaufzeichnung im Callcenter datenschutzrechtlich auch dann zulässig sein, wenn der Arbeitgeber diese für legitime Auswertungszwecke nutzen möchte. Auch die Auswertung anderer Arbeitsergebnisse (z.B. E-Mails) lässt sich im konkreten Fall u.U. auf eine Interessenabwägung stützen, wenn sie nicht bereits zur Durchführung des Vertragsverhältnisses erforderlich ist (s.o.).
“Verarbeitungen, die maßgeblich für den wirtschaftlichen Erfolg des Unternehmens sind”
Hier ist an postalische Werbung und E-Mailwerbung bei Bestandskunden zu denken. Auch ein pseudonymisiertes Tracken von Websitebesuchern kann regelmäßig auf überwiegende Unternehmensinteressen gestützt werden. Anders sehen dies neuerdings die Datenschutzaufsichtsbehörden, die das Einholen einer Einwilligung des Nutzers verlangen (activeMind berichtete). Diese (sehr fragliche) Auffassung haben die Behörden allerdings in einer neueren Stellungnahme bereits wieder etwas relativiert. Darin ist nur noch von einem Tracken „personenbezogener Daten“ die Rede. Gemeint sind hiermit wohl direkt identifizierende Daten wie z.B. die ungekürzte IP-Adresse des Nutzers.
Fazit: Die Suche nach der richtigen Rechtsgrundlage lohnt sich
Die datenschutzkonforme Verarbeitung wird oftmals sehr stark mit der Einwilligung des Betroffenen assoziiert. Neben bzw. statt der Einwilligung ermöglichen jedoch auch die Rechtsgrundlagen Vertrag und Interessenabwägung umfassende Datenverarbeitungen. Bei der Suche nach der richtigen Rechtsgrundlage hilft Ihnen Ihr Datenschutzbeauftragter. Die Rechtsgrundlagen werden auch für die Erstellung eines Verarbeitungsverzeichnisses und die Umsetzung der Informationspflichten benötigt.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.