In der heutigen digitalen Welt ist die Verarbeitung personenbezogener Daten in unserem Alltag überall existent und damit schon selbstverständlich. Ob wir im Büro dienstliche Mails über Outlook versenden, in der Mittagspause die sozialen Medien über unser Smartphone checken oder nach Feierabend beim Einkaufen im Laden unsere Kundenkarte vorzeigen – tagtäglich wird eine immense Menge an personenbezogenen Daten von uns (oder durch uns) verarbeitet.
Doch wann ist diese Verarbeitung (also das Erfassen, Verändern, Speichern, Löschen oder ähnliche Tätigkeiten) personenbezogener Daten eigentlich rechtmäßig, also erlaubt? Die Antwort auf diese Frage ist nicht nur für uns betroffene Privatpersonen interessant, um besser über unsere eigenen Rechte aufgeklärt zu sein. Besonders relevant ist die Antwort auf diese Frage für Unternehmen, die die Datenverarbeitung verantworten.
Hier kommt die Rechtsgrundlage DSGVO ins Spiel: Die Datenschutz-Grundverordnung (DSGVO) gibt uns zu dieser Frage klare Vorgaben. Lassen Sie uns in diesem Artikel einen genaueren Blick auf die Rechtsgrundlagen werfen, die eine Datenverarbeitung erlauben.
Das Prinzip des Verbots mit Erlaubnisvorbehalt
Zunächst ist es wichtig zu verstehen, dass die DSGVO vom Grundsatz des "Verbots mit Erlaubnisvorbehalt" ausgeht. Dieses Grundprinzip lässt sich folgendermaßen erklären:
Die DSGVO verbietet grundsätzlich jede Verarbeitung personenbezogener Daten. Die Verarbeitung personenbezogener Daten ist nur dann zulässig, wenn eine ausdrückliche Erlaubnis oder Rechtfertigung vorliegt. Darin unterscheidet sich die DSGVO grundlegend von anderen Rechtsvorschriften.
In der Straßenverkehrsordnung beispielsweise geht der Gesetzgeber davon aus, dass die Teilnahme und bestimmte Verhaltensweisen im Straßenverkehr prinzipiell erlaubt sind. In der Verordnung gibt es dann spezielle Regelungen für bestimmte Dinge, die verboten sind. So dürfen wir z.B. auf Autobahnen so schnell fahren, wie wir wollen und es die Verkehrssituation zulässt, wenn nicht durch Schilder eine Geschwindigkeitsbegrenzung angezeigt ist, die dann einzuhalten ist. Bei der Datenschutz-Grundverordnung ist es genau umgekehrt.
Dieser Ansatz des Verbots mit Erlaubnisvorbehalt stellt sicher, dass der Schutz personenbezogener Daten an erster Stelle steht und Betroffene ihr Recht auf informationelle Selbstbestimmung ausüben können.
Wir halten also fest: Personenbezogene Daten dürfen nur verarbeitet werden, wenn es eine ausdrückliche Erlaubnis hierfür gibt. Eine solche ausdrückliche Erlaubnis für die Datenverarbeitung kann sich aus verschiedenen Rechtsgrundlagen ergeben, die primär in dem Artikel 6 der DSGVO („Rechtmäßigkeit der Verarbeitung“) aufgeführt sind.
Im Folgenden betrachten wir die einzelnen Rechtsgrundlagen genauer.
Die Rechtsgrundlagen nach Art. 6 DSGVO
1. Einwilligung
Die Einwilligung ist die wohl bekannteste Rechtsgrundlage. Hier stimmt der Betroffene ausdrücklich der Verarbeitung seiner Daten für einen oder mehrere bestimmte Zwecke zu (siehe Art. 6 Abs. 1. Lit. a DSGVO).
Die Einwilligung ist eine freiwillige, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich abgegebene Willensbekundung der betroffenen Person, mit der diese zu verstehen gibt, dass sie mit der Verarbeitung ihrer personenbezogenen Daten zu dem vereinbarten Zweck einverstanden ist. Eine solche Einwilligung im Sinne des Datenschutzes muss einige Bedingungen erfüllen, um gültig zu sein.
Typische Beispiele für eine Einwilligung sind Cookie-Banner auf Webseiten, bei denen der Nutzer aktiv in die Datenverarbeitung einwilligen muss, oder die Fotoeinwilligung, die Mitarbeiter unterschreiben, wenn der Arbeitgeber Fotos seiner Mitarbeiter auf der Unternehmenshomepage oder in sozialen Medien veröffentlichen möchte.
Bei der Einwilligung ist ein wichtiger Punkt, der zu beachten ist, die jederzeitige Widerrufsmöglichkeit. Eine betroffene Person hat nach Art. 7 Abs. 3 DSGVO das Recht, eine erteilte Einwilligung jederzeit für die Zukunft zu widerrufen.
2. Vertragserfüllung oder Vertragsanbahnung
Wenn die Datenverarbeitung für die Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist, ist sie ebenfalls zulässig (siehe Art. 6 Abs. 1 Lit. b DSGVO). Dies kann zum Beispiel der Fall sein, wenn ein Online-Shop Kundendaten für die Abwicklung einer Bestellung benötigt.
Auch die Datenverarbeitung zur Durchführung vorvertraglicher Maßnahmen ist gesetzlich erlaubt. Das bedeutet, auch wenn noch kein Vertrag besteht, aber im Vorhinein schon die Verarbeitung personenbezogener Daten im Rahmen der Vertragsanbahnung notwendig ist, dürfen die Daten verarbeitet werden. Dies ist zum Beispiel der Fall, wenn ein Interessent eine Versicherung bei einem Versicherungsunternehmen anfragt und bei der Anfrage bereits personenbezogene Daten anfallen. Hier darf das Unternehmen die Daten des Interessenten nutzen, um ihm ein passendes Angebot für eine Versicherung zu erstellen.
3. Rechtliche Verpflichtung
Eine weitere Erlaubnis stellt die rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c DSGVO dar. Diese Rechtsgrundlage greift, wenn die Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Diese rechtliche Verpflichtung bzw. die gesetzliche Pflicht muss sich aus dem Unionsrecht oder dem nationalen Recht der europäischen Mitgliedsstaaten ergeben (siehe Art. 6 Abs. 3 DSGVO), also konkret beispielsweise aus einer EU-Verordnung oder einem nationalen Bundesgesetz.
In der Praxis ist diese Rechtsgrundlage für viele Unternehmen relevant, da sie unter Umständen die Verarbeitung von Daten auch ohne Einwilligung des Betroffenen erlaubt. Ein typisches Beispiel hierfür ist die Pflicht für Händler, Rechnungen für zehn Jahre aufzubewahren, die sich aus dem Handelsgesetzbuch und der Abgabenordnung ergibt. Ein weiteres Beispiel für diese Rechtsgrundlage zeigt sich im Beschäftigtenverhältnis. Nach § 26 BDSG ist der Arbeitgeber verpflichtet, die Daten seiner Arbeitnehmer (u.a. Name, Adresse, Geburtstag, Steuerklasse, Bankverbindung) zu verarbeiten, um dem Mitarbeiter eine ordnungsgemäße Lohnabrechnung ausstellen zu können. In diesem Fall darf der Arbeitgeber die personenbezogenen Daten u.a. zum Zweck der Lohnabrechnung und damit zur Erfüllung seiner gesetzlichen Verpflichtung aus dem Bundesdatenschutzgesetz erheben, speichern und nutzen.
Wichtiger Hinweis:
Der Europäische Gerichtshof hat 2023 § 26 BDSG für ungültig erklärt, da er nicht mit der DSGVO vereinbar ist. Eine neue nationale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten fehlt bislang. In der Übergangszeit dient meist Art. 6 Abs. 1 lit. b DSGVO (siehe Ausführung zuvor unter Punkt 2) als Rechtsgrundlage, da die Verarbeitung der Personaldaten auch zur Erfüllung des Arbeitsvertrages erforderlich ist.
4. Schutz lebenswichtiger Interessen
Die Verarbeitung ist auch zulässig, wenn sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist (siehe Art. 6 Abs. 1 lit. d DSGVO). Das könnte beispielsweise in medizinischen Notfällen der Fall sein. Ein konkretes Beispiel aus dem Arbeitsalltag könnte wie folgt aussehen: Ein Mitarbeiter eines Unternehmens erleidet während der Arbeitszeit einen Unfall und verliert das Bewusstsein. In dieser Notsituation ist der Arbeitgeber berechtigt, die relevanten medizinischen Daten des Arbeitnehmers (z.B. Blutgruppe, Allergien, Vorerkrankungen) an die Rettungskräfte weiterzugeben, auch wenn keine ausdrückliche Einwilligung des Arbeitnehmers vorliegt.
Diese Rechtsgrundlage wird im nicht-medizinischen Arbeitsalltag eher selten angewandt und ist dort häufig echten Notfällen vorbehalten. Sie greift vornehmlich, wenn eine Datenverarbeitung unbedingt erforderlich ist, um eine unmittelbare Gefahr für Leben oder Gesundheit abzuwenden. Hier ist eine enge Auslegung geboten.
5. Öffentliches Interesse oder Ausübung öffentlicher Gewalt
Die Datenverarbeitung ist zulässig, wenn sie für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder für die Ausübung übertragener öffentlicher Gewalt erforderlich ist. Diese Rechtsgrundlage findet vor allem im öffentlichen Sektor Anwendung, wo Behörden und öffentliche Einrichtungen Aufgaben im öffentlichen Interesse wahrnehmen oder hoheitliche Befugnisse ausüben. Für private Unternehmen ist diese Rechtsgrundlage in der Praxis eher irrelevant.
6. Berechtigte Interessen
Die Rechtsgrundlage "berechtigtes Interesse" im Datenschutz ist in Art. 6 Abs. 1 lit. f verankert und bedeutet, dass die Verarbeitung personenbezogener Daten zulässig ist, wenn der Verantwortliche oder ein Dritter ein berechtigtes Interesse daran hat und dieses Interesse die Interessen bzw. die Rechte und Freiheiten der betroffenen Person überwiegt.
Damit diese Rechtsgrundlage greifen kann, muss der Verantwortliche eine sorgfältige Abwägung zwischen seinen Interessen und denen der betroffenen Person vornehmen. Nur wenn das Ergebnis der Interessenabwägung zugunsten des Verantwortlichen ausfällt, ist die Datenverarbeitung zulässig. Die Interessenabwägung sollte schriftlich dokumentiert werden, um sie im Zweifelsfall nachweisen zu können. Darüber hinaus sind die Betroffenen über die Verarbeitung und das zugrunde liegende Interesse des Verantwortlichen zu informieren. Die Betroffenen haben zudem das Recht, der Verarbeitung nach Art. 21 DSGVO zu widersprechen.
Bei dieser Rechtsgrundlage gibt es eine wichtige Ausnahme: Die Verarbeitung auf Grundlage von berechtigten Interessen gilt nicht für Behörden, wenn sie bei der Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten müssen.
Ein Beispiel aus der Praxis, bei dem die Datenverarbeitung auf das berechtigte Interesse gestützt werden kann, ist die Videoüberwachung: Ein Juweliergeschäft, in das in letzter Zeit mehrfach eingebrochen wurde, installiert Überwachungskameras im Verkaufsraum und im Eingangsbereich. Das Interesse des Juweliers, also des für die Verarbeitung Verantwortlichen, liegt im Schutz seiner Waren und der Sicherheit seiner Kunden und Mitarbeiter. In diesem Fall wäre die Videoüberwachung aufgrund des berechtigten Interesses grundsätzlich zulässig, sofern die Datenverarbeitung verhältnismäßig ausgestaltet und dokumentiert wird. Rechtsgrundlage wäre hier Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 4 BDSG („Videoüberwachung öffentlich zugänglicher Räume“). In diesem Fall muss der Juwelier vor Beginn der Videoüberwachung eine Interessenabwägung und zusätzlich eine Datenschutz-Folgenabschätzung durchführen sowie entsprechende Hinweisschilder anbringen, um die Betroffenen über die Datenverarbeitung durch die Kameras transparent zu informieren. Darüber hinaus muss er die Datenschutzgrundsätze der Datensparsamkeit und der Speicherbegrenzung beachten und technische und organisatorische Maßnahmen zum Datenschutz umsetzen.
Letztlich bedarf die Anwendung dieser Rechtsgrundlage immer eine sorgfältige Einzelfallbetrachtung.
Besondere Kategorien personenbezogener Daten
Bei der Betrachtung der Rechtsgrundlagen für die Datenverarbeitung ist es wichtig, einen Blick auf die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO zu werfen. Hierzu zählen beispielsweise Gesundheitsdaten, Daten über religiöse oder weltanschauliche Überzeugungen, genetische Daten oder Daten zur sexuellen Orientierung einer Person (siehe folgende Infografik):
Für diese sensiblen Daten gelten deutlich strengere Regeln als für herkömmliche personenbezogene Daten. Die DSGVO geht auch hier vom Grundsatz des Verarbeitungsverbots aus: Die Verarbeitung besonderer Kategorien personenbezogener Daten ist grundsätzlich verboten. Allerdings sieht die DSGVO auch hier Ausnahmen vor. In Art. 9 DSGVO sind zehn Ausnahmetatbestände aufgeführt, bei deren Vorliegen die Verarbeitung besonderer Kategorien personenbezogener Daten zulässig ist, darunter beispielsweise die ausdrückliche Einwilligung der betroffenen Person.
Unternehmen, die mit solchen sensiblen Daten arbeiten, müssen besonders sorgfältig prüfen, ob einer dieser Ausnahmetatbestände vorliegt. Darüber hinaus sind in diesen Fällen häufig zusätzliche Schutzmaßnahmen erforderlich, um die Rechte und Freiheiten der betroffenen Personen zu wahren.
Auftragsverarbeitung – keine eigenständige Rechtsgrundlage
Ein häufiges Missverständnis in der Praxis ist die Annahme, dass die Auftragsverarbeitung nach Art. 28 DSGVO ebenfalls eine eigenständige Rechtsgrundlage für die Datenverarbeitung darstellt. Dies ist jedoch nicht der Fall. Die Auftragsverarbeitung regelt lediglich das Verhältnis zwischen dem Verantwortlichen (Auftraggeber) und dem Auftragsverarbeiter, der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet.
Wenn ein Unternehmen also einen Auftragsverarbeiter einsetzt, beispielsweise einen externen IT-Dienstleister oder einen Cloud-Anbieter, muss es trotzdem eine der oben genannten Rechtsgrundlagen nach Art. 6 DSGVO für die Datenverarbeitung vorweisen können. Die Auftragsverarbeitung selbst legitimiert die Datenverarbeitung nicht, sondern ermöglicht lediglich die rechtmäßige Weitergabe der Daten zwischen Auftraggeber und Auftragsverarbeiter.
Wichtig ist: Der Verantwortliche bleibt auch bei einer Auftragsverarbeitung für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich. Er muss sicherstellen, dass der Auftragsverarbeiter hinreichende Garantien dafür bietet, geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt.
In der Praxis bedeutet dies, dass Unternehmen bei der Beauftragung eines Auftragsverarbeiters nicht nur einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen müssen, sondern auch weiterhin eine wirksame Rechtsgrundlage für die eigentliche Datenverarbeitung benötigen.
Betriebsvereinbarung als Rechtsgrundlage im Beschäftigtenkontext
Eine weitere wichtige Rechtsgrundlage für die Verarbeitung personenbezogener Daten, insbesondere im Zusammenhang mit Arbeitnehmern, ist die Betriebsvereinbarung. Diese nimmt eine Sonderstellung ein, da sie eine kollektivrechtliche Vereinbarung zwischen Arbeitgeber und Betriebsrat darstellt. Betriebsvereinbarungen können nach § 26 Abs. 4 BDSG als Rechtsgrundlage für die Verarbeitung personenbezogener Daten von Beschäftigten herangezogen werden. Sie müssen dabei die Anforderungen des Art. 88 DSGVO erfüllen, der spezifische Vorgaben für die Datenverarbeitung im Beschäftigungskontext enthält.
Ein typisches Beispiel für eine Betriebsvereinbarung als Rechtsgrundlage ist die Einführung eines Zeiterfassungssystems im Unternehmen. Hier können Arbeitgeber und Betriebsrat gemeinsam festlegen, welche Daten erfasst werden, wie lange sie gespeichert werden und wer darauf Zugriff hat. Für Unternehmen bietet die Betriebsvereinbarung als Rechtsgrundlage den Vorteil, dass sie flexibler als gesetzliche Regelungen auf die spezifischen Bedürfnisse und Gegebenheiten des Unternehmens zugeschnitten werden kann. Gleichzeitig gewährleistet sie durch die Beteiligung des Betriebsrats die Berücksichtigung der Arbeitnehmerinteressen.
Allerdings ist zu beachten, dass eine Betriebsvereinbarung allein nicht immer ausreicht. Im Einzelfall kann es erforderlich sein, sie mit anderen Rechtsgrundlagen zu kombinieren, um eine umfassende rechtliche Absicherung der Datenverarbeitung zu gewährleisten. Die Rechtsgrundlage könnte dann lauten „Art. 88 Abs. 1 DSGVO in Verbindung mit § 26 Abs. 4 BDSG in Verbindung mit Betriebsvereinbarung zur Zeiterfassung".
Welche Rechtsgrundlage ist in der Praxis die „beste“?
Diese Frage lässt sich nicht pauschal beantworten, da die Wahl der geeigneten Rechtsgrundlage stark vom Einzelfall und dem konkreten Verarbeitungszweck abhängt. Jede Rechtsgrundlage hat ihre Vor- und Nachteile, die Unternehmen sorgfältig abwägen müssen:
In der Praxis ist es für Unternehmen daher oft am sinnvollsten, eine Kombination verschiedener Rechtsgrundlagen zu nutzen. So könnte ein Online-Shop beispielsweise die Vertragserfüllung für die Bestellabwicklung, das berechtigte Interesse für Marketingzwecke und die Einwilligung für den Versand des Newsletters als Rechtsgrundlagen heranziehen.
Letztlich sollten Unternehmen für jede Datenverarbeitung individuell prüfen, welche Rechtsgrundlage am besten geeignet ist. Dabei sind neben der Rechtssicherheit auch die praktische Umsetzbarkeit und die Interessen der Betroffenen zu berücksichtigen. Lassen Sie sich im Zweifel hierzu von Ihrem Datenschutzbeauftragten beraten.
Fazit
Die Rechtsgrundlagen bilden das Fundament für eine rechtmäßige Verarbeitung personenbezogener Daten. Dies ergibt sich schon aus dem Datenschutzgrundsatz der Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a DSGVO. Verantwortliche müssen stets prüfen, ob ihre Datenverarbeitung auf eine der genannten Rechtsgrundlagen gestützt werden kann. Nur so kann ein datenschutzkonformes Handeln gewährleistet und mögliche Bußgelder wegen Datenschutzverstößen vermieden werden.
Wenn Sie mit der Komplexität des Datenschutzrechts sowie dem Finden der passenden Rechtsgrundlage für Ihre Datenverarbeitungsvorgänge überfordert sind und professionelle Unterstützung durch Experten benötigen, senden Sie uns gerne eine unverbindliche Anfrage über unser Kontaktformular.
Jenny Weigandt
