Praxistipp: Grundsätze des Datenschutzrechts

Datenschutzrecht, IT-Recht, Praxistipps / Von / 24. Mai 2023

prasxistipp

Grundsätze des Datenschutzrechts

vegefox.com – stock.adobe.com

Kurz und Knapp

Das Datenschutzrecht verbietet grundsätzlich die Verarbeitung von personenbezogenen Daten. Allerdings bestehen auch Ausnahmen (sog. Erlaubnistatbestände), unter deren Voraussetzungen die Verarbeitung im Einzelfall erlaubt ist. Daher spricht man von einem Verbot mit Erlaubnisvorbehalt.

Lang und Langweilig
I. Sinn und Zweck
  • Sensibilisierung
  • Schutz des Persönlichkeitsrechts Betroffener
  • Sicherstellung einer fairen und transparenten Datenverarbeitung
  • Verhinderung des „gläsernen Menschen“
II. Verarbeitung personenbezogener Daten
III. Grundprinzip einer Datenverarbeitung

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, außer es liegt eine Erlaubnis vor

  • Verbot mit Erlaubnisvorbehalt:
    Erlaubte Verarbeitung nur auf Grund eines Erlaubnistatbestands
IV. Erlaubnistatbestände
1. Die wirksame Einwilligung

Ein Erlaubnistatbestand für die Verarbeitung personenbezogener Daten ist die Einwilligung der betroffenen Person.

Anforderungen an die Einwilligung:

Eindeutig, für den konkreten Fall, freiwillig, informiert, unmissverständlich (ErwGr. 32 DSGVO)

  • Eindeutig: die Einwilligung nutzt eine klare und einfache Sprache und ist eindeutig wahrnehmbar
  • Informiert: Die betroffene Person muss abschätzen können, welche Auswirkungen die Erteilung einer Einwilligung für sie hat, sie muss die Umstände der Datenverarbeitung sowie die Tragweite ihrer Einwilligung eindeutig und klar erkennen können.
    • Sie benötigt Kenntnis
      • der Arten von Daten welche verarbeitete werden
      • dem Verarbeitungszweck
      • von der verantwortlichen datenverarbeitenden Stelle und deren Erreichbarkeit
      • darüber, an welche Dritten die Daten im Falle der Übermittlung weitergegeben werden
  • Freiwilligkeit: zwischen Betroffenem und Datenverarbeiter darf kein „klares Ungleichgewicht“bestehen, sodass es „in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist“, dass die Einwilligung freiwillig erteilt worden ist
  • Für den konkreten Fall (Zweckgebundenheit): personenbezogene Daten dürfen danach stets nur für festgelegte, eindeutigeund legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden
  • Unmissverständlich: die Einwilligung muss ausdrücklich durch eine bestätigende Handlung erfolgen.
  • Nachweispflicht: Der Verantwortliche muss die erteilte Einwilligung nachweisen können
  • Widerrufbarkeit: die Einwilligung muss frei widerruflich sein und der Betroffene muss hierüber auch informiert werden
2. Verarbeitung zur Erfüllung eines Vertrags

Die Legitimationsgrundlage für die Verarbeitung ist ein Vertrag mit der betroffenen Person.

Ferner ist die Datenverarbeitung nur im Rahmen der Erforderlichen zulässig. Eine Datenverarbeitung ist erforderlich, wenn sie zur Erfüllung von Pflichten oder zur Wahrnehmung von Rechten aus einem mit der betroffenen Person geschlossenen Vertrag vorgenommen und hierfür benötigt wird. Es muss ein unmittelbarer Zusammenhang zu dem konkreten Zweck des Vertragsverhältnisses vorliegen

Beispiel: Marketing und Kundenbindung

Die Verarbeitung von Kundendaten zu Zwecken des Marketings und der Kundenbindung kann grundsätzlich nicht auf einen Vertrag gestützt werden. Ein einschlägiger Erlaubnistatbestand kann stattdessen die Einwilligung der betroffenen Person oder die Wahrnehmung berechtigter Interessen sein. Der Erlaubnistatbestand der Erfüllung eines Vertrags ist nur in Ausnahmefällen einschlägig. Ein solcher kann in der Verarbeitung von Kontaktdaten liegen, um Informationsmaterialien zu versenden, die von der betreffenden Person selbst im Vorfeld eines möglichen Vertragsschlusses angefordert worden sind.

3. Verarbeitung zur Erfüllung rechtlicher Verpflichtungen

Die Verarbeitung personenbezogener Daten, kann erlaubt sein, wenn die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Verarbeitung Verantwortliche unterliegt. Eine rechtliche Verpflichtung, die eine Erlaubnis zur Datenverarbeitung bietet, muss sich aus dem EU-Recht oder dem Recht des entsprechenden Mitgliedstaates ergeben.

Dazu gehören insbesondere folgende Verpflichtungen:

  • Pflichten zur Einholung von Auskünften und zur Erhebung von Kundendaten
  • Aufzeichnungs- und Dokumentationspflichten
  • Aufbewahrungs- und Speicherpflichten
  • Auskunfts- und Herausgabepflichten
4. Verarbeitung zur Wahrung lebenswichtiger Interessen

Eine Erlaubnis zur Wahrung lebenswichtiger Interessen ist nur in Notsituationen einschlägig und räumt diesen Vorrang vor dem Schutz personenbezogener Daten ein. Diese Erlaubnis kommt nur in solchen Fällen zur Anwendung, in denen die Datenverarbeitung nicht auf eine andere Rechtsgrundlage gestützt werden kann.

Beispiele: Verarbeitungen zu humanitären Zwecken einschließlich der Überwachung von Epidemien und deren Ausbreitung; humanitäre Notfälle, insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen

5. Verarbeitung zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt

Dieser Erlaubnistatbestand ist auf behördliche oder staatlich veranlasst Datenverarbeitungsvorgänge begrenzt. Eine Berufung auf diesen Erlaubnistatbestand durch Privatpersonen ist nur möglich, wenn ihnen die Befugnis des Zugriffs auf personenbezogene Daten im öffentlichen Interesse oder im Rahmen der Ausübung öffentlicher Gewalt übertragen worden ist.

6. Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten

Ein weiterer Erlaubnistatbestand liegt in dem Überwiegen von berechtigten Interessen des Verantwortlichen oder eines Dritten. Das Vorliegen der hierfür notwendigen Voraussetzungen erfolgt mittels einer Drei-Schritt-Prüfung

  1. Stufe: Liegt zum Zeitpunkt der Verarbeitung ein berechtigtes Interesse des Verantwortlichen oder Dritten, dem die Daten übermittelt werden vor?
  2. Stufe: Ist die Datenverarbeitung zur Verwirklichung dieses berechtigten Interesses erforderlich?
  3. Stufe: Überwiegen die berechtigten Interessen des Verantwortlichen oder Dritten gegenüber den sich ggf. gegen die Verarbeitung richtenden Interessen der betroffenen Person?
Datenschutzgrundverordnung

Art. 6 Rechtmäßigkeit der Datenverarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

Verwandte Beiträge