Zum Inhalt springen Zur Navigation springen
Datenschutz-Grundverordnung: Rechtmäßigkeit der Datenverarbeitung

Datenschutz-Grundverordnung: Rechtmäßigkeit der Datenverarbeitung

Artikel von Dr. Datenschutz·

Einer der Grundsätze der Datenschutz-Grundverordnung ist die rechtmäßige Verarbeitung personenbezogener Daten. Dafür muss immer eine Rechtsgrundlage zu deren Legitimation vorliegen. Je nach Zweck der Datenverarbeitung, kann der Verantwortliche die Rechtmäßigkeit dabei auf verschiedene Tatbestände stützen.

Ausgangspunkt für die Rechtmäßigkeit der Verarbeitung

Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist in Art. 6 Abs. 1 DSGVO geregelt.

Danach ist die Verarbeitung personenbezogener Daten rechtmäßig,

  • wenn eine Einwilligung der betroffenen Person vorliegt,
  • zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen,
  • zur Erfüllung einer rechtlichen Verpflichtung
  • zum Schutze lebenswichtiger Interessen,
  • zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt oder
  • aufgrund einer Interessenabwägung erforderlich ist.

Die Datenverarbeitung ist bereits dann rechtmäßig, wenn einer der genannten Tatbestände vorliegt.

Im Grundsatz bleibt daher alles verboten, was nicht ausdrücklich erlaubt ist (Verbot mit Erlaubnisvorbehalt).

Demgemäß heißt es in EG 40 der DSGVO:

Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.

Einwilligung des Betroffenen

Die Einwilligung des Betroffenen ist selbstverständlich nach wie vor eine / die (!) Möglichkeit, um eine rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten.

Die Einwilligung muss in erster Linie

  • freiwillig,
  • bestimmt,
  • in informierter Weise,
  • ausdrücklich und unmissverständlich

erklärt werden (vgl. Art. 4 Nr. 11, Art. 5 Abs. 1 lit. b), Art. 6 Abs. 1 lit. a), Art. 7 DSGVO). Ein Erklärungsbewusstsein / Einwilligungsbewusstsein sowie eine gewisse Einsichtsfähigkeit werden darüber hinaus ebenfalls vorausgesetzt (vgl. Art. 4 Nr. 11, EG 32, Art. 8 DSGVO).

Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DSGVO).

Vertrag und vorvertragliche Maßnahmen

Wie bisher auch, ist die Verarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen grundsätzlich rechtmäßig (vgl. Art. 7 lit. b) DSRL, § 28 Abs. 1 S. 1 Nr. 1 BDSG).

Zu berücksichtigen ist insbesondere aber, dass die Verarbeitung personenbezogener Daten nur soweit erfolgt, wie dies objektiv erforderlich ist. Dies gilt – mit Ausnahme der Einwilligung – für alle genannten Tatbestände.

Im Rahmen bestehender Verträge ist es beispielsweise nahezu unumgänglich die Vertrags-, Stammdaten und Abrechnungsdaten des Vertragspartners, wie etwa seinen Name und seine Adresse zu verarbeiten, um beispielsweise die Rechnung oder die Lieferung adressieren zu können.

Rechtliche Verpflichtung

Demgegenüber stellt Art. 6 Abs. 1 lit. c) DSGVO die Verarbeitung in den Vordergrund, die durch oder aufgrund von Rechtsvorschriften erforderlich ist. Die Rechtsgrundlage wird dabei durch Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt (Art. 6 Abs. 3 Satz 1 DSGVO).

Etwa aus Rechtsvorschriften des Handels- und Steuerrechts können sich umfassende Dokumentations- und Aufbewahrungspflichten ergeben, die erfüllt werden müssen.

Wahrung lebenswichtiger Interessen

Die Verarbeitung personenbezogener Daten ist nach der DSGVO auch rechtmäßig, soweit dies erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 Satz 1 lit. d) DSGVO).

Da hier Fälle gemeint sind, die das Leben oder die Gesundheit betreffen, beispielsweise bei Naturkatastrophen oder vom Menschen verursachte Katastrophen, ist die Bedeutung für die Praxis gering. Vielmehr kommt diese Rechtsgrundlage nur dann in Betracht, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann (vgl. EG 46).

Im öffentlichen Interesse liegende Aufgabe und Ausübung öffentlicher Gewalt

Nach Art. 6 Abs. 1 Satz 1 lit. e) DSGVO ist die Verarbeitung personenbezogener Daten auch dann rechtmäßig, wenn dies zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Die Rechtsgrundlage für die Verarbeitung wird wiederum durch das Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt.

Hier kommt beispielsweise die Verarbeitung personenbezogener Daten in Betracht, die im Rahmen der Daseinsvorsorge erforderlich sind.

Abwägung bei berechtigtem Interesse

Darüber hinaus kommt nach Art. 6 Abs. 1 Satz 1 lit. f) das berechtigte Interesse des Verantwortlichen oder eines Dritten als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in Betracht. Das berechtigte Interesse umfasst das rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen, wobei eine umfassende Interessenabwägung insbesondere anhand des Zwecks der Datenverarbeitung sowie der Art und des Inhalts der betroffenen Daten erfolgen muss. Dabei dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Im Zweifelsfall sollte der Datenschutzbeauftragte beurteilen, ob die Verarbeitung personenbezogener Daten rechtmäßig ist.

Eine Behörde kann sich bei einer Verarbeitung in Erfüllung ihrer Aufgaben nicht auf Art. 6 Abs. 1 Satz 1 lit. f) DSGVO stützen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »IT-Notfall Ransomware«
  • »Informationspflichten nach DSGVO«
  • »DSGVO-konformes Löschen«
  • »Auftragsverarbeitung kompakt«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2023B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2023.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Hinweis auf mögliche „Dokumentationspflichten“ gem. Artikel 5 Abs. 2: …..Der Verantwortliche/Verantwortlicher ist für die Einhaltung verantwortlich und muss dieses Nachweisen (Rechenschaftspflicht)….

  • Hallo.
    Ich habe eine Frage zu einem konkreten Beispiel.
    Ich nehme zuvor von meiner Firma gekaufte Teile zum Service an. Der Kunde sendet mir etwas, ich empfange es, verarbeite und speichere die Informationen zu dem Vorgang, repariere es und sende es zurück zum Kunden. Kann ich die Verarbeitung der Daten durch Art. 6 Abs. 1 Lit b oder die berechtigten Interessen Lit f legitimieren?
    Muss ich dennoch auf meine Datenschutzerklärung bzw. über die Verarbeitung informieren? Zum Zeitpunkt der Reparatur?
    Wie sollte ich diesen Fall konkret abwickeln?
    Danke

    • Sofern Sie vom Kunden, der Vertragspartner ist, personenbezogenen Daten für die Erfüllung des Vertrages verarbeiten, kann die Verarbeitung auf Art. 6 Abs. 1 Satz 1 lit. a) DSGVO gestützt werden. Informationspflichten sind grundsätzlich bei Erhebung der personenbezogenen Daten zur Verfügung zu stellen (s. Art. 12 ff. DSGVO; bei Dritterhebung Art. 14 DSGVO). Wenn Sie einen Auftrag online über eine Webseite erhalten, können Sie die Informationen auch in der Datenschutzerklärung abbilden und ggf. auf weitere datenschutzrechtliche Informationen für Kunden verweisen.

  • Hallo, habe ich als Kunde das Recht einen solchen Vertrag einzusehen? Wenn ich als Kunde eines Unternehmens wissen möchte, ob ein solcher Vertrag mit einem Drittunternehmen überhaupt vorliegt? In meinem Fall wird meine E-Mailadresse + IP in einem Forum an einen dritten Dienstleister zur Spamüberwachung weitergegeben.

    • Aus Ihrer Frage geht leider nicht eindeutig hervor, was gemeint ist. Grundsätzlich haben Sie zum Beispiel das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.

  • Hallo ich bin ein Mieter: ich habe einen Brief von der Hausverwalterin erhalten, dass meine persönlichen Daten an Behörden oder Dienstleiter zum Zwecke der Instandhaltung, Reparatur , oder Abrechnung weiter gegeben werden ( sie beruht sich auf: gem. Art 6. Abs.1,Satz 1 b, EU – Datenschutzgrundverordnung).
    nach meiner Meinung: Instandhaltung, Reparatur , oder Abrechnung sind sache der Eigentümer? oder.
    danke für Ihre Hilfe.

    • Die Hausverwaltung wird vom Eigentümer beauftragt sich um die gesamte, oder nur bestimmte Teile, der Verwaltung des Mietobjekts zu kümmern. Dazu gehört meist auch die Durchführung des Mietvertrags, der dann zwischen Ihnen und der Hausverwaltung zustande kommt. Dementsprechend erhebt die Hausverwaltung Ihre Daten zum Zwecke der Durchführung des Mietverhältnisses und nicht der Eigentümer direkt. Dass die Hausverwaltung die Daten dann wiederum z.B. an externe Dienstleister weitergibt, um Reparaturen durchführen oder Nebenkostenabrechnungen erstellen zu lassen, kann dann tatsächlich gem. Art. 6 Abs. 1 b) DSGVO gerechtfertigt sein, da es unter Umständen notwendig ist für die Erfüllung der Vermieterpflichten aus dem Mietvertrag Ihre Daten an den Dienstleister zu übermitteln. Ob die Weitergabe rechtmäßig geschieht, ist dann immer eine Frage des Einzelfalls und hängt davon ab welche Daten zu welchem Zweck weitergegeben werden.

  • Sehr geehrte Damen und Herren,
    wenn ich ein Betriebsgelände mit Hilfe einer elektronischen Karte durch ein Drehkreuz passiere, und die Zeit dadurch erfasst wird, ist es erlaubt? Erlaubt auch in dem Sinne, das diese Zeiterfassung für die Arbeitszeit nicht relevant ist. Ein Abstempeln der Arbeitszeit erfolgt dadurch nicht. Die Arbeitszeit wird Handschriftlich erfasst und abgegeben. Die Karte sollte lt. dem Betrieb nur das Zutrittsrechts genehmigen.

    • Eine konkrete Rechtsberatung dürfen wir im Rahmen dieses Blogs leider nicht vornehmen. Grundsätzlich ist es aber so, dass der Verantwortliche einer Datenverarbeitung gemäß Art. 5 Abs. 1 lit. f DSGVO personenbezogene Daten nur in einer Weise verarbeiten darf, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Hierzu hat der Verantwortliche im Sinne des Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen für die Gewährleistung der Datensicherheit zu ergreifen. Einen Leitfaden für solche Maßnahmen liefert das IT-Grundschutzkompendium des BSI. Darin heißt es z.B., dass Zutrittskontrollen auch etwa durch Protokollierung der Uhrzeit und des Zutrittsberechtigten grundsätzlich ein geeignetes Mittel für die Gewährleistung des Schutzes von personenbezogenen Daten vor unbefugtem Zugriff sein kann.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.

Das könnte Sie auch interessieren
Themen entdecken