Die für die Verarbeitung Verantwortlichen müssen sich auf eine „Rechtsgrundlage“ verlassen, um personenbezogene Daten rechtmäßig verarbeiten zu können. Es ist von wesentlicher Bedeutung, die geeignete Rechtsgrundlage zu ermitteln, die mit spezifischen Anforderungen einhergehen kann (z. B. muss die Einwilligung frei, konkret, informiert und eindeutig sein) und Auswirkungen auf die Rechte des Einzelnen haben (z. B. gilt das Recht auf Übertragbarkeit nur dann, wenn die Rechtsgrundlage die Einwilligung oder ein Vertrag ist).
Auf dieser Seite finden Sie weitere Informationen zu den verschiedenen Rechtsgrundlagen unter der DSGVO. Erfahren Sie mehr über die Rechte, die je nach Rechtsgrundlage gelten.
Was sind die möglichen Rechtsgrundlagen im Rahmen der DSGVO?
Die für die Verarbeitung Verantwortlichen können personenbezogene Daten nur unter folgenden Umständen verarbeiten:
- mit Zustimmung der betroffenen Personen;
- wenn eine vertragliche Verpflichtung besteht (ein Vertrag zwischen Ihrer Organisation und einer Person);
- um einer rechtlichen Verpflichtung nach EU- oder nationalen Rechtsvorschriften nachzukommen;
- wenn die Verarbeitung für die Erfüllung einer Aufgabe erforderlich ist, die im öffentlichen Interesse nach EU-Rechtsvorschriften oder nationalen Rechtsvorschriften ausgeführt wird;
- zum Schutz der lebenswichtigen Interessen eines Individuums;
- für die berechtigten Interessen Ihrer Organisation (außer wenn diese durch die Interessen oder Grundrechte von Einzelpersonen außer Kraft gesetzt werden).
Darüber hinaus legt die DSGVO zusätzliche Voraussetzungen für die Verarbeitung sensibler Daten fest.
Zustimmung
Ihre Organisation kann sich auf die Einwilligung für die Verarbeitung personenbezogener Daten beziehen.
Wenn ein Verantwortlicher die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten nutzt, muss er sicherstellen, dass diese Einwilligung frei erteilt, informiert, konkret und eindeutig ist. Dies bedeutet, dass Einzelpersonen eine wirklich freie Wahl haben müssen, ob sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden sind oder nicht; Sie benötigen ausreichende Informationen, damit sie verstehen können, welche Daten zu welchem Zweck verarbeitet werden und wie dies geschieht; und sie müssen in der Lage sein, ihre Zustimmung (ohne negative Folgen) frei zu widerrufen, wenn sie später ihre Meinung ändern.
Wenn die Organisation die Daten verarbeiten muss und Einzelpersonen nicht wirklich ermöglichen kann, ihre Einwilligung zu widerrufen, ist dies ein Hinweis darauf, dass die Einwilligung nicht die geeignete Rechtsgrundlage für die Verarbeitung ist, und es besteht die Notwendigkeit zu prüfen, ob eine andere Rechtsgrundlage anwendbar sein könnte.
Bedingungen für die Zustimmung
Frei
Die Einwilligung wird frei erteilt, wenn Einzelpersonen ihre Einwilligung ablehnen und widerrufen können, ohne dass das Risiko eines externen Drucks oder negativer Folgen besteht. Einzelpersonen müssen auch das Recht haben, ihre Einwilligung jederzeit zu widerrufen; dieser Prozess muss für Einzelpersonen leicht gemacht werden (so leicht wie es war, ihn bereitzustellen). Der Widerruf der Einwilligung darf die Verarbeitung der personenbezogenen Daten der Person, die vor diesem Widerruf erfolgt ist, nicht beeinträchtigen, wenn die Einwilligung noch gültig war.
Zum Beispiel werden die Arbeitnehmer grundsätzlich nicht in der Lage sein, die von ihrem Arbeitgeber durchgeführte Einwilligung in die Verarbeitung frei zu erteilen, da die Arbeitnehmer möglicherweise das Gefühl haben, dass sie den Antrag ihres Arbeitgebers nicht ablehnen können.
Konkret
Damit die Einwilligung gültig ist, muss sie auch spezifisch für den Verarbeitungszweck sein. Diese Bedingung steht in engem Zusammenhang mit der Bedingung der Einwilligung nach Aufklärung: Einzelpersonen müssen über die konkreten Zwecke in einer einfachen und leicht verständlichen Sprache informiert werden, damit sie eine klare Vorstellung davon haben, zu welchen Zwecken ihre Daten verarbeitet werden. Dies bedeutet auch, dass, wenn sich die Zwecke des Verarbeitungsvorgangs ändern oder zusätzliche Verarbeitungsvorgänge hinzugefügt werden, Personen erneut um ihre Einwilligung gebeten werden sollten. Ebenso sollte, wenn ein Verarbeitungsvorgang mehrere Zwecke hat, für jeden Zweck eine Einwilligung erteilt werden.
Zum Beispiel sammelt ein Streaming-Dienst die persönlichen Daten seiner Kunden, um ihnen maßgeschneiderte Vorschläge zu bieten. Nach einiger Zeit beschließt der Streaming-Dienst, die persönlichen Daten seiner Kunden mit Dritten zu teilen, damit er den Kunden auf der Grundlage ihrer Sehgewohnheiten gezielte Werbung senden kann. Da dies ein neuer Zweck ist, muss der Streaming-Dienst die Zustimmung seiner Kunden einholen.
Informiert
Wenn Sie die Zustimmung einer Person einholen, muss Ihre Organisation sicherstellen, dass diese Anfrage der Person in verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache übermittelt wird. Es sollten Informationen über die Zwecke, die Identität des für die Verarbeitung Verantwortlichen, die Kategorien von Daten, die Empfänger und das Recht auf Widerruf der Einwilligung gegeben werden.
Eindeutig
Damit die Zustimmung eindeutig ist, sollte eine eindeutige Bejahungsmaßnahme erfolgen (ohne vorab angekreuzte Kästchen und getrennt von den geltenden Allgemeinen Geschäftsbedingungen).
Es wird empfohlen, die Einwilligung in angemessenen Abständen zu aktualisieren. Darüber hinaus müssen Sie nachweisen können, dass die Person, deren Daten verarbeitet werden, ihre Einwilligung erteilt hat, zum Beispiel durch eine schriftliche oder unterzeichnete Erklärung oder durch eine vorsätzliche Handlung wie das Ankreuzen eines Kästchens.
Bedingungen für die Einwilligung von Kindern
Als Datenverantwortlicher sollten Sie angemessene Anstrengungen unternehmen, um das Alter der Person zu überprüfen.
Kinder ab 16 Jahren gelten als in der Lage, ihre eigene Zustimmung zu geben.
Für Kinder unter 16 Jahren muss Ihre Organisation die Zustimmung des Erziehungsberechtigten oder Elternteils dieses Kindes anfordern. In diesem Fall müssten Sie angemessene Anstrengungen unternehmen, um zu überprüfen, ob die im Namen des Kindes eingewilligte Person die elterliche Verantwortung trägt. Bitte beachten Sie jedoch, dass die DSGVO den EU-Ländern die Möglichkeit gibt, das Alter der Einwilligung zwischen 13 und 16 Jahren festzulegen, wenn Dienstleistungen über das Internet bereitgestellt werden. Daher wird empfohlen, Ihre nationalen Bestimmungen in dieser Angelegenheit zu überprüfen.
Wenn die Einwilligung von Kindern erteilt werden kann, sollte die Sprache, die zur Übermittlung der Informationen über den Dienst verwendet wird, an ihr Alter angepasst werden.
Erfüllung eines Vertrags
Die Verarbeitung der personenbezogenen Daten einer Person zur Erfüllung eines Vertrags ist eine gültige Rechtsgrundlage, z. B. in den folgenden Fällen:
- Ihre Organisation muss die personenbezogenen Daten einer Person verarbeiten, um eine Dienstleistung zu erbringen.
- Eine potenzielle Kundin hat Sie gebeten, etwas zu tun, bevor sie einen Vertrag mit Ihrer Organisation abschließt, beispielsweise möchte sie möglicherweise ein Angebot für die von Ihnen angebotenen Dienstleistungen erhalten, für die Sie möglicherweise einige ihrer personenbezogenen Daten verarbeiten müssen.
Die Verarbeitung muss für die Erfüllung eines Vertrags erforderlich sein. In der Praxis bedeutet dies, dass Ihre Organisation nicht ohne die betreffenden personenbezogenen Daten mit der Ausführung des Vertrags oder der Dienstleistung fortfahren kann. Es wird empfohlen, dass Ihre Organisation die Gründe dokumentiert, aus denen hervorgeht, warum die Verarbeitung der Daten einer Person für die Erfüllung eines Vertrags erforderlich ist.
Darüber hinaus sollten Sie versuchen, die geringste Menge an personenbezogenen Daten zu sammeln, die für die Erbringung der vertraglichen Dienstleistung oder für die Durchführung einschlägiger vorvertraglicher Schritte erforderlich sind. Insbesondere können Sie den Vertrag nicht nutzen, um die Kategorien personenbezogener Daten oder Arten von Verarbeitungsvorgängen künstlich zu erweitern. Vielmehr sollten Sie sicherstellen, dass ein echtes gegenseitiges Verständnis des vertraglichen Zwecks besteht, basierend auf den Erwartungen einer durchschnittlichen Person beim Vertragsabschluss.
Diese Rechtsgrundlage kann auch für bestimmte Handlungen im Zusammenhang mit der vertraglichen Gewährleistung und für bestimmte Handlungen gelten, die im Rahmen eines normalen Vertragsverhältnisses vernünftigerweise vorhersehbar und notwendig sind, wie z. B. das Versenden von formellen Mahnungen über ausstehende Zahlungen oder die Korrektur von Fehlern oder Verzögerungen bei der Vertragserfüllung.
Diese Rechtsgrundlage gilt jedoch nicht, wenn Sie personenbezogene Daten einer Person für Marketingzwecke, Betrugsprävention, gezielte Werbung oder andere Zwecke im Zusammenhang mit dem Geschäftsmodell Ihres Unternehmens verarbeiten möchten. In solchen Fällen können andere Rechtsgrundlagen wie Einwilligung oder berechtigtes Interesse zur Verfügung stehen, sofern die einschlägigen Kriterien erfüllt sind.
Die Gesetzgebung kann auch die Verarbeitung personenbezogener Daten selbst nach Beendigung des Vertrags vorschreiben (z. B. zur Aufbewahrung von Aufzeichnungen zu Buchhaltungszwecken).
Selbstverständlich muss der Vertrag auch nach geltendem Recht gültig sein.
In der Praxis
- Sie sind ein Unternehmen, das Kleidung sowohl online als auch in einem Geschäft verkauft und müssen möglicherweise einige der persönlichen Daten Ihrer Kunden, wie Kreditkartendaten, verarbeiten, um die von Ihren Kunden getätigten Einkäufe für Ihre Kleidung bearbeiten zu können. In diesem Fall kann die Verarbeitung der personenbezogenen Daten von Kunden für die Erfüllung eines Vertrags erforderlich sein.
- Sie sind ein Unternehmen, das Hausversicherungen anbietet. Ein potenzieller Kunde hat ein Angebot für seine Hausversicherung angefordert. Daher kann die Erhebung einiger persönlichen Daten erforderlich sein, um einen genauen Preis für ihre Hausversicherung zu ermitteln.
- Sie sind ein Unternehmen, das Bücher verkauft, die einige Ihrer Kunden gekauft haben. Wenn diese Kunden diese Bücher gekauft haben, haben Sie möglicherweise einige ihrer persönlichen Daten gesammelt, die für die Abwicklung der Transaktion erforderlich waren. Sie möchten nun die personenbezogenen Daten dieser Kunden, einschließlich Daten über ihre früheren Einkäufe, verarbeiten, um andere Bücher zu empfehlen, die den Kunden gefallen könnten. Sie können sich nicht auf die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags als Rechtsgrundlage berufen, da die Verarbeitung der Kundendaten zum Zwecke der Werbung für andere Bücher für die Erfüllung eines Vertrags nicht erforderlich ist.
Daher muss Ihr Unternehmen die Zustimmung der Kunden einholen, um andere Bücher bewerben zu können oder kann sich je nach den Umständen auf ein berechtigtes Interesse berufen.
Erfüllung einer gesetzlichen Verpflichtung des Verantwortlichen
Die DSGVO sieht eine weitere Rechtsgrundlage vor: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Auf diese Rechtsgrundlage kann zurückgegriffen werden, wenn ein Verarbeitungsvorgang einer Organisation durch EU- oder nationale Rechtsvorschriften auferlegt wird. Konkret müssen vier Voraussetzungen erfüllt sein:
- die rechtliche Verpflichtung muss durch EU- oder nationales Recht festgelegt werden, dem der für die Verarbeitung Verantwortliche unterliegt;
- diese Rechtsvorschriften müssen eine klare und spezifische Verpflichtung zur Verarbeitung dieser personenbezogenen Daten enthalten;
- in diesen Bestimmungen müssen zumindest die Zwecke der Verarbeitung festgelegt werden;
- diese Verpflichtung sollte dem für die Verarbeitung Verantwortlichen und nicht den betroffenen Personen auferlegt werden.
Sind diese Voraussetzungen nicht erfüllt, kann der Verarbeitungsvorgang nicht auf der gesetzlichen Verpflichtung beruhen und es benötigt eine andere Rechtsgrundlage.
Die DSGVO sieht viele verschiedene Umstände vor, unter denen die Verantwortlichen gesetzlich verpflichtet sind, personenbezogene Daten ihrer Kunden oder Kunden zu verarbeiten. Zum Beispiel müssen Arbeitgeber in der Regel die personenbezogenen Daten ihrer Mitarbeiter für Zwecke der sozialen Sicherheit verarbeiten, oder ein Unternehmen muss die personenbezogenen Daten ihrer Kunden für Steuerzwecke verarbeiten.
Lesen Sie mehr
Lebenswichtige Interessen eines Individuums
Die Verarbeitung von Daten zum Schutz der lebenswichtigen Interessen einer Person kann nur in seltenen und spezifischen Fällen verwendet werden. Dies kann beispielsweise der Fall sein, wenn Sie personenbezogene Daten verarbeiten müssen, um das Leben einer Person zu schützen. Diese Rechtsgrundlage ist jedoch aufgrund der DSGVO sehr begrenzt und kann nur in Notfällen herangezogen werden.
In der Praxis
Ihre Organisation bietet Rafting-Touren an. Während einer der von Ihnen organisierten Reisen wird einer der Teilnehmer schwer verletzt. Infolgedessen ist der Teilnehmer bewusstlos und muss dringend medizinische Versorgung in einem Krankenhaus erhalten. Als Organisation müssen Sie möglicherweise die persönlichen Daten dieser Person an das behandelnde Krankenhaus kommunizieren, um das Leben dieser Person zu retten. In diesem Zusammenhang können Sie möglicherweise die Daten dieser Person verarbeiten, um ihr lebenswichtiges Interesse zu schützen.
Öffentliches Interesse
In bestimmten Fällen kann Ihre Organisation personenbezogene Daten von Einzelpersonen für eine im öffentlichen Interesse durchgeführte Aufgabe verarbeiten. In diesem Fall muss die Verarbeitung eine Grundlage im EU- oder nationalen Recht haben. Ihr Zweck muss auf dieser Rechtsgrundlage festgelegt werden oder für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt des für die Verarbeitung Verantwortlichen ausgeübt wird. Daher kann diese Rechtsgrundlage insbesondere für Verarbeitungsvorgänge durch Behörden zur Erfüllung ihrer Aufgaben relevant sein.
In der Praxis
Ihre Organisation ist eine Arztpraxis, zu der ein Zahnarzt und ein Hausarzt gehören. Möglicherweise müssen Sie sowohl die personenbezogenen Daten des Zahnarztes als auch des Hausarztes verarbeiten, um sicherzustellen, dass ihre Qualifikationen, ihr moralisches und ethisches Verhalten den in dem Land, in dem sich Ihre medizinische Praxis befindet, festgelegten Standards entsprechen.
Berechtigtes Interesse
Ihre Organisation kann Daten von Einzelpersonen für Angelegenheiten von legitimen Interessen verarbeiten, vorausgesetzt, dass diese Interessen (kommerziell, Schutz Ihres Eigentums usw.) kein Ungleichgewicht zum Nachteil der Rechte und Interessen von Einzelpersonen schaffen.
Während die DSGVO und die einschlägige Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) Beispiele für berechtigte Interessen enthalten, gibt es keine erschöpfende Liste.
Sie müssen jedoch sicherstellen, dass dieses Interesse eine bestimmte Anzahl von Anforderungen erfüllt:
- Sie muss rechtmäßig, klar, real und gegenwärtig sein;
- die Verarbeitung muss für die Verfolgung dieses Interesses erforderlich sein;
- das berechtigte Interesse muss den Rechten des Einzelnen auf Datenschutz Rechnung tragen, die nicht überschrieben werden können. Im Rahmen dieses Erfordernis muss der Verantwortliche sein berechtigtes Interesse und die Interessen oder Grundrechte und Grundfreiheiten des Einzelnen abwägen und auch berücksichtigen, was er vernünftigerweise erwarten kann. Die Abwägung muss unter Berücksichtigung der konkreten Bedingungen, unter denen diese Maßnahmen durchgeführt werden, getroffen werden.
In der Praxis
Sie führen eine Renovierungsfirma. Einer Ihrer Kunden bestreitet die Qualität einer Küchensanierung und weigert sich, die Rechnung vollständig zu bezahlen. In einem ersten Schritt übertragen Sie die Daten des Kunden an Ihren Anwalt, um eine Einigung mit dem Kunden auszuhandeln. Da sich der Kunde immer noch weigert, zu bezahlen, beauftragen Sie ein Inkassobüro. Sie übermitteln nur die für das Verfahren erforderlichen personenbezogenen Daten an das Inkassobüro und die Agentur führt nur begrenzte Kontrollen durch, um die Kontaktdaten des Kunden zu bestätigen und ein Gerichtsverfahren einzuleiten.
Während der erste Schritt noch unter die für die Vertragserfüllung erforderliche Verarbeitung fallen kann, könnten weitere Schritte wie die Beauftragung einer Inkassoagentur als im berechtigten Interesse des für die Verarbeitung Verantwortlichen betrachtet werden. Da die von der Agentur ergriffenen Maßnahmen nicht zu aufdringlich sind und die Auswirkungen auf den Kunden begrenzt sind, könnte ein berechtigtes Interesse eine angemessene Rechtsgrundlage sein.
Verarbeitung sensibler personenbezogener Daten
Zusätzliche Anforderungen gelten, wenn Sie beabsichtigen, Daten zu verarbeiten, die die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit offenbaren, sowie für die Verarbeitung genetischer Daten oder biometrischer Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person. Diese speziellen Datenkategorien werden allgemein als „sensible Daten“ bezeichnet.
Die Verarbeitung sensibler Daten ist grundsätzlich untersagt, außer in den folgenden Sonderfällen.
- Die Person hat ihre ausdrückliche Einwilligung gegeben, dass ihre sensiblen Daten verarbeitet werden.
- Die Verarbeitung sensibler Daten ist erforderlich, damit der für die Verarbeitung Verantwortliche ihren Verpflichtungen nachkommen kann, insbesondere im Zusammenhang mit Beschäftigung, sozialer Sicherheit und sozialem Schutz. Beispielsweise muss der für die Verarbeitung Verantwortliche möglicherweise sensible Daten einer Person verarbeiten, um feststellen zu können, ob sie Anspruch auf bestimmte Sozialleistungen oder Beschäftigungsstipendien haben.
- Die Verarbeitung sensibler Daten ist notwendig, um die lebenswichtigen Interessen einer Person zu schützen, wenn die Person physisch oder rechtlich nicht in der Lage ist, eine Einwilligung zu erteilen. Wenn beispielsweise eine Person aufgrund eines Unfalls bewusstlos bleibt und eine sofortige medizinische Versorgung erfordert, müssen ihre besonderen Kategorien personenbezogener Daten möglicherweise verarbeitet werden, damit die entsprechende medizinische Versorgung erbracht werden kann.
- Die Verarbeitung sensibler Daten erfolgt im Rahmen der legitimen Aktivitäten einer Stiftung, Vereinigung oder einer anderen gemeinnützigen Organisation mit einem politischen, philosophischen, religiösen oder gewerkschaftlichen Ziel und nur zur Verarbeitung der personenbezogenen Daten ihrer Mitglieder, ehemaligen Mitglieder oder Personen, die regelmäßig mit ihnen in Kontakt stehen.
- Die sensiblen Daten wurden offensichtlich von Einzelpersonen öffentlich gemacht.
- Die Verarbeitung sensibler Daten ist im Rahmen von Gerichtsverfahren erforderlich.
- Die Verarbeitung sensibler Daten ist für Angelegenheiten von erheblichem öffentlichen Interesse erforderlich.
- Die Verarbeitung sensibler Daten ist im Rahmen der Präventiv- oder Arbeitsmedizin erforderlich. Zum Beispiel kann die Bewertung der sensiblen Daten einer Person, wie ihre medizinischen Daten, erforderlich sein, um ihre Arbeitsfähigkeit als Mitarbeiter zu bestimmen.
- Die Verarbeitung sensibler Daten ist für Fragen der öffentlichen Gesundheit auf der Grundlage des EU-Rechts oder des nationalen Rechts erforderlich. Beispielsweise kann die Verarbeitung sensibler Daten von Einzelpersonen erforderlich sein, um eine hohe Qualität der Gesundheitsversorgung und eine hohe Qualität von Medizinprodukten zu gewährleisten oder ernste Gesundheitsbedrohungen wie Viren zu bekämpfen.
- Die Verarbeitung sensibler Daten ist für Angelegenheiten der Archivierung im öffentlichen Interesse oder für wissenschaftliche, statistische, historische oder Forschungszwecke erforderlich. Beispielsweise kann die Verarbeitung sensibler Daten erforderlich sein, um genaue Statistiken über die Situation eines Landes in einem bestimmten Bereich bereitzustellen.
Checkliste für die Verarbeitung sensibler personenbezogener Daten
- Fragen Sie sich, ob Sie die besonderen Kategorien personenbezogener Daten einer Person für die vorgesehene Verarbeitung verarbeiten müssen.
- Identifizieren Sie die Rechtsgrundlage (= rechtliche Begründung) für die Verarbeitung personenbezogener Daten einer Person. Sie sollten auf Art.6 DSGVO verweisen.
- Ermitteln Sie, ob die zusätzlichen Bedingungen für die Verarbeitung sensibler Daten eingehalten werden. Sie sollten auf Art. 9 DSGVO verweisen.
- Identifizieren Sie die Risiken und Datenschutzgarantien, wie z. B. die technischen und organisatorischen Maßnahmen, die Ihr Unternehmen bei der Verarbeitung besonderer Kategorien personenbezogener Daten treffen muss.
- Vergessen Sie nicht, Ihre Gründe für die Verarbeitung der besonderen Kategorien personenbezogener Daten einer Person, die damit verbundenen Risiken und die von Ihnen ergriffenen Maßnahmen zur Minderung dieser Risiken aufzuzeichnen.