Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Rechtsgrundlagen im Datenschutz

Rechtsgrundlagen im Datenschutz: Können Sie diese 8 Fragen beantworten?

Rechtsgrundlagen: Der Überblick

Einleitung

In der Datenschutz-Grundverordnung wurde festgelegt, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist. Es sei denn, der Verantwortliche hat eine korrekte Rechtsgrundlage festgelegt, die die Anforderungen der Datenschutz-Grundverordnung oder ggf. weiterer nationaler Datenschutzgesetze (zum Beispiel Bundesdatenschutzgesetz) erfüllt.

Die Datenschutz-Grundverordnung sieht mehrere Rechtsgrundlagen vor, die für den jeweiligen Zweck der Datenverarbeitung mehr oder weniger geeignet sind.

Welche Rechtsgrundlagen sich für welche Zwecke eignen und wo die Rechtsgrundlagen dokumentiert werden? Auf dieser Seite finden Sie Antworten auf (fast) alle Fragen.

Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.

Rechtsgrundlage: Die einzelnen Erlaubnistatbestände

Nach den Vorgaben der Datenschutz-Grundverordnung muss jede Verarbeitung personenbezogener Daten auf einer Rechtsgrundlage basieren. Dabei muss der Verantwortliche vorab überlegen, warum er überhaupt personenbezogene Daten verarbeitet darf. Der Gesetzgeber hat mehrere Erlaubnistatbestände festgelegt, die alle mehr oder weniger für die Rechtfertigung geeignet sind.

Beachten Sie mögliche Sanktionen!

Was ist, wenn die Datenverarbeitung nicht mit einer korrekten Rechtsgrundlage begründet werden kann? Die Aufsichtsbehörde kann dann den jeweiligen Geschäftsprozess untersagen oder Geldbußen verhängen.

Die Höhe variiert von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (4% vom Vorjahres­umsatz oder 20.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen.

REchtsgrundlage: Wofür soll das gut sein?

Der Gesetzgeber hat vorgesehen, dass sich das jeweilige Unternehmen vor der Verarbeitung intensive Gedanken machen muss, warum er personenbezogene Daten verarbeiten darf und für welche Zwecke.

Die Rechtsgrundlagen zum Datenschutz müssen konkret für die jeweiligen Zwecke den betroffenen Personen genannt werden, damit diese Ihr Recht auf informationelle Selbstbestimmung wahrnehmen können. Denn nur wenn bekannt ist, welche Möglichkeiten der Betroffene hat, um seine Rechte wahrzunehmen, kann entsprechend gehandelt werden. 

In manchen Datenschutzhinweisen findet man eine Aufzählung sämtlicher Rechtsgrundlagen, ohne auf die konkreten Zwecke der Verarbeitung einzugehen. Manche Unternehmen verwenden für ein und denselben Zweck zwei Rechtsgrundlagen gleichzeitig – Beispielsweise Einwilligung und das berechtigte Interesse beim Consent-Banner. Dies verstößt grundsätzlich gegen die Vorgabe der Transparenz und ist zu unterlassen.

Denken Sie an die Folgeaufgaben!

Die Festlegung der Rechtsgrundlagen im Datenschutz ist die wichtigste Vorarbeit in der Planung von Geschäftsprozessen, in denen personenbezogene Daten verarbeitet werden. Wird diese Aufgabe nicht korrekt durchgeführt, können alle folgenden Schritte ebenfalls nicht rechtskonform erfolgen. Die meisten Verstöße gegen die Datenschutz-Grundverordnung ergeben sich aus einer fehlerhaften Festlegung der Rechtsgrundlage.

Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Datenschutz alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutzbeauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.

compliance-im-datenschutz

Sie kennen das Thema bereits, bnötigen aber mehr Details? Hier erhalten Sie mehr Detailwissen für die Erstellung.´von Rechtsgrundlagen im Datenschutz

Sie wollen in 4 Schritten zur korrekten Rechtsgrundlage bei der Datenverarbeitung? Finden Sie hier weitere Informationen.

Sie wünschen eine direkte Kontaktaufnahme und haben ein paar Fragen, die ggf. schnell beantwortet werden können?

In 4 Schritten zur richtigen Rechtsgrundlage

Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie die richtige Rechtsgrundlage für Ihre Verarbeitungstätigkeit ermitteln.

Schritt 1: Holen Sie einen Spezialisten an Bord – schneller geht es nicht!

Zunächst holen Sie sich einen Spezialisten, der seit vielen Jahren nichts anderes macht. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen werden die erforderlichen Informationen abgefragt, um die korrekte Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu ermitteln.

Doch Vorsicht: Nicht jede Rechtsgrundlage ist gleichermaßen geeignet. Sie werden feststellen, wenn Sie sich mit dem Thema näher befassen, dass teilweise nur eine Rechtsgrundlage sinnvoll verwendet werden kann. 

Beachten Sie die Nachweispflichten Ihres Unternehmens!

Wird eine Rechtsgrundlage nicht oder nicht richtig festgelegt, ergibt sich automatisch eine Ordnungswidrigkeit. Personen, die sich mit diesem Thema noch nicht richtig auskennen, begehen oft folgenschwere Fehler. Die Rechtsgrundlage stellt somit das Fundament der Datenverarbeitung dar.

Schritt 2: Festlegung der richtigen Rechtsgrundlagen im Datenschutz!

Nach den Vorgaben der DSGVO ist eine Verarbeitung personenbezogener Daten üblicherweise nur rechtmäßig, wenn eine der nachstehenden sechs Bedingungen erfüllt ist:

  1. Die betroffene Person willigt in die Verarbeitung der sie betreffenden Daten für einen oder mehrere Zwecke ein.
  2. Die Verarbeitung ist für die von der betroffenen Person initiierte Anbahnung oder Durchführung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich.
  3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung der verantwortlichen Stelle erforderlich.
  4. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  5. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  6. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder Dritten erforderlich, sofern nicht die Interessen oder Grundrechte oder Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Um das Thema Rechtsgrundlagen im Datenschutz näher zu erläutern, finden Sie hier ein kleines Beispiel zum Thema Bewerbermanagement. Klicken Sie auf das jeweilige Kästchen, um sich die korrekte Rechtsgrundlage anzeigen zu lassen.

Direkte (Initiativ)bewerbung bei einem Unternehmen.

Sie erhalten eine Initiativbewerbung oder eine Bewerbung aufgrund einer Stellenanzeige auf Ihrer Website Bewerbungsunterlagen.

Anbahnung oder Durchführung eines Vertrages.

Die Verarbeitung ist für die von der betroffenen Person initiierte Anbahnung oder Durchführung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich. Die Rechtsgrundlage ist Art. 6 Abs. 1. S. 1 Buchst. b) DSGVO i. V. m. Art. 88 DSGVO i. V. m. §26 Bundesdatenschutzgesetz.

Aufnahme in den Talentpool nach der Absage.

Das Bewerbungsverfahren wurde durchgeführt. Sie möchten gerne einige Bewerber in Ihren Bewerberpool aufnehmen, um zu einem späteren Zeitpunkt wieder Kontakt aufzunehmen.

Einwilligung der betroffenen Person

Die betroffene Person willigt in die Verarbeitung der sie betreffenden Daten für einen oder mehrere Zwecke ein. Die Rechtsgrundlage ist Art. 6 Abs. 1. S. 1 Buchst. a) DSGVO i. V. m. Art. 7 DSGVO.

Erstattung der Reisekosten der Bewerber

Im Rahmen der Bewerbung bieten Sie den Bewerbern mit einer langen Anreise an, die Reisekosten zu übernehmen.

Vertragliche und rechtliche Verpflichtung

Die Verarbeitung ist vertraglich Art. 6 Abs. 1. S. 1 Buchst. b) + rechtlich Buchst. c) erforderlich. Sie dürfen zusätzliche Daten verarbeiten, um den Zweck durchzuführen. Nach Ablauf der Aufbewahrungspflichten löschen Sie die Daten.

Übermittlung in der Unternehmensgruppe

Übermittlungen in der Unternehmensgruppe, um die Chancen der Bewerber zu erhöhen. Mit der Weiterleitung der Bewerbung unterstützen Sie ggf. weitere Unternehmen in der Unternehmensgruppe bei geeigneten Bewerbern.

Einwilligung oder Interessenabwägung

Die Verarbeitung erfolgt aufgrund der Einwilligung ist Art. 6 Abs. 1. S. 1 Buchst. a) DSGVO i. V. m. Art. 7 DSGVO oder im Rahmen einer Interessabwägung gem. Art. 6 Abs. 1. S. 1 Buchst. f) DSGVO. Wählen Sie eine der Rechtsgrundlagen und informieren die Bewerber vorab.

Schritt 3: Dokumentieren Sie die Rechtsgrundlagen im Datenschutz!

Wie bereits erwähnt, ist die Dokumentation der Rechtsgrundlage erforderlich. Ich empfehle die Dokumentation im Verzeichnis der Verarbeitungstätigkeiten, auch wenn es dazu im Gesetz nicht konkret angegeben ist. Spätestens in den Informationspflichten und der Pflicht auf Auskunft für die betroffenen Personen müssen Sie den betroffenen Personen mitteilen, aufgrund welcher Rechtsgrundlage die Daten verarbeitet werden.

Legen Sie auch im Datenschutz-Handbuch fest, wer für welche Dokumentation im Unternehmen zuständig ist. Hinterlegen Sie auch, aufgrund welcher konkreten gesetzlichen Verpflichtung Sie die Datenverarbeitung durchführen müssen. 

Versionieren Sie die von Ihnen erstellten Einwilligungen oder Interessenabwägungen, damit Sie nachweisen können, welche Einwilligung Sie wann für welche betroffenen Personen eingeholt haben und ob diese überhaupt noch gültig sind.

Schritt 4: Regelmäßige Aktualisierung der Rechtsgrundlagen im DAtenschutz!

Sie müssen jetzt noch einen Prozess einrichten, um nachweisen zu können, dass Ihre damals gewählte Rechtsgrundlage noch immer aktuell sind. Beispiel: Bei manchen Videoüberwachungsschildern von nicht-öffentlichen Unternehmen findet man häufig noch die Information, dass die Datenverarbeitung aufgrund der Rechtsgrundlage „§ 4 Bundesdatenschutzgesetz“ erfolgt. Nach einem Urteil des BVerwG (6C 1.18, RN.47) von 2019 ist die Verarbeitung für nicht-öffentliche Unternehmen gem. § 4 BDSG  aber nicht zulässig, da die DSGVO bereits abschließend gilt. Die Folge ist die Anpassung aller Videoüberwachungsschilder im Unternehmen und in den sonstigen Dokumenten. Mein Tipp: Prüfen Sie daher die Rechtsgrundlage immer zusammen mit dem Verzeichnis der Verarbeitungstätigkeiten.

Schauen Sie auch bei anderen mal auf die Datenschutzhinweise

Sofern Sie unsicher sind, ob Sie die richtige Rechtsgrundlage gewählt haben, schauen Sie doch einmal bei der Konkurrenz zum Beispiel auf der Website. Dann erhalten Sie ein gutes Gefühl, wo Sie im Prozess stehen und ob Sie transparenter informieren.

Rechtsgrundlage – Das sollten Sie noch beachten!

Bei den Einwilligungen, der Interessenabwägung und der Verarbeitung besonderer personenbezogener Daten sind weitere diverse Punkte zu beachten. 

Grundsätzlich gilt: Je umfangreicher und komplexer die Geschäfts­prozesse sind, desto wichtiger wird es, die Rechtsgrundlagen fachgerecht zu erstellen. Die Verarbeitung personenbezogener Daten für die reine Anbahnung und Durchführung von Verträgen ist recht simpel und braucht wenig Fachwissen. Koppeln Sie jedoch zum Beispiel eine Kundenrückgewinnungsklausel inkl. einer späteren Kontaktaufnahme per E-Mail oder Telefon an den Vertrag, sieht das Ganze schon anders aus.

Sie wollen Ihr Zutrittssystem alternativ mit einem biometrischen Fingerabdruck Ihrer Beschäftigten ergänzen oder Sie wollen für Ihren Fuhrpark ein GPS-System mit Überwachung des Fahrverhaltens koppeln, um Geld zu sparen und die Touren zu optimieren? Sie möchten zukünftig die Bewerbungsgespräche per Microsoft Teams in einem Drittland als einzige Bewerbungsmethode einsetzen, um Zeit und Aufwand zu sparen? Die Marketing-Abteilung möchte hochwertige Foto- und Filmaufnahmen von Beschäftigten erstellen, die in Social Media-Auftritten verwenden werden sollen? Das Facilitymanagement möchte eine Videoüberwachungsanlage installieren und es ist notwendig, dass dabei Beschäftigte bei der Arbeit mit Kunden aufgenommen werden?

Je sensibler die Datenverarbeitung – desto genauer sollten Sie sein!

Die Verarbeitung besonderer personenbezogener Daten wie zum Beispiel

  • – Gesundheit
  • – Rasse, ethnische Herkunft
  • – politische Meinung,
  • – religiöse oder weltanschauliche Überzeugungen,
  • – biometrische oder genetische Daten oder
  • – Daten zum Sexualleben

benötigen Ihre volle Aufmerksamkeit. 

Weitere Vorgehensweise beim Datenschutz

Sorgfältig prüfen sollten Sie  Datenverarbeitungen mit lebenslang gültigen Kennungen (Personalausweis- oder Sozialversicherungsnummer) oder Profilbildungen, die persönliche Aspekte analysieren und vorhersagen, wie zum Beispiel

  • – Arbeitsleistung,
  • – wirtschaftliche Lage,
  • – Gesundheit,
  • – persönliche Vorlieben oder Interessen,
  • – Zuverlässigkeit oder Verhalten sowie
  • – Aufenthaltsorte oder Ortsangaben 

Der Schutzbedarf dieser Daten und der wahrscheinliche Schaden bei einem Verlust der Schutzziele ist deutlich höher.

Sie benötigen Unterstützung bei der Bestimmung der Rechtsgrundlagen? Melden Sie sich gerne.

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

fachkundenachweis-niehoff (Benutzerdefiniert)

Weitere Details zu den Rechtsgrundlagen

Die Einwilligung

Die Einwilligung ist eine zentrale Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Sie ist aber nur dann gültig, wenn diese unter anderem freiwillig und informiert erfolgt. Als unmissverständlich abgegebene Willenserklärung, die von dem jeweiligen Betroffenen direkt und aktiv eingeholt werden muss, bringt die Einwilligung einige Hürden mit sich. Dies gilt insbesondere im Arbeitsverhältnis, wenn die Beschäftigten Nachteile befürchten müssen, wenn die Einwilligung nicht erteilt wird.

Ist die Einwilligung nicht gültig, müssen die Daten der betroffenen Personen für die Zwecke gelöscht werden, für die die Einwilligung gelten sollte. Auch ältere Einwilligungen sind zu prüfen, ob die Vorgaben der DSGVO eingehalten werden, zum Beispiel ob der Hinweis auf die Möglichkeit des Widerrufes in der Einwilligung enthalten war.

Auf der rechten Seite finden Sie die wesentlichen Merkmale der Einwilligung. Bei der Verarbeitung besonderer personenbezogener Daten müssen weitere Vorgaben berücksichtigt werden.

Die Interessenabwägung

Die Verarbeitung personenbezogener Daten aufgrund einer Interessenabwägung (nicht-öffentliche Unternehmen) ist dann rechtmäßig, wenn

  • – diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind und
  • – diese zur Erreichung der Zwecke des Verantwortlichen erforderlich sind und es keine milderen, gleich wirksamen Mittel gibt und
  • – die Interessen nicht den Grundrechten und -freiheiten der betroffenen Personen überwiegen.

Berechtigte Interessen sind zum Beispiel 

  • – bestehende Geschäftsbeziehung, zum Beispiel ein Kunden- oder Arbeitsverhältnis
  • – Direktwerbung
  • – Übermittlung in der Unternehmensgruppe für interne Verwaltungszwecke
  • – Netz- und Informationssicherheit
  • – wissenschaftliche, historische und statistische Zwecke
  • – Marktforschungszwecke
  • – politische Kampagnen zur Information der Bevölkerung
  • – Ausübung des Rechts auf Meinungsfreiheit

Die Dokumentation der Rechts­grundlage „Interessen­abwägung“ kann je nach Datenverarbeitung sehr aufwändig sein. Am Ende kann als Resultat herauskommen, dass die Daten­verarbeitung nicht ausgeglichen und fair ist und nicht rechtskonform betrieben werden kann. Finden Sie hier eine Auswahl von Aspekten, die Sie in der Dokumentation der dreistufigen Interessen­abwägung aus Sicht der betroffenen Personen berücksichtigen sollten:

Kontinuierliche Verbesserung

Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, lernen und anpassen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unter­nehmens permanent infrage und startet im Unternehmen einen wieder­kehrenden Regelkreis zur Verbess­erung der Abläufe und Prozesse.

Etablieren Sie auch bei den Rechtsgrundlagen einen stetigen Verbesserungsprozess durch regel­mäßige Aktualisierungen. Sinnvollerweise erfolgt dies gleichzeitig mit dem Verzeichnis der Verarbeitungstätigkeiten.

Sie benötigen Unterstützung bei der Rechtsgrundlage der Datenverarbeitung?

Plan

Planung der Verarbeitungstätigkeit und Festlegung der Rechtsgrundlage pro Zweck, Prüfung der Rechtmäßigkeit.

Do

Gestaltung von Verträgen und Einwilligungen sowie Dokumentation der Rechtsgrundlage in allen relevanten Bereichen.

Act

Aktualisierung und Anpassung der Rechtsgrundlagen und der entsprechenden Dokumente.

Check

Prüfung der Aktualität und Richtigkeit der Rechsgrundlagen

Leistungen

Bei den meisten Geschäftsprozessen werden personenbezogene Daten verarbeitet. Finden Sie hier meine Dienstleistungen, die ich Unternehmen auch in Buchholz in der Nordheide seit vielen Jahren zur Verfügung stelle. 

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

Clever sein – Rechtsgrundlagen effizient und praxisnah gestalten

Ich unterstütze Sie bei der gesetzeskonformen Erstellung Ihrer Verarbeitungstätigkeiten. Nutzen Sie meine mehrjährige Expertise, um zügig die richtigen Rechtsgrundlagen zu ermitteln.

Buchen Sie ein entsprechendes Modul oder meine punktuelle Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen. 

Als Datenschutzbeauftragter ist die Unterstützung bei der Erstellung des Rechtsgrundlagen fester Bestandteil.

10 Fragen zu den Rechtsgrundlagen

Jedes Unter­nehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, pro Verarbeitungstätigkeit und Zweck eine korrekte Rechtsgrundlage zu ermitteln und anzuwenden. Bei diesem Thema gibt es viel Unsicherheit. Finden Sie hier ein paar Antworten auf die häufigsten Fragen:

Unternehmen dürfen grundsätzlich keine personenbezogenen Daten verarbeiten. Wenn Sie jedoch eine korrekte Rechtsgrundlage haben, wird dies als Erlaubnis gewertet und ist zulässig. Beispiele:

  • - mit einer Einwilligung der betroffenen Personen
  • - bei Bestehen einer vertraglichen Verpflichtung (ein Vertrag zwischen Ihrem Unternehmen und der betroffenen Person)
  • - bei Bestehen einer rechtlichen Verpflichtung der verantwortlichen Stelle, wie zum Beispiel Steuergesetze, Arbeitszeitgesetz, Sozialgesetzbuch, Mutterschutzgesetz, Entgeltfortzahlungsgesetz oder Arbeitsschutzgesetz.
  • - bei Bestehen eines berechtigten Interesses und Berücksichtigung der Rechte der betroffenen Person

Der Verantwortliche muss sich je Zweck einer Datenverarbeitung auf eine Rechtsgrundlage festlegen. Ein Wechsel der Datenverarbeitung aufgrund einer möglichen Nicht-Konformität oder die Nennung aller Rechtsgrundlagen gegenüber den betroffenen Personen würde bei einer Prüfung als nicht transparent angesehen werden. Wie oben beschrieben können jedoch unterschiedliche Rechtsgrundlagen für mehrere Zwecke erforderlich sein.

Eine Betriebs- oder Dienstvereinbarung kann als Rechtsgrundlage herangezogen werden. Dabei dürfen jedoch die Vorgaben der DSGVO, insbesondere die Datenschutz-Grundsätze, wie zum Beispiel Datenminimierung, Speicherbegrenzung oder Zweckbindung nicht außer Acht gelassen werden. Das Datenschutzniveau darf durch diese Kollektivvereinbarungen nicht unterschritten werden. 

Bei einer Einwilligung der betroffenen Personen in die Verarbeitung ihrer personenbezogenen Daten sollen diese in die Lage versetzt werden, über ihr Grundrecht zu verfügen. Das kann aber nur gelingen, wenn die Einwilligung freiwillig ist, aktiv und transparent erfolgt. 

Die Einwilligung muss in informierter Weise erfolgen, transparent und verständlich sein. Außerdem muss die betroffene Person darüber informiert werden, wer der Verantwortliche ist und zu welchen Zwecken die personenbezogenen Daten verarbeitet werden sollen (eine oder mehrere Zwecke). Die Einwilligung muss zeitlich vor der Datenverarbeitung erfolgen.

Nein, die Einwilligung muss immer vor der Datenverarbeitung eingeholt werden.

Es gibt kein grundsätzliches Ablaufdatum einer Einwilligung, es sei denn, mit der Einwilligung (zum Beispiel für einen Bewerberpool) ist ein Ablaufdatum verbunden.

Hier vertreten Aufsichtsbehörden teilweise eine eigene Rechtsauffassung. In dem Urteil vom BGH (Urteil vom 1.2.2018, Az.: III ZR 196/17, Randnummer 30) wird bestätigt: "...eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese - ebenso wie eine Einwilligung nach § 183 BGB - grundsätzlich nicht allein durch Zeitablauf erlischt".

Folgende Datenverarbeitungen benötigen üblicherweise keine Einwilligung:

  • - Kauf- oder Kreditvertrag mit dem Betroffenen
  • - Arbeits- oder Mietvertrag mit dem Betroffenen
  • - Mandat beim Anwalt: Dieser darf dann aufgrund seiner Funktion als Dritter sogar nicht nur Ihre, sondern auch die personenbezogenen Daten Dritter ohne deren Einwilligung verarbeiten und sogar ggf. an das Gericht übermitteln, sofern sie für die Vertretung erforderlich sind.
  • - Ärzte: Sie sind befugt, Gesundheitsdaten Ihrer Patienten zu erheben, die für die Behandlung sowie Diagnose benötigt werden.
  • - Polizisten und andere Ermittlungsbehörden: Sie dürfen personenbezogene Daten verarbeiten, die für die Erfüllung der hoheitlichen Aufgaben erforderlich sind.
  • - Mahnung: Kommt ein Vertragspartner seinen Verpflichtungen nicht nach, dürfen die Anbieter auch mahnen, ohne dass der Betroffene der Nutzung seiner Daten zu diesem Zwecke zugestimmt hätte.

Eine Interessenabwägung ist ein Vergleich zwischen den Interessen der verantwortlichen Stelle und den Interessen eines Betroffenen. Hierbei muss nachweislich abgewogen werden, ob die einen Interessen die anderen überwiegen und ob im Fazit eine Datenverarbeitung stattfinden darf. Mehr Informationen dazu finden Sie im oberen Bereich der Seite.

Die Erstellung einer Interessenabwägung ist stark abhängig von der Komplexität der Datenverarbeitung. Je intensiver die Datenverarbeitung in die Rechte und Freiheiten der betroffenen Personen eingreift, desto umfangreicher wird die Dokumentation sein.

Es kann auch sein, dass nach Abwägung der beidseitigen Interessen und der Erforderlichkeit der Datenverarbeitung die Rechtsgrundlage bei einer Prüfung der Aufsichtsbehörde als nicht rechtskonform angesehen wird.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Verarbeitungstätigkeiten und Rechtsgrundlagen sprechen.

kontakt-niehoff-systemberatung

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.