Pra­xis­na­he Umset­zung seit 2013

Ihr Exper­te für Daten­schutz und Informationssicherheit

Rechts­grund­la­gen im Datenschutz

Rechts­grund­la­gen im Daten­schutz: Kön­nen Sie die­se 8 Fra­gen beantworten? 

Rechts­grund­la­gen: Der Überblick

Ein­lei­tung

In der Daten­schutz-Grund­ver­ord­nung wur­de fest­ge­legt, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten grund­sätz­lich ver­bo­ten ist. Es sei denn, der Ver­ant­wort­li­che hat eine kor­rek­te Rechts­grund­la­ge fest­ge­legt, die die Anfor­de­run­gen der Daten­schutz-Grund­ver­ord­nung oder ggf. wei­te­rer natio­na­ler Daten­schutz­ge­set­ze (zum Bei­spiel Bun­des­da­ten­schutz­ge­setz) erfüllt.

Die Daten­schutz-Grund­ver­ord­nung sieht meh­re­re Rechts­grund­la­gen vor, die für den jewei­li­gen Zweck der Daten­ver­ar­bei­tung mehr oder weni­ger geeig­net sind.

Wel­che Rechts­grund­la­gen sich für wel­che Zwe­cke eig­nen und wo die Rechts­grund­la­gen doku­men­tiert wer­den? Auf die­ser Sei­te fin­den Sie Ant­wor­ten auf (fast) alle Fragen.

Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine pass­ge­naue Umset­zung neh­men Sie ger­ne Kon­takt auf.

Rechts­grund­la­ge: Die ein­zel­nen Erlaubnistatbestände

Nach den Vor­ga­ben der Daten­schutz-Grund­ver­ord­nung muss jede Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten auf einer Rechts­grund­la­ge basie­ren. Dabei muss der Ver­ant­wort­li­che vor­ab über­le­gen, war­um er über­haupt per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet darf. Der Gesetz­ge­ber hat meh­re­re Erlaub­nis­tat­be­stän­de fest­ge­legt, die alle mehr oder weni­ger für die Recht­fer­ti­gung geeig­net sind.

Beach­ten Sie mög­li­che Sanktionen!

Was ist, wenn die Daten­ver­ar­bei­tung nicht mit einer kor­rek­ten Rechts­grund­la­ge begrün­det wer­den kann? Die Auf­sichts­be­hör­de kann dann den jewei­li­gen Geschäfts­pro­zess unter­sa­gen oder Geld­bu­ßen ver­hän­gen.

Die Höhe vari­iert von Unter­neh­men und dem Risi­ko der Ver­ar­bei­tung, aber Ver­feh­lun­gen kön­nen schnell recht teu­er wer­den (4% vom Vorjahres­umsatz oder 20.000.000 Euro, je nach­dem was höher ist). Aber so weit wird es hof­fent­lich nicht kommen.

REchts­grund­la­ge: Wofür soll das gut sein?

Der Gesetz­ge­ber hat vor­ge­se­hen, dass sich das jewei­li­ge Unter­neh­men vor der Ver­ar­bei­tung inten­si­ve Gedan­ken machen muss, war­um er per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten darf und für wel­che Zwecke.

Die Rechts­grund­la­gen zum Daten­schutz müs­sen kon­kret für die jewei­li­gen Zwe­cke den betrof­fe­nen Per­so­nen genannt wer­den, damit die­se Ihr Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung wahr­neh­men kön­nen. Denn nur wenn bekannt ist, wel­che Mög­lich­kei­ten der Betrof­fe­ne hat, um sei­ne Rech­te wahr­zu­neh­men, kann ent­spre­chend gehan­delt werden. 

In man­chen Daten­schutz­hin­wei­sen fin­det man eine Auf­zäh­lung sämt­li­cher Rechts­grund­la­gen, ohne auf die kon­kre­ten Zwe­cke der Ver­ar­bei­tung ein­zu­ge­hen. Man­che Unter­neh­men ver­wen­den für ein und den­sel­ben Zweck zwei Rechts­grund­la­gen gleich­zei­tig — Bei­spiels­wei­se Ein­wil­li­gung und das berech­tig­te Inter­es­se beim Con­sent-Ban­ner. Dies ver­stößt grund­sätz­lich gegen die Vor­ga­be der Trans­pa­renz und ist zu unterlassen.

Den­ken Sie an die Folgeaufgaben!

Die Fest­le­gung der Rechts­grund­la­gen im Daten­schutz ist die wich­tigs­te Vor­ar­beit in der Pla­nung von Geschäfts­pro­zes­sen, in denen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den. Wird die­se Auf­ga­be nicht kor­rekt durch­ge­führt, kön­nen alle fol­gen­den Schrit­te eben­falls nicht rechts­kon­form erfol­gen. Die meis­ten Ver­stö­ße gegen die Daten­schutz-Grund­ver­ord­nung erge­ben sich aus einer feh­ler­haf­ten Fest­le­gung der Rechtsgrundlage.

Prüf­fra­gen für die Geschäftsleitung

Fra­gen Sie sich als Ver­tre­tung der Geschäfts­lei­tung: Machen wir im Daten­schutz alles rich­tig? Dann stel­len Sie Ihrem Per­so­nal oder dem Daten­schutz­be­auf­trag­ten die fol­gen­den Fra­gen und las­sen sich ent­spre­chen­de Nach­wei­se vorlegen.

compliance-im-datenschutz

Sie ken­nen das The­ma bereits, benö­ti­gen aber mehr Details? Hier erhal­ten Sie mehr Infor­ma­tio­nen für die Erstel­lung von Rechts­grund­la­gen im Datenschutz

Sie wol­len in 4 Schrit­ten zur kor­rek­ten Rechts­grund­la­ge bei der Daten­ver­ar­bei­tung? Fin­den Sie hier wei­te­re Informationen.

Sie wün­schen eine direk­te Kon­takt­auf­nah­me und haben ein paar Fra­gen, die ggf. schnell beant­wor­tet wer­den können?

In 4 Schrit­ten zur rich­ti­gen Rechtsgrundlage

Nach­fol­gend zei­ge ich Ihnen die 4 Schrit­te, wie Sie die rich­ti­ge Rechts­grund­la­ge für Ihre Ver­ar­bei­tungs­tä­tig­keit ermitteln.

Schritt 1: Holen Sie einen Spe­zia­lis­ten an Bord – schnel­ler geht es nicht!

Zunächst holen Sie sich einen Spe­zia­lis­ten, der seit vie­len Jah­ren nichts ande­res macht. Mit einem gerin­gen Zeit­auf­wand bei Ihren inter­nen Fach­be­rei­chen wer­den die erfor­der­li­chen Infor­ma­tio­nen abge­fragt, um die kor­rek­te Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu ermitteln.

Doch Vor­sicht: Nicht jede Rechts­grund­la­ge ist glei­cher­ma­ßen geeig­net. Sie wer­den fest­stel­len, wenn Sie sich mit dem The­ma näher befas­sen, dass teil­wei­se nur eine Rechts­grund­la­ge sinn­voll ver­wen­det wer­den kann. 

Beach­ten Sie die Nach­weis­pflich­ten Ihres Unternehmens!

Wird eine Rechts­grund­la­ge nicht oder nicht rich­tig fest­ge­legt, ergibt sich auto­ma­tisch eine Ord­nungs­wid­rig­keit. Per­so­nen, die sich mit die­sem The­ma noch nicht rich­tig aus­ken­nen, bege­hen oft fol­gen­schwe­re Feh­ler. Die Rechts­grund­la­ge stellt somit das Fun­da­ment der Daten­ver­ar­bei­tung dar.

Schritt 2: Fest­le­gung der rich­ti­gen Rechts­grund­la­gen im Datenschutz!

Nach den Vor­ga­ben der DSGVO ist eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten übli­cher­wei­se nur recht­mä­ßig, wenn eine der nach­ste­hen­den sechs Bedin­gun­gen erfüllt ist:

  1. Die betrof­fe­ne Per­son wil­ligt in die Ver­ar­bei­tung der sie betref­fen­den Daten für einen oder meh­re­re Zwe­cke ein.
  2. Die Ver­ar­bei­tung ist für die von der betrof­fe­nen Per­son initi­ier­te Anbah­nung oder Durch­füh­rung eines Ver­trags, des­sen Ver­trags­par­tei die betrof­fe­ne Per­son ist, erforderlich.
  3. Die Ver­ar­bei­tung ist zur Erfül­lung einer recht­li­chen Ver­pflich­tung der ver­ant­wort­li­chen Stel­le erforderlich.
  4. Die Ver­ar­bei­tung ist erfor­der­lich, um lebens­wich­ti­ge Inter­es­sen der betrof­fe­nen Per­son oder einer ande­ren natür­li­chen Per­son zu schützen.
  5. Die Ver­ar­bei­tung ist für die Wahr­neh­mung einer Auf­ga­be erfor­der­lich, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wurde.
  6. Die Ver­ar­bei­tung ist zur Wah­rung der berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen oder Drit­ten erfor­der­lich, sofern nicht die Inter­es­sen oder Grund­rech­te oder Grund­frei­hei­ten der betrof­fe­nen Per­son, die den Schutz per­so­nen­be­zo­ge­ner Daten erfor­dern, überwiegen.

Um das The­ma Rechts­grund­la­gen im Daten­schutz näher zu erläu­tern, fin­den Sie hier ein klei­nes Bei­spiel zum The­ma Bewer­ber­ma­nage­ment. Kli­cken Sie auf das jewei­li­ge Käst­chen, um sich die kor­rek­te Rechts­grund­la­ge anzei­gen zu lassen.

Direk­te (Initiativ)bewerbung bei einem Unternehmen. 

Sie erhal­ten eine Initia­tiv­be­wer­bung oder eine Bewer­bung auf­grund einer Stel­len­an­zei­ge auf Ihrer Web­site Bewerbungsunterlagen. 

Anbah­nung oder Durch­füh­rung eines Vertrages. 

Die Ver­ar­bei­tung ist für die von der betrof­fe­nen Per­son initi­ier­te Anbah­nung oder Durch­füh­rung eines Ver­trags, des­sen Ver­trags­par­tei die betrof­fe­ne Per­son ist, erfor­der­lich. Die Rechts­grund­la­ge ist Art. 6 Abs. 1. S. 1 Buchst. b) DSGVO i. V. m. Art. 88 DSGVO i. V. m. §26 Bundesdatenschutzgesetz. 

Auf­nah­me in den Talent­pool nach der Absage. 

Das Bewer­bungs­ver­fah­ren wur­de durch­ge­führt. Sie möch­ten ger­ne eini­ge Bewer­ber in Ihren Bewer­ber­pool auf­neh­men, um zu einem spä­te­ren Zeit­punkt wie­der Kon­takt aufzunehmen. 

Ein­wil­li­gung der betrof­fe­nen Person 

Die betrof­fe­ne Per­son wil­ligt in die Ver­ar­bei­tung der sie betref­fen­den Daten für einen oder meh­re­re Zwe­cke ein. Die Rechts­grund­la­ge ist Art. 6 Abs. 1. S. 1 Buchst. a) DSGVO i. V. m. Art. 7 DSGVO. 

Erstat­tung der Rei­se­kos­ten der Bewerber 

Im Rah­men der Bewer­bung bie­ten Sie den Bewer­bern mit einer lan­gen Anrei­se an, die Rei­se­kos­ten zu übernehmen. 

Ver­trag­li­che und recht­li­che Verpflichtung 

Die Ver­ar­bei­tung ist ver­trag­lich Art. 6 Abs. 1. S. 1 Buchst. b) + recht­lich Buchst. c) erfor­der­lich. Sie dür­fen zusätz­li­che Daten ver­ar­bei­ten, um den Zweck durch­zu­füh­ren. Nach Ablauf der Auf­be­wah­rungs­pflich­ten löschen Sie die Daten. 

Über­mitt­lung in der Unternehmensgruppe 

Über­mitt­lun­gen in der Unter­neh­mens­grup­pe, um die Chan­cen der Bewer­ber zu erhö­hen. Mit der Wei­ter­lei­tung der Bewer­bung unter­stüt­zen Sie ggf. wei­te­re Unter­neh­men in der Unter­neh­mens­grup­pe bei geeig­ne­ten Bewerbern. 

Ein­wil­li­gung oder Interessenabwägung 

Die Ver­ar­bei­tung erfolgt auf­grund der Ein­wil­li­gung ist Art. 6 Abs. 1. S. 1 Buchst. a) DSGVO i. V. m. Art. 7 DSGVO oder im Rah­men einer Inter­essab­wä­gung gem. Art. 6 Abs. 1. S. 1 Buchst. f) DSGVO. Wäh­len Sie eine der Rechts­grund­la­gen und infor­mie­ren die Bewer­ber vorab. 

Schritt 3: Doku­men­tie­ren Sie die Rechts­grund­la­gen im Datenschutz!

Wie bereits erwähnt, ist die Doku­men­ta­ti­on der Rechts­grund­la­ge erfor­der­lich. Ich emp­feh­le die Doku­men­ta­ti­on im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten, auch wenn es dazu im Gesetz nicht kon­kret ange­ge­ben ist. Spä­tes­tens in den Infor­ma­ti­ons­pflich­ten und der Pflicht auf Aus­kunft für die betrof­fe­nen Per­so­nen müs­sen Sie den betrof­fe­nen Per­so­nen mit­tei­len, auf­grund wel­cher Rechts­grund­la­ge die Daten ver­ar­bei­tet werden.

Legen Sie auch im Daten­schutz-Hand­buch fest, wer für wel­che Doku­men­ta­ti­on im Unter­neh­men zustän­dig ist. Hin­ter­le­gen Sie auch, auf­grund wel­cher kon­kre­ten gesetz­li­chen Ver­pflich­tung Sie die Daten­ver­ar­bei­tung durch­füh­ren müssen. 

Ver­sio­nie­ren Sie die von Ihnen erstell­ten Ein­wil­li­gun­gen oder Inter­es­sen­ab­wä­gun­gen, damit Sie nach­wei­sen kön­nen, wel­che Ein­wil­li­gung Sie wann für wel­che betrof­fe­nen Per­so­nen ein­ge­holt haben und ob die­se über­haupt noch gül­tig sind.

Schritt 4: Regel­mä­ßi­ge Aktua­li­sie­rung der Rechts­grund­la­gen im DAtenschutz!

Sie müs­sen jetzt noch einen Pro­zess ein­rich­ten, um nach­wei­sen zu kön­nen, dass Ihre damals gewähl­te Rechts­grund­la­ge noch immer aktu­ell sind. Bei­spiel: Bei man­chen Video­über­wa­chungs­schil­dern von nicht-öffent­li­chen Unter­neh­men fin­det man häu­fig noch die Infor­ma­ti­on, dass die Daten­ver­ar­bei­tung auf­grund der Rechts­grund­la­ge „§ 4 Bun­des­da­ten­schutz­ge­setz“ erfolgt. Nach einem Urteil des BVerwG (6C 1.18, RN.47) von 2019 ist die Ver­ar­bei­tung für nicht-öffent­li­che Unter­neh­men gem. § 4 BDSG  aber nicht zuläs­sig, da die DSGVO bereits abschlie­ßend gilt. Die Fol­ge ist die Anpas­sung aller Video­über­wa­chungs­schil­der im Unter­neh­men und in den sons­ti­gen Doku­men­ten. Mein Tipp: Prü­fen Sie daher die Rechts­grund­la­ge immer zusam­men mit dem Ver­zeich­nis der Verarbeitungstätigkeiten.

Schau­en Sie auch bei ande­ren mal auf die Datenschutzhinweise

Sofern Sie unsi­cher sind, ob Sie die rich­ti­ge Rechts­grund­la­ge gewählt haben, schau­en Sie doch ein­mal bei der Kon­kur­renz zum Bei­spiel auf der Web­site. Dann erhal­ten Sie ein gutes Gefühl, wo Sie im Pro­zess ste­hen und ob Sie trans­pa­ren­ter informieren.

Rechts­grund­la­ge – Das soll­ten Sie noch beachten!

Bei den Ein­wil­li­gun­gen, der Inter­es­sen­ab­wä­gung und der Ver­ar­bei­tung beson­de­rer per­so­nen­be­zo­ge­ner Daten sind wei­te­re diver­se Punk­te zu beachten. 

Grund­sätz­lich gilt: Je umfang­rei­cher und kom­ple­xer die Geschäfts­prozesse sind, des­to wich­ti­ger wird es, die Rechts­grund­la­gen fach­ge­recht zu erstel­len. Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für die rei­ne Anbah­nung und Durch­füh­rung von Ver­trä­gen ist recht sim­pel und braucht wenig Fach­wis­sen. Kop­peln Sie jedoch zum Bei­spiel eine Kun­den­rück­ge­win­nungs­klau­sel inkl. einer spä­te­ren Kon­takt­auf­nah­me per E‑Mail oder Tele­fon an den Ver­trag, sieht das Gan­ze schon anders aus.

Sie wol­len Ihr Zutritts­sys­tem alter­na­tiv mit einem bio­me­tri­schen Fin­ger­ab­druck Ihrer Beschäf­tig­ten ergän­zen oder Sie wol­len für Ihren Fuhr­park ein GPS-Sys­tem mit Über­wa­chung des Fahr­ver­hal­tens kop­peln, um Geld zu spa­ren und die Tou­ren zu opti­mie­ren? Sie möch­ten zukünf­tig die Bewer­bungs­ge­sprä­che per Micro­soft Teams in einem Dritt­land als ein­zi­ge Bewer­bungs­me­tho­de ein­set­zen, um Zeit und Auf­wand zu spa­ren? Die Mar­ke­ting-Abtei­lung möch­te hoch­wer­ti­ge Foto- und Film­auf­nah­men von Beschäf­tig­ten erstel­len, die in Social Media-Auf­trit­ten ver­wen­den wer­den sol­len? Das Faci­li­ty­ma­nage­ment möch­te eine Video­über­wa­chungs­an­la­ge instal­lie­ren und es ist not­wen­dig, dass dabei Beschäf­tig­te bei der Arbeit mit Kun­den auf­ge­nom­men werden?

Je sen­si­bler die Daten­ver­ar­bei­tung — des­to genau­er soll­ten Sie sein!

Die Ver­ar­bei­tung beson­de­rer per­so­nen­be­zo­ge­ner Daten wie zum Beispiel

  • - Gesund­heit
  • - Ras­se, eth­ni­sche Herkunft
  • - poli­ti­sche Meinung,
  • - reli­giö­se oder welt­an­schau­li­che Überzeugungen,
  • - bio­me­tri­sche oder gene­ti­sche Daten oder
  • - Daten zum Sexualleben

benö­ti­gen Ihre vol­le Aufmerksamkeit. 

Weitere Vorgehensweise beim Datenschutz

Sorg­fäl­tig prü­fen soll­ten Sie  Daten­ver­ar­bei­tun­gen mit lebens­lang gül­ti­gen Ken­nun­gen (Per­so­nal­aus­weis- oder Sozi­al­ver­si­che­rungs­num­mer) oder Pro­fil­bil­dun­gen, die per­sön­li­che Aspek­te ana­ly­sie­ren und vor­her­sa­gen, wie zum Beispiel

  • - Arbeits­leis­tung,
  • - wirt­schaft­li­che Lage,
  • - Gesund­heit,
  • - per­sön­li­che Vor­lie­ben oder Interessen,
  • - Zuver­läs­sig­keit oder Ver­hal­ten sowie
  • - Auf­ent­halts­or­te oder Ortsangaben 

Der Schutz­be­darf die­ser Daten und der wahr­schein­li­che Scha­den bei einem Ver­lust der Schutz­zie­le ist deut­lich höher.

Sie benö­ti­gen Unter­stüt­zung bei der Bestim­mung der Rechts­grund­la­gen? Mel­den Sie sich gerne.

Wei­te­re Details zu den Rechtsgrundlagen

Die Ein­wil­li­gung

Die Ein­wil­li­gung ist eine zen­tra­le Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Sie ist aber nur dann gül­tig, wenn die­se unter ande­rem frei­wil­lig und infor­miert erfolgt. Als unmiss­ver­ständ­lich abge­ge­be­ne Wil­lens­er­klä­rung, die von dem jewei­li­gen Betrof­fe­nen direkt und aktiv ein­ge­holt wer­den muss, bringt die Ein­wil­li­gung eini­ge Hür­den mit sich. Dies gilt ins­be­son­de­re im Arbeits­ver­hält­nis, wenn die Beschäf­tig­ten Nach­tei­le befürch­ten müs­sen, wenn die Ein­wil­li­gung nicht erteilt wird.

Ist die Ein­wil­li­gung nicht gül­tig, müs­sen die Daten der betrof­fe­nen Per­so­nen für die Zwe­cke gelöscht wer­den, für die die Ein­wil­li­gung gel­ten soll­te. Auch älte­re Ein­wil­li­gun­gen sind zu prü­fen, ob die Vor­ga­ben der DSGVO ein­ge­hal­ten wer­den, zum Bei­spiel ob der Hin­weis auf die Mög­lich­keit des Wider­ru­fes in der Ein­wil­li­gung ent­hal­ten war.

Auf der rech­ten Sei­te fin­den Sie die wesent­li­chen Merk­ma­le der Ein­wil­li­gung. Bei der Ver­ar­bei­tung beson­de­rer per­so­nen­be­zo­ge­ner Daten müs­sen wei­te­re Vor­ga­ben berück­sich­tigt werden.

Die Inter­es­sen­ab­wä­gung

Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten auf­grund einer Inter­es­sen­ab­wä­gung (nicht-öffent­li­che Unter­neh­men) ist dann recht­mä­ßig, wenn

  • - die­se zur Wah­rung der berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen oder eines Drit­ten erfor­der­lich sind und
  • - die­se zur Errei­chung der Zwe­cke des Ver­ant­wort­li­chen erfor­der­lich sind und es kei­ne mil­de­ren, gleich wirk­sa­men Mit­tel gibt und
  • - die Inter­es­sen nicht den Grund­rech­ten und ‑frei­hei­ten der betrof­fe­nen Per­so­nen überwiegen.

Berech­tig­te Inter­es­sen sind zum Beispiel 

  • - bestehen­de Geschäfts­be­zie­hung, zum Bei­spiel ein Kun­den- oder Arbeitsverhältnis
  • - Direkt­wer­bung
  • - Über­mitt­lung in der Unter­neh­mens­grup­pe für inter­ne Verwaltungszwecke
  • - Netz- und Informationssicherheit
  • - wis­sen­schaft­li­che, his­to­ri­sche und sta­tis­ti­sche Zwecke
  • - Markt­for­schungs­zwe­cke
  • - poli­ti­sche Kam­pa­gnen zur Infor­ma­ti­on der Bevölkerung
  • - Aus­übung des Rechts auf Meinungsfreiheit

Die Doku­men­ta­ti­on der Rechts­grundlage „Interessen­abwägung“ kann je nach Daten­ver­ar­bei­tung sehr auf­wän­dig sein. Am Ende kann als Resul­tat her­aus­kom­men, dass die Daten­verarbeitung nicht aus­ge­gli­chen und fair ist und nicht rechts­kon­form betrie­ben wer­den kann. Fin­den Sie hier eine Aus­wahl von Aspek­ten, die Sie in der Doku­men­ta­ti­on der drei­stu­fi­gen Interessen­abwägung aus Sicht der betrof­fe­nen Per­so­nen berück­sich­ti­gen sollten:

Kon­ti­nu­ier­li­che Verbesserung

Ver­bes­sern bedeu­tet vor­ran­gig Pro­ble­me lösen. Pro­ble­me lösen wie­der­um heißt, ler­nen und anpas­sen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situa­ti­on des Unter­nehmens per­ma­nent infra­ge und star­tet im Unter­neh­men einen wieder­kehrenden Regel­kreis zur Verbess­erung der Abläu­fe und Prozesse.

Eta­blie­ren Sie auch bei den Rechts­grund­la­gen einen ste­ti­gen Ver­bes­se­rungs­pro­zess durch regel­mäßige Aktua­li­sie­run­gen. Sinn­vol­ler­wei­se erfolgt dies gleich­zei­tig mit dem Ver­zeich­nis der Verarbeitungstätigkeiten.

Sie benö­ti­gen Unter­stüt­zung bei der Rechts­grund­la­ge der Datenverarbeitung?

Plan

Pla­nung der Ver­ar­bei­tungs­tä­tig­keit und Fest­le­gung der Rechts­grund­la­ge pro Zweck, Prü­fung der Rechtmäßigkeit.

Do

Gestal­tung von Ver­trä­gen und Ein­wil­li­gun­gen sowie Doku­men­ta­ti­on der Rechts­grund­la­ge in allen rele­van­ten Bereichen.

Act

Aktua­li­sie­rung und Anpas­sung der Rechts­grund­la­gen und der ent­spre­chen­den Dokumente.

Check

Prü­fung der Aktua­li­tät und Rich­tig­keit der Rechsgrundlagen

Häu­fig gestell­te Fra­gen zur Rechtsgrundlagen

Jedes Unter­nehmen, wel­ches per­so­nen­be­zo­ge­ne Daten regel­mä­ßig ver­ar­bei­tet, hat die gesetz­li­che Pflicht, pro Ver­ar­bei­tungs­tä­tig­keit und Zweck eine kor­rek­te Rechts­grund­la­ge zu ermit­teln und anzu­wen­den. Bei die­sem The­ma gibt es viel Unsi­cher­heit. Fin­den Sie hier ein paar Ant­wor­ten auf die häu­figs­ten Fra­gen:

Was ist eine zuläs­si­ge Rechts­grund­la­ge, um per­so­nen­be­zo­ge­ne Daten zu verarbeiten?

Unter­neh­men dür­fen grund­sätz­lich kei­ne per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten. Wenn Sie jedoch eine kor­rek­te Rechts­grund­la­ge haben, wird dies als Erlaub­nis gewer­tet und ist zuläs­sig. Beispiele:

  • - mit einer Ein­wil­li­gung der betrof­fe­nen Personen
  • - bei Bestehen einer ver­trag­li­chen Ver­pflich­tung (ein Ver­trag zwi­schen Ihrem Unter­neh­men und der betrof­fe­nen Person)
  • - bei Bestehen einer recht­li­chen Ver­pflich­tung der ver­ant­wort­li­chen Stel­le, wie zum Bei­spiel Steu­er­ge­set­ze, Arbeits­zeit­ge­setz, Sozi­al­ge­setz­buch, Mut­ter­schutz­ge­setz, Ent­gelt­fort­zah­lungs­ge­setz oder Arbeitsschutzgesetz.
  • - bei Bestehen eines berech­tig­ten Inter­es­ses und Berück­sich­ti­gung der Rech­te der betrof­fe­nen Person
Kann eine Ver­ar­bei­tung auf meh­re­re Rechts­grund­la­gen gestützt werden?

Der Ver­ant­wort­li­che muss sich je Zweck einer Daten­ver­ar­bei­tung auf eine Rechts­grund­la­ge fest­le­gen. Ein Wech­sel der Daten­ver­ar­bei­tung auf­grund einer mög­li­chen Nicht-Kon­for­mi­tät oder die Nen­nung aller Rechts­grund­la­gen gegen­über den betrof­fe­nen Per­so­nen wür­de bei einer Prü­fung als nicht trans­pa­rent ange­se­hen wer­den. Wie oben beschrie­ben kön­nen jedoch unter­schied­li­che Rechts­grund­la­gen für meh­re­re Zwe­cke erfor­der­lich sein.

Kann die Ver­ar­bei­tung auch auf­grund einer Betriebs­ver­ein­ba­rung durch­ge­führt werden?

Eine Betriebs- oder Dienst­ver­ein­ba­rung kann als Rechts­grund­la­ge her­an­ge­zo­gen wer­den. Dabei dür­fen jedoch die Vor­ga­ben der DSGVO, ins­be­son­de­re die Daten­schutz-Grund­sät­ze, wie zum Bei­spiel Daten­mi­ni­mie­rung, Spei­cher­be­gren­zung oder Zweck­bin­dung nicht außer Acht gelas­sen wer­den. Das Daten­schutz­ni­veau darf durch die­se Kol­lek­tiv­ver­ein­ba­run­gen nicht unter­schrit­ten werden. 

Was bedeu­tet Ein­wil­li­gung des Betrof­fe­nen beim Datenschutz?

Bei einer Ein­wil­li­gung der betrof­fe­nen Per­so­nen in die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten sol­len die­se in die Lage ver­setzt wer­den, über ihr Grund­recht zu ver­fü­gen. Das kann aber nur gelin­gen, wenn die Ein­wil­li­gung frei­wil­lig ist, aktiv und trans­pa­rent erfolgt. 

Wie muss eine Ein­wil­li­gung erfolgen?

Die Ein­wil­li­gung muss in infor­mier­ter Wei­se erfol­gen, trans­pa­rent und ver­ständ­lich sein. Außer­dem muss die betrof­fe­ne Per­son dar­über infor­miert wer­den, wer der Ver­ant­wort­li­che ist und zu wel­chen Zwe­cken die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den sol­len (eine oder meh­re­re Zwe­cke). Die Ein­wil­li­gung muss zeit­lich vor der Daten­ver­ar­bei­tung erfolgen.

Kann eine Ein­wil­li­gung auch im Nach­gang ein­ge­holt werden?

Nein, die Ein­wil­li­gung muss immer vor der Daten­ver­ar­bei­tung ein­ge­holt werden.

Wie lan­ge ist eine Ein­wil­li­gung gültig?

Es gibt kein grund­sätz­li­ches Ablauf­da­tum einer Ein­wil­li­gung, es sei denn, mit der Ein­wil­li­gung (zum Bei­spiel für einen Bewer­ber­pool) ist ein Ablauf­da­tum verbunden.

Hier ver­tre­ten Auf­sichts­be­hör­den teil­wei­se eine eige­ne Rechts­auf­fas­sung. In dem Urteil vom BGH (Urteil vom 1.2.2018, Az.: III ZR 196/17, Rand­num­mer 30) wird bestä­tigt: “…eine zeit­li­che Begren­zung einer ein­mal erteil­ten Ein­wil­li­gung sieht weder die Richt­li­nie 2002/58/EG noch § 7 UWG vor. Hier­aus ergibt sich, dass die­se — eben­so wie eine Ein­wil­li­gung nach § 183 BGB — grund­sätz­lich nicht allein durch Zeit­ab­lauf erlischt”.

Wann kön­nen Daten ohne Ein­wil­li­gung erho­ben und ver­ar­bei­tet werden?

Fol­gen­de Daten­ver­ar­bei­tun­gen benö­ti­gen übli­cher­wei­se kei­ne Einwilligung:

  • - Kauf- oder Kre­dit­ver­trag mit dem Betroffenen
  • - Arbeits- oder Miet­ver­trag mit dem Betroffenen
  • - Man­dat beim Anwalt: Die­ser darf dann auf­grund sei­ner Funk­ti­on als Drit­ter sogar nicht nur Ihre, son­dern auch die per­so­nen­be­zo­ge­nen Daten Drit­ter ohne deren Ein­wil­li­gung ver­ar­bei­ten und sogar ggf. an das Gericht über­mit­teln, sofern sie für die Ver­tre­tung erfor­der­lich sind.
  • - Ärz­te: Sie sind befugt, Gesund­heits­da­ten Ihrer Pati­en­ten zu erhe­ben, die für die Behand­lung sowie Dia­gno­se benö­tigt werden.
  • - Poli­zis­ten und ande­re Ermitt­lungs­be­hör­den: Sie dür­fen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, die für die Erfül­lung der hoheit­li­chen Auf­ga­ben erfor­der­lich sind.
  • - Mah­nung: Kommt ein Ver­trags­part­ner sei­nen Ver­pflich­tun­gen nicht nach, dür­fen die Anbie­ter auch mah­nen, ohne dass der Betrof­fe­ne der Nut­zung sei­ner Daten zu die­sem Zwe­cke zuge­stimmt hätte.
Was ist eine Inter­es­sen­ab­wä­gung im Datenschutz?

Eine Inter­es­sen­ab­wä­gung ist ein Ver­gleich zwi­schen den Inter­es­sen der ver­ant­wort­li­chen Stel­le und den Inter­es­sen eines Betrof­fe­nen. Hier­bei muss nach­weis­lich abge­wo­gen wer­den, ob die einen Inter­es­sen die ande­ren über­wie­gen und ob im Fazit eine Daten­ver­ar­bei­tung statt­fin­den darf. Mehr Infor­ma­tio­nen dazu fin­den Sie im obe­ren Bereich der Seite.

Wie auf­wän­dig ist eine Interessenabwägung?

Die Erstel­lung einer Inter­es­sen­ab­wä­gung ist stark abhän­gig von der Kom­ple­xi­tät der Daten­ver­ar­bei­tung. Je inten­si­ver die Daten­ver­ar­bei­tung in die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen ein­greift, des­to umfang­rei­cher wird die Doku­men­ta­ti­on sein.

Es kann auch sein, dass nach Abwä­gung der beid­sei­ti­gen Inter­es­sen und der Erfor­der­lich­keit der Daten­ver­ar­bei­tung die Rechts­grund­la­ge bei einer Prü­fung der Auf­sichts­be­hör­de als nicht rechts­kon­form ange­se­hen wird. 

Wenn Sie eine pro­fes­sio­nel­le Unter­stüt­zung im Daten­schutz suchen, soll­ten wir uns kennenlernen!

Fin­den Sie hier eine Aus­wahl von Dienst­leis­tun­gen. Mit einen Klick auf die Schalt­flä­che erhal­ten Sie mehr Informationen

Daten­schutz­berater DSGVO

Mit einer moder­nen Bera­tung im Bereich Daten­­schutz und Informations­sicherheit spa­ren Sie inter­ne Res­sour­cen und set­zen Ihr Pro­jekt zeit­nah um. Ich bie­te stunden­weise eine Daten­schutz­beratung von A‑Z.

Daten­schutz­beauftragter DSGVO

Als exter­ner Datenschutz­­­beauftragter bie­te ich Ihnen einen Rund-um-Sup­port nach den gesetz­lichen Vor­ga­ben und mit diver­sen Zusatz­dienst­leist­ungen. Nut­zen Sie vom ers­ten Tag an mei­ne lang­­jährige Erfahrung. 

Infor­mations­sicher­heits­beauf­tragter

Ich bera­te Sie in allen Berei­chen der Infor­mations­­sicherheit. Schüt­zen Sie Ihre Daten vor den Gefähr­dungen die­ser Zeit nach dem Stand der Tech­nik nach bewähr­ten Metho­den. Erfül­len Sie die Anfor­de­run­gen des IT-Grundschutzes?

Daten­schutz­kon­for­me Website

Benö­ti­gen Sie regel­mä­ßi­ge Reports über alle Web­sites inkl. Unter­sei­ten, auch in eng­li­scher Spra­che? Hät­ten Sie ger­ne eine akti­ve Infor­ma­ti­on, wenn sich die Rechts­la­ge ändert und Sie aktiv wer­den müs­sen. Ich bie­te pra­xis­na­he Maß­nah­men zur Optimierung!

Video­über­wa­chung DSGVO

Sie pla­nen oder besit­zen eine Video­über­wachungs­anlage im Betrieb? Sie benö­ti­gen mehr Details zu die­sem The­ma? Beach­ten Sie die recht­li­chen Vor­ga­ben. Fin­den Sie hier mehr Infor­ma­tio­nen zur praxis­­nahen Umsetz­ung von Videoüberwachungsanlagen. 

Daten­schutz-Schu­lun­gen DSGVO

Praxis­nahe Schu­lun­gen im Daten­schutz und in der Informations­sicher­heit sind für Unter­neh­men uner­läss­lich. Ich bie­te Prä­sen­z­-Ver­an­s­t­al­t­un­gen, Web­i­na­re und E‑Lear­ning-Kur­se an. Schu­len Sie Ihre Beschäf­tig­ten zielgruppen­genau und pas­send auf Ihr Unternehmen.

“Ich bie­te maß­ge­schnei­der­te Lösun­gen für Unter­neh­men, denen Daten­schutz und Informations­sicherheit wich­tig sind. Ger­ne neh­me ich mir Zeit für eine persön­liche Bera­tung und erstel­le Ihnen unver­bind­lich und kos­ten­los ein auf Sie zuge­schnit­te­nes Angebot. 

 

Ich bevor­zu­ge Unter­neh­men, die Daten­schutz und Infor­mations­sicherheit umset­zen wol­len. Wenn Sie eine kos­ten­güns­ti­ge Bera­tung von der Stan­ge bevor­zugen, pas­sen wir nicht zusammen”.

Kun­den­stim­men

Zufrie­de­ne Kun­den emp­feh­len mei­ne Dienst­leis­tung wei­ter. Über­zeu­gen Sie sich.

IT GROSS­HAN­DEL (Inter­ner DSB) Hamburg

Mit einer hohen datenschutz­rechtlichen, orga­ni­sa­to­ri­schen und sicherheits­relevanten Kom­pe­tenz hat Herr Nie­hoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umset­zung der DSGVO unter­stützt. Das Coa­ching hat sich bezahlt gemacht.

Öffent­li­che Ver­wal­tung (CDO) Lüneburg

Sie schaf­fen es, die­ses The­ma so inter­es­sant zu ver­pa­cken, dass ich trotz­dem am Ende mit einem Lächeln aus den Mee­tings gehe.

IT-Dienst­leis­ter (GF) Hamburg

Nach dem ers­ten Start haben wir schnell gemerkt, dass es ohne pro­fes­sio­nel­le Hil­fe nicht wei­ter­geht. Herr Nie­hoff hat uns hier auf die rich­ti­ge Spur gebracht und wir uns auch in Zukunft wei­ter unter­stüt­zen. Vie­len Dank für die super schnel­le Reak­ti­on und Hil­fe in der Kri­se! Wir freu­en uns auch in Zukunft einen star­ken Part­ner an der Sei­te zu haben! Kars­ten Loren­zen, Geschäfts­füh­rer Test­ex­per­ten KLE GmbH

Let­ter­shop, Hamburg
Lie­ber Herr Nie­hoff, höchs­te Zeit mal Dan­ke zu sagen für die stets promp­te, freund­liche und umfäng­liche Unter­­stützung in allen Daten­schutz­­belangen. Sei es vor Ort im Rah­men von Daten­­schutz­audits oder auch im Rah­men der vertrag­lichen Prü­fun­gen. Für mich ist es sehr wert­voll, dass Sie Ihre Aus­sagen immer auf den Punkt brin­gen, so dass ich intern wie auch extern kom­pe­tent agie­ren kann. Auf eine wei­te­re gemein­same Zusammenarbeit. 
Oli­ver G.(Geschäftsführer, Medi­en, Hamburg)

Ich set­ze regel­mä­ßig digi­ta­le Pro­jek­te mit anspruchs­vol­len Kun­den um. Daten­schutz ist ein not­wen­di­ges Muss. Ich benö­ti­ge daher einen akti­ven DSB, der da ist, wenn ich ihn benö­ti­ge und mit Praxis­wissen zeit­nah zuar­bei­tet. Ich will ein fes­tes Kon­tin­gent und nicht für jeden Hand­schlag zusätz­lich bezah­len. Am Ende wird so etwas meist teu­rer und auf­wän­di­ger in der Abrech­nung. Herr Nie­hoff bringt auf­grund sei­ner Fle­xi­bi­li­tät mein Busi­ness voran.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch uns las­sen Sie über Ihre Auf­trags­ver­ar­bei­tung sprechen.

kontakt-niehoff-systemberatung