Wann ist eine personenbezogene Datenverarbeitung zulässig?

 

Es bleibt auch nach den neuen Regelungen der DS-GVO bei dem datenschutzrechtlichen Verbot mit Erlaubnisvorbehalt. Danach ist eine personenbezogene Datenverarbeitung verboten, wenn sie nicht bestimmte Bedingungen erfüllt sind (Art. 6 Abs. 1 DS-GVO). Solche Bedingungen sind z. B. eine Einwilligung oder die Erforderlichkeit zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrung berechtigter Interessen (in Abwägung mit Schutzinteressen).

 

Einwilligung

Eine Einwilligung ist „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (Art. 4 Nr. 11 DS-GVO). Bedingungen, die eine Einwilligung erfüllen muss, sind in den Art. 7 und 8 DS-GVO definiert.

Bereits nach bisherigem Recht erteilte Einwilligungen können weiter gelten, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171, Satz 3 DS-GVO).

Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen. Informationspflichten nach Art. 13 DS-GVO müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes sind.

Verantwortliche Stellen müssen in der Übergangsphase bis Mai 2018 geprüft haben, ob deren eingeholte Einwilligungen der Art nach den Bedingungen der DS-GVO entsprechen. Dies beinhaltet datenschutzrechtliche Grundsätze wie Transparenz und Zweck der Verarbeitung der personenbezogenen Daten. Mindestanforderung ist, dass eine bislang eingeholte Einwilligung momentan rechtswirksam ist.

Unabhängig davon gilt selbstverständlich, dass seit dem 25. Mai 2018 sämtliche Voraussetzungen nach der DS-GVO – und damit auch u. a. die Informationspflichten und Datenschutzgrundsätze, wie „Privacy by Design“ – durch die Unternehmen umgesetzt werden mussten. Vor diesem Hintergrund empfehlen die Aufsichtsbehörden den Unternehmen, bei den bestehenden Einwilligungen die Vorgaben zu den Informationspflichten gemäß Art. 7 Abs. 3 S. 3, 13 und 14 DS-GVO nachzuholen.

Weitere Informationen zur Einwilligung enthält das Kurzpapier Nr. 20 der Datenschutzkonferenz – Einwilligung nach der DS-GVO.

 

Weitere Rechtsgrundlagen

Die allgemeinen Rechtsgrundlagen für personenbezogene Datenverarbeitungen finden sich in Art. 6 Abs. 1 DS-GVO.

Für den nicht-öffentlichen Bereich ist meist Art. 6 Abs.1 Buchstabe f) DS-GVO maßgeblich. Danach ist eine Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Für den öffentlichen Bereich gilt, dass die Rechtsgrundlagen durch das nationale Recht festgelegt werden (Art. 6 Abs. 3 DS-GVO). Insoweit hat Art. 6 Abs. 3 DS-GVO Richtliniencharakter: Der nationale Gesetzgeber ist hier gefragt, die einzelnen Vorgaben (Zweck, welche Art von Daten, welche allgemeinen Bedingungen usw.) verbindlich zu regeln.

Die Rechtsgrundlage bei Verarbeitung besonderer Kategorien von personenbezogenen Daten bildet Art. 9 DS-GVO. Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist (Art. 9 Abs. 4 DS-GVO).

Aufgrund zahlreicher Öffnungsklauseln im Verordnungstext wird es den Mitgliedstaaten in vielen Bereichen selbst überlassen, weitere nationale Regelungen zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Daten zu treffen:

  • Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit (Art. 85 DS-GVO)
  • Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten (Art. 86 DS-GVO)
  • Datenverarbeitung im Beschäftigungskontext (Art. 88 DS-GVO)
  • Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen, oder historischen Forschungszwecken und zu statistischen Zwecken (Art. 89 DS-GVO)
  • Geheimhaltungspflichten (Art. 90 DS-GVO)
  • Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften (Art. 91 DS-GVO).

 

 

zurück zur Übersicht