Wann ist eine personenbezogene Datenverarbeitung zulässig?


Es bleibt auch nach den neuen Regelungen der DS-GVO bei dem datenschutzrechtlichen Verbot mit Erlaubnisvorbehalt. Danach ist eine personenbezogene Datenverarbeitung verboten, soweit keine gesetzliche Erlaubnisregelung diese gestattet oder eine Einwilligung der betroffenen Person vorliegt, welche die Verarbeitung ihrer Daten legitimiert (Art. 6 Abs. 1 DS-GVO).

 

Einwilligung

Damit bleibt die Einwilligung ein zentrales Legitimationsmittel für die Datenverarbeitung.

Sie ist definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (Art. 4 Nr. 11 DS-GVO). Bedingungen, die eine Einwilligung erfüllen muss, sind in den Art. 7 und 8 DS-GVO definiert.

Bereits nach bisherigem Recht erteilte Einwilligungen können weiter gelten, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171, Satz 3 DS-GVO).

Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen. Informationspflichten nach Art. 13 DS-GVO müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes sind.

Besondere Beachtung verdienen allerdings die folgenden Bedingungen der DS-GVO; sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort:

 

  • Freiwilligkeit („Kopplungsverbot“, Art. 7 Abs. 4 in Verbindung mit Erwägungsgrund 43 DS-GVO),
  • Altersgrenze: 16 Jahre (soweit im nationalen Recht nichts anderes bestimmt wird; Schutz des Kindeswohls, Art. 8 Abs. 1 in Verbindung mit Erwägungsgrund 38 DS-GVO).

 

Verantwortliche Stellen müssen in der Übergangsphase bis Mai 2018 geprüft haben, ob deren eingeholte Einwilligungen der Art nach den Bedingungen der DS-GVO entsprechen. Dies beinhaltet datenschutzrechtliche Grundsätze wie Transparenz und Zweck der Verarbeitung der personenbezogenen Daten. Mindestanforderung ist, dass eine bislang eingeholte Einwilligung momentan rechtswirksam ist.

Unabhängig davon gilt selbstverständlich, dass seit dem 25. Mai 2018 sämtliche Voraussetzungen nach der DS-GVO – und damit auch u. a. die Informationspflichten und Datenschutzgrundsätze, wie „Privacy by Design“ – durch die Unternehmen umgesetzt werden mussten. Vor diesem Hintergrund empfehlen die Aufsichtsbehörden den Unternehmen, bei den bestehenden Einwilligungen die Vorgaben zu den Informationspflichten gemäß Art. 7 Abs. 3 S. 3, 13 und 14 DS-GVO nachzuholen.

Die Gesamtthematik der Einwilligung wird in den Arbeitsgremien der Datenschutzkonferenz weiter bearbeitet. Es ist zu erwarten, dass aus den Arbeitsergebnissen weitere Konkretisierungen entstehen, die zügig veröffentlicht werden.

Vgl. hierzu den Beschluss des Düsseldorfer Kreises vom 13./14.09.2016.

 

Rechtsgrundlagen

Die allgemeinen Rechtsgrundlagen für personenbezogene Datenverarbeitungen finden sich in Art. 6 Abs. 1 DS-GVO.

Für den nicht öffentlichen Bereich ist meist Art. 6 Abs.1 Buchstabe f) DS-GVO maßgeblich. Danach ist eine Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Für den öffentlichen Bereich gilt, dass die Rechtsgrundlagen durch das nationale Recht festgelegt werden (Art. 6 Abs. 3 DS-GVO). Insoweit hat Art. 6 Abs. 3 DS-GVO Richtliniencharakter: Der nationale Gesetzgeber ist hier gefragt, die einzelnen Vorgaben (Zweck, welche Art von Daten, welche allgemeinen Bedingungen usw.) verbindlich zu regeln.

Die Rechtsgrundlage bei Verarbeitung besonderer Kategorien von personenbezogenen Daten bildet Art. 9 DS-GVO. Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist (Art. 9 Abs. 4 DS-GVO).

Aufgrund zahlreicher Öffnungsklauseln im Verordnungstext wird es den Mitgliedstaaten in vielen Bereichen selbst überlassen, weitergehende nationale Regelungen zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Daten zu treffen:

 

  • Art. 85 DS-GVO Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit,
  • Art. 86 DS-GVO Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten,
  • Art. 88 DS-GVO Datenverarbeitung im Beschäftigungskontext,
  • Art. 89 DS-GVO Garantien und  Ausnahmen in  Bezug auf  die  Verarbeitung zu  im  öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen, oder historischen Forschungszwecken und zu statistischen Zwecken
  • Art. 90 DS-GVO Geheimhaltungspflichten,
  • Art. 91 DS-GVO Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften.

 

Die Gesetzgebungsverfahren in Bund und Ländern sind teilweise noch im Gange. Es bleibt abzuwarten, inwieweit und in welcher Form von den Regelungsverpflichtungen und -möglichkeiten Gebrauch gemacht wird.

 

zurück zur Übersicht