Unter welchen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden?

Zulässig ist eine Datenverarbeitung nicht etwa immer schon dann, wenn sie nicht ausdrücklich verboten ist. Vielmehr bedarf umgekehrt jede Datenverarbeitung einer Rechtsgrundlage – so genanntes datenschutzrechtliches Verbot mit Erlaubnisvorbehalt. Außerdem müssen weitergehende Anforderungen erfüllt sein.

Für Datenverarbeitungen, die in den Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO) fallen, muss es (mindestens) eine der folgenden Rechtsgrundlagen nach Artikel 6 DS-GVO geben:

  • die betroffene Person hat eingewilligt oder
  • eine sonstige Rechtsgrundlage liegt vor, die sich aus der DS-GVO, aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedsstaaten ergeben kann.

Im nicht-öffentlichen Bereich geht es dabei oft um die Datenverarbeitung zur Durchführung von Verträgen nach Artikel 6 Abs. 1 Buchstabe b) DS-GVO. Eine wichtige Rolle spielt hier auch Artikel 6 Abs. 1 Buchstabe f) DS-GVO. Danach ist eine Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Für den öffentlichen Bereich werden die Rechtsgrundlagen meist durch das nationale Recht festgelegt (Artikel 6 Absatz 1 Buchstaben c und e in Verbindung mit Absatz 3 DS-GVO): Der nationale Gesetzgeber ist hier gefragt, die einzelnen Voraussetzungen verbindlich zu regeln (insbesondere Zweck, welche Art von Daten und welche allgemeinen Bedingungen). In Deutschland dienen dazu verschiedene bereichsspezifische Bundes- und Landesgesetze und der erste und zweite Teil des Datenschutzgesetzes NRW (DSG NRW). Für Behörden, die im Rahmen ihrer Zuständigkeit Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten oder der Strafvollstreckung verarbeiten, gilt allerdings nicht die Datenschutzgrundverordnung, sondern die Datenschutz-Richtlinie für den Innen- und Justizbereich (EU) 2016/680. Als Richtlinie war diese umsetzungsbedürftig. Die Umsetzung ist in bereichsspezifischen Regelungen wie dem Polizeigesetz NRW oder der Strafprozessordnung erfolgt. Ergänzend finden entweder der dritte Teil des DSG NRW oder des Bundesdatenschutzgesetzes (Strafverfolgung) Anwendung.

Wenn besondere Kategorien von personenbezogenen Daten verarbeitet werden, kommen die Voraussetzungen des Artikel 9 DS-GVO hinzu. Besonders geschützt werden damit etwa Gesundheitsdaten, Daten über die ethnische Herkunft sowie religiöse oder weltanschauliche Überzeugungen.

Datenverarbeitungen müssen die Grundsätze des Artikel 5 DS-GVO erfüllen; das heißt, sie müssen auf eine Weise verarbeitet werden, die unter anderem den Grundsätzen der Fairness (Treu und Glauben), der Transparenz, der Zweckbindung, der Richtigkeit, der Datenminimierung, der Integrität und der Vertraulichkeit (Datensicherheit) entspricht.

Kirchen oder religiöse Vereinigungen und Gemeinschaften dürfen unter bestimmten Voraussetzungen eigene Datenschutzregeln anwenden und sind dann nicht an andere datenschutzrechtliche Vorgaben gebunden (Artikel 91 DS-GVO).

zurück zur Übersicht