Unter diesen 6 Bedingungen dürfen Sie jetzt noch nach DSGVO Daten verarbeiten

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Nach DSGVO bedarf die Datenverarbeitung immer einer rechtlichen Grundlage. Ansonsten ist sie verboten (Verbot mit Erlaubnisvorbehalt). Vor allem für das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO ist dies relevant, da dort für jede Tätigkeit eine Rechtsgrundlage genannt werden sollte. In diesem Artikel beleuchten wir die Möglichkeiten, die die DSGVO gibt, um überhaupt noch Daten zu verarbeiten.

Grundsätzlich gibt es keine “bessere” oder “schlechtere” Rechtsgrundlage, viel mehr gibt es gut passende und eher nicht so gut passende. Von daher lohnt sich die Beschäftigung mit der Rechtsgrundlage, da sie in der Zukunft viel Arbeit ersparen kann.

1. Rechtsgrundlage: Vertrag oder vorvertragliche Maßnahmen

Einschlägig ist hier Art. 6 (1) b) DSGVO:

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

Hierunter fallen alle Verarbeitungen, die dazu dienen, einen Vertrag zu erfüllen oder anzubahnen. Achtung, dies dient nur zur Erfüllung von Verträgen, die direkt mit der betroffenen Person geschlossen wurden!

Es muss also nicht unbedingt ein Vertrag bestehen, damit die Datenverarbeitung konform stattfinden kann. Allerdings muss zumindest die Möglichkeit bestehen, dass es zu einem Vertrag kommt. Darüber hinaus dürfen natürlich nur so viele Daten verarbeitet werden, wie objektiv notwendig.

Praxisbeispiel: Angebotserstellung, Projektdatenbanken

2. Berechtigtes Interesse

Es gilt Art. 6 (1) f) DSGVO:

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Hier muss genau dargestellt werden, welche und wessen Interessen hier gewahrt werden sollen. Es können rechtliche, wirtschaftliche, tatsächliche oder ideelle Interessen sein. Wichtig ist, dass die Interessen und Grundfreiheiten des Betroffenen nicht überwiegen.
Es muss also eine Interessenabwägung stattfinden, diese sollte auch in eine Datenschutzfolgenabschätzung und das Verzeichnis von Verarbeitungstätigkeiten integriert werden. In unseren Vorlagen ist diese Interessenabwägung schon inklusive.

Noch kritischer wird die Abwägung, wenn sie im Rahmen einer Datenschutzfolgenabschätzung geschehen muss. Dann muss genau und ausführlich begründet werden, wieso die Verarbeitung für den Unternehmer wichtig ist

Praxisbeispiel: Videoüberwachung, Nutzung von Bürosoftware und Druckern.

3. Rechtliche Verpflichtung

Art. 6 (1) c) DSGVO erlaubt die Verarbeitung insofern z.B. ein Gesetz den Verantwortlichen zur Verarbeitung verpflichtet:

die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

Es muss also eine konkrete Verpflichtung (Gesetz, Verordnung, Bescheid) bestehen, eine Verarbeitung durchzuführen, dann ist diese erlaubt.

Praxisbeispiel: Buchhaltungs- und Aufbewahrungspflichten nach Abgabenordnung, Patientendatenverarbeitung.

4. Einwilligung

Die Einwilligung ermöglicht es, Daten zu verarbeiten, wenn es sonst keine Grundlage gibt.
Art. 6 (1) a) DSGVO:

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

An eine Einwilligung nach DSGVO gibt es hohe Anforderungen, damit diese einen Erlaubnistatbestand erfüllt.

Diese sind im Einzelnen:

  • Der Betroffene muss sich frei entschieden haben. D.h. er muss auch wirklich eine Wahl haben und auch ablehnen können.
  • Es muss genau beschrieben werden, wofür die Daten erhoben werden und was die Folgend er Verarbeitung sind. Die Aufklärung muss transparent erfolgen. Der Zweck muss genau umfasst werden und nicht zu allgemein gehalten werden.
  • Die Einwilligung muss schriftlich erfolgen. Davon kann allerdings abgewichen werden, z.B. in Opt-In Formularen für E-Mail Newslettern. Wichtig ist hier, dass die Einwilligung eindeutig Nachweisbar ist.
  • Ein Widerruf muss jederzeit möglich sein und der Betroffene darf auch hier keine negativen Konsequenzen fürchten.

Die Einwilligung stellt also eine komplexe Form der Legitimierung dar.

Praxisbeispiel: Speicherung von Bewerberdaten über das gesetzliche Minimum hinaus, Verwendung von Mitarbeiterfotos

5. und 6. lebenswichtige Interessen und öffentliches Interesse

Diese beiden Rechtsgrundlagen sind weniger häufig in der unternehmerischen Praxis anzutreffen, können aber z.B. im Katastrophenfall oder wenn eine öffentliche Stelle Aufgaben an Sie überträgt, interessant werden.

Diese Rechtsgrundlagen sind relativ selten in der Praxis anzutreffen und wurden hier der Vollständigkeit halber erwähnt.

Praxisbeispiel: Katastrophenfall, notfallmedizinische Maßnahmen

Fazit

Die DSGVO kennt einige Tatbestände, die Ihnen ermöglichen, personenbezogene Daten rechtlich sicher zu verarbeiten. Empfehlenswert ist es zu erst die Grundlagen berechtigtes Interesse und Vertrag zu prüfen, da diese im handling recht einfach sind.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-6-dsgvo/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto