Wann dürfen meine Daten verarbeitet werden?

  • Ihre Daten dürfen nur aufgrund einer bestimmten Rechtsgrundlage verarbeitet werden.
  • Eine der Rechtsgrundlagen ist Ihre Zustimmung. Sie ist aber nicht die einzige Rechtsgrundlage für eine Datenverarbeitung.
  • Ohne Ihre Zustimmung dürfen Ihre Daten beispielsweise zur Erfüllung einer gesetzlichen Pflicht oder aufgrund eines Vertrags mit Ihnen verarbeitet werden.

Nach Art 6 Abs Datenschutz-Grundverordnung (DSGVO) ist eine Datenverarbeitung nur in den folgenden Fällen rechtmäßig:

Einwilligung

Sie haben der Verarbeitung Ihrer personenbezogenen Daten zugestimmt. Sie müssen Ihre Einwilligung aber jedenfalls freiwillig abgegeben haben. Außerdem müssen Sie bei der Einwilligungserklärung informiert worden sein, welche Ihrer Daten verarbeitet werden, welchem Zweck die Datenverarbeitung dient und an welche anderen Personen (Empänger:innen) Ihre Daten übermittelt werden sollen. Nicht zuletzt müssen Sie auch eine Information darüber erhalten, wie Sie Ihre Einwilligung widerrufen können (z. B. durch Bekanntgabe einer E-Mail-Adresse). Wenn nicht sämtlich dieser Kriterien erfüllt werden, ist Ihre Einwilligung nicht wirksam und kann sich der Verantwortliche nicht auf eine vermeintliche Einwilligung stützen („Wie stimme ich einer Datenverarbeitung wirksam zu?“).

Beispiel: Kilian lässt sich eine Kundenkarte bei einem Drogeriemarkt ausstellen. Dabei willigt er ein, dass der Drogeriemarkt Kilians Einkaufsdaten für die Analyse seines Einkaufsverhaltens verarbeiten darf.

Vertragliche Rechtfertigung

Die Verarbeitung Ihrer Daten ist zur Vorbereitung oder für die Erfüllung eines Vertrags mit Ihnen notwendig. Die Vertragserfüllung ist wohl überhaupt der häufigste Rechtfertigungsfall für eine Datenverarbeitung. Ihr Vertragspartner oder sein Subunternehmer (z. B. Versanddienstleister, Zahlungsdienstleister, ein von der Hausverwaltung beauftragtes Handwerksunternehmen usw.) sollen damit die mit der Erfüllung eines Vertrags verbundenen Datenverarbeitungen vornehmen können. Die Datenverarbeitung muss aber mit der Erfüllung einer wesentlichen vertraglichen Leistung im Zusammenhang stehen. Ungewöhnliche vom Vertragspartner entworfene Klauseln sollen keine Rechtsgrundlage für eine Datenverarbeitung bieten.

Beispiel: Stefanie bestellt online Schuhe und gibt dabei eine Reihe persönlicher Daten (Name, Adresse, Kreditkartennummer usw.) im Bestellformular an. Der Onlineshop und der von ihm beauftragte Paketdienst müssen diese Daten verarbeiten und speichern, um die Bestellung abzuwickeln und die Schuhe an Stefanie zu liefern. Das Unternehmen benötigt für diese Datenverarbeitung keine Einwilligung von Stefanie, weil die Verarbeitung der Daten für die Erfüllung des Vertrags notwendig ist.

Gesetzliche Grundlage

Der Verantwortliche ist aufgrund einer gesetzlichen (nicht vertraglichen) Pflicht zur Verarbeitung der Daten verpflichtet. Diese Rechsgrundlage kann sich aus dem EU-Recht, aus dem nationalen Recht oder etwa auch aus einem Kollektivertrag ergeben. Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt sein. Wenn in einem Gesetz also bestimmte Handlungen vorgeschrieben werden, sind auch die damit zusammenhängenden Datenverarbeitungen rechtlich gedeckt.

Beispiel: Ein Onlineshop muss nach § 132 Abs 1 Bundesabgabenordnung steuerrechtlich relevante Belege (z. B. Rechnungen) sieben Jahre aufbewahren. Diese steuerrechtliche Aufbewahrungspflicht ist also eine Rechtsgrundlage für die Speicherung bestimmter personenbezogener Daten über den Zeitraum von sieben Jahren.

Lebenswichtige Interessen

Die Verarbeitung ist erforderlich, um Ihre lebenswichtigen Interessen oder einer anderen natürlichen Person zu schützen. So können Daten etwa in medizinischen Notfällen oder in anderen Situationen, in denen Sie nicht ohnehin Ihre Zustimmung geben können, verarbeitet werden. In solchen Notfällen werden zumeist auch medizinische Daten verarbeitet und übermittelt.

Beispiel: Hannah ist nach einem Unfall bewusstlos. Die Verarbeitung von Hannahs Daten ist zulässig, da damit weitere medizinische Informationen über Hannah erhalten werden können.

Öffentliches Interesse

Die Verarbeitung ist für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder für eine Tätigkeit im Rahmen der Ausübung öffentlicher Gewalt erforderlich. Die Aufgabe muss dem für die Datenverarbeitung Verantwortlichen übertragen worden sein. Dieser Rechtfertigungsgrund kann herangezogen werden, wenn es keine gesetzliche Grundlage gibt oder etwa eine private Körperschaft mit einer hoheitlichen Aufagbe beauftragt wurde.

Beispiel: Eine private Versicherung, die als Kfz-Zulassungsstelle verarbeitet und speichert die personenbezogenen Daten der Fahrzeughalterin Frederica.

Berechtigte Interessen

Art 6 Abs 1 lit f Datenschutz-Grundverordnung (DSGVO) enthält eine "Generalklausel" zur Rechtfertigung von legitimen Datenverarbeitungen, die nicht unter einen der oben genannten Fälle fallen. In diesem Fall muss die Datenverarbeitung notwendig sein, um die berechtigten Interessen des Verantwortlichen oder eines Dritten zu schützen. Diese berechtigten Interessen müssen allerdings gegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person abgewogen werden. Das gilt insbesondere bei betroffenen Personen, die minderjährig sind.

Zu den berechtigten Interessen können neben rein "rechtlichen" Interessen auch tatsächliche, wirtschaftliche oder ideelle Interessen zählen. Beispiele für typische berechtigte Interessen sind:

  • Verhütung von Betrug und Missbrauch
  • IT-Sicherheit
  • Wahrnehmung des Rechts auf Meinungs- und Informationsfreiheit (auch in den Medien und in der Kunst)
  • Verarbeitung für Forschungszwecke
  • usw.

So kann auch eine Einsparung von Kosten durch eine Datenverarbeitung ein berechtigtes (wirtschaftliches) Interesse sein, doch kann dies nicht das einzige Kriterium sein und muss immer eine umfassende Interessensawägung vorgenommen werden.

Beispiel: Anton fotografiert Bertrams Ausweis und speichert das Foto, weil Bertram ihn mit dem Fahrrad angefahren hat und Anton Schadenersatzansprüche gegen Bertram geltend machen will.

Beispiel: Der Betreiber einer Webseite speichert kurzfristig Daten von Besucher:innen der Webseite, um Angriffe auf die Funktionalität der Website abwehren zu können und die IT-Sicherheit zu gewährleisten.

Beispiel: Ein Suchmaschinenbetreiber verarbeitet personenbezogene Daten, um bei Eingabe eines bestimmten Suchbegriffs (zum Beispiel eines Namens) relevante Suchergebnisse anzeigen zu können.

Wie stimme ich einer Datenverarbeitung wirksam zu?

Es gibt gewisse Kriterien, damit eine Einwilligungserklärung wirksam ist: Unter anderem müssen Sie freiwillig eingewilligt haben. Außerdem müssen Sie darüb...

Kann ein Kind wirksam einwilligen?

Ihr minderjähriges Kind kann eine wirksame Einwilligungserklärung abgeben, wenn es einsichts- und urteilsfähig ist. Ob und inwieweit Ihr Kind über die notw...

Dürfen meine Daten für etwas anderes verarbeitet werden als ursprünglich angegeben?

Die Weiterverarbeitung von Daten zu einem anderen Zweck, als zu dem sie ursprünglich erhoben wurden, ist nur sehr eingeschränkt zulässig. Dies würde nämlic...

Wie verlange ich Auskunft über meine Daten?

Jede betroffene Person kann von Verantwortlichen Auskunft darüber verlangen, ob betreffende personenbezogene Daten verarbeitet werden.

Weitere Fragen und Antworten?

Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?

Zu allen FAQs Frage stellen

Letzte Änderung: 27.08.2024