Nach Art 6 Abs Datenschutz-Grundverordnung (DSGVO) ist eine Datenverarbeitung nur in den folgenden Fällen rechtmäßig:
Sie haben der Verarbeitung Ihrer personenbezogenen Daten zugestimmt. Sie müssen Ihre Einwilligung aber jedenfalls freiwillig abgegeben haben. Außerdem müssen Sie bei der Einwilligungserklärung informiert worden sein, welche Ihrer Daten verarbeitet werden, welchem Zweck die Datenverarbeitung dient und an welche anderen Personen (Empänger:innen) Ihre Daten übermittelt werden sollen. Nicht zuletzt müssen Sie auch eine Information darüber erhalten, wie Sie Ihre Einwilligung widerrufen können (z. B. durch Bekanntgabe einer E-Mail-Adresse). Wenn nicht sämtlich dieser Kriterien erfüllt werden, ist Ihre Einwilligung nicht wirksam und kann sich der Verantwortliche nicht auf eine vermeintliche Einwilligung stützen („Wie stimme ich einer Datenverarbeitung wirksam zu?“).
Beispiel: Kilian lässt sich eine Kundenkarte bei einem Drogeriemarkt ausstellen. Dabei willigt er ein, dass der Drogeriemarkt Kilians Einkaufsdaten für die Analyse seines Einkaufsverhaltens verarbeiten darf.
Die Verarbeitung Ihrer Daten ist zur Vorbereitung oder für die Erfüllung eines Vertrags mit Ihnen notwendig. Die Vertragserfüllung ist wohl überhaupt der häufigste Rechtfertigungsfall für eine Datenverarbeitung. Ihr Vertragspartner oder sein Subunternehmer (z. B. Versanddienstleister, Zahlungsdienstleister, ein von der Hausverwaltung beauftragtes Handwerksunternehmen usw.) sollen damit die mit der Erfüllung eines Vertrags verbundenen Datenverarbeitungen vornehmen können. Die Datenverarbeitung muss aber mit der Erfüllung einer wesentlichen vertraglichen Leistung im Zusammenhang stehen. Ungewöhnliche vom Vertragspartner entworfene Klauseln sollen keine Rechtsgrundlage für eine Datenverarbeitung bieten.
Beispiel: Stefanie bestellt online Schuhe und gibt dabei eine Reihe persönlicher Daten (Name, Adresse, Kreditkartennummer usw.) im Bestellformular an. Der Onlineshop und der von ihm beauftragte Paketdienst müssen diese Daten verarbeiten und speichern, um die Bestellung abzuwickeln und die Schuhe an Stefanie zu liefern. Das Unternehmen benötigt für diese Datenverarbeitung keine Einwilligung von Stefanie, weil die Verarbeitung der Daten für die Erfüllung des Vertrags notwendig ist.
Der Verantwortliche ist aufgrund einer gesetzlichen (nicht vertraglichen) Pflicht zur Verarbeitung der Daten verpflichtet. Diese Rechsgrundlage kann sich aus dem EU-Recht, aus dem nationalen Recht oder etwa auch aus einem Kollektivertrag ergeben. Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt sein. Wenn in einem Gesetz also bestimmte Handlungen vorgeschrieben werden, sind auch die damit zusammenhängenden Datenverarbeitungen rechtlich gedeckt.
Beispiel: Ein Onlineshop muss nach § 132 Abs 1 Bundesabgabenordnung steuerrechtlich relevante Belege (z. B. Rechnungen) sieben Jahre aufbewahren. Diese steuerrechtliche Aufbewahrungspflicht ist also eine Rechtsgrundlage für die Speicherung bestimmter personenbezogener Daten über den Zeitraum von sieben Jahren.
Die Verarbeitung ist erforderlich, um Ihre lebenswichtigen Interessen oder einer anderen natürlichen Person zu schützen. So können Daten etwa in medizinischen Notfällen oder in anderen Situationen, in denen Sie nicht ohnehin Ihre Zustimmung geben können, verarbeitet werden. In solchen Notfällen werden zumeist auch medizinische Daten verarbeitet und übermittelt.
Beispiel: Hannah ist nach einem Unfall bewusstlos. Die Verarbeitung von Hannahs Daten ist zulässig, da damit weitere medizinische Informationen über Hannah erhalten werden können.
Die Verarbeitung ist für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder für eine Tätigkeit im Rahmen der Ausübung öffentlicher Gewalt erforderlich. Die Aufgabe muss dem für die Datenverarbeitung Verantwortlichen übertragen worden sein. Dieser Rechtfertigungsgrund kann herangezogen werden, wenn es keine gesetzliche Grundlage gibt oder etwa eine private Körperschaft mit einer hoheitlichen Aufagbe beauftragt wurde.
Beispiel: Eine private Versicherung, die als Kfz-Zulassungsstelle verarbeitet und speichert die personenbezogenen Daten der Fahrzeughalterin Frederica.
Art 6 Abs 1 lit f Datenschutz-Grundverordnung (DSGVO) enthält eine "Generalklausel" zur Rechtfertigung von legitimen Datenverarbeitungen, die nicht unter einen der oben genannten Fälle fallen. In diesem Fall muss die Datenverarbeitung notwendig sein, um die berechtigten Interessen des Verantwortlichen oder eines Dritten zu schützen. Diese berechtigten Interessen müssen allerdings gegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person abgewogen werden. Das gilt insbesondere bei betroffenen Personen, die minderjährig sind.
Zu den berechtigten Interessen können neben rein "rechtlichen" Interessen auch tatsächliche, wirtschaftliche oder ideelle Interessen zählen. Beispiele für typische berechtigte Interessen sind:
So kann auch eine Einsparung von Kosten durch eine Datenverarbeitung ein berechtigtes (wirtschaftliches) Interesse sein, doch kann dies nicht das einzige Kriterium sein und muss immer eine umfassende Interessensawägung vorgenommen werden.
Beispiel: Anton fotografiert Bertrams Ausweis und speichert das Foto, weil Bertram ihn mit dem Fahrrad angefahren hat und Anton Schadenersatzansprüche gegen Bertram geltend machen will.
Beispiel: Der Betreiber einer Webseite speichert kurzfristig Daten von Besucher:innen der Webseite, um Angriffe auf die Funktionalität der Website abwehren zu können und die IT-Sicherheit zu gewährleisten.
Beispiel: Ein Suchmaschinenbetreiber verarbeitet personenbezogene Daten, um bei Eingabe eines bestimmten Suchbegriffs (zum Beispiel eines Namens) relevante Suchergebnisse anzeigen zu können.
Weitere Fragen und Antworten?
Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?
Letzte Änderung: 27.08.2024