Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat Checklisten Cookies Corona Drittland EuGH Fotos Homeoffice Hybrid Work Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 12/22

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat Checklisten Cookies Corona Drittland EuGH Fotos Homeoffice Hybrid Work Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
26. November 2021

Art. 6 DSGVO: Rechtsgrundlage Schritt für Schritt ermitteln

Art. 6 DSGVO ist zentral, um die korrekte Rechtsgrundlage für eine Datenverarbeitung zu finden
Bild: iStock.com / JanuszT
5,00 (3)
drucken
Inhalte in diesem Beitrag
„Letzte Ausfahrt Einwilligung“
Bevor ein Verantwortlicher personenbezogene Daten verarbeitet, muss er die Rechtmäßigkeit der Verarbeitung prüfen. Rechtsgrundlagen bietet die DSGVO v.a. in Art. 6. Machen Sie den Kollegen klar, dass sie dabei möglichst nicht mit der Einwilligung anfangen sollten, wie es die DSGVO scheinbar nahelegt.

Die Datenschutz-Grundverordnung (DSGVO) kennt – wie schon zuvor das alte Bundesdatenschutzgesetz – das „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass jeglicher Umgang mit personenbezogenen Daten grundsätzlich verboten ist. Nur wenn der Verantwortliche einen Erlaubnistatbestand nachweisen kann, ist die Verarbeitung zulässig. Hauptanlaufstelle für Verantwortliche auf der Suche nach einem Erlaubnistatbestand für eine bestimmte Datenverarbeitung ist Art. 6 DSGVO.

Geht es um besondere Kategorien personenbezogener Daten, also etwa um Gesundheitsdaten oder um biometrische Daten, gehört zudem Art. 9 DSGVO auf die Agenda.

Im klassischen Alltag der meisten produzierenden Unternehmen oder von Betrieben aus dem Dienstleistungssektor spielen diese „besonderen Kategorien personenbezogener Daten“ nur eine untergeordnete Rolle. Sie sind deshalb nicht Gegenstand dieser Ausführungen.

Einwilligung dient viel zu oft unnötig als  Rechtsgrundlage

Wer hat Aussagen wie  „Wenn Sie uns Ihre Einwilligung nicht geben, können wir Sie nicht weiter als Kunde / Patient etc. führen“  im Vorfeld der DSGVO-Anwendbarkeit nicht gelesen oder gehört?

Vermutlich war die Unkenntnis bei vielen Verantwortlichen und ihren Datenschutzberatern die Ursache dafür, dass sie häufig gänzlich unnötig auf die Einwilligung setzten, statt nach einer anderen, passenderen Rechtsgrundlage wie einer bestehenden Vertragsbeziehung mit der betroffenen Person Ausschau zu halten.

Leider haben die Verfasser der DSGVO in Art. 6 Abs. 1 die Einwilligung als erste Option (Buchst. a) einer möglichen Rechtsgrundlage aufgeführt. Vielleicht ist das die Ursache dafür, dass mancher Leser die weiteren möglichen Rechtsgrundlagen schlicht gar nicht mehr zur Kenntnis genommen hat.

Reihenfolge zur Ermittlung der Rechtsgrundlage aus Art. 6 DSGVO

Die vereinfachte Grafik zeigt auf, in welcher Reihenfolge Verantwortliche die Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO prüfen sollten.

Sobald eine der im Folgenden ausführlich beschriebenen Rechtsgrundlagen greift, ist die Prüfung erfolgreich beendet.

Wer einen Erlaubnistatbestand für eine bestimmte Datenverarbeitung benötigt, sollte von oben nach unten prüfen. Sobald eine der sechs Rechtsgrundlagen greift, ist die Prüfung beendet.

Wer einen Erlaubnistatbestand für eine
bestimmte Datenverarbeitung benötigt,
sollte von oben nach unten prüfen. Sobald eine der sechs Rechtsgrundlagen greift, ist die Prüfung beendet.

Die ersten beiden Rechtsgrundlagen (Buchst. d und e) kommen in der Praxis bei den wenigsten Verantwortlichen zum Tragen. Sie seien jedoch der Vollständigkeit halber aufgeführt.

1. Schutz lebenswichtiger Interessen – Art. 6 Abs. 1 Buchst. d DSGVO

Ist beispielsweise das Leben einer Person bedroht, dürfen Verantwortliche die nötigen angemessenen Maßnahmen ergreifen, etwa um eine tödliche Krankheit einzudämmen.

Das gehört sicherlich nicht zum Arbeitsalltag in klassischen Unternehmen.

2. Wahrung einer öffentlichen Aufgabe – Art. 6 Abs. 1 Buchst. e DSGVO

Die wenigsten privatrechtlichen Unternehmen haben eine Aufgabe „übertragen bekommen“, die im öffentlichen Interesse liegt oder die Ausübung öffentlicher Gewalt (z.B. Polizei) umfasst.

Falls das im Einzelfall dennoch gegeben sein sollte und eine bestimmte Datenverarbeitung hierfür erforderlich ist, bietet Art. 6 Abs. 1 Buchst. e DSGVO eine mögliche Rechtsgrundlage.

Das trifft z.B. auf Autowerkstätten zu, die die Abgasuntersuchungen anbieten und damit eine hoheitliche Aufgabe wahrnehmen.

3. Gesetz / rechtliche Verpflichtung – Art. 6 Abs. 1 Buchst. c DSGVO

Unternehmen und sonstige Verantwortliche unterliegen häufig rechtlichen Verpflichtungen, die eine Verarbeitung personenbezogener Daten erfordern.

Beispiele hierfür sind:

  • Der Arbeitgeber muss Krankenkassenbeiträge für die Beschäftigten der richtigen Krankenkasse zuführen. Dafür muss er die Krankenkasse wissen und darf die personenbezogenen Daten für diese Verarbeitungstätigkeit verwenden. Gleiches gilt, um die rechtlichen Vorgaben zur Abführung sonstiger Sozial- und Steuerabgaben für Beschäftigte zu erfüllen.
  • Der Arbeitgeber unterliegt rechtlichen Vorgaben für die maximale Arbeitszeit (Arbeitszeitgesetz). Um diese einhalten zu können, darf er die Arbeitszeiten seiner Mitarbeiter festhalten, z.B. über ein Zeiterfassungssystem.
  • Das Geldwäschegesetz soll verhindern, dass Einkünfte aus Straftaten und illegalen Geschäften in den legalen Geldkreislauf kommen. Insbesondere Unternehmen, die den Geldverkehr maßgeblich regeln (Banken, Versicherungen), haben hierin eine gültige Rechtsgrundlage, weiterführende Informationen von beteiligten Personen zu erheben und zu dokumentieren.
  • Da der Arbeitgeber verpflichtet ist, Lohn auf ein Konto zu überweisen, und zudem dem Mindestlohngesetz unterliegt, darf er eine Bankverbindung des Beschäftigten kennen und hierfür nutzen sowie die Arbeitszeiten zur Lohnermittlung festhalten.

4. Vertragsbeziehung mit der betroffenen Person – Art. 6 Abs. 1 Buchst. b DSGVO

Um eine Vertragsbeziehung anzubahnen oder durchzuführen, kann eine Verarbeitungstätigkeit erforderlich und damit zulässig sein.

Der Begriff „Vertrag“ sollte dabei nicht nur national, sondern europarechtlich betrachtet werden. Grundsätzlich liegt ein Vertrag bereits dann vor, wenn zwei Parteien eine – ggf. auch mündliche – Vereinbarung schließen (z.B. Terminvereinbarung als Privatperson mit einem Dienstleister).

Die Rechtsgrundlage „Vertrag“ lässt sich aber nur dann heranziehen, wenn eine der Vertragsparteien die betroffene natürliche Person ist.

Bei „vorvertraglichen Maßnahmen“ muss die Initiative durch die betroffene Person selbst erfolgen. Für Werbung auf Basis eines mutmaßlichen Interesses der betroffenen Person kann diese Rechtsgrundlage somit nicht dienen.

Die DSGVO hat also kaum etwas verändert im Umgang mit Daten von Bewerbern, Mitarbeitern und Privatkunden (B2C-Geschäft).

Einwilligungen sind hierfür meist nicht erforderlich:

  • Bewerbungseingang: Die zugesendeten Informationen darf das Unternehmen für den Auswahlprozess verwenden („vorvertragliche Maßnahmen“).
  • Beschäftigungsverhältnis: Um den Vertrag mit dem Mitarbeiter zu erfüllen, darf der Arbeitgeber Arbeitszeiten erheben (Einhaltung der vertraglichen Regelung prüfen, z.B. 40-Stunden-Woche) und zur Lohnermittlung verwenden (Stundenlohnvereinbarung).
  • Privatkunden: Entgegennahme und Nutzung von Kontaktdaten interessierter Privatkunden (B2C-Bereich). Ob auf einer Messe oder über einen Online-Shop: Im B2C-Bereich geben Privatpersonen ihre Kontaktdaten, Bankverbindungen und ggf. weitere Daten preis, um eine Dienstleistung oder Ware zu erhalten. Für diesen Zweck darf der Verantwortliche diese Daten nutzen.

5. Interessenabwägung – Art. 6 Abs. 1 Buchst. f DSGVO

Falls keine der anderen bisher vorgestellten Rechtsgrundlagen greift, bietet die Interessenabwägung die Möglichkeit, sich eine „eigene Rechtsgrundlage“ zu schaffen.

Hierbei gilt es, zwei Positionen gegeneinander abzuwägen:

  • das eigene berechtigte Interesse (oder das eines Dritten!), das eine bestimmte Verarbeitung erforderlich macht, und
  • die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person.

In der Praxis erfolgt häufig keine echte Abwägung, weil Verantwortliche ausschließlich das eigene berechtigte Interesse als ausreichend ansehen, ohne in eine wirkliche Abwägung der konkreten Interessen beider Seiten einzusteigen und das auch zu dokumentieren.

Das ist so nicht rechtskonform, und somit liegt keine gültige Rechtsgrundlage vor.

Mögliche Faktoren einer Interessenabwägung

Um bei einer Interessenabwägung zum Ergebnis zu kommen, die geplante Verarbeitung betreiben zu dürfen, sind zahlreiche Kriterien zu betrachten.

In sehr vereinfachter Form fällt eine Interessenabwägung meist positiv für den Verantwortlichen aus, wenn viele der folgenden Parameter gegeben sind:

  • Die Interessen der betroffenen Person sind erkennbar und liegen nahe bei den Interessen des Verantwortlichen. („Beide wollen das Gleiche.“)
  • Die betroffene Person kann von dieser Art der Verarbeitung ausgehen („Erwartungshaltung“) und ist informiert.

Der Verantwortliche hat hohe Schutzmaßnahmen getroffen, z.B.:

  • Website-Verarbeitungen: frühestmögliche Anonymisierung der IP-Adresse
  • keine Übermittlung an Dritte
  • Verschlüsselung der Datenübertragungswege
  • Erforderlichkeit: Es gibt kein angemessenes „milderes Mittel“, um das Ziel zu erreichen.
  • Die betroffene Person kann jederzeit widersprechen.

Nachfolgend einige Beispiele, bei denen ein berechtigtes Interesse als Rechtsgrundlage dienen könnte.

Es kommt hier allerdings stets auf den konkreten Einzelfall an, ob die Abwägung wirklich trägt. Und das Ergebnis ist aufgrund der Nachweispflicht zu dokumentieren.

  • Austausch von geschäftlichen Kontaktdaten im B2B-Bereich zur Umsetzung der Geschäftsbeziehung. Weil hierbei keine „Vertragsbeziehung mit der betroffenen Person“, sondern nur eine zwischen juristischen Personen vorliegt, kann Art. 6 Abs. 1 Buchstabe b DSGVO nicht als Rechtsgrundlage dienen.
  • Nutzung geschäftlicher Kontaktdaten im B2B-Bereich, um weitere Produkte zu bewerben
  • Videoüberwachung öffentlich zugänglicher Räume

6. Einwilligung – Art. 6 Abs. 1 Buchst. a DSGVO

Obwohl Verantwortliche die Einwilligung sehr häufig verwenden, ist sie als Rechtsgrundlage oft nicht erforderlich und zudem eine unglückliche Wahl. Denn was tun, wenn die betroffene Person die Einwilligung widerruft?

Wo irgend möglich, sollte daher ein anderer Erlaubnistatbestand die Datenverarbeitung legitimieren.

Wann eine Datenschutz-Einwilligung rechtskonform ist, lässt sich den „Bedingungen für die Einwilligung“ in Art. 7 und Art. 8 DSGVO sowie den zugehörigen Erwägungsgründen entnehmen.

Im Kern bedeutet dies für Verantwortliche:

  • Freiwillig: Eine Einwilligung darf nicht erzwungen sein. Ohne die Möglichkeit, die Einwilligung abzulehnen, ist keine Freiwilligkeit gegeben. Praxis-Tipp: Auf einem Formular, das die betroffene Person unterzeichnen oder online ausfüllen soll, immer beide Optionen (Ja und Nein) aufführen und eine davon ankreuzen lassen.
  • Informiert: Die Einwilligung muss den konkreten Zweck angeben, für den der Verantwortliche die personenbezogenen Daten verarbeiten möchte, sie muss die Freiwilligkeit herausstellen und über die Möglichkeit informieren, dass die betroffene Person die Einwilligung jederzeit widerrufen kann.
  • Jederzeitiger Widerspruch möglich: Auch einen nachträglich ausgesprochenen Widerspruch muss der Verantwortliche umsetzen. Er kann ihn vertraglich nicht ausschließen. Somit eignet sich die Einwilligung nicht für Situationen, bei denen die Umsetzung eines Widerspruchs zu hohen finanziellen Kosten führen würde – stattdessen empfiehlt sich ein Vertrag mit angemessener Vergütung (z.B. Mitwirkung eines Mitarbeiters bei Image-Film oder Bildnutzung für Werbemittel).
  • Nachweisbarkeit, dass eine gültige Einwilligung eingeholt wurde
  • Solange die betroffene Person die Einwilligung nicht erteilt hat, darf keine Verarbeitung erfolgen.
  • Keine Kopplung an andere Verarbeitungen, wenn dies nicht erforderlich wäre (z.B. Newsletter nur mit Tracking)
  • Aufgrund der Vorgaben für eine Einwilligung stellen die folgenden Praxisbeispiele wohl keine rechtskonforme Umsetzung dar. Somit fehlt die Rechtsgrundlage:
  • Einwilligung als Bestandteil eines Arbeitsvertrags (z.B. „Der Mitarbeiter entbindet seinen behandelnden Arzt von der Schweigepflicht gegenüber dem Arbeitgeber“).
  • Einwilligung als Bestandteil einer Kundenbeziehung (z.B. „Wenn Sie hier nicht unterzeichnen, können wir Sie nicht weiter betreuen.“) – gültige Rechtsgrundlage ist hier meist „Vertragsbeziehung“ oder „Interessenabwägung“

Wo sind Einwilligungen dann noch sinnvoll? Klassische Beispiele sind die folgenden:

  • Nutzung eines Mitarbeiterfotos auf der Firmen-Website
  • Protokollierung der Internet-Nutzung von Beschäftigten, sofern der Arbeitgeber gleichzeitig die private Internet-Nutzung erlaubt

Thomas Schneider

Thomas Schneider
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Thomas Schneider
Thomas Schneider
Thomas Schneider ist seit vielen Jahren als Datenschutz-Auditor und externer Datenschutzbeauftragter für den Mittelstand tätig. Er ist zudem Geschäftsführer der DSB Baden GmbH, die Verantwortliche im Bereich Datenschutz unterstützt.
zu den Kommentaren
Verwandte Beiträge
06. Dezember 2022
Beratung des Verantwortlichen: Das bringt Mehr-Faktor-Authentifizierung
Bild: nicescene / iStock / Getty Images

Beratung des Verantwortlichen: Das bringt Mehr-Faktor-Authentifizierung

Analyse
Homeoffice IT-Sicherheit
05. Dezember 2022
DP+
Vorlageverfahren beim EuGH sind enorm wichtig
Bild: Gerichtshof der Europäischen Union

Vorlageverfahren beim EuGH, Teil 2: Geldbußen bei Datenschutzverstößen

Hintergrund
EuGH
02. Dezember 2022
Was müssen Behörden, Unternehmen, Vereine und Verbände beachten, wenn sie Videos auf ihren Webseiten nutzen wollen?
Bild: Mariia Sapunova / iStock / Getty Images Plus

Wie Sie Videos datenschutzfreundlich in Ihre Webseite einbinden

News
02. Dezember 2022
DP+
Irreführende Coockie-Banner verstoßen klar gegen die DSGVO. Der Verein Noyb reicht 226 Beschwerden gegen Webseitenbetreiber bei den Datenschutzbehörden ein.
Bild: bakhtiar_zein / iStock / Getty Images Plus

Consent-Tools und serverseitige Funktionen

Analyse
Cookies Tracking
30. November 2022
DP+
Ein Betriebsrat kann sich nicht darauf zurückziehen, dass er nur Teil des Verantwortlichen ist. Wie alle anderen Abteilungen muss er seinen Part beitragen, um die DSGVO zu erfüllen.
Bild: iStock.com / fizkes

Betriebsrat & DSGVO – was ist formal zu beachten (Teil 3)?

Ratgeber
Betriebsrat
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.