Dieser Artikel ist eine Fortsetzung unseres älteren Blogs über die Einwilligung nach der DSGVO, in dem wir kurz erklärt haben, wie die Einwilligung funktioniert und welche Grenzen sie hat. Wir haben kurz erwähnt, dass eine Einwilligung nicht immer erforderlich ist und dass personenbezogene Daten manchmal auch ohne die Einwilligung der betroffenen Person rechtmäßig verarbeitet werden können.
Heute werden wir uns alle anderen Rechtsgrundlagen für die Verarbeitung von Daten nach der DSGVO genauer ansehen. Das ist genug Material, um ein Buch darüber zu schreiben, also werden wir es so kurz und einfach wie möglich halten.
- Was ist eine Rechtsgrundlage?
- Welches sind die Rechtsgrundlagen nach der DSGVO?
- Welche Rechtsgrundlage sollte ich wählen?
- Die Rechtsgrundlagen
- Abschließende Überlegungen
Tauchen wir ein!
Was ist eine Rechtsgrundlage?
Kurz gesagt: Um Daten rechtmäßig zu verarbeiten1, müssen Sie sich auf eine der sechs in Artikel 6 DSGVO aufgeführten Rechtsgrundlagen stützen. Vom praktischen Standpunkt aus betrachtet, sind diese Bedingungen als alternative Voraussetzungen zu betrachten, die erfüllt sein müssen, wenn Daten verarbeitet werden sollen.
Welches sind die Rechtsgrundlagen nach der DSGVO?
In Art. 6(1) führt sechs Rechtsgrundlagen auf:
- Einwilligung
- die Erfüllung eines Vertrags
- die Erfüllung einer rechtlichen Verpflichtung
- das lebenswichtige Interesse der betroffenen Person oder einer anderen natürlichen Person
- Wahrnehmung einer Aufgabe im öffentlichen Interesse/Ausübung einer öffentlichen Gewalt
- das berechtigte Interesse des für die Verarbeitung Verantwortlichen
Diese Rechtsgrundlagen sind mit spezifischen Anforderungen verbunden, die als eine Reihe von "Vor- und Nachteilen" angesehen werden können. So muss die Einwilligung beispielsweise frei, ausdrücklich, in Kenntnis der Sachlage und unmissverständlich erteilt werden"2. Wenn diese Anforderungen nicht erfüllt werden können, muss ein anderer Grund herangezogen werden. Manchmal stehen zwei oder mehr Gründe zur Verfügung, während in anderen Fällen möglicherweise überhaupt kein Grund vorliegt, so dass die Daten nicht verarbeitet werden können.
Es ist zu beachten, dass es keine Rangfolge der Rechtsgründe gibt. So steht es dem für die Verarbeitung Verantwortlichen beispielsweise frei, zwischen der Einwilligung (an erster Stelle) und dem berechtigten Interesse (an letzter Stelle) zu wählen, sofern die Anforderungen für jeden einzelnen Grund in diesem spezifischen Szenario erfüllt werden können.
Welche Rechtsgrundlage sollte ich wählen?
Wie bereits erwähnt, ist jede Rechtsgrundlage mit spezifischen Anforderungen verbunden. Manchmal steht nur einer zur Verfügung, so dass Sie keine Wahl haben. In anderen Fällen haben Sie die Möglichkeit, zwischen zwei oder mehr zu wählen.
Jede Rechtsgrundlage hat ihre Vor- und Nachteile. Nehmen wir zum Beispiel an, Sie können zwischen einer Einwilligung und einem berechtigten Interesse wählen. Wenn Sie sich für die Einwilligung entscheiden, müssen Sie die Daten überhaupt erst einmal sammeln. Außerdem müssen Sie sicherstellen, dass die Anforderungen an die Einwilligung (freiwillig, in Kenntnis der Sachlage, spezifisch und eindeutig) erfüllt sind. Schließlich sollten Sie sich darüber im Klaren sein, dass die Einwilligung zurückgezogen werden kann, und darauf vorbereitet sein, mit dieser Möglichkeit umzugehen.
Wenn Sie sich stattdessen auf ein berechtigtes Interesse berufen, brauchen Sie keine Einwilligung einzuholen und müssen sich keine Sorgen machen, dass die Einwilligung später zurückgezogen werden könnte. Allerdings müssen Sie Ihr Interesse mit den Rechten der betroffenen Person abwägen, und die betroffene Person kann der Verarbeitung widersprechen (mehr dazu später).
Es kommt also auf eine Einzelfallprüfung an. Wenn die Verarbeitung beispielsweise sehr in die Privatsphäre eingreift, kann es schwierig sein, Ihr berechtigtes Interesse gegeneinander abzuwägen, und die Einwilligung ist möglicherweise die bessere Wahl. Wenn Sie hingegen große Bedenken wegen des Widerrufs der Einwilligung haben, sollten Sie stattdessen das berechtigte Interesse in Betracht ziehen. Es gibt wirklich keine Einheitslösung, und das macht die Sache so interessant.
Allerdings haben alle Gründe spezifische Anforderungen, und daher sind einige für bestimmte für die Verarbeitung Verantwortliche leichter zugänglich. Unternehmen und andere private Stellen stützen sich in der Regel auf Zustimmung, Vertrag und berechtigtes Interesse. Öffentliche Stellen hingegen berufen sich in der Regel entweder auf eine gesetzliche Verpflichtung oder auf das öffentliche Interesse bzw. die öffentliche Gewalt3.
Die Rechtsgrundlagen
Wir haben bereits über die Einwilligung gesprochen, also schauen wir uns jetzt die anderen Gründe an. Zu den Rechtsgrundlagen gibt es viel zu sagen, und wir können hier nur an der Oberfläche kratzen.
Vertrag
Gemäß Art. 6(1)(b) DSGVO können Sie Daten verarbeiten, wenn die Verarbeitung "für die Erfüllung eines Vertrags" mit der betroffenen Person oder für den Abschluss eines Vertrags auf deren Anfrage erforderlich ist. Wenn Sie zum Beispiel Waren an einen Kunden versenden, benötigen Sie eine Lieferadresse und Kontaktinformationen, um sicherzustellen, dass der Versand reibungslos verläuft. Sie können diese Daten im Rahmen der Erfüllung Ihres Vertrags mit dem Kunden verarbeiten.
Ein Vertrag ist eine bequeme und problemlose Rechtsgrundlage. Andererseits ist sie ziemlich restriktiv, was die Daten angeht, die verarbeitet werden dürfen, da der Begriff der Erforderlichkeit eng und in Bezug auf den eigentlichen Vertragsgegenstand ausgelegt werden muss.
Mit anderen Worten: Sie können die Verarbeitung unnötiger Daten in einem Vertrag nicht als bequeme Ausrede vorsehen, um sich auf diesen Rechtsgrund zu berufen. Die Datenschutzbehörden werden nicht zulassen, dass Sie das System auf diese Weise betrügen. Allerdings ist nicht immer klar, ob die Verarbeitung bestimmter Daten für einen Vertrag wesentlich ist, so dass es in der Praxis einige Grauzonen geben kann.
Es muss eine Klarstellung zwischen den Gründen für einen Vertrag und der Einwilligung erfolgen. Um es klar zu sagen: Die Einwilligung in den Vertrag und die Einwilligung in die Verarbeitung der Daten sind nicht dasselbe. Wenn die Verarbeitung jedoch Teil eines Vertrags ist, ist es eine gute Idee, die Rechtsgrundlage für die Verarbeitung der Daten ausdrücklich anzugeben, nur um sicherzugehen. Dies kann im Nachhinein einige Kopfschmerzen vermeiden und hilft dem für die Verarbeitung Verantwortlichen, seine Transparenzpflichten gemäß Art. 13.
Aktualisierung: Der Europäische Datenschutzausschuss hat kürzlich drei viel beachtete Fälle beigelegt, an denen Meta beteiligt war. In den Fällen ging es um die Vertragserfüllung als Rechtsgrundlage, und der Ausschuss hat größtenteils nur klargestellt, was bereits bekannt war: Der Begriff der Erforderlichkeit muss streng ausgelegt werden. Wir haben die Entscheidungen hier eingehend erörtert, da sie wahrscheinlich wichtige Auswirkungen auf die gezielte Werbung haben werden.
Berechtigtes Interesse
Gemäß Art. 6(1)(f) können Daten verarbeitet werden, wenn dies zur Verfolgung eines berechtigten Interesses des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist. So kann beispielsweise ein Unternehmen aufgrund seines berechtigten Interesses am Schutz seines Eigentums Überwachungskameras auf seinem Gelände installieren.
Der Begriff des berechtigten Interesses ist sehr weit gefasst. Er kann das Interesse einer Person am Schutz ihres Eigentums, das Interesse eines Unternehmens an der Führung seiner Geschäfte oder der Werbung für ein Produkt, das Interesse einer NRO an der Verfolgung humanitärer Ziele und das Interesse einer Website an der Erzielung von Werbeeinnahmen umfassen. Selbst ein allgemeines Interesse kann manchmal geltend gemacht werden, um sich auf ein berechtigtes Interesse zu berufen.
Folglich ist das berechtigte Interesse ein sehr flexibler Grund und kann für viele Zwecke verwendet werden. Diese Flexibilität geht jedoch mit einer bestimmten Einschränkung (und einem gewissen Befolgungsaufwand) einher: Der für die Verarbeitung Verantwortliche muss sicherstellen, dass sein Interesse nicht durch die Interessen, Rechte und Freiheiten der betroffenen Personen überlagert wird.
Diese Bewertung wird gemeinhin als Abwägung bezeichnet. Kurz gesagt, besteht die Abwägung aus drei Fragen#4 Ist das Interesse legitim? Ist die Verarbeitung notwendig? Und hat die Verarbeitung unverhältnismäßige Auswirkungen auf die Position der betroffenen Person?
Das klingt einfach, ist aber ziemlich knifflig. Die Abwägung ist eine Einzelfallprüfung, bei der viele Variablen berücksichtigt werden müssen. Um auf unser Beispiel zurückzukommen: Sind die Kameras die ganze Zeit über aktiv oder nur außerhalb der Arbeitszeit? Sind die Kameras auf dem Firmenparkplatz angebracht oder befinden sie sich innerhalb des Arbeitsplatzes, wo sie Aufnahmen von Mitarbeitern bei der Arbeit machen können? Zeichnen die Kameras Aufnahmen von Fußgängern auf, die sich auf der Straße bewegen? All diese Fragen sind für die Abwägung der berechtigten Interessen von Bedeutung.
In der Praxis wird der für die Verarbeitung Verantwortliche die Abwägung in der Regel durch die Erstellung einer Bewertung (Bewertung des berechtigten Interesses oder LIA) vornehmen. Auch wenn die Datenschutz-Grundverordnung dies nicht zwingend vorschreibt, ist eine schriftliche Bewertung für den für die Verarbeitung Verantwortlichen der einfachste Weg, um zu zeigen, dass er seine Hausaufgaben im Hinblick auf die Abwägung gemacht hat5.
Es gibt noch viel mehr über die Abwägung zu sagen6, und wir können hier nicht zu sehr in die Tiefe gehen. Aber unterm Strich ist die Abwägung schwierig, und das sollten Sie berücksichtigen, wenn Sie sich auf ein berechtigtes Interesse berufen wollen. Andererseits ist das berechtigte Interesse ein sehr flexibler Grund, so dass es in einigen Fällen die einzige Wahl sein kann.
Zwei letzte Punkte. Erstens sieht die Datenschutz-Grundverordnung vor, dass sich Behörden bei der Erfüllung ihrer Aufgaben nicht auf diesen Grund berufen können7. Zweitens hat die betroffene Person das Recht, der Verarbeitung ihrer Daten auf der Grundlage eines berechtigten Interesses zu widersprechen8. Dieses Recht dient insbesondere als Opt-out-Mechanismus gegen die Verarbeitung personenbezogener Daten für Direktmarketing9. Wir werden hier nicht weiter ins Detail gehen, aber wenn Sie neugierig sind, finden Sie auf der Website des ICO eine gute Informationsquelle zu diesem Thema (in dieser Hinsicht gibt es keinen Unterschied zwischen der GDPR und der britischen GDPR).
Rechtliche Verpflichtung
Nach Art. 6(1)(c) können personenbezogene Daten verarbeitet werden, wenn die Verarbeitung "zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist". So kann beispielsweise eine Bank die personenbezogenen Daten ihrer Kunden verarbeiten, um ihren Verpflichtungen im Rahmen der Geldwäschebekämpfungsvorschriften nachzukommen.
Art. 6(3) legt außerdem fest, dass die Quelle einer rechtlichen Verpflichtung das Recht der EU oder eines Mitgliedstaats sein muss. Der Begriff "Gesetz" ist weit gefasst und umfasst auch Vorschriften wie Verwaltungsakte oder Gerichtsentscheidungen10. Unabhängig davon muss dieses "Gesetz" bestimmte, in der Datenschutz-Grundverordnung festgelegte Anforderungen erfüllen. Das bedeutet, dass die Mitgliedstaaten die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nicht einfach dadurch herstellen können, dass sie ein Gesetz zu diesem Zweck erlassen.
Ähnlich wie die Erfüllung eines Vertrags ist die rechtliche Verpflichtung ein relativ problemloser Grund, aber auch sehr restriktiv hinsichtlich der Daten, die verarbeitet werden dürfen.
Lebenswichtiges Interesse
Gemäß Artikel 6 Absatz 1 Buchstabe d können Daten verarbeitet werden, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen Person zu schützen. Befindet sich beispielsweise ein Arbeitnehmer in unmittelbarer Gefahr, kann der Arbeitgeber der Polizei GPS-Daten aus der Pflege des Unternehmens zur Verfügung stellen, damit diese den Arbeitnehmer so schnell wie möglich finden und Maßnahmen ergreifen kann.
In diesem Zusammenhang bedeutet lebenswichtiges Interesse, dass eine lebensbedrohliche Situation vorliegt. Dies ist ein eher außergewöhnlicher Grund und nicht etwas, das man für die alltägliche Datenverarbeitung verwenden würde.
Öffentliches Interesse oder Ausübung einer öffentlichen Gewalt
Dies ist ein langes Thema: Gemäß Art. 6(1)(e) können Daten verarbeitet werden, wenn sie "für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde". So kann beispielsweise eine öffentliche Schule die Noten von Schülern aufgrund ihres öffentlichen Auftrags zur Förderung der Bildung verarbeiten. Die Steuerbehörde kann Ihre personenbezogenen Daten verarbeiten, wenn sie eine Prüfung durchführt, weil sie dazu gesetzlich befugt ist.
Dieser Grund wird in der Regel von Behörden und öffentlichen Einrichtungen genutzt, da er flexibler ist als eine gesetzliche Verpflichtung. Er kann auch von privaten Stellen genutzt werden, allerdings nur in bestimmten Fällen - zum Beispiel wenn ein privates Unternehmen eine öffentliche Dienstleistung im Rahmen eines Auftrags erbringt.
Schließlich gilt das bereits erwähnte Widerspruchsrecht auch für die Verarbeitung von Daten auf der Grundlage von öffentlichem Interesse/Behörde11.
Abschließende Überlegungen
Der richtige Umgang mit personenbezogenen Daten ist wichtig. Dennoch sind die Richtlinien und Gesetze der DSGVO nicht immer leicht zu verstehen. Wir haben versucht, einen umfassenden Überblick zu erstellen, um ein wenig mehr Klarheit über die verschiedenen Rechtsgrundlagen für die Datenerhebung zu schaffen. Die DSGVO hat die Grenzen dafür gesetzt, was möglich ist und was nicht. Als Unternehmen müssen Sie sich an diese Gesetze halten, um die Privatsphäre Ihrer Kunden zu schützen. Ein klares Verständnis dieser Rechtsgrundlagen verringert das Risiko von Rechtsstreitigkeiten und Datenschutzverletzungen für Ihr Unternehmen.
Selbst wenn es die DSGVO nicht gäbe und keine Datenschutzgesetze zu verletzen wären, sind Unternehmen moralisch verpflichtet, mit den Daten ihrer Website-Besucher verantwortungsvoll umzugehen. Zumindest glauben wir das bei Simple Analytics.
Aus diesem Grund haben wir eine datenschutzfreundliche Google Analytics-Alternative entwickelt, die keine Cookies verwendet und keine persönlichen Daten sammelt, aber dennoch verwertbare Erkenntnisse über Ihre Website-Besucher liefert.
Wir glauben an die Schaffung eines unabhängigen Webs, das freundlich zu den Website-Besuchern ist und gleichzeitig die Erkenntnisse liefert, die Sie für Ihr Unternehmen benötigen. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.
#1 Dies ist der Grundsatz der Rechtmäßigkeit, der in Art. 5(1)(a) GDPR [^2]: Art. 4(11) GDPR. [^3]: Öffentliche Stellen verfügen in der Regel über ein gewisses Machtgefälle gegenüber der betroffenen Person, was bedeutet, dass die Einwilligung nicht immer frei gegeben wird, wie in Art. 4(11) GDPR GEFORDERT WIRD. Art. 6 sieht auch vor, dass Behörden (was spezifischer ist als öffentliche Einrichtungen) sich nicht auf ein berechtigtes Interesse berufen können, wenn sie sich stattdessen auf das öffentliche Interesse/die öffentliche Gewalt berufen könnten [^4]: Dies ist der vom EuGH entwickelte dreiteilige Test (EuGH - C-13/16 - Rīgas satiksme) [^5]: Siehe Art. 5(2) (Rechenschaftspflicht) sowie 24 GPDR (Verantwortung des für die Verarbeitung Verantwortlichen) [^6]: Wenn Sie mehr über das berechtigte Interesse wissen möchten, bietet das britische ICO auf seiner Website einige sehr zugängliche Informationen [^7]: Art. 6(1) GDPR. [^8]: 21 GDPR. Dasselbe gilt für die Verarbeitung auf der Grundlage von 6(1)(e) [^9]: 21(3) GDPR [^10]: Kuner und andere, Commentary On The EU General Data Protection Regulation (GDPR). A Commentary, 2020, S. 333. [^11]: 21 GDPR.