Externer Datenschutzbeauftragter München

Datenschutz-Themen, Tipps & Vorlagenmuster

Art 6 DSGVO: Klare Leitlinien zur Rechtmäßigkeit der Datenverarbeitung

von

essinger
in

Warum gibt es Artikel 6 der DSGVO?

Der Artikel 6 der Datenschutz-Grundverordnung (DSGVO) ist von entscheidender Bedeutung, um die rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen. Artikel 6 definiert verschiedene Arten von Daten, die verarbeitet werden dürfen, und die spezifischen Bedingungen, die dafür gelten müssen. In einer Zeit, in der Daten als wertvolle Ressource gehandelt werden, ist es unerlässlich, klare Richtlinien für deren Verwendung zu schaffen. Artikel 6 bietet einen strukturierten Rahmen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten nur unter bestimmten Bedingungen und auf einer rechtlich abgesicherten Grundlage erfolgt. Dies schützt die Grundrechte und Freiheiten der betroffenen Personen, indem es Transparenz und Fairness in der Datenverarbeitung fördert. Ohne diesen Artikel wäre das Risiko von Datenmissbrauch und unrechtmäßiger Verarbeitung erheblich größer, was das Vertrauen der Öffentlichkeit in den Datenschutz gefährden könnte.

Notwendigkeit einer Rechtsgrundlage und Zweckbindung

Es ist unerlässlich, dass jede Verarbeitung personenbezogener Daten auf einer klar definierten Rechtsgrundlage beruht, die auch einen spezifischen Zweck beinhaltet. Ohne einen solchen Zweck dürfen personenbezogene Daten generell nicht gespeichert oder verarbeitet werden, und die Verarbeitung muss stets zu bestimmten, zuvor festgelegten Zwecken erfolgen. Sobald der Zweck entfällt, beispielsweise weil die gesetzliche Aufbewahrungsfrist abgelaufen ist, gibt es keinen Grund und somit auch keine Erlaubnis mehr, die Daten weiter zu speichern. Dies stellt sicher, dass die Datenverarbeitung stets im Einklang mit den Grundsätzen der Datenschutz-Grundverordnung erfolgt und die Rechte der betroffenen Personen gewahrt bleiben.

Rechtmäßigkeit der Verarbeitung nach der Datenschutz-Grundverordnung

Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn sie auf einer Rechtsgrundlage beruht, die in der Datenschutz-Grundverordnung (DSGVO) festgelegt ist. Die Einhaltung dieser Grundsätze ist entscheidend, um die Rechtmäßigkeit der Datenverarbeitung zu gewährleisten.

Die DSGVO sieht ein Verbot mit Erlaubnisvorbehalt vor, wonach jede Datenverarbeitung für ihre Rechtmäßigkeit auf einer konkreten Rechtsgrundlage beruhen muss. Die wichtigsten Rechtsgrundlagen sind in Art. 6 Abs. 1 DSGVO normiert.

Rechtsgrundlagen für die Verarbeitung

  • Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO)

  • Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)

  • Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) Die rechtlichen Grundlagen sind in Art. 6 Abs. 1 Buchstabe a bis f DSGVO festgelegt.

  • Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person (Art. 6 Abs. 1 lit. d DSGVO)

  • Wahrung einer öffentlichen Aufgabe oder Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO) Die Mitgliedstaaten können spezifische Bestimmungen zur Anpassung der Vorschriften gemäß Art. 6 Abs. 1 Buchstaben c und e einführen.

  • Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) Die Bedingungen für die Verarbeitung sind in Art. 6 Abs. 1 Buchstaben c und e DSGVO geregelt.

Praxisbeispiele zu den Rechtsgrundlagen der Verarbeitung (Art. 6 Abs. 1 DSGVO)

  • Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO): Ein Unternehmen möchte Newsletter an Kunden versenden und holt hierfür die ausdrückliche Einwilligung der betroffenen Personen ein, bevor es deren E-Mail-Adressen für diesen Zweck nutzt.

  • Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Ein Online-Shop verarbeitet die Adressdaten eines Kunden, um eine bestellte Ware zu versenden. Die Verarbeitung der Daten ist notwendig, um den Kaufvertrag zu erfüllen.

  • Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Ein Arbeitgeber ist gesetzlich verpflichtet, die Lohnsteuer seiner Mitarbeiter abzuführen und verarbeitet dafür deren personenbezogene Daten.

  • Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person (Art. 6 Abs. 1 lit. d DSGVO): In einem Notfall verarbeitet ein Krankenhaus die medizinischen Daten eines bewusstlosen Patienten, um lebensrettende Maßnahmen zu ergreifen.

  • Wahrung einer öffentlichen Aufgabe oder Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO): Eine städtische Behörde erhebt Daten von Bürgern, um Wahlen zu organisieren und sicherzustellen, dass alle Wahlberechtigten ihre Stimme abgeben können.

  • Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO): Ein Unternehmen verwendet Überwachungskameras in seinen Geschäftsräumen, um Diebstahl zu verhindern. Dabei wird abgewogen, dass das Interesse an der Sicherheit der Räumlichkeiten die Interessen und Grundrechte der betroffenen Personen überwiegt.

Einwilligung versus Vertragserfüllung?

Wir helfen gerne die Abwägung sowie die Vor- und Nachteile mit Ihnen zu erarbeiten – kontaktieren Sie uns noch heute!

Kontakt aufnehmen

Einwilligung der betroffenen Person

Die Einwilligung der betroffenen Person ist eine der zentralen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. a DSGVO. Diese Einwilligung muss freiwillig, informiert und spezifisch für den jeweiligen Zweck der Datenverarbeitung erteilt werden. Das bedeutet, dass die betroffene Person genau wissen muss, wofür ihre Daten verwendet werden und dass sie dieser Nutzung ausdrücklich zustimmt.

Ein Beispiel für eine solche Einwilligung ist, wenn ein Unternehmen die E-Mail-Adressen seiner Kunden sammelt, um ihnen Newsletter zuzusenden. Hierbei muss das Unternehmen sicherstellen, dass die Kunden klar und verständlich darüber informiert werden, dass ihre E-Mail-Adressen für diesen Zweck verwendet werden und dass sie ihre Zustimmung dazu geben.

Die Einwilligung kann auch durch konkludentes Verhalten erfolgen. Dies bedeutet, dass die betroffene Person durch ihr Verhalten oder ihre Handlungen zu erkennen gibt, dass sie mit der Verarbeitung ihrer Daten einverstanden ist. Ein Beispiel hierfür wäre, wenn ein Kunde seine Kontaktdaten in ein Online-Formular eingibt, um ein Angebot zu erhalten.

Wichtig ist, dass die Einwilligung jederzeit und ohne Angabe von Gründen widerrufen werden kann. Der Widerruf muss genauso einfach sein wie die Erteilung der Einwilligung. Die betroffene Person muss zudem über ihr Widerrufsrecht informiert werden, um sicherzustellen, dass sie die Kontrolle über ihre personenbezogenen Daten behält.

Vertragserfüllung als Rechtsgrundlage

Die Vertragserfüllung stellt eine weitere wesentliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar, wie in Art. 6 Abs. 1 lit. b DSGVO festgelegt. Diese Grundlage erlaubt die Verarbeitung, wenn sie zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Ein typisches Beispiel hierfür ist die Verarbeitung von Adressdaten durch einen Online-Shop, um eine bestellte Ware zu liefern. Ohne diese Daten wäre die Vertragserfüllung nicht möglich.

Darüber hinaus umfasst diese Rechtsgrundlage auch die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Ein Beispiel hierfür wäre die Verarbeitung von Kontaktdaten und Präferenzen eines potenziellen Kunden, der ein Angebot für eine Dienstleistung anfordert. Diese Datenverarbeitung ist notwendig, um den potenziellen Vertrag vorzubereiten und die Anfrage der betroffenen Person zu bearbeiten.

Es ist wichtig, dass die Verarbeitung personenbezogener Daten in diesem Kontext nur im notwendigen Umfang erfolgt und dass die betroffenen Personen über den Zweck und die Rechtsgrundlage der Verarbeitung informiert werden. Dies stellt sicher, dass die Datenverarbeitung transparent und im Einklang mit den Grundsätzen der Datenschutz-Grundverordnung erfolgt.

Ausübung öffentlicher Gewalt und gesetzliche Verpflichtung

Die Ausübung öffentlicher Gewalt erfolgt, wenn eine Behörde oder ein öffentliches Unternehmen eine Aufgabe wahrnimmt, die im öffentlichen Interesse liegt. Die gesetzliche Verpflichtung kann sich aus dem Unionsrecht oder dem Recht eines Mitgliedstaats ergeben.

Beispiele zu “Ausübung öffentlicher Gewalt”:

  1. Polizeiliche Ermittlung: Die Polizei sammelt und verarbeitet personenbezogene Daten, um Straftaten aufzuklären und die öffentliche Sicherheit zu gewährleisten (Anm. hier muss ein richterlicher Beschluss vorliegen!). Solche Verarbeitungen sind notwendig, um öffentliche Aufgaben zu erfüllen und die rechtlichen Anforderungen zu erfüllen.

  2. Steuererhebung durch Finanzämter: Finanzämter verarbeiten Daten von Bürgern, um Steuern korrekt zu erheben und Steuerhinterziehung zu verhindern.

  3. Verkehrsüberwachung: Behörden setzen Geschwindigkeitsüberwachungssysteme ein, um die Einhaltung von Verkehrsregeln sicherzustellen und die Verkehrssicherheit zu erhöhen.

  4. Einwohnermeldeamt: Die Registrierung von Bürgern und die Verwaltung von Meldeinformationen durch das Einwohnermeldeamt zur Durchführung öffentlicher Aufgaben.

  5. Gesundheitsüberwachung: Gesundheitsämter erheben und verarbeiten Daten im Rahmen der Kontrolle und Bekämpfung von Infektionskrankheiten.

Beispiele zu “Gesetzliche Verpflichtungen”:

  1. Meldepflichten für Unternehmen: Unternehmen sind gesetzlich verpflichtet, bestimmte Daten, wie z.B. Umsatzsteuerdaten, an die Finanzbehörden zu melden.

  2. Arbeitsschutzgesetze: Arbeitgeber müssen Daten ihrer Mitarbeiter verarbeiten, um gesetzliche Arbeitsschutzmaßnahmen zu erfüllen.

  3. Buchführungspflichten: Unternehmen sind verpflichtet, bestimmte finanzielle Daten für einen festgelegten Zeitraum zu speichern, um gesetzliche Anforderungen zu erfüllen.

  4. Meldepflicht bei Verdacht auf Geldwäsche: Banken und Finanzinstitute müssen verdächtige Transaktionen melden, um Geldwäsche zu verhindern.

  5. Datenspeicherung für Telekommunikationsanbieter: Anbieter sind verpflichtet, Verbindungsdaten

Schutz der Rechte der betroffenen Person

  • Die betroffene Person hat das Recht, ihre personenbezogenen Daten zu kontrollieren und zu schützen.

  • Die Verarbeitung personenbezogener Daten muss transparent und fair erfolgen.

Interessenabwägung und Schutz lebenswichtiger Interessen

  • Die Interessenabwägung ist ein Verfahren, bei dem die Interessen des Verantwortlichen und die Interessen der betroffenen Person gegeneinander abgewogen werden.

  • Der Schutz lebenswichtiger Interessen ist ein wichtiger Aspekt der Datenschutz-Grundverordnung.

    Praxisbeispiele für die Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO)

    1. Mitarbeiter-E-Mail-Überwachung: Ein Unternehmen überwacht die E-Mail-Kommunikation seiner Mitarbeiter, um sicherzustellen, dass keine vertraulichen Informationen nach außen gelangen. Dabei wird das Interesse des Unternehmens an der Sicherung sensibler Daten gegen das Recht der Mitarbeiter auf Privatsphäre abgewogen.

    2. Kundenbewertungen auf Websites: Ein Online-Shop veröffentlicht Kundenbewertungen zu Produkten, um anderen Kunden bei der Kaufentscheidung zu helfen. Dabei wird das Interesse des Unternehmens an Transparenz und Kundenbindung gegen das Recht der Rezensenten auf Datenschutz abgewogen.

    3. Verwendung von GPS-Daten in Flottenmanagement: Eine Logistikfirma nutzt GPS-Daten, um die Routen ihrer Fahrer zu optimieren und die Lieferzeiten zu verkürzen. Das Interesse an Effizienz und Kostensenkung wird gegen das Recht der Fahrer auf Privatsphäre abgewogen.

Beispiele, bei denen das berechtigte Interesse nicht ausreicht (Art. 6 Abs. 1 lit. f DSGVO)

  1. Veröffentlichung von Mitarbeiterdaten im Internet: Ein Unternehmen veröffentlicht ohne Einwilligung die Kontaktdaten und Fotos seiner Mitarbeiter auf der Unternehmenswebsite. Das Interesse an der Darstellung des Teams überwiegt nicht das Recht der Mitarbeiter auf Schutz ihrer personenbezogenen Daten.

  2. Installation von Überwachungskameras in Pausenräumen: Eine Firma installiert Kameras in den Pausenräumen, um das Verhalten der Mitarbeiter zu überwachen. Das Interesse an Kontrolle und Sicherheit überwiegt nicht das Recht der Mitarbeiter auf Privatsphäre während ihrer Pausen.

  3. Einsatz von Videokameras: Die Verwendung von Videokameras ist immer sehr sensibel in der Auslegung und im Zweifel ist hier kein Art. 6 Abs. 1 lit. f DSGVO anwendbar. Aufgrund der Einschränkung des Persönlichkeitsrechts, der Überwachung während der Pause und damit der Arbeitszeitenüberwachung, sowie eines Verbots bei Toilettenräumlichkeiten, auch schon vor den Räumlichkeiten, ist besondere Vorsicht geboten. Bei der Diebstahl-Prävention gilt, dass nicht das bloße „es könnte sein“ ausreichend ist; es muss bereits ein Fall aktenkundig geworden sein, um die Rechtmäßigkeit der Kameraüberwachung zu rechtfertigen.

  4. Speicherung von Bewerberdaten nach gesetzlicher Aufbewahrungsfrist (6 Monte): Ein Unternehmen speichert die Daten abgelehnter Bewerber unbegrenzt, um sie möglicherweise in der Zukunft zu kontaktieren. Das Interesse an einer potenziellen zukünftigen Nutzung überwiegt nicht das Recht der Bewerber auf Löschung ihrer Daten nach Abschluss des Bewerbungsverfahrens.
    Das Interesse an einer potenziellen zukünftigen Nutzung überwiegt nicht das Recht der Bewerber auf Löschung ihrer Daten nach Abschluss des Bewerbungsverfahrens. Gemäß dem Arbeitsschutzgesetz ist es erforderlich diese Daten für 6 Monate aufzubewahren (bzw. nach § 61b Abs. 1 ArbGG i.V.m. § 15 Abs. 4 AGG müssen die Unterlagen abgelehnter Bewerber/innen sechs Monate nach Abschluss des Bewerbungsverfahrens aufbewahrt werden, um die Entscheidung beweisen zu können). Danach erlischt der Zweck der Speicherung, und die Daten müssen gelöscht werden. Hier überwiegt das Persönlichkeitsrecht der Bewerber, und die Daten dürfen keinesfalls auf Basis eines berechtigten Interesses weiter gespeichert werden.
    Eine Speicherung über diesen Zeitraum hinaus ist nur mit einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO zulässig, beispielsweise für die Aufnahme in eine Job-Pool-Datenbank oder ähnliches.

Einwilligung versus berechtigtes Interesse?

Wir helfen gerne die Abwägung sowie die Vor- und Nachteile mit Ihnen zu erarbeiten – kontaktieren Sie uns noch heute!

Kontakt aufnehmen

Transparenz und Informationspflichten

Transparenz ist ein grundlegendes Prinzip der Datenschutz-Grundverordnung (DSGVO). Verantwortliche Stellen sind verpflichtet, die betroffenen Personen umfassend über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Nach Art. 13 DSGVO muss der Verantwortliche die betroffene Person über mehrere wesentliche Punkte aufklären:

  • Name und Kontaktdaten des Verantwortlichen: Die betroffene Person muss wissen, wer für die Datenverarbeitung verantwortlich ist und wie sie diesen erreichen kann.

  • Zweck der Verarbeitung: Es muss klar angegeben werden, warum die Daten erhoben und verarbeitet werden.

  • Rechtsgrundlage für die Verarbeitung: Die betroffene Person muss darüber informiert werden, auf welcher rechtlichen Grundlage die Datenverarbeitung erfolgt.

  • Empfänger der personenbezogenen Daten: Es muss offengelegt werden, wer die Daten erhält oder erhalten könnte.

  • Dauer der Speicherung: Die betroffene Person muss wissen, wie lange ihre Daten gespeichert werden.

  • Rechte der betroffenen Person: Dazu gehören das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch.

Ein Beispiel für die Umsetzung dieser Informationspflichten ist die Datenschutzerklärung auf einer Website. Diese sollte alle oben genannten Punkte klar und verständlich darstellen, sodass die Besucher der Website genau wissen, wie ihre Daten verwendet werden.

Darüber hinaus muss der Verantwortliche die betroffene Person auch über die Möglichkeit des Widerrufs einer erteilten Einwilligung informieren. Dies stellt sicher, dass die betroffene Person jederzeit die Kontrolle über ihre personenbezogenen Daten behält und ihre Rechte gemäß der DSGVO wahrnehmen kann.

Fazit: Rechtmäßigkeit der Verarbeitung und Datenschutz

  • Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist ein zentraler Aspekt der Datenschutz-Grundverordnung (DSGVO). Sie stellt sicher, dass die Verarbeitung nur auf einer klar definierten Rechtsgrundlage erfolgt, um die Rechte und Freiheiten der betroffenen Personen zu schützen.

  • Die DSGVO bietet eine Vielzahl von Rechtsgrundlagen, wie die Einwilligung, die Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung, den Schutz lebenswichtiger Interessen, die Wahrnehmung öffentlicher Aufgaben und die Interessenabwägung. Jede dieser Grundlagen hat ihre spezifischen Anwendungsbereiche und Anforderungen, die sorgfältig geprüft werden müssen, um die Rechtmäßigkeit der Verarbeitung zu gewährleisten.

  • Ein zentrales Ziel der DSGVO ist es, Transparenz und Fairness in der Datenverarbeitung zu fördern. Die betroffenen Personen sollen jederzeit die Kontrolle über ihre personenbezogenen Daten behalten und über die Zwecke der Verarbeitung informiert sein.

  • Die DSGVO stellt auch sicher, dass die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, gewahrt bleiben. Diese Rechte sind essenziell, um die Privatsphäre und den Schutz der personenbezogenen Daten zu gewährleisten.

Wir helfen Ihnen gerne bei Fragen

Lassen Sie uns gemeinsam Ihre Lösungen finden – kontaktieren Sie uns noch heute!

Kontakt aufnehmen