Die Verarbeitung personenbezogener Daten ist grundsätzlich rechtswidrig. Dabei handelt es sich um ein Verbot mit Erlaubnisvorbehalt. Unter welchen Voraussetzungen die Verarbeitung von personenbezogenen Daten stattfinden darf, ist in Art. 6 Abs. 1 lit. a-f DSGVO normiert. Im Folgenden werden die praxisrelevantesten Rechtmäßigkeitsgründe der Verarbeitung näher erläutert.
Einwilligung
Schriftlich, mündlich, per Klick
Personenbezogene Daten dürfen von einem Unternehmen verwendet werden, wenn die betroffene Person in die Verarbeitung eingewilligt hat.
Die Einwilligung muss nicht schriftlich erfolgen, sie kann auch elektronisch, z. B. durch den Klick auf eine Schaltfläche oder das Setzen eines Häkchens erfolgen. Wichtig ist, dass eine ausdrückliche Erklärung abgegeben wird, die sich auf einen bestimmten Inhalt bezieht. Eine Einwilligung ist somit nicht anzunehmen, wenn die betroffene Person schweigt, untätig bleibt oder Ankreuzkästchen bereits vorausgewählt sind. Auch die schlichte Nutzung eines Dienstes stellt noch keine datenschutzrechtliche Einwilligung dar. In diesem Fall kommt jedoch der Rechtmäßigkeitsgrund des überwiegenden berechtigten Interesses oder ggf. eine vertragliche Rechtsgrundlage in Betracht.
Freie Entscheidung
Die Einwilligung muss freiwillig erteilt werden, d.h., dass die betroffene Person eine echte und freie Wahl haben muss, ob sie ihre Einwilligung erteilt. Der Einwilligende muss demnach auch die Möglichkeit haben die Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch Nachteile zu erleiden. Wenn die Erfüllung eines Vertrages von der Einwilligung abhängig gemacht wird, obwohl die Daten zumindest auch zu einem anderen Zweck verwendet werden, kann in der Regel keine freiwillige Erteilung der Einwilligung angenommen werden.
Einsicht in die Datenschutzerklärung
Bei Erteilung der Einwilligung sollte der betroffenen Person Einsicht in die Datenschutzerklärung gewährt werden, da die Einwilligung in informierter Weise zu erfolgen hat. Die Erklärung selbst darf keine missverständlichen Klauseln enthalten und muss die betroffene Person darüber informieren, wer die personenbezogenen Daten zu welchen Zwecken verarbeiten wird. Auch ein Hinweis auf das jederzeitige Widerrufsrecht ist neben weiteren Punkten obligatorisch.
Nachweis
Das verantwortliche Unternehmen trifft die Pflicht, die Erteilung der Einwilligung nachweisen zu können. Die Rechenschaftspflicht führt dazu, dass das Unternehmen seine technischen Systeme so ausgestalten muss, dass datenschutzfreundliche Voreinstellungen, insbesondere die Abrufbarkeit der Einwilligung gewährleistet wird.
Vertrag
Unternehmen dürfen personenbezogene Daten (z. B. Name, E-Mail-Adresse, Kundennummer) verarbeiten, wenn dies zur Erfüllung eines Vertrages mit der betroffenen Person erforderlich ist.
Vom „Vertrag“ erfasst
Dies setzt voraus, dass ein Vertrag mit der betroffenen Person geschlossen wurde. Ist eine andere Person Vertragspartner, kommt lediglich eine Datenverarbeitung auf der Grundlage eines überwiegenden berechtigten Interesses in Betracht. Unerheblich ist für den vertraglichen Rechtmäßigkeitsgrund, um welche Vertragsart es sich handelt.
Es werden auch Mitgliedschaften in einer Gesellschaft oder einem Verein umfasst, nicht jedoch Tarifverträge. Voraussetzung ist, dass die konkrete Datenverarbeitung bereits im Vertrag vorgesehen ist und somit auf den Willen der betroffenen Person zurückgeführt werden kann.
Für den Vertrag erforderlich
Die Datenverarbeitung ist für die Erfüllung des Vertrages erforderlich, wenn sie für den Vertragszweck notwendig und nicht nur nützlich ist. Eine Notwendigkeit ist anzunehmen bei der Mitteilung von Kreditkartenangaben zur Zahlungsabwicklung, die Angabe einer Kundenanschrift zur Lieferung einer Ware oder Detailangaben zu der gewünschten Leistung. Darüber hinaus ist stets im Einzelfall entscheidend, was zwischen den Vertragsparteien vereinbart wurde.
Vorvertragliche Anfragen
Personenbezogene Daten dürfen auch verarbeitet werden, wenn die betroffene Person ein Angebot oder eine Leistung anfragt. In diesem Fall kann das Unternehmen die Daten des Anfragenden für die Dauer der Verhandlungen bzw. bis zum Zustandekommen eines Vertrages verarbeiten.
Wichtig: Dies gilt nur, wenn die Anfrage auf Initiative der betroffenen Person erfolgt. Werbemaßnahmen oder Auskünfte, die ein Unternehmen aus eigenem Interesse einholt (z. B. Kalkulations- und Entscheidungsgrundlagen), sind nicht umfasst.
Rechtliche Pflicht
Soweit ein verantwortliches Unternehmen gesetzlichen Pflichten unterliegt, dürfen personenbezogene Daten zur Erfüllung dieser Pflichten verarbeitet (z. B. erhoben, aufgezeichnet, gespeichert, weitgegeben) werden.
Aus Gesetz
Ordnet ein Gesetz eine konkrete Pflicht an, mit der eine Datenverarbeitung einhergeht, dürfen die Daten betroffener Personen somit auf dieser Grundlage verarbeitet werden. Nicht umfasst werden hingegen Verpflichtungen, die sich aus einem Vertrag (siehe vertragliche Rechtsgrundlage) ergeben.
Vielfältige Pflichten
Gesetzliche Pflichten, denen Unternehmen unterliegen, können sehr vielfältig sein. Die Datenverarbeitung kann etwa der Erfüllung von gesetzlichen Mitteilungs-, Protokollierungs-, Dokumentations- und Auskunftspflichten dienen. Von besonderer Relevanz sind auch die (Umsatz-)steuerrechtlichen Pflichten und die sich daraus ergebenden Aufbewahrungspflichten.
Erforderlichkeit
Die Datenverarbeitung muss für die Erfüllung der gesetzlichen Pflicht erforderlich sein. Daraus folgt, dass die Verarbeitung auf das Maß beschränkt sein muss, die dem verantwortlichen Unternehmen auferlegt wurde. Zu anderen Zwecken oder in einem größeren Umfang können die Daten nicht auf dieser Grundlage verarbeitet werden.
Berechtigtes Interesse
Anders als Behörden, können sich Unternehmen auf ein berechtigtes Interesse an der Datenverarbeitung berufen. Der Rechtmäßigkeitsgrund des „überwiegenden berechtigten Interesses“ ist von besonderer praktischer Bedeutung, da er stets in Augenschein genommen werden kann, wenn sonst kein Rechtmäßigkeitsgrund vorliegt.
Beispiele
Den Erwägungsgründen zur DSGVO lassen sich Beispiele entnehmen, in denen ein berechtigtes Interesse anzunehmen ist. Neben der Betrugsprävention und der Direktwerbung ist dies unter bestimmten Umständen auch bei der Übermittlung von Kunden- und Beschäftigtendaten innerhalb einer Unternehmensgruppe der Fall. Darüber hinaus können auch wirtschaftliche Interessen, die Wahrnehmung des Hausrechts und die Durchsetzung von Rechtsansprüchen und Marktforschungsinteressen umfasst sein. Ein berechtigtes Interesse zur Datenverarbeitung kann sich auch daraus ergeben, dass eine maßgebliche Beziehung zwischen dem Verantwortlichen und der betroffenen Person besteht, zum Beispiel wenn diese ein Kunde des Verantwortlichen ist.
Interessenabwägung
Es bedarf jedoch stets einer Abwägung im Einzelfall, ob tatsächlich ein berechtigtes Interesse vorliegt. Dabei werden die Interessen des Unternehmens den Rechten der betroffenen Personen gegenübergestellt und die vernünftigen Erwartungen der betroffenen Person berücksichtigt.