Kann ich diese und jene personenbezogenen Daten speichern? Ist es erlaubt, Daten an dieses und jenes Unternehmen weiterzugeben? Was darf ich mit der DSGVO überhaupt noch?
Grundsätzlich dürfen Sie nichts. In der DSGVO gilt nämlich das Verbot mit Erlaubnisvorbehalt. Damit ist jede Datenverarbeitung erst einmal verboten. Um personenbezogene Daten verarbeiten zu dürfen, müssen Sie für jede einzelne Datenverarbeitung mindestens eine zutreffende Rechtsgrundlage finden.
Fast alle in Frage kommenden Rechtsgrundlagen sind in Art. 6 Abs. 1 DSGVO aufgelistet, allerdings abstrakt und damit schwer verständlich formuliert. Daher möchte ich Ihnen nachfolgend jede einzelne Rechtsgrundlage mit Beispielen näher bringen.
a) Einwilligung
Die sicherste Rechtsgrundlage ist die Einwilligung. Hat eine betroffene Person zugestimmt, dürfen Sie deren Daten verarbeiten. Soweit logisch. Das heißt im Umkehrschluss aber auch, dass Sie die Daten nicht mehr verarbeiten dürfen, sobald die betroffene Person ihre Zustimmung wieder zurück zieht (Widerruf der Einwilligung). Außerdem ist es umständlich, sich für jede Datenverarbeitung eine Zustimmung einzuholen.
Sie merken, die Einwilligung ist nicht die beste Rechtsgrundlage und sollte nur genutzt werden, falls für die jeweilige Datenverarbeitung keine andere Rechtsgrundlage in Frage kommt.
Typische Anwendungsbeispiele
- Newsletterversand
- Veröffentlichung von Mitarbeiterfotos im Internet
- Verarbeitung von Gesundheitsdaten und anderen sensiblen Daten
- Verarbeitung von Daten von Kindern
Mehr Informationen zur Einwilligung erhalten Sie im nächsten Kapitel.
b) zur Vertragserfüllung
Im Unternehmensalltag wird es sich nicht vermeiden lassen, personenbezogene Daten von Geschäftspartnern und Kunden zu verarbeiten. Dagegen hat auch die DSGVO nichts. Im Gegenteil. Die DSGVO erlaubt explizit jede Datenverarbeitung, die zur Erfüllung eines Vertrags (z. B. Kaufvertrag, Dienstleistungsvertrag) erforderlich ist. Gleiches gilt für vorvertragliche Maßnahmen, die auf Anfrage einer betroffenen Person erfolgen.
Typische Anwendungsbeispiele
- Rückfragen an Geschäftspartner bezüglich eines Auftrags
- Lieferadresse eines Onlineshop-Kunden wird an Versanddienstleister weitergegeben
- Verwaltung von Anfragen in einer Datenbank
c) zur Erfüllung einer rechtlichen Verpflichtung
Die DSGVO hindert Unternehmen nicht daran, ihren rechtlichen Verpflichtungen nachzukommen. Wird eine Verarbeitung personenbezogener Daten von einem Gesetz vorgeschrieben, so ist die Datenverarbeitung auch nach der DSGVO erlaubt.
Typische Anwendungsbeispiele
- 6- bzw. 10-jährige Aufbewahrung von Geschäftsunterlagen gem. § 147 AO, § 257 HGB
- Weitergabe von Mitarbeiterdaten an Finanzamt, Sozialversicherungsträger etc.
e) öffentliches Interesse
Eine Verarbeitung personenbezogener Daten ist erlaubt, wenn Sie im öffentlichen Interesse ist. Relevant ist diese Rechtsgrundlage insbesondere für öffentlich-rechtliche Körperschaften wie Rundfunkanstalten oder Berufsvereinigungen.
f) berechtigtes Interesse
Wenn bisher keine Rechtsgrundlage passt, könnte Sie die Rechtsgrundlage berechtigtes Interesse retten. Ein berechtigtes Interesse liegt vor, wenn das Interesse des verantwortlichen Unternehmens höher als das Interesse der betroffenen Person wiegt. Dann wäre eine Verarbeitung erlaubt. Zugegeben, die Formulierung ist sehr juristisch.
Man könnte auch sagen, ein berechtigtes Interesse liegt vor, wenn die Datenverarbeitung für das verantwortliche Unternehmen wichtig ist und der betroffenen Person nicht weh tut bzw. sie es erwarten kann. Das ist natürlich für den konkreten Einzelfall subjektiv, streitbar und damit Spielwiese von Juristen. Zum Glück gibt es bereits Vorgaben aus der Rechtsprechung und von den Aufsichtsbehörden. Einige davon habe ich Ihnen nachfolgend zusammengetragen.
Typische Anwendungsbeispiele
- Videoüberwachung im Kassenbereich eines Supermarkts: das Interesse des Supermarktbetreibers sich vor Diebstahl und Vandalismus zu schützen (Eigentumsrecht) ist stärker als das Persönlichkeitsrecht von Kunden und Kassierern
- Setzen von Session-Cookies auf Webauftritt: das Interesse des Webseitenbetreibers, die Funktionalität des Webauftritts zu gewährleisten (Recht am eingerichteten und ausgeübten Gewerbebetrieb) ist stärker als das Recht auf informationelle Selbstbestimmung von Webseitenbesuchern
- Direktwerbung per Telefon B2B: das Interesse des anrufenden Unternehmens an Marketing/Vertrieb (Recht am eingerichteten und ausgeübten Gewerbebetrieb) ist stärker als das Recht auf informationelle Selbstbestimmung eines Mitarbeiters des angerufenen Unternehmens; der Mitarbeiter kann solche Anrufe erwarten
g) zur Durchführung eines Beschäftigungsverhältnisses
Da u. a. der Beschäftigtendatenschutz national geregelt wird, findet sich die Rechtsgrundlage nicht in der DSGVO, sondern im BDSG (Bundesdatenschutzgesetz) in § 26 Abs. 1 S. 1. Danach ist jede Datenverarbeitung erlaubt, die zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Typische Anwendungsbeispiele
- Kommunikation mit Bewerbern und Einsichtnahme in Bewerbungsunterlagen
- Weitergabe von Mitarbeiternamen an Fortbildungseinrichtungen
- Betriebliche Reiseplanung der Außendienstmitarbeiter
Rechtsgrundlagen für besondere Kategorien personenbezogener Daten
Neben den Rechtsgrundlagen für normale personenbezogene Daten, gibt es spezielle Rechtsgrundlagen für besondere personenbezogene Daten wie Gesundheitsdaten. Diese werden in Art. 9 Abs. 2 DSGVO aufgelistet. Sie ähneln den bereits vorgestellten Rechtsgrundlagen oder erklären sich aus dem Gesetzestext.