Rechtmäßigkeit einer Verarbeitung

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, um den Menschen vor der Übermacht von Staat und Unternehmen zu schützen. Erst wenn mindestens einer von sechs sogenannten Erlaubnistatbeständen vorliegt, darf auf dessen Basis eine Verarbeitung vorgenommen werden. Mindestens heißt, dass durchaus auch mehrere Rechtsgrundlagen gültig sein können.

Die DSGVO stellt die Einwilligung an erster Stelle der Rechtsgrundlagen für eine Verarbeitung personenbezogener Daten. Allerdings hat sie eine Reihe von Anforderungen an eine gültige Einwilligung formuliert (Art. 4 Nr. 11, Art. 6 Abs. 1 Buchst. a und Art. 7 DSGVO). Demzufolge ist eine Einwilligung nur dann wirksam, wenn 

• sie leicht zugänglich ist,
• verständlich ist und dann
• freiwillig
• informiert und
• aktiv vorgenommen wird.

Stillschweigen oder Untätigkeit ist keine Einwilligung!

Dazu genügt nach aktuellem Stand eine unmissverständlich abgegebene Willenserklärung. Sie muss nicht mehr schriftlich abgegeben werden, sondern kann auch per E-Mail, durch Anklicken eines Feldes als bestätigende Handlung oder sogar mündlich erfolgen. Allerdings ist aufgrund der Rechenschaftspflicht ein schriftlicher (Dokument) bzw. textlicher (E-Mail) Nachweis sinnvoll.

Die Freiwilligkeit ist insbesondere im Arbeitsverhältnis schwer nachzuweisen. Eine Einwilligungen darf auch keineswegs an einen Vertrag geknüpft werden, wenn die Einwilligung dafür nicht erforderlich ist. Gegenüber Behörden scheidet die Einwilligung als Rechtsgrundlage aus.

Informiert heißt, dass der Verantwortliche die betroffene Person über die Verarbeitung informieren muss und aktiv bedeutet, dass die betroffene Person selbst z. B. ein Häkchen in ein Kästchen setzen muss. Bereits ausgefüllte Voreinstellungen sind nicht gestattet.

Wichtig: Wer eine Einwilligung abgibt, muss sie jederzeit ohne Angabe von Gründen auch widerrufen können. Dazu muss dieser Teil der Erklärung genau so leicht zu finden und zu verstehen sein wie die Einwilligung selbst.

Eine geradezu logische Situation liefert Art. 6 Abs 1 Buchst. 6 DSGVO für die vorvertraglichen Maßnahmen und den Vertrag, denn natürlich müssen die Vertragspartner Daten austauschen. Die Legitimation entsteht insbesondere dadurch, dass die betroffenen Personen auf Ihre Vertragspartner zugehen. Vorvertragliche Maßnahmen sind Verarbeitungen, die man durchführen muss, um zum Beispiel Anfragen beantworten und Auskunft geben oder um Verhandlungen ausüben zu können. 

Mit Verträgen sind mindestens zweiseitige vertragliche Schuldverhältnisse gemeint. Eine Verarbeitung, die für die Vertragserfüllung zwar nützlich, aber nicht erforderlich ist, ist beispielsweise nicht statthaft. Dies könnte Verarbeitungen betreffen, die besseren Service, günstigere Preise oder eine schnellere Abwicklung versprechen. Eine Verarbeitung ist also nicht dann schon legitim, wenn sie, wie Marketingfachleute es gerne hätten, die Zufriedenheit oder das Wohlbefinden von Kunden steigern.

Erforderlich sind dagegen Daten, die für die Ermittlung der Kreditwürdigkeit benötigt werden oder Daten, die ein Beschäftigungsverhältnis begründen und aufrecht erhalten sollen. Eine besondere Kategorie sind z. B. Daten eines Patienten, der einen Behandlungsvertrag abschließt. Diese setzen allerdings besonders strenge Schutzmaßnahmen voraus.

Rechtliche Verpflichtungen müssen nur Verantwortliche nachgehen, wenn sie von Behörden zur Übermittlung von personenbezogenen Daten verpflichtet sind. Die Abgabenordnung zum Beispiel verlangt die verarbeiteten Daten von Beschäftigten, Sicherheitsbehörden verlangen Auskunft von Telekommunikationsdienstleistern oder es geht um die Aufzeichnungs- und Aufbewahrungspflichten in Handel und Gewerbe. 

Die Verantwortlichen brauchen den nachfragenden Behörden nicht blind folgen. Wenn zum Beispiel Leitungsorgane in Kindertagesstätten nicht wissen, warum sie einer Behörde eine bestimmte Auskunft geben sollen, haben sie nicht nur das Recht, sondern manchmal auch die Pflicht, nach der Legitimation der nachfragenden Behörde zu fragen.

Diese Rechtsgrundlage liefert gemäß Art. 6 Abs. 1 Buchst. d DSGVO die Erlaubnis, personenbezogene Daten für lebenswichtige Interessen einer anderen natürlichen Person zu verarbeiten, insbesondere dann, wenn die betroffene Person selbst nicht mehr in der Lage ist, eine Einwilligung abzugeben. Denkbare Situationen sind Unfälle, humanitäre Notfälle oder Katastrophen. Diese Rechtsgrundlage stellt also eine Ausnahme dar. 

Bei dieser Rechtsgrundlage handelt es sich Verarbeitung einer Behörde mit öffentlicher Funktion, wie zum Beispiel die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt. Dazu gehören beispielsweise die elektronische Gesundheitskarte, Schuldnerverzeichnisse, soziale Sicherungssysteme oder Smart Metering, Corona-Maßnahmen, Daten zu statistischen oder auch Forschungszwecken und Leistungen der Gesundheitsfürsorge. Auch die Aufsicht von elektronischen Prüfungen an Hochschulen via Videoüberwachung wird durch diese Rechtsgrundlage gestützt.

Der Art. 6 Abs. 1 Buchst. f DSGVO scheint als Auffangklausel eingerichtet zu sein, da dieser Passus einen Ausgleich zwischen betroffener Person und Verantwortlichen schafft. Verantwortliche können ein berechtigtes Interesse angeben, wenn sie eine Abwägung zwischen sich und Betroffenen durchführen, und nicht die Interessen oder Grundrechte und Grundfreiheiten der Betroffenen entgegenstehen. 

Ein typisches Beispiel findet der Besucher einer Website, wenn dort die IP-Adresse erfasst wird (sie ist ein personenbezogenes Datum). Der Verantwortliche muss in der Lage sein, seine Website vor Zugriff und Schädigung schützen zu können. Berechtigte Interessen, die in einem dreistufigen Prozess ermittelt worden sind, können auch wirtschaftliche und ideelle Interessen sein. Die drei Stufen sind folgende:

1. Liegt ein berechtigtes Interesse des Verantwortlichen (oder eines Dritten) zum Zeitpunkt der Verarbeitung überhaupt vor?
2. Ist die Verarbeitung zur Verwirklichung des berechtigten Interesses erforderlich (unbedingt notwendig) oder gibt es auch Mittel, die weniger intensiv in die Rechte eines Betroffenen eingreifen?
3. Ausgehend von der Schutzwürdigkeit eines Betroffeneninteresses sind die Interessen der Parteien gegenüberzustellen. Auch Verantwortliche habe ein Interesse (Berufsfreiheit nach Art. 15 GRCh, unternehmerische Freiheit nach Art. 16 GRCh). In dem Abwägeprozess werden zudem Gewichtungsfaktoren berücksichtigt.

Daten aus Art. 9 DSGVO dürfen keiner Abwägung unterzogen werden. Hier muss auf die Angaben des Art. 9 Abs. 2 DSGVO eingegangen werden.