linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
16.Februar 2022 | Team Datenschutz | Thema: Datenschutz

Die kleine Reihe Rechtsgrundlagen: Zusammenfassung

Schlagwörter: DSGVO | kleine Reihe | Rechtsgrundlagen

Zum Abschluss unserer „kleinen Reihe Rechtsgrundlagen“ blicken wir zurück auf die einzelnen Teile und fassen die wichtigsten Grundlagen zusammen.

1. Das berechtigte Interesse, Art. 6 Abs. 1 lit. f) DSGVO

Wir starteten die Reihe mit dem Dauerbrenner – Art. 6 Abs. 1 lit. f) DSGVO, dem sog. berechtigten Interesse. Das Prüfschema eines berechtigten Interesses ist relativ klar. Es braucht zunächst ein berechtigtes Interesse des Verantwortlichen oder eines Dritten. Im Folgenden muss dann geprüft werden, welche Interessen der betroffenen Personen denen des Verantwortlichen entgegenstehen, bevor abschließend eine Abwägung beider Interessen im Einzelfall nötig ist. Dabei greift man auf die guten alten Vorgaben der Verhältnismäßigkeitsprüfung zurück.
Gern genutzt wird der Art. 6 Abs. 1 lit. f) DSGVO für den Versand von Werbung. Warum das oft schief geht, haben wir im Artikel beleuchtet. Denn wenn eine Datenverarbeitung (hier der Versand von Werbung per E-Mail) aufgrund eines anderen Gesetzes (hier das UWG) unrechtmäßig ist, kann ein Interesse des Verantwortlichen nicht gem. Art. 6 Abs. 1 lit. f) DSGVO überwiegen.

2. Verarbeitung zur Erfüllung eines Vertrags, Art. 6 Abs. 1 lit. b) DSGVO

Im zweiten Teil der Reihe ging es dann um den Art. 6 Abs. 1 lit. b) DSGVO – die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages und zur Durchführung vorvertraglicher Maßnahmen.
Ein wichtiger Knackpunkt an dieser Stelle: Um diese Rechtsgrundlage heranziehen zu können, braucht es einen Vertrag (oder ein vorvertragliches Verhältnis) mit der betroffenen Person. Insbesondere im B2B-Bereich führt dies dazu, dass der Art. 6 Abs. 1 lit. b) DSGVO so gut wie nie direkt anwendbar ist, denn häufig sind die betroffenen Personen (z.B. im Rahmen einer geschäftlichen E-Mail-Kommunikation) die Beschäftigten eines anderen Unternehmens. Die betroffene Person ist dann aber kein Vertragspartner, so dass die Daten auch nicht zur Erfüllung des Vertrages mit der betroffenen Person erforderlich sind.
Der zweite Knackpunkt ist das Wörtchen „erforderlich“, welches sich im Art. 6 Abs. 1 lit. b) DSGVO wiederfindet. Hier ist darauf zu achten, dass nur so viele Daten verarbeitet werden, wie unbedingt zur Zweckerreichung nötig. Nur diese Datenverarbeitung ist dann auch wirklich von der Rechtsgrundlage abgedeckt.

3. Rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c) DSGVO

Teil drei der Reihe beleuchtete dann die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 lit. c) DSGVO. Voraussetzung ist hier, dass eine anderweitige Rechtsnorm eine konkrete Pflicht zur Datenverarbeitung vorsieht. Wenn ein Verantwortlicher also nach einem anderen Gesetz dazu verpflichtet ist, Daten zu verarbeiten, kann er dies auch nach der DSGVO rechtmäßig tun. Wichtige Beispiele in der Praxis sind Regelungen zu Aufbewahrungspflichten aus dem Handels- und Steuerrecht (§ 257 HGB, § 147 AO) oder zu sozialen Datenverarbeitungsprozessen, insbesondere aus den Sozialgesetzbüchern (z.B. § 167 Abs. 2 SGB IX für das Angebot eines betrieblichen Eingliederungsmanagements).

4. Datenverarbeitung im Beschäftigtenverhältnis, § 26 BDSG

Im abschließenden vierten Teil befassten wir uns dann mit dem in der Praxis überaus wichtigen § 26 BDSG, der die Grundregeln für die Datenverarbeitung im Beschäftigtenverhältnis normiert. Aufgrund der Öffnungsklauseln im Art. 88 DSGVO sind im Bereich des Beschäftigtendatenschutzes solche nationalen Sonderregelungen möglich.
Der § 26 BDSG beinhaltet prinzipiell drei verschiedene Rechtsgrundlagen:

  • § 26 Abs. 1: Datenverarbeitungen, die zur Begründung, Durchführung und Beendigung eines Beschäftigtenverhältnisses erforderlich sind, sind legitimiert.
  • § 26 Abs. 2: In einzelnen Fällen ist es auch möglich, eine Datenverarbeitung im Beschäftigtenverhältnis über eine Einwilligung der betroffenen Person zu legitimieren. Wichtigster Anknüpfungspunkt ist hier allerdings die Freiwilligkeit der Einwilligung.
  • § 26 Abs. 3: Auch besondere Kategorien personenbezogener Daten können verarbeitet werden, sofern dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist.

Als Spezialregelung hat § 26 BDSG grundsätzlich Anwendungsvorrang gegenüber den Normen der DSGVO, sofern eine Verarbeitung im Beschäftigtenverhältnis stattfindet. Dies gilt es bei der Wahl der richtigen Rechtsgrundlage immer zu beachten.

Fazit
Rechtsgrundlagen im Datenschutz sind ein durchaus komplexes Thema. Schwer macht es letztendlich vor allem die notwendige Einzelfallbetrachtung, denn eine pauschale Eingruppierung von Verarbeitungstätigkeiten zu Rechtsgrundlagen ist in aller Regel schwer. Aber gut, was sein muss, muss eben sein – wir setzen alles daran, stets die richtige Wahl zu treffen.

Kleine Reihe – Rechtsgrundlagen:
Teil 1: Das berechtigte Interesse und die Werbung
Teil 2: Datenverarbeitung im Zuge der Vertragserfüllung und vorvertraglicher Maßnahmen
Teil 3: Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung
Teil 4: Datenverarbeitung im Beschäftigungsverhältnis

zurück
Themen
Schlagwörter
RechtsgrundlagenTADPFDSGVOSicherheitTippsEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarGirls-Daykleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
System Monitoring Teil 2: Ziele – und was noch?Die kleine Reihe: Auftragsverarbeitung – Zusammenfassung