Rechtmäßigkeit

Artikel 5 Absatz 1 Buchstabe a) DSGVO

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)

Beachten Sie auch meine Videokommentierung zu Artikel 5 DSGVO.

Dieser erste Buchstabe von Artikel 5 DSGVO enthält gleich drei Grundsätze. In diesem Beitrag blicken wir auf die den ersten Grundsatz:

Rechtmäßigkeit

Personenbezogene Daten dürfen nur verarbeitet werden, wenn diese Verarbeitung rechtmäßig erfolgt, sie also auf eine vorhandene und einschlägige Rechtsgrundlage gestützt werden kann. Hier wird vom »Verbot mit Erlaubnisvorbehalt« gesprochen, es ist also jede Verarbeitung personenbezogener Daten verboten, es sei denn, es gibt eine Rechtsgrundlage.

Die zentralen Rechtsgrundlagen (auch Erlaubnistatbestände genannt) sind in Artikel 6 DSGVO geregelt. Für besondere Datenkategorien, wie z.B. Gesundheitsdaten, finden sie sich in Artikel 9 DSGVO und strafrechtlich relevante Daten dürfen auf Grundlage des Artikels 10 DSGVO verarbeitet werden.

Die Rechtsgrundlagen aus Artikel 6 Absatz 1 Satz 1 DSGVO sind z.B. die (freiwillige, informierte) Einwilligung, ein Vertrag, der zwischen den Parteien abgeschlossen ist/wird, eine rechtliche Verpflichtung des Verarbeiters, lebenswichtige Interessen der betroffenen Person, öffentliche Interessen oder ein berechtigtes Interesse an der Verarbeitung.

Ein Wort an dieser Stelle zur Einwilligung: Jeder kennt sie als Rechtsgrundlage. Sie ist in Artikel 6 Absatz 1 Satz 1 Buchstabe a) DSGVO geregelt. Über die Einwilligung gibt es viele Mythen, vor allem wird oft geglaubt, dass für jede Verarbeitung personenbezogener Daten eine Einwilligung erforderlich ist und dass man mit der Einwilligung nahezu jede Verarbeitung rechtfertigen kann. Beide Behauptungen sind großer Blödsinn. Die Einwilligung ist vor allen Dingen keine Rechtsgrundlage »sicherheitshalber«.

Machen Sie sich frei von dem Gedanken, dass Sie in Ihrem Unternehmen für jede Datenverarbeitung eine Einwilligung benötigen. Es gibt viel flexiblere Rechtsgrundlagen.

Transparenz

Der Grundsatz der Transparenz überschneidet sich mit dem Grundsatz der Verarbeitung nach Treu und Glauben. Es hat aber einen Grund, weshalb hier in gewisser Weise doppelt gemoppelt wird. Der DSGVO ist die transparente Verarbeitung personenbezogener Daten ganz einfach besonders wichtig. Nur derjenige, der genau weiß, wer, was mit welchen Daten macht, kann souverän über die Verarbeitung z.B. im Rahmen einer Einwilligung bestimmen. Die natürlichen Personen, deren Daten verarbeitet werden, sollen Kenntnis darüber haben, welche konkreten Datenkategorien von welchem Verarbeiter für welchen Zweck verarbeitet werden. Es ist also ganz besonders bedeutsam, dass die betroffene Person die Verarbeitung ihrer personenbezogenen Daten nachvollziehen kann. Die DSGVO stellt das mit verschiedenen Instrumenten sicher, zum einen durch umfangreiche Informationspflichten (Stichwort: Datenschutzerklärung), durch Dokumentations- und Nachweispflichten und nicht zuletzt durch die Betroffenenrechte, insbesondere das Recht auf Auskunft.

Konkret ergeben sich die inhaltlichen Anforderungen an die nachvollziehbare Ausgestaltung der Art und Weise der Verarbeitung aus den Informationspflichten gemäß Artikel 13 und 14 DSGVO. So ist z.B. bei der Einwilligung darauf hinzuweisen, dass die betroffene Person das Recht hat, die Einwilligung zu widerrufen, und es ist über die Rechte der betroffenen Person - wie z.B. das Recht auf Auskunft, Löschung, Datenportabilität - zu informieren. Die korrekte und vollständige »Datenschutzerklärung« z.B. auf der Webpräsenz ist daher nicht zu unterschätzen.

Aus der Praxis weiß ich, dass Datenschutzerklärungen gerne aus verschiedenen Quellen »zusammengestöpselt« werden. Das mag ein naheliegender Weg sein, doch letztlich kann er verhängnisvoll sein. Vergessen Sie nicht, dass die Einhaltung der Grundsätze zu den Kardinalpflichten der DSGVO gehört und gemäß Artikel 83 Absatz 5 Buchstabe a) DSGVO mit den höchsten Bußgeldern sanktioniert werden kann. Hier darf man nicht nachlässig sein.

Zum Thema Datenschutzerklärung gibt es ein Webinar, zu dem ich Sie herzlich einlade.

Informieren Sie sich auch über meine weiteren kostenlosen* Webinare zum Datenrecht. Einfach auf das nachfolgende Bild klicken:

ACADEMY Webinarteaser1


*Das Bereitstellen Ihrer Daten zum Zwecke der Werbung erfolgt als Gegenleistung für die Teilnahme am jeweiligen Webinar. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter abmelden.

Newsletter

Regelmäßige Informationen zum gesamten Datenrecht sowie über neue Kurse und Webinare.

Beliebteste Beiträge

Artikel 6 DSGVO (MVK)

Artikel 6 DSGVO (MVK)

Rechtliche Verpflichtung

Rechtliche Verpflichtung