Rechtsgrundlagen nach DSGVO (Einführung)

Im Leben gilt: Alles ist erlaubt, solange es nicht verboten ist. Im Datenschutz bzw. der DSGVO ist es genau umgekehrt: Die Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist ausdrücklich erlaubt. Dies wird als »Verbot mit Erlaubnisvorbehalt« bezeichnet.

Übersicht der Rechtsgrundlagen nach DSGVO

Die wichtigsten Rechtsgrundlagen sind dabei in Artikel 6 Absatz 1 Satz 1 DSGVO normiert. Weitere zentrale Normen sind aber auch noch Artikel 9 DSGVO, der sich mit »besonderen Kategorien personenbezogener Daten« beschäftigt, und § 26 BDSG, der den »Beschäftigtendatenschutz« regelt.

Die nachfolgende Grafik gibt einen Überblick:

Rechtmäßigkeit der Verarbeitung (Mindmap)

In der Regel werden wir für jede Verarbeitung in Artikel 6 DSGVO eine Rechtsgrundlage finden (müssen). Hier ein kurzer Überblick über die möglichen Rechtsgrundlagen aus Artikel 6 DSGVO:

  • Die Verarbeitung beruht auf einer informierten Einwilligung der betroffenen Person (Beispiel: Die betroffene Person hat darin eingewilligt, dass die E-Mail-Adresse zum Versand eines Newsletters verwendet werden darf) – Artikel 6 Absatz 1 Satz 1 Buchstabe a) DSGVO.
  • Die Verarbeitung wird für die Erfüllung oder Anbahnung eines Vertrags benötigt (Beispiel: der Versandhandel darf die Lieferadresse verarbeiten, um mir eine Bestellung zuzuschicken; der Dienstleister darf mir auf meine Anfrage hin ein Angebot per E-Mail unterbreiten) – Artikel 6 Absatz 1 Satz 1 Buchstabe b) DSGVO.
  • Eine rechtliche Verpflichtung ordnet die Verarbeitung an (Beispiel: Unternehmer müssen Rechnungsdaten zehn Jahre lang aufbewahren) – Artikel 6 Absatz 1 Satz 1 Buchstabe c) DSGVO.
  • Die Verarbeitung schützt lebenswichtige Interessen (Beispiel: Informationen zu Medikamentenunverträglichkeiten eines bewusstlosen Patienten werden an die behandelnde Ärztin übermittelt) – Artikel 6 Absatz 1 Satz 1 Buchstabe d) DSGVO.
  • Die Verarbeitung erfolgt in Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Übernahme öffentlicher Gewalt (Beispiel: der von der Stadt beauftragte private Sicherheitsdienst darf das Kennzeichen des Falschparkers verarbeiten) – Artikel 6 Absatz 1 Satz 1 Buchstabe e) DSGVO.
  • Es besteht ein berechtigtes Interesse an der Verarbeitung – eine Interessenabwägung ergibt, dass der Nutzen der Verarbeitung den Schaden für die betroffene Person überwiegt (Beispiel: Datenabgleich, um die Bonität eines Kunden zu prüfen) – Artikel 6 Absatz 1 Satz 1 Buchstabe f) DSGVO.

Eine Übersicht über die Rechtsgrundlagen (die auch als Erlaubnistatbestände bezeichnet werden) gibt die folgende Grafik.

Beachten Sie auch meine Videokommentierung zu Artikel 6 DSGVO.

Rechtsgrundlagen der Verarbeitung nach Artikel 6 Absatz 1 DSGVO 1 (Mindmap)

Erfolgt die Verarbeitung personenbezogener Daten ohne eine entsprechende Rechtsgrundlage, bestehen neben der Möglichkeit der Verhängung von Geldbußen auch ggf. Unterlassungs- sowie Schadensersatzansprüche von betroffenen Personen, Mitbewerbern und Verbrauchervereinigungen. Letztere können auch gerichtlich durchsetzbare Abmahnungen aussprechen.

Das Vorliegen eines der genannten Rechtsgrundlagen ist ausreichend, er muss aber während der Dauer der des gesamten Verarbeitungsvorgangs bestehen bleiben.

Es können durchaus mehrere Rechtsgrundlagen nebeneinander zur Anwendung kommen. Die folgt schon aus der wörtlichen Fassung von Artikel 6 Absatz 1 Satz 1 DSGVO: »(…) wenn mindestens eine der nachfolgenden Bedingungen erfüllt ist: (…).

Es ist aber davon abzuraten, bei Vorliegen der Voraussetzungen eines anderen Erlaubnistatbestands als ausgerechnet einer Einwilligung diese »sicherheitshalber« mit einzuholen. Da die Einwilligung widerruflich ist und die betroffene Person auch auf diese Widerrufsmöglichkeit hinzuweisen ist (vgl. Artikel 7 Absatz 3 Satz 3 DSGVO), kann es als intransparente bzw. überraschende Rechtsausübung gewertet werden, wenn der Verantwortliche sich nach Erhalt eines Widerspruchs unversehens auf die andere Rechtsgrundlage beruft. Dies kann nur dadurch abgewehrt werden, sofern die betroffene Person beim Hinweis auf die Widerrufsmöglichkeit ausdrücklich darauf hingewiesen wird, dass die weitere Verarbeitung nach Widerruf ggf. auf eine andere Rechtsgrundlage gestützt wird (siehe zu dem Thema auch den Post zur Einwilligung). Sofern eine andere Rechtsgrundlage als ausgerechnet die Einwilligung einschlägig ist, sollte auch nur diese herangezogen werden.

Grundsätzlich sind nämlich alle Rechtsgrundlagen in Artikel 6 Absatz 1 Satz 1 DSGVO gleichwertig und es gibt keinen Vorrang z.B. der Einwilligung. Es ist allerdings zu beachten, dass bestimmte gesetzliche Regelungen in anderen Gesetzen als der DSGVO zum Rückgriff auf einen bestimmten Erlaubnistatbestand zwingen können (regelmäßig die Einwilligung nach Artikel 6 Absatz 1 Satz 1 Buchstabe a), Artikel 7 DSGVO). Dies sind vornehmlich die Regelungen in § 25 TTDSG zum Beispiel für Cookies und § 7 UWG u.a. für das E-Mail-Marketing. In diesen Fällen bleibt leider kein Platz für die Anwendung anderer Erlaubnistatbestände, wie z.B. das »berechtigte Interesse« in Artikel 6 Absatz 1 Satz 1 Buchstabe f) DSGVO.

Passende Beiträge:

§ 25 TTDSG – eine neue Regelung für Cookies?

Informieren Sie sich auch über meine kostenlosen* Webinare zum Datenrecht. Einfach auf das nachfolgende Bild klicken:

Kostenlose Webinare zum Datenschutzrecht. Hier geht es zur Übersicht und Anmeldung.


*Das Bereitstellen Ihrer Daten zum Zwecke der Werbung erfolgt als Gegenleistung für die Teilnahme am jeweiligen Webinar. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter abmelden.


Newsletter

Regelmäßige Informationen zum gesamten Datenrecht sowie über neue Kurse und Webinare.

Beliebteste Beiträge

Artikel 6 DSGVO (MVK)

Artikel 6 DSGVO (MVK)

Rechtliche Verpflichtung

Rechtliche Verpflichtung