datenrecht.ACADEMY

DSGVO-Compliance auf die smarte Art.

Rechtsgrundlagen – Einführung und Überblick

Im Leben gilt: Alles ist erlaubt, solange es nicht verboten ist. Im Datenschutz bzw. der DSGVO ist es genau umgekehrt: Die Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist ausdrücklich erlaubt. Dies wird als »Verbot mit Erlaubnisvorbehalt« bezeichnet.

Übersicht der Rechtsgrundlagen nach DSGVO

Die wichtigsten Rechtsgrundlagen sind dabei in Artikel 6 Absatz 1 Satz 1 DSGVO normiert. Weitere zentrale Normen sind aber auch noch Artikel 9 DSGVO, der sich mit »besonderen Kategorien personenbezogener Daten« beschäftigt, und § 26 BDSG, der den »Beschäftigtendatenschutz« regelt.

Einen ersten Eindruck von der Regelung in Artikel 6 DSGVO vermittelt meine Video-Kurzkommentierung zu Artikel 6 DSGVO. Die nachfolgende Grafik und das anschließende Video geben einen Überblick zum Thema.

Stacks Image 5

In der Regel werden wir für jede Verarbeitung in Artikel 6 DSGVO eine Rechtsgrundlage finden (müssen). Hier ein kurzer Überblick über die möglichen Rechtsgrundlagen aus Artikel 6 DSGVO:

  • Die Verarbeitung beruht auf einer informierten Einwilligung der betroffenen Person (Beispiel: Die betroffene Person hat darin eingewilligt, dass die E-Mail-Adresse zum Versand eines Newsletters verwendet werden darf) – Artikel 6 Absatz 1 Satz 1 Buchstabe a) DSGVO.
  • Die Verarbeitung wird für die Erfüllung oder Anbahnung eines Vertrags benötigt (Beispiel: der Versandhandel darf die Lieferadresse verarbeiten, um mir eine Bestellung zuzuschicken; der Dienstleister darf mir auf meine Anfrage hin ein Angebot per E-Mail unterbreiten) – Artikel 6 Absatz 1 Satz 1 Buchstabe b) DSGVO.
  • Eine rechtliche Verpflichtung ordnet die Verarbeitung an (Beispiel: Unternehmer müssen Rechnungsdaten zehn Jahre lang aufbewahren) – Artikel 6 Absatz 1 Satz 1 Buchstabe c) DSGVO.
  • Die Verarbeitung schützt lebenswichtige Interessen (Beispiel: Informationen zu Medikamentenunverträglichkeiten eines bewusstlosen Patienten werden an die behandelnde Ärztin übermittelt) – Artikel 6 Absatz 1 Satz 1 Buchstabe d) DSGVO.
  • Die Verarbeitung erfolgt in Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Übernahme öffentlicher Gewalt (Beispiel: der von der Stadt beauftragte private Sicherheitsdienst darf das Kennzeichen des Falschparkers verarbeiten) – Artikel 6 Absatz 1 Satz 1 Buchstabe e) DSGVO.
  • Es besteht ein berechtigtes Interesse an der Verarbeitung – eine Interessenabwägung ergibt, dass der Nutzen der Verarbeitung den Schaden für die betroffene Person überwiegt (Beispiel: Datenabgleich, um die Bonität eines Kunden zu prüfen) – Artikel 6 Absatz 1 Satz 1 Buchstabe f) DSGVO.

Eine Übersicht über die Rechtsgrundlagen (die auch als Erlaubnistatbestände bezeichnet werden) gibt die folgende Grafik.

Stacks Image 9

Erfolgt die Verarbeitung personenbezogener Daten ohne eine entsprechende Rechtsgrundlage, bestehen neben der Möglichkeit der Verhängung von Geldbußen auch ggf. Unterlassungs- sowie Schadensersatzansprüche von betroffenen Personen, Mitbewerbern und Verbrauchervereinigungen. Letztere können auch gerichtlich durchsetzbare Abmahnungen aussprechen.

Das Vorliegen eines der genannten Rechtsgrundlagen ist ausreichend, er muss aber während der Dauer des gesamten Verarbeitungsvorgangs bestehen bleiben.

Es können durchaus mehrere Rechtsgrundlagen nebeneinander zur Anwendung kommen. Die folgt schon aus der wörtlichen Fassung von Artikel 6 Absatz 1 Satz 1 DSGVO: »(…) wenn mindestens eine der nachfolgenden Bedingungen erfüllt ist: (…).

Es ist aber davon abzuraten, bei Vorliegen der Voraussetzungen eines anderen Erlaubnistatbestands als ausgerechnet einer Einwilligung diese »sicherheitshalber« mit einzuholen. Da die Einwilligung widerruflich ist und die betroffene Person auch auf diese Widerrufsmöglichkeit hinzuweisen ist (vgl. Artikel 7 Absatz 3 Satz 3 DSGVO), kann es als intransparente bzw. überraschende Rechtsausübung gewertet werden, wenn der Verantwortliche sich nach Erhalt eines Widerspruchs unversehens auf die andere Rechtsgrundlage beruft. Dies kann nur dadurch abgewehrt werden, sofern die betroffene Person beim Hinweis auf die Widerrufsmöglichkeit ausdrücklich darauf hingewiesen wird, dass die weitere Verarbeitung nach Widerruf ggf. auf eine andere Rechtsgrundlage gestützt wird. Sofern eine andere Rechtsgrundlage als ausgerechnet die Einwilligung einschlägig ist, sollte auch nur diese herangezogen werden.

Grundsätzlich sind nämlich alle Rechtsgrundlagen in Artikel 6 Absatz 1 Satz 1 DSGVO gleichwertig und es gibt keinen Vorrang z.B. der Einwilligung. Es ist allerdings zu beachten, dass bestimmte gesetzliche Regelungen in anderen Gesetzen als der DSGVO zum Rückgriff auf einen bestimmten Erlaubnistatbestand zwingen können (regelmäßig die Einwilligung nach Artikel 6 Absatz 1 Satz 1 Buchstabe a), Artikel 7 DSGVO). Dies sind vornehmlich die Regelungen in § 25 TTDSG zum Beispiel für Cookies und § 7 UWG u.a. für das E-Mail-Marketing. In diesen Fällen bleibt leider kein Platz für die Anwendung anderer Erlaubnistatbestände, wie z.B. das »berechtigte Interesse« in Artikel 6 Absatz 1 Satz 1 Buchstabe f) DSGVO.

Teilen Sie diesen Beitrag zur DSGVO:

Kostenlose* Webinare der datenrecht.ACADEMY

*Die Teilnahme an den aufgeführten Webinaren kostet kein Geld. Als Gegenleistung für die Teilnahme an einem der genannten Webinare notiere ich Sie als Empfänger meines regelmäßigen Newsletters und von Werbeinformationen über die datenrecht.ACADEMY. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter und vom Empfang von Werbung per E-Mail an mail@andreasriehn.biz oder durch Anklicken des Abmelde-Links am Ende des Newsletters abmelden. Weitere Informationen finden Sie in meiner Datenschutzerklärung (Menüpunkt »Datenschutz«).

Zuletzt aktualisiert am 10.09.2022 um 13:51 Uhr.
Hier geht es zum DSGVO-Praxiskurs der datenrecht.ACADEMY

Hier klicken zum DSGVO-Praxiskurs