Datenverarbeitung ist nach DSGVO verboten!?

Rechtsgrundlagen der Datenverarbeitung

Datenverarbeitung ist nach DSGVO ein Verbot mit Erlaubnisvorbehalt. Das heißt, nach Art. 6 DSGVO ist jede Verarbeitung personenbezogener Daten verboten, wenn es keine Ausnahme gibt. Davon gibt es sechs in Artikel 6 plus eine zusätzliche in Art. 88.

 

a) Einwilligung

Eine Einwilligung, Erlaubnis oder engl. „Consent“ nach Art. 6 Abs. 1 UAbs. 1 a) DSGVO ist nur wirksam, wenn der Verantwortliche nachweisen kann, dass sie freiwillig ist, was unter anderem ein hohes Maß an Transparenz erfordert. Ihr Nachteil im Geschäftsleben ist, dass sie jederzeit widerruflich ist. Zu ihren Anforderungen stehen in Art. 7, Art. 8, Art. 9 DSGVO viele spezifische Besonderheiten, so dass man meist keine Standardvorlage nutzen kann.

  • Für Mitarbeiter und besonders sensible Daten gibt es weitere Hürden, siehe dazu beispielsweise die Fotoerlaubnis.

  • Im Internet ist sie beispielsweise wichtig für das Cookiebanner.

  • Bitte beachten Sie das Kopplungsverbot in Art. 7 Abs. 4 DSGVO, nachdem ein Vertrag nicht zu einer Einwilligung „zwingen“ darf, die für den Vertrag aus Sicht des Gegenübers gar nicht nötig wäre.

 

b) Vertrag

Nach deutscher Rechtssystematik wäre die Einwilligung ein „einseitiger“ Vertrag. Aber Vertrag nach Art. 6 Abs. 1 UAbs. 1 b) DSGVO meint nur „zweiseitige“ Verträge, bei denen jeder etwas gibt. Der Vertrag hat den Vorteil, dass er nicht so leicht widerrufen werden kann. Er ist leider meist nicht zulässig, um die Verarbeitung besonders sensibler Daten nach Art. 9 DSGVO zu rechtfertigen. Dann helfen nur noch Einwilligung oder Betriebsvereinbarung.

 

c) Gesetz

Nach Art. 6 Abs. 1 UAbs. 1 c) DSGVO dürfen Sie alles speichern, was ein Gesetz – dazu zählt auch eine Verordnung – von Ihnen fordert. Dazu gehören vor allem die sogenannten „Handelsbriefe“ nach § 257 HGB, also alle Vertragsunterlagen, die das Finanzamt sehen möchte (6 Jahre) sowie die Bilanzen und Buchungsbelege (10 Jahre).

 

d) Lebenswichtige Interessen

Lebenswichtige Interessen nach Art. 6 Abs. 1 UAbs. 1 d) DSGVO dient es beispielsweise, wenn Sie dem Notarzt Angaben zu einem schwer verletzten Kollegen machen, der nicht selbst sprechen kann.

 

e) Öffentliche Interessen

Öffentliche Interessen nach Art. 6 Abs. 1 UAbs. 1 e) DSGVO sind staatlichen Aufgaben. Eigentlich sind die schon von c) umfasst. Hier wird auf die Verhältnismäßigkeitsprüfung  besonderen Wert gelegt.

 

f) Berechtigtes Interesse

Berechtigtes Interesse nach Art. 6 Abs. 1 UAbs. 1 f) DSGVO scheint auf den ersten Blick ganz einfach: Jeder vernünftige Beweggrund zählt. Aber hier wird leider oft vergessen, dass das nur reicht, wenn nicht die Interessen der Betroffenen überwiegen. Das Grundrecht auf informationelle Selbstbestimmung der Betroffenen überwiegt fast immer. Eine große Ausnahme ist die öffentliche Berichterstattung nach § 23 Kunsturhebergesetz.

 

g) Betriebsvereinbarung

Wenn Sie einen Betriebsrat oder andere Mitarbeitervertretung haben, gibt es für Sie gibt es für Sie nach Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1, 4 BDSG noch die Möglichkeit, mit diesem innerhalb seiner Zuständigkeiten eine Betriebsvereinbarung  zu schließen. Das hat den Charme, dass die Vereinbarung für alle Mitarbeiter wirkt, Sie aber nicht alle fragen müssen und diese nicht, wie bei der Einwilligung, jederzeit widersprechen können. Die Betriebsvereinbarung hilft Ihnen zudem, besonders sensible Daten zu verarbeiten, was sonst nur mit Einwilligung möglich wäre.

 

Falls Sie auf dem Weg zur richtigen Rechtsgrundlage Beratung brauchen, sind wir gerne für Sie da.

 

Weiterführend

 

Autor: Florian Thomas Hofmann, Data Privacy Legal Consultant, 28.08.2023

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Data Privacy Legal Consultant

Florian Thomas Hofmann