Es gilt, wie bereits unter dem BDSG a.F., das Prinzip des „Verbots mit Er­laub­nis­vor­be­halt“, d. h. jede Form der Da­ten­ver­ar­bei­tung ist ver­bo­ten – es sei denn, eine Rechts­grund­la­ge le­gi­ti­miert die Da­ten­ver­ar­bei­tung oder die be­trof­fe­ne Person hat dafür ihre Ein­wil­li­gung gegeben.
Artikel 6 DSGVO regelt als zen­tra­le Vor­schrift die Recht­mä­ßig­keit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten und listet die ent­spre­chen­den Vor­aus­set­zun­gen auf.

Be­griffs­be­stim­mung
Per­so­nen­be­zo­ge­ne Daten sind alle In­for­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re Person (be­trof­fe­ne Person) be­zie­hen. Iden­ti­fi­zier­bar ist eine na­tür­li­che Person, die direkt oder in­di­rekt, vor allem mittels Zu­ord­nung zu einer Kennung wie einem Namen, einer Kenn­num­mer, Stand­ort­da­ten sowie einem oder meh­re­ren be­son­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, ge­ne­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder so­zia­len Iden­ti­tät dieser na­tür­li­chen Person sind, iden­ti­fi­ziert werden kann (Art. 4 Nr. 1 DSGVO).
Bei­spie­le dafür sind: Name, Wohnort, Kfz-Ken­n­­zei­chen, Fahr­ge­stell­num­mer, Kun­den­num­mer, IMEI-Nummer, IP-Adresse.

Die Zu­läs­sig­keit der Ver­ar­bei­tung sen­si­ti­ver Daten ist in Artikel 9 DSGVO „Ver­ar­bei­tung be­son­de­rer Ka­te­go­rien per­so­nen­be­zo­ge­ner Daten“ geregelt.
„Sen­si­ti­ve Daten“ bzw. be­son­de­re Ka­te­go­rien von per­so­nen­be­zo­ge­nen Daten sind u. a.:

  • ras­si­sche und eth­ni­sche Herkunft
  • po­li­ti­sche Meinungen
  • re­li­giö­se oder welt­an­schau­li­che Überzeugung
  • Ge­sund­heits­da­ten
  • Angaben zu Se­xu­al­le­ben oder der se­xu­el­len Orientierung
  • bio­me­tri­sche Daten
  • ge­ne­ti­sche Daten

Grund­sät­ze der Verarbeitung
In Artikel 5 DSGVO sind die Grund­sät­ze der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ge­re­gelt, sprich die Prin­zi­pi­en zur Da­ten­ver­ar­bei­tung.
So müssen per­so­nen­be­zo­ge­ne Daten auf recht­mä­ßi­ge Weise, nach Treu und Glauben und in einer für die be­trof­fe­ne Person nach­voll­zieh­ba­ren Weise ver­ar­bei­tet werden. Der Grund­satz der Trans­pa­renz (Art. 6 Abs. 1 lit. a DSGVO) ist neu hin­zu­ge­kom­men. Dies passt zur er­heb­li­chen Aus­wei­tung der In­for­ma­ti­ons­pflich­ten des Ver­ant­wort­li­chen und der Aus­kunfts­rech­te für die be­trof­fe­ne Person.

Recht­mä­ßig­keit der Verarbeitung
Die Ver­ar­bei­tung ist nur recht­mä­ßig, wenn min­des­tens eine von sechs Be­din­gun­gen erfüllt ist (Art. 6 Abs. 1 DSGVO):

  1. Die be­trof­fe­ne Person hat ihre Ein­wil­li­gung zur Ver­ar­bei­tung der sie be­tref­fen­den per­so­nen­be­zo­ge­nen Daten gegeben.
  2. Die Ver­ar­bei­tung dient der Er­fül­lung eines Ver­trags, dessen Ver­trags­par­tei die be­trof­fe­ne Person ist, oder zur Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men (z. B. An­ge­bots­er­stel­lung), die auf Antrag der be­trof­fe­nen Person erfolgen.
  3. Die Ver­ar­bei­tung un­ter­liegt der Er­fül­lung einer recht­li­chen Ver­pflich­tung, welcher der Ver­ant­wort­li­che unterliegt.
  4. Die Ver­ar­bei­tung ist er­for­der­lich, um le­bens­wich­ti­ge In­ter­es­sen der be­trof­fe­nen Person oder einer anderen na­tür­li­chen Person zu schützen.
  5. Die Ver­ar­bei­tung liegt im öf­fent­li­chen In­ter­es­se oder ist zur Er­fül­lung ho­heit­li­cher Auf­ga­ben erforderlich.
  6. Die Ver­ar­bei­tung ist zur Wahrung be­rech­tig­ter In­ter­es­sen des Ver­ant­wort­li­chen oder eines Dritten er­for­der­lich, sofern die In­ter­es­sen oder Grund­rech­te und Grund­frei­hei­ten der be­trof­fe­nen Person nicht über­wie­gen. Dieser Recht­fer­ti­gungs­grund gilt nicht für Behörden.

Es muss nur einer der ge­nann­ten sechs Punkte gegeben sein, damit die Recht­mä­ßig­keit für eine Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten gegeben ist.

(Autorin: Regina Mühlich berät als Da­ten­schutz­be­ra­te­rin und Com­pli­ance Officer na­tio­nal und in­ter­na­tio­nal tätige mit­tel­stän­di­sche Un­ter­neh­men; https://www.adorgasolutions.de/regina-muehlich/)

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.

16. April 2019

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!