Es gilt, wie bereits unter dem BDSG a.F., das Prinzip des „Verbots mit Erlaubnisvorbehalt“, d. h. jede Form der Datenverarbeitung ist verboten – es sei denn, eine Rechtsgrundlage legitimiert die Datenverarbeitung oder die betroffene Person hat dafür ihre Einwilligung gegeben.
Artikel 6 DSGVO regelt als zentrale Vorschrift die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten und listet die entsprechenden Voraussetzungen auf.
Begriffsbestimmung
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person (betroffene Person) beziehen. Identifizierbar ist eine natürliche Person, die direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten sowie einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Nr. 1 DSGVO).
Beispiele dafür sind: Name, Wohnort, Kfz-Kennzeichen, Fahrgestellnummer, Kundennummer, IMEI-Nummer, IP-Adresse.
Die Zulässigkeit der Verarbeitung sensitiver Daten ist in Artikel 9 DSGVO „Verarbeitung besonderer Kategorien personenbezogener Daten“ geregelt.
„Sensitive Daten“ bzw. besondere Kategorien von personenbezogenen Daten sind u. a.:
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugung
- Gesundheitsdaten
- Angaben zu Sexualleben oder der sexuellen Orientierung
- biometrische Daten
- genetische Daten
Grundsätze der Verarbeitung
In Artikel 5 DSGVO sind die Grundsätze der Verarbeitung personenbezogener Daten geregelt, sprich die Prinzipien zur Datenverarbeitung.
So müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Der Grundsatz der Transparenz (Art. 6 Abs. 1 lit. a DSGVO) ist neu hinzugekommen. Dies passt zur erheblichen Ausweitung der Informationspflichten des Verantwortlichen und der Auskunftsrechte für die betroffene Person.
Rechtmäßigkeit der Verarbeitung
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine von sechs Bedingungen erfüllt ist (Art. 6 Abs. 1 DSGVO):
- Die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten gegeben.
- Die Verarbeitung dient der Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen (z. B. Angebotserstellung), die auf Antrag der betroffenen Person erfolgen.
- Die Verarbeitung unterliegt der Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt.
- Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
- Die Verarbeitung liegt im öffentlichen Interesse oder ist zur Erfüllung hoheitlicher Aufgaben erforderlich.
- Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Dieser Rechtfertigungsgrund gilt nicht für Behörden.
Es muss nur einer der genannten sechs Punkte gegeben sein, damit die Rechtmäßigkeit für eine Verarbeitung von personenbezogenen Daten gegeben ist.
(Autorin: Regina Mühlich berät als Datenschutzberaterin und Compliance Officer national und international tätige mittelständische Unternehmen; https://www.adorgasolutions.de/regina-muehlich/)
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
16. April 2019