Rechtmäßigkeit der Datenverarbeitung
Nach dem Konzept der DSGVO sind bei jeder Verarbeitung personenbezogener Daten auch immer eine Reihe von Grundsätzen zu beachten, die in Art. 5 DSGVO normiert sind. Einer davon ist der Grundsatz der Rechtmäßigkeit der Datenverarbeitung. Was es mit diesem auf sich hat und welche Herausforderungen dieser Grundsatz nach sich ziehen kann, werden wir im nachfolgenden Beitrag näher beleuchten.
Vorab erst einmal die Begriffsbestimmungen….
Was sind personenbezogene Daten?
Zunächst ist es wichtig, die Definition von personenbezogenen Daten zu bestimmen. Für diesen Begriff existiert in Art. 4 Nr. 1 DSGVO eine gesetzliche Definition: Hiernach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.
Beispiele – Kategorien personenbezogener Daten
Für eine bessere Übersicht für Beispiele von personenbezogenen Daten i.S.d. DSGVO, lassen sich diese gut in folgende Oberbegriffe bzw. Kategorien unterteilen, die nicht abschließend sind:
- Allgemeine Personendaten wie z.B. Name, Geburtstag, Geburtsort, Anschrift, E-Mail-Adresse
- Besondere Personendaten wie z.B. religiöse oder politische Ansichten, Gesundheitsdaten oder genetische Daten (vgl. Art. 9 Abs. 1 DSGVO), die besonders schützenswert sind
- Körperliche Informationen wie z.B. Geschlecht, Kleidergröße, Haar- und Augenfarbe
- Kennziffern wie z.B. Sozialversicherungsnummer, Krankenversicherungsnummer und Steueridentifikationsnummer
- Bankdaten wie z.B. Kontonummer, Kontostand und weitere Informationen über die Bankverbindung wie eine IBAN
- Online-Informationen wie z.B. IP-Adresse oder sog. Fingerprint-Informationen für Browser oder Geräte
- Bewertungen wie z.B. Zeugnisse oder Noten
- Kundendaten wie z.B. Bestellangaben oder Vertragsdaten (Konditionen)
- Vermögensinformationen wie z.B. Einkommen, Eigentum, Vermögensstand
Was ist unter Verarbeitung zu verstehen?
Der Begriff Verarbeitung wird weit gefasst. Auch für diesen Begriff existiert in Art. 4 Nr. 2 DSGVO eine entsprechende Definition: Die Verarbeitung wird definiert als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Grundsätzliches zu den Grundsätzen….
Neben der Rechtmäßigkeit sind weitere Grundsätze der Datenverarbeitung in Art. 5 DSGVO definiert. Diese wollen wir in unserem heutigen Beitrag nicht vertiefen, aber genannt werden sollten sich schon. Denn neben der Rechtmäßigkeit müssen diese durch die Verantwortliche Stelle eingehalten werden.
Transparenz
- Mit Transparenz ist gemeint, dass betroffenen Personen ihr Recht auf informationelle Selbstbestimmung wahrnehmen können, wozu z.B. insbesondere die Geltendmachung der Betroffenenrechte gem. Art. 15 DSGVO gehört. Der Begriff der Transparenz wird insbesondere in den Art. 12 ff. bezüglich der Informationspflichten näher spezifiziert.
Nach Treu und Glauben
- Dieser Grundsatz kann im Prinzip nur im Einzelfall näher beschrieben werden und unterstreicht grundsätzlich, dass die Verarbeitung von personenbezogenen Daten redlich und anständig erfolgen muss.
Zweckbindung
- Hiernach müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbaren Weise weiterverarbeitet werden.
Datenminimierung
- Personenbezogene Daten müssen dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Richtigkeit
- Richtigkeit in diesem Sinne bedeutet, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Außerdem sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (können).
Speicherbegrenzung
- Der Grundsatz beinhaltet die Vorgabe, dass personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Ausnahmen können sich aus den Art. 5 Abs. 1 lit. e) 2. in Verbindung mit Erw. 89 DSGVO ergeben.
Integrität und Vertraulichkeit
- Nach diesem Grundsatz müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (u.a. Art. 32 DSGVO).
Jetzt zur „Rechtmäßigkeit der Datenverarbeitung“….
Dieser Grundsatz besagt insbesondere, dass alle rechtlichen Vorgaben aus der DSGVO bei der Verarbeitung von personenbezogenen Daten eingehalten werden müssen. Für die praktische Umsetzung im Unternehmen hat dieser Grundsatz umfangreiche Konsequenzen.
In den Artikeln 6 und 9 DSGVO werden diverse Erlaubnistatbestände zur Verarbeitung personenbezogener Daten aufgezählt. Zudem bleibt zu berücksichtigen, dass durch Öffnungsklauseln die Möglichkeit seitens der Mitgliedstaaten besteht, weitere Rechtsgrundlagen im nationalen Recht zu verankern. So finden sich auch im deutschen Recht vereinzelt Rechtsgrundlagen zur Verarbeitung personenbezogener Daten, etwa im BDSG und anderen Spezialgesetzen.
Die Verarbeitung personenbezogener Daten ist gemäß Artikel 6 nur rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
- Einwilligung: Die betroffene Person hat ihre freiwillige, spezifische, informierte und unmissverständliche Einwilligung zur Verarbeitung ihrer personenbezogenen Daten gegeben.
- Vertragserfüllung: Die Verarbeitung ist notwendig für die Erfüllung eines Vertrags, bei dem die betroffene Person Vertragspartei ist, oder um auf Anfrage der betroffenen Person vor Abschluss eines Vertrags Maßnahmen zu ergreifen.
- Rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
- Lebenswichtige Interessen: Die Verarbeitung ist notwendig, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
- Öffentliches Interesse: Die Verarbeitung ist notwendig für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
- Berechtigte Interessen: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
So weit, so eindeutig. Weniger eindeutig ist allerdings der Meinungstand zur Frage, wie weit der Begriff der Rechtmäßigkeit zu verstehen ist. Nach dem engen Verständnis ist demnach eine Datenverarbeitung schon (allein) rechtmäßig, wenn sie auf einer der vorstehend aufgezählten Rechtsgrundlagen beruht. Nach dem weiten Verständnis kann die Verarbeitung der Daten trotz des Vorliegens einer Rechtsgrundlage unrechtmäßig sein, wenn etwa andere Vorgaben der DSGVO nicht beachtet werden. So können z.B. auch schon Verstöße gegen Informationspflichten zu einer nicht rechtmäßigen und damit bußgeldbewehrten Datenverarbeitung führen.
Die ständige Rechtsprechung geht hingegen davon aus, dass derartige Verstöße (zunächst) eine Maßnahme der Aufsichtsbehörde nach sich ziehen, nicht aber direkt zur Rechtswidrigkeit der Verarbeitung führen. Nach alledem spricht einiges für das enge Verständnis der Rechtmäßigkeit.
Führt der Grundsatz der Rechtmäßigkeit zu einem Verbot mit Erlaubnisvorbehalt?
Nach dem Grundsatz der Rechtmäßigkeit dürfen personenbezogene Daten grundsätzlich nicht verarbeitet werden, es sei denn, dass es ausnahmsweise eine Rechtsgrundlage gibt, welche die Verarbeitung erlaubt. Gerne wird in diesem Zusammenhang davon gesprochen, dass das Erfordernis der Rechtmäßigkeit somit ein Verbot mit Erlaubnisvorbehalt als grundlegendes Strukturprinzip der DSGVO normiere. Dies ist jedoch leicht irreführend und kann bei der Auslegung zu einer falschen Haltung führen.
Außerdem ist eine solche Verbotsmentalität bei der Auslegung nicht zielführend, da sich dadurch ein (keine Datenverarbeitung) – Ausnahme (Datenverarbeitung) – Verhältnis im Kopf verfestigt, dass auf die Vermeidung von Datenverarbeitungen hinausläuft. Ein solches Ziel ist aber der DSGVO nicht zu entnehmen. Denn in Art. 1 DSGVO steht der freie Verkehr von Daten in der Union gleichberechtigt neben ihrem Schutz. Ein wirkliches Verbot der Datenverarbeitung findet sich hingegen nur für sensible Daten in Art. 9 Abs. 1 DSGVO. Daher sollte man sich statt „Verbot mit Erlaubsnisvorbehalt“ eher „Datenverarbeitung ist unter bestimmten Bedingungen erlaubt“ merken. Diese Bedingungen beruhen auf einer Abwägung des Gesetzgebers zwischen dem Recht auf Datenschutz der Bürger und den Grundrechten der datenverarbeitenden Stelle oder allgemeinen öffentlichen Interessen.
Bußgelder bei Verstößen gegen die Rechtmäßigkeit der Datenverarbeitung
Alle Verarbeitungsvorgänge müssen umfassend von einer Rechtsgrundlage gedeckt sein. Dies betrifft nicht nur die Frage, ob die Daten überhaupt verarbeitet werden dürfen, sondern auch wie. Hierbei ist insbesondere zu beachten, an wen die Daten weitergegeben und zu welchen Zwecken sie verarbeitet werden dürfen.
Im Zusammenhang mit dem Grundsatz der Rechtmäßigkeit wurde in der Vergangenheit dessen Bedeutung (nicht zuletzt) durch die entsprechende Bußgeldpraxis der Aufsichtsbehörden deutlich.
Fazit
Der Grundsatz der Rechtmäßigkeit der Datenverarbeitung stellt einen Eckstein der Zulässigkeit von Datenverarbeitungen dar. Darüber hinaus sind weitere Grundsätze bei der Umsetzung der Datenverarbeitungen zu berücksichtigen. Haben Verantwortliche diese berücksichtigt und dokumentiert, haben Sie ihre Rechenschaftspflicht erfüllt. Ein gutes Werkzeug zur Überprüfung im eigenen Unternehmen ist die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, das einen Überblick über alle Datenverarbeitungen bietet.