Die Zulässigkeitsbedingungen

Kursübersicht
/
DSGVO • Auffrischungskurs
/
Die Zulässigkeitsbedingungen

Unter welchen Voraussetzungen
dürfen Daten überhaupt verarbeitet werden?

Nach der EU-DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich verboten! Es sei denn, bestimmte Zulässigkeitsbedingungen liegen vor. Diese Ausnahmen möchten wir Ihnen im Folgenden erklären.

Zulässig ist die Verarbeitung personenbezogener Daten in vier Fällen:

Die Verarbeitung personenbezogener Daten ist erlaubt, wenn sie notwendig ist, um rechtlichen Verpflichtungen nachzukommen, denen die entsprechende Person unterliegt. Dies bedeutet, dass ein Gesetz die Verarbeitung erlauben muss - in juristischen Worten: eine bereichsspezifische Rechtsvorschrift und damit höherrangig als die EU-DSGVO. Geregelt und damit erlaubt ist etwa der Datenaustausch zwischen Arbeitgebern und Sozialversicherungsträgern auf Basis des Sozialgesetzbuchs. Dies hat zur Folge, dass der entsprechende Datenaustausch ohne die ansonsten erforderliche schriftliche Einwilligung des Betroffenen zulässig ist.

Die Verarbeitung personenbezogener Daten ist erlaubt, wenn sie der Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme dient. Denn es ist eine Selbstverständlichkeit: Für das Zustandekommen eines Vertrags sind die Daten der Beteiligten notwendig. So muss z. B. ein Lieferant, um eine Rechnung ausstellen oder die Ware an den Kunden liefern zu können, die persönlichen Daten seines Kunden erfassen.

Die Verarbeitung personenbezogener Daten ist erlaubt, wenn sie im öffentlichen Interesse liegt oder zur Erfüllung hoheitlicher Aufgaben erforderlich ist. Den Interessen der Allgemeinheit wird durch die unspezifischen Rechtsbegriffe "öffentliches Interesse" und "Erfüllung hoheitlicher Aufgaben" Vorrang vor den Interessen Einzelner eingeräumt. Über diese dritte Zulässigkeitsvoraussetzung geben sie z. B. der Polizei das Recht zum Fotografieren und Filmen von Demonstrationsteilnehmern, um diese im Nachhinein identifizieren zu können.

Die Verarbeitung personenbezogener Daten ist erlaubt, wenn eine Interessenabwägung zugunsten des verantwortlichen Unternehmens ausfällt. Bei dieser Interessenabwägung handelt es sich um den schwierigsten Punkt der Zulässigkeitsvoraussetzungen, da er im Gesetz vage formuliert ist und somit einen entsprechenden Spielraum für die Auslegung lässt. Im Wesentlichen wird damit zum Ausdruck gebracht, dass zur Klärung der Frage, ob die Datenverarbeitung zulässig ist, eine Abwägung zwischen den berechtigten Interessen der verantwortlichen Stelle (also des Unternehmens) und den schutzwürdigen Interessen der betroffenen Person stattfinden muss. Dies bedeutet, dass jeweils zu entscheiden ist, welche Interessen schwerer wiegen, d. h. höher zu bewerten sind und vorgehen. Je nach Ausgang dieser Entscheidung ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nach der Abwägung zulässig oder unzulässig.

Eine solche Abwägung muss auf der Grundlage fachlicher Kriterien vorgenommen werden. Lassen Sie sich daher bei einem Interessenkonflikt vorsichtshalber vom Datenschutzbeauftragten Ihres Unternehmens beraten, wie zu verfahren ist.

Wenn keine der vier Zulässigkeitsbedingungen zutrifft, benötigen Sie zwingend eine Einwilligung der betroffenen Person, um ihre Daten verarbeiten zu dürfen.

Die Einwilligung als letztes Mittel

Vorsicht Kinder

Kinder- und Minderjährigen-Schutz

Photo by geralt on Pixabay

Kinder sind sich meistens nicht bewusst, welche Risiken und Folgen es haben kann, wenn ihre Daten erhoben und gespeichert werden. Daher werden sie vom Gesetz besonders gut geschützt, wenn es um die Erhebung von Daten, um Werbung oder um die Erstellung von Profilen geht.

Erst mit Vollendung des 16. Lebensjahrs kann ein Minderjähriger rechtswirksam der Verarbeitung seiner personenbezogenen Daten zustimmen.

Im Umkehrschluss bedeutet das, dass Kinder und Jugendliche unter 16 Jahren der Verarbeitung ihrer Daten nicht zustimmen können. Sie benötigen zur Einwilligung zwingend die ausdrückliche Genehmigung des gesetzlichen Vertreters.

In Artikel 8, Absatz 2 der Datenschutz-Grundverordnung wird der verantwortlichen Stelle vorgeschrieben, dass sie durch Verwendung der verfügbaren Technik angemessene Anstrengungen unternehmen muss, um sich zu vergewissern, dass die Eltern eines betroffenen Kindes mit der Datenverarbeitung einverstanden sind.

Die verantwortliche Stelle trägt die Beweispflicht für die Einwilligung der Kinder oder ihrer Erziehungsberechtigten.

Gefüllte Briefkästen und Adresslisten

Warum quellen die Briefkästen über, wenn unsere persönlichen Daten gesetzlich so gut geschützt sind? Und das auch noch von Firmen, mit denen wir noch nie zuvor in Kontakt getreten sind?

Berechtigtes Interesse Dritter lautet die Antwort!

Dass Werbung ein berechtigtes Interesse darstellt und dabei auch die Interessen Dritter berücksichtigt werden dürfen, wird in der DSGVO ausdrücklich anerkannt. Das bedeutet, dass jedes Unternehmen (oder jede Organisation) die Adressen seiner Kundinnen und Kunden oder Mitglieder für Werbezwecke verwenden darf.

Darüber hinaus ist sie berechtigt, diese Adressen auch anderen Unternehmen, so genannten Dritten, zur Durchführung von Werbemaßnahmen zur Verfügung zu stellen.

Auf diese Weise entstehen lukrative Adresslisten. Diese werden in der Werbebranche genutzt, um per Post neue Kunden zu gewinnen. Und auf diesem Weg füllen sich die Briefkästen mit unerwünschter Infopost. Alles ganz legal. - Das gilt aber nur für die postalischen Adressen!

Nur mit ausdrücklicher Genehmigung der betroffenen Person darf die Nutzung von E-Mail-Adressen, Telefonnummern und Faxnummern erfolgen!

Die grundsätzliche Anforderung zur Transparenz für die Betroffenen muss natürlich sichergestellt werden. Das heißt, diese müssen spätestens mit der Zusendung der ersten Werbung über diesen "Verarbeitungszweck" informiert und auf ihr Widerspruchsrecht hingewiesen werden.

Zusammenfassung

Das Erheben von personenbezogenen Daten ist grundsätzlich verboten (das heißt: nur unter streng geregelten Umständen erlaubt). Dieses Verbot schützt jeden Bürger vor Beeinträchtigung seiner Persönlichkeit beim Umgang mit seinen Daten.

(Eine wichtige Konsequenz der DSGVO in diesem Zusammenhang: Nun gilt das "Marktortprinzip", nach dem ausländische Unternehmen die Datenschutzgesetze des jeweiligen Ziellands befolgen müssen. Das erschwert die Datensammelwut großer Internetunternehmen, die nicht in der EU sitzen.)

Vier Zulässigkeitsbedingungen erlauben die Verarbeitung personenbezogener Daten. Demnach ist diese zulässig, wenn

sie notwendig ist, um rechtlichen Verpflichtungen nachzukommen, denen die entsprechende Person per Gesetz unterliegt.
sie der Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme dient.
sie im öffentlichen Interesse liegt oder zur Erfüllung hoheitlicher Aufgaben erforderlich ist.
eine Interessenabwägung zugunsten des verantwortlichen Unternehmens ausfällt.

Auch der Betroffene kann die Verarbeitung seiner personenbezogener Daten erlauben.

Damit diese Erlaubnis gültig ist, müssen etliche Bedingungen eingehalten werden. Beispielsweise muss der Betroffene einen gut aufzufindenden, umfassenden und verständlichen Einwilligungstext gesondert unterschreiben - oder er muss seine Einwilligung in elektronischer Form geben. Dazu muss er bereits vor einer Bestellung beispielsweise eines Newsletters, in die Verarbeitung seiner Daten einwilligen. Und nach der Bestellung muss er diese noch über den Link bestätigen, der ihm in einer Bestätigungsmail zugeschickt wurde ("Double-Opt-In-Verfahren").

Egal, in welcher Form die Einwilligung erteilt wurde: Immer hat die betroffene Person das Recht auf Widerruf!

Besondere Vorsicht ist beim Umgang mit den personenbezogenen Daten von Kindern notwendig: Minderjährige können erst mit Vollendung des 16. Lebensjahrs rechtswirksam der Verarbeitung ihrer personenbezogenen Daten zustimmen. Vorher benötigen Sie zur Einwilligung die Genehmigung des gesetzlichen Vertreters.

Nur postalisch darf unangeforderte Info-Post verschickt werden. Unternehmen und Organisationen nutzen dazu ganz legal Adresslisten.

Inhaltsverzeichnis

Lektion erledigt