Sie befinden sich hier:

Was sind die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten gemäß Art. 6 DSGVO?

Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten, soweit sie nicht erlaubt ist. Die wichtigen Erlaubnistatbestände für eine zulässige Datenverarbeitung beinhaltet der Art. 6 Abs. 1 DSGVO.

Im Art. 6 Abs. 1 DSGVO werden die sechs folgenden Rechtsgrundlagen für die Datenverarbeitung aufgelistet, von denen immer mindestens eine erfüllt sein muss:

  • Vorliegen einer Einwilligung (Buchstabe a);
  • Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen auf Anfrage eines Betroffenen (Buchstabe b);
  • Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen (Buchstabe c);
  • Schutz lebenswichtiger Interessen eines Betroffenen oder einer anderen natürlichen Person (Buchstabe d);
  • Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder Ausübung öffentlicher Gewalt (Buchstabe e);
  • Wahrung überwiegender Interessen des Verantwortlichen oder eines Dritten (Buchstabe f).

Allerdings kann eine Datenverarbeitung auch durch mehrere dieser Rechtsgrundlagen abgedeckt sein.

Buchstabe a

Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, muss der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache muss sichergestellt sein, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt.

Die Einwilligung zur Verarbeitung personenbezogener Daten darf nur „für einen oder mehrere bestimmte Zwecke“ erteilt werden. Dieses Erfordernis greift das Prinzip der Zweckbindung nach Art. 5 Abs. 1 Buchstabe b DSGVO auf. So genügt beispielsweise hinsichtlich der Verarbeitung für Zwecke der wissenschaftlichen Forschung eine pauschale Bezugnahme auf Forschungszwecke nicht den Anforderungen an eine eindeutige Zweckbestimmung. Möglich ist demgegenüber, dass die betroffene Person ihre Einwilligung nur für bestimmte Forschungsbereiche oder nur für Teile von Forschungsprojekten erteilt (Erwägungsgrund 33 zur DSGVO).

Die Anforderungen an eine wirksame Einwilligung sind im Art. 7 DSGVO geregelt. Besondere Anforderungen an die Einwilligung von Kindern enthält der Art. 8 DSGVO.

Buchstabe b

Die Datenverarbeitung gilt als rechtmäßig, wenn sie für die Erfüllung oder den geplanten Abschluss eines Vertrags erforderlich ist (Erwägungsgrund 44 zur DSGVO).

Die Vertragserfüllung setzt voraus, dass neben dem Vertragsabschluss auch eine Leistungserbringung stattgefunden haben muss. Somit fällt ein einseitiges Rechtsgeschäft (z. B. eine Gewinnzusage) nicht unter den Art. 6 Abs. 1 Buchstabe b DSGVO. Gleiches gilt für ein nichtiges Rechtsgeschäft (z. B. aufgrund einer arglistigen Täuschung).

Unter die Durchführung vorvertraglicher Maßnahmen fallen auch Vertragsverhandlungen und Vertragsanbahnungen. Auch in diesen Fällen ist grundsätzlich eine entsprechende Datenverarbeitung rechtmäßig.

Die Datenverarbeitung muss erforderlich sein, das bedeutet, dass ohne sie eine Vertragsdurchführung nicht möglich ist.

Die Formulierung „auf Anfrage“ bedeutet, dass der Betroffene die Vertragsanbahnung initiiert haben muss und er Vertragspartner ist.

Im Rahmen der Begründung eines Vertragsverhältnisses ist der Verantwortliche dazu verpflichtet, den Betroffenen gemäß Art. 13 Abs. 2 Buchstabe e DSGVO darüber zu informieren, ob die Bereitstellung der personenbezogenen Daten für den Vertragsabschluss verpflichtend oder freiwillig ist.

Nach Beendigung des Vertragsverhältnisses sind die personenbezogenen Daten des Betroffenen grundsätzlich zu löschen, soweit keine andere Rechtsgrundlage oder eine Aufbewahrungsfrist besteht.

Buchstabe c

Erfolgt die Datenverarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung (z. B. aufgrund des Steuer-, des Sozial- oder des Strafrechts), muss hierfür eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats bestehen. Dabei wird nicht für jede einzelne Verarbeitung ein spezifisches Gesetz verlangt. Ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt. Desgleichen muss im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, für welche Zwecke die Daten verarbeitet werden dürfen. Ferner können in diesem Recht die allgemeinen Bedingungen der Datenschutz-Grundverordnung zur Regelung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten präzisiert werden (Erwägungsgrund 45 zur DSGVO).

Besteht keine rechtliche Verpflichtung zur Datenverarbeitung, kann diese nicht auf Art. 6 Abs. 1 Buchstabe c gestützt werden.

Buchstabe d

Die Verarbeitung personenbezogener Daten kann auch als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen. Personenbezogene Daten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein (Erwägungsgrund 46 zur DSGVO).

Buchstabe e

Auch für den Fall, dass die Datenverarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist, muss hierfür eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats (z. B. § 3 BDSG) bestehen.

Desgleichen muss im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, ob es sich bei dem Verantwortlichen, der eine Aufgabe wahrnimmt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, um

  • eine Behörde oder
  • um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder,
  • sofern dies durch das öffentliche Interesse einschließlich gesundheitlicher Zwecke, wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, gerechtfertigt ist, eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung,

handelt (Erwägungsgrund 45 zur DSGVO).

Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e erfolgt, Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO).

Auf dieses Widerspruchsrecht ist der Betroffene gemäß Art. 13 Abs. 2 Buchstabe b (bei der Direkterhebung bei dem Betroffenen) bzw. Art. 14 Abs. 2 Buchstabe c (falls die Datenerhebung nicht bei dem Betroffenen erfolgt) hinzuweisen.

Buchstabe f

Die Rechtmäßigkeit jeder einzelnen Datenverarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse kann beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall ist das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, darf diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen. Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden (Erwägungsgrund 47 zur DSGVO).

Bei der Interessenabwägung ist insbesondere zu berücksichtigen, ob es sich bei der betroffenen Person um ein Kind handelt. In diesem Fall sind besonders hohe Maßstäbe (z. B. hinsichtlich des Alters und der Einsichtsfähigkeit) anzusetzen. Allerdings gilt kein generelles Verbot der Verarbeitung von Kinderdaten.

Jede betroffene Person hat auch hier wieder das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben f erfolgt, Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO).

Auf dieses Widerspruchsrecht ist der Betroffene gemäß Art. 13 Abs. 2 Buchstabe b (bei der Direkterhebung bei dem Betroffenen) bzw. Art. 14 Abs. 2 Buchstabe c (falls die Datenerhebung nicht bei dem Betroffenen erfolgt) wiederum hinzuweisen.

nach oben