Im Art. 6 DSGVO ist die Rechtmäßigkeit der Verarbeitung personenbezogener Daten geregelt. Dort sind die sechs Gründe aufgeführt, aus denen man überhaupt personenbezogene Daten verarbeiten darf.
Zunächst kurz zur Auffrischung: Eine Verarbeitung liegt vor, wenn durch einen Vorgang mit oder ohne Hilfe automatisierter Verfahren personenbezogene Daten erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, durch Übermittlung offen gelegt, bereitgestellt, abgeglichen, verknüpft, eingeschränkt, gelöscht oder vernichtet werden.
D.h. im Endeffekt: Schon wenn man pers. bez. Daten in geordneter Art und Weise, und sei es nur in einem Aktenordner mit alphanumerischem Register abheftet, stellt dies eine Verarbeitung im Sinne der DSGVO da.
Wie bereits oben erwähnt, darf man das nur dann, wenn einer der sechs Gründe für die Rechtmäßigkeit greift, ansonsten ist die Verarbeitung verboten!
Diese sechs Gründe sind:
- Es liegt eine Einwilligung vor
- Es besteht die Notwendigkeit zur Erfüllung eines Vertrages
- Es besteht die Notwendigkeit zur Erfüllung von Rechtsvorschriften
- Es liegt ein lebenswichtiges Interesse der betroffenen Person vor
- Die Verarbeitung liegt im öffentlichen Interesse oder ist zur Ausübung öffentlicher Gewalt notwendig
- Der Verantwortliche hat ein berechtigtes Interesse.
Rollen wir das Ganze von hinten auf:
Können Sie durch eine Interessenabwägung nachweisen, dass Sie ein berechtigtes Interesse an der Verarbeitung haben und nicht die zu schützenden Interessen des Betroffenen, also der natürlichen Person, deren Daten Sie verarbeiten möchten überwiegen, ist die Verarbeitung gestattet.
Öffentliche Gewalt oder ein öffentliches Interesse ist für Firmen wohl nicht anwendbar.
Auch wenn Sie die Daten zum Schutz eines lebenswichtigen Interesses des Betroffenen oder einer anderen natürlichen Person benötigen, dürfen Sie diese verarbeiten.
Wenn es eine Rechtsvorschrift gibt, die die Speicherung der Daten vorschreibt, wie zum Beispiel bei Handelsbriefen, ist die Verarbeitung ebenso erlaubt.
Sie dürfen personenbezogene Daten auch zur Erfüllung eines Vertrages oder für vorvertragliche Maßnahmen verarbeiten.
Für alles Weitere benötigen Sie die Einwilligung des Betroffenen.
Die Bedingungen für die Einwilligung sind in Art. 7 DSGVO näher geregelt:
- Der Verantwortliche muss die Einwilligung nachweisen können
- Die Einwilligung muss in klarer und leicht verständlicher Sprache erfolgen
- Sofern die Einwilligung in eine sonstige schriftliche Erklärung eingearbeitet wurde, muss diese Einwilligung von den sonstigen Sachverhalten klar zu unterscheiden sein
- Vor der Erteilung der Einwilligung muss der Betroffene darauf hingewiesen werden, dass er die Einwilligung jederzeit widerrufen kann
- Die Einwilligung darf nicht an eine Vertragserfüllung gekoppelt sein, sofern die Verarbeitung der Daten zur Vertragserfüllung nicht notwendig ist.
Um eine Einwilligung also nachweisen zu können, ist meistens die Schriftform mit Unterschrift geboten.
Jedoch wird In Art.4 Nr. 11 DSGVO die Einwilligung als „unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der Sie betreffenden personenbezogenen Daten einverstanden ist“ beschrieben.
Das ist in vielen Situationen des Arbeitsalltages nützlich. Beispielsweise kann bei der Überreichung einer Visitenkarte von einer eindeutigen Willensbekundung, also einer implizierten Einwilligung ausgegangen werden.
Auch im Bereich des Beschäftigten-Datenschutzes kann man damit einige Klippen umschiffen, in dem man beispielsweise dem Mitarbeiter nur die Form eines Steckbriefes vorgibt, das Ausfüllen und Aufhängen am schwarzen Brett aber als freiwillige Handlung dem Mitarbeiter überlässt. Die Widerrufsmöglichkeit bleibt ebenfalls durch das mögliche Abhängen gewahrt.
Aber Achtung! Selbst wenn man eine Einwilligung schriftlich eingeholt hat oder ein sonstiger Grund für die Rechtmäßigkeit vorliegt: Sie müssen von ganz wenigen Ausnahmen abgesehen, den Betroffenen immer über die Verarbeitung und seine Rechte informieren!
