DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Rechtmäßige Verarbeitung

Rechtmäßige Verarbeitung

rechtmäßige Verarbeitung

Die Datenschutz-Grundverordnung, oder DSGVO, legt strenge Regeln fest, wie Unternehmen rechtmäßige Verarbeitung von PII von Einzelpersonen in der Europäischen Union durchführen können.

Im Kern dieser Regeln steht die Anforderung, dass alle Verarbeitung personenbezogener Daten eine rechtmäßige Grundlage haben muss. Es gibt sechs Rechtsgrundlagen für die rechtmäßige Verarbeitung von Daten gemäß der DSGVO.

Unternehmen müssen die geeignete Rechtsgrundlage vor der Verarbeitung personenbezogener Daten bestimmen.

Was sind die sechs rechtmäßigen Grundlagen für die Verarbeitung personenbezogener Daten?

Die DSGVO nennt sechs rechtmäßige Gründe zur Verarbeitung personenbezogener Daten:

  1. Die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer Daten für einen bestimmten Zweck gegeben.

Die Verarbeitung ist notwendig, um:

  1. Einen Vertrag mit der betroffenen Person zu erfüllen.
  2. Einer rechtlichen Verpflichtung nachzukommen.
  3. Jemandes lebenswichtige Interessen zu schützen.
  4. Eine Aufgabe im öffentlichen Interesse zu erfüllen.
  5. Die berechtigten Interessen des Unternehmens zu wahren, außer wenn diese Interessen durch die Rechte der betroffenen Person überwogen werden.

Werfen wir einen genaueren Blick auf einige dieser Grundlagen für die rechtmäßige Verarbeitung. Die Einwilligung ist eine der häufigsten verwendeten Rechtsgrundlagen.

Beim Verlassen auf Einwilligung ist es entscheidend, dass diese spezifisch, informiert und eindeutig ist. Vorgekreuzte Kästchen oder implizite Einwilligung sind nach der DSGVO nicht gültig.

Zum Beispiel, wenn eine Website Cookies verwenden möchte, um das Verhalten der Nutzer zu Werbezwecken zu verfolgen, muss sie klare, ausdrückliche Einwilligung vom Nutzer einholen.

Ein Banner, das sagt „Durch die Nutzung dieser Seite akzeptieren Sie Cookies“ wäre nicht ausreichend. Stattdessen muss der Nutzer auf eine Schaltfläche „Ich stimme zu“ klicken. Sie sollten informiert werden, welche Informationen gesammelt werden und wie sie verwendet werden, bevor dies geschieht.

Eine weitere häufig verwendete Rechtsgrundlage ist das berechtigte Interesse. Unternehmen können personenbezogene Daten ohne Zustimmung verwenden, wenn sie einen gültigen Grund haben. Dies ist erlaubt, solange es die Rechte und Interessen der betroffenen Person nicht verletzt.

Berechtigte Interessen können Dinge wie Marketing, Betrugsprävention oder IT-Sicherheit umfassen. Unternehmen müssen jedoch ihre Interessen gegen die Interessen der betroffenen Person abwägen.

Berechtigte Interessen können nicht als Rechtsgrundlage verwendet werden, wenn es eine weniger intrusive Möglichkeit gibt, das gleiche Ergebnis zu erzielen.

Beispielsweise könnte ein Unternehmen argumentieren, dass es ein berechtigtes Interesse an der Analyse von Kundendaten für Direktmarketing hat.

Wenn ein Kunde jedoch klar widersprochen hat, Marketingkommunikation zu erhalten, würden die berechtigten Interessen des Unternehmens wahrscheinlich von dem Widerspruchsrecht der betroffenen Person überwogen werden.

Das Unternehmen müsste dann eine andere Grundlage für diese rechtmäßige Verarbeitung finden, wie etwa die Einwilligung, oder die Verarbeitung ganz einstellen.

Die richtige Grundlage für die rechtmäßige Verarbeitung wählen

Die Identifizierung der Rechtmäßigkeit jeder Verarbeitungsaktivität ist entscheidend für die DSGVO-Compliance.

Die geeignete Grundlage für die rechtmäßige Verarbeitung hängt von der spezifischen Situation und dem Zweck der Verarbeitung ab. In einigen Fällen kann die Grundlage offensichtlich sein.

Ein Beispiel ist, wenn ein Arbeitgeber die Bankdaten eines Mitarbeiters für Gehaltszahlungen verarbeiten muss. Dies geschieht auf der rechtlichen Grundlage „erforderlich für den Vertrag“.

Andere Situationen können weniger klar sein. Stellen Sie sich ein Unternehmen vor, das Kundeninformationen für Marketingzwecke verarbeiten möchte.

Es könnte berechtigte Interessen als seine Rechtsgrundlage verwenden, wobei argumentiert wird, dass die Kunden diese Verarbeitung vernünftigerweise erwarten würden und sie geringe Datenschutz-Auswirkungen hat.

Einwilligung könnte jedoch eine sicherere Wahl sein, insbesondere wenn das Marketing sensible Themen betrifft oder wenn Kunden vernünftigerweise nicht erwarten würden, dass ihre Informationen auf diese Weise verwendet werden.

Wichtig ist, dass Unternehmen die Grundlage vor Beginn der rechtmäßigen Verarbeitung festlegen und ihre Entscheidung dokumentieren sollten. Es ist nicht akzeptabel, die Rechtmäßigkeit nachträglich zu suchen.

Die Rechtmäßigkeit der Verarbeitung wirkt sich auch auf die Rechte der Personen aus. Wenn sich ein Unternehmen beispielsweise auf die Einwilligung stützt, haben die Personen ein stärkeres Recht, dass ihre Daten gelöscht werden.

Besondere Kategorien personenbezogener Daten

Es ist zu beachten, dass die DSGVO besondere Regeln für bestimmte sensible Kategorien von Informationen hat, die als „besondere Kategorien von Daten“ bekannt sind.

Dazu gehören Informationen, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftsmitgliedschaft, genetische, biometrische oder Gesundheitsdaten offenbaren.

Die DSGVO verbietet die Verarbeitung dieser Daten, es sei denn, eine der spezifischen Bedingungen des Artikels 9 der DSGVO trifft zu.

Diese Bedingungen umfassen die ausdrückliche Einwilligung, Erforderlichkeit nach Arbeitsrecht, lebenswichtige Interessen, erhebliches öffentliches Interesse und mehr.

Die Hürde für die Verarbeitung besonderer Daten ist erheblich höher und Unternehmen müssen besondere Vorsicht walten lassen, wenn sie mit dieser Art von sensiblen Informationen umgehen.

Beispielsweise müsste eine Gesundheits-App, die Daten über die medizinischen Bedingungen der Nutzer sammelt, die ausdrückliche Einwilligung der Nutzer einholen und einen starken rechtlichen Grund für die Analyse sensibler Daten haben.

Häufige Fehler bei der Bestimmung der Rechtmäßigkeit der Verarbeitung

Ein häufiger Fehler ist zu denken, dass die Verarbeitung von Daten für Geschäftszwecke automatisch rechtmäßig nach der DSGVO ist. Notwendigkeit allein reicht jedoch nicht aus, um die Rechtmäßigkeit zu begründen.

Die rechtmäßige Verarbeitung muss unter eine der sechs in der DSGVO festgelegten Grundlagen fallen.

Ein weiteres Problem besteht darin, dass Unternehmen versuchen, sich auf eine Rechtmäßigkeit zu stützen, die eigentlich nicht zutrifft.

Ein Unternehmen könnte sagen, dass die Verarbeitung für einen Vertrag notwendig ist. Wenn die Bearbeitung jedoch nicht entscheidend für die Erbringung der Dienstleistung ist, ist die Behauptung nicht gültig.

Ähnlich versuchen Unternehmen manchmal, die Einwilligung als „Allheilmittel“-Rechtsgrundlage zu verwenden, selbst in Fällen, in denen die Einwilligung nicht frei gegeben ist oder bei denen eine andere Rechtsgrundlage geeigneter wäre.

Ein drittes Problem besteht darin, nicht spezifisch genug über die Rechtmäßigkeit zu sein. Unternehmen sollten jede spezifische Verarbeitungsaktivität mit einer Rechtsgrundlage verknüpfen.

Breite Aussagen wie „wir verarbeiten Daten basierend auf berechtigtem Interesse“ sind nicht ausreichend. Unternehmen müssen erklären, was das berechtigte Interesse ist und wie es auf jede Art der Verarbeitung zutrifft.

Best Practices zur Sicherstellung der rechtmäßigen Verarbeitung

Um den DSGVO-Regeln zur Rechtmäßigkeit zu entsprechen, sollten Unternehmen:

  • Jede ihrer Aktivitäten abbilden und die Rechtsgrundlage für jede identifizieren.
  • Beim Verlassen auf Einwilligung sicherstellen, dass die Verfahren zur Einholung der Einwilligung den DSGVO-Standards entsprechen.
  • Beim Verlassen auf berechtigtes Interesse dokumentieren, wie sie ihre Interessen mit den Rechten der Einzelpersonen abgewogen haben.
  • Vage Aussagen über die Rechtmäßigkeit vermeiden und für jede einzelne Verarbeitungsaktivität spezifisch sein.
  • Einzelpersonen ermöglichen, ihre Rechte gemäß der anwendbaren Rechtsgrundlage auszuüben.
  • Regelmäßig die Aktivitäten und Rechtsgrundlagen überprüfen, um die fortlaufende Compliance sicherzustellen.

Dokumentation der Rechtsgrundlagen

Die Dokumentation der Rechtmäßigkeit jeder Aktivität ist ein wesentlicher Bestandteil der DSGVO-Compliance. Diese Dokumentation sollte erklären:

  • Welche PII verarbeitet wird
  • Der Zweck der Analyse
  • Welche Rechtsgrundlage gilt und warum
  • Wie das Unternehmen die Rechte der Einzelnen basierend auf der Rechtmäßigkeit wahren wird
  • Die Interessenabwägung des Unternehmens (falls zutreffend)

Das Führen und Aktualisieren dieser Dokumentation im Laufe der Zeit ist notwendig. Es ist wichtig, Nachweise der Einhaltung zu haben, die auf Anfrage den Aufsichtsbehörden vorgelegt werden können.

Die Wichtigkeit der rechtmäßigen Verarbeitung

Die Festlegung der Grundlage für die rechtmäßige Verarbeitung von Informationen ist ein Eckpfeiler der DSGVO-Compliance. Unternehmen benötigen eine gültige Rechtsgrundlage, um Beschwerden, Zugriffsanfragen und Bußgelder von Regulierungsbehörden zu vermeiden.

Die richtige Rechtmäßigkeit zu bestimmen ist entscheidend für den Aufbau von Vertrauen mit Kunden und um Reputationsschäden zu vermeiden.

Darüber hinaus ist die Festlegung der Rechtsgrundlagen einfach gute Datenhygiene. Unternehmen können verbessern, wie sie Informationen handhaben, indem sie kritisch darüber nachdenken, warum sie sie verwenden und die beste Rechtsgrundlage auswählen. Dieser Prozess beinhaltet das Überlegen des Zwecks der Informationen und sicherzustellen, dass er den gesetzlichen Anforderungen entspricht.

Dies bildet die Grundlage dafür, einen größeren Wert aus den Ressourcen zu ziehen und gleichzeitig die Rechte und Erwartungen der Einzelnen zu respektieren.

Der Anstoß der DSGVO zur rechtmäßigen Verarbeitung kommt letztendlich sowohl Verbrauchern als auch Unternehmen zugute. Verbraucher gewinnen größere Transparenz und Kontrolle darüber, wie ihre Informationen verwendet werden.

Und Unternehmen können mit größerer Sicherheit agieren und das Vertrauen der Kunden stärken. Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen die Festlegung rechtmäßiger Verarbeitungsgründe priorisieren. Dies erfordert Investitionen von Zeit und Aufwand.

Nächste

Datenschutzbeauftragter

Datenschutzbeauftragter

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Allgemeine Informationen
Vertrieb
Kundenservice und technischer Support
Partnerschafts- und Allianz-Anfragen
Allgemeine Informationen:
info@datasunrise.com
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
partner@datasunrise.com