
Rechtmäßige Verarbeitung

Die Datenschutz-Grundverordnung, oder DSGVO, legt strenge Regeln fest, wie Unternehmen rechtmäßige Verarbeitung von PII von Einzelpersonen in der Europäischen Union durchführen können.
Im Kern dieser Regeln steht die Anforderung, dass alle Verarbeitung personenbezogener Daten eine rechtmäßige Grundlage haben muss. Es gibt sechs Rechtsgrundlagen für die rechtmäßige Verarbeitung von Daten gemäß der DSGVO.
Unternehmen müssen die geeignete Rechtsgrundlage vor der Verarbeitung personenbezogener Daten bestimmen.
Was sind die sechs rechtmäßigen Grundlagen für die Verarbeitung personenbezogener Daten?
Die DSGVO nennt sechs rechtmäßige Gründe zur Verarbeitung personenbezogener Daten:
- Die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer Daten für einen bestimmten Zweck gegeben.
Die Verarbeitung ist notwendig, um:
- Einen Vertrag mit der betroffenen Person zu erfüllen.
- Einer rechtlichen Verpflichtung nachzukommen.
- Jemandes lebenswichtige Interessen zu schützen.
- Eine Aufgabe im öffentlichen Interesse zu erfüllen.
- Die berechtigten Interessen des Unternehmens zu wahren, außer wenn diese Interessen durch die Rechte der betroffenen Person überwogen werden.
Werfen wir einen genaueren Blick auf einige dieser Grundlagen für die rechtmäßige Verarbeitung. Die Einwilligung ist eine der häufigsten verwendeten Rechtsgrundlagen.
Beim Verlassen auf Einwilligung ist es entscheidend, dass diese spezifisch, informiert und eindeutig ist. Vorgekreuzte Kästchen oder implizite Einwilligung sind nach der DSGVO nicht gültig.
Zum Beispiel, wenn eine Website Cookies verwenden möchte, um das Verhalten der Nutzer zu Werbezwecken zu verfolgen, muss sie klare, ausdrückliche Einwilligung vom Nutzer einholen.
Ein Banner, das sagt „Durch die Nutzung dieser Seite akzeptieren Sie Cookies“ wäre nicht ausreichend. Stattdessen muss der Nutzer auf eine Schaltfläche „Ich stimme zu“ klicken. Sie sollten informiert werden, welche Informationen gesammelt werden und wie sie verwendet werden, bevor dies geschieht.
Eine weitere häufig verwendete Rechtsgrundlage ist das berechtigte Interesse. Unternehmen können personenbezogene Daten ohne Zustimmung verwenden, wenn sie einen gültigen Grund haben. Dies ist erlaubt, solange es die Rechte und Interessen der betroffenen Person nicht verletzt.
Berechtigte Interessen können Dinge wie Marketing, Betrugsprävention oder IT-Sicherheit umfassen. Unternehmen müssen jedoch ihre Interessen gegen die Interessen der betroffenen Person abwägen.
Berechtigte Interessen können nicht als Rechtsgrundlage verwendet werden, wenn es eine weniger intrusive Möglichkeit gibt, das gleiche Ergebnis zu erzielen.
Beispielsweise könnte ein Unternehmen argumentieren, dass es ein berechtigtes Interesse an der Analyse von Kundendaten für Direktmarketing hat.
Wenn ein Kunde jedoch klar widersprochen hat, Marketingkommunikation zu erhalten, würden die berechtigten Interessen des Unternehmens wahrscheinlich von dem Widerspruchsrecht der betroffenen Person überwogen werden.
Das Unternehmen müsste dann eine andere Grundlage für diese rechtmäßige Verarbeitung finden, wie etwa die Einwilligung, oder die Verarbeitung ganz einstellen.
Die richtige Grundlage für die rechtmäßige Verarbeitung wählen
Die Identifizierung der Rechtmäßigkeit jeder Verarbeitungsaktivität ist entscheidend für die DSGVO-Compliance.
Die geeignete Grundlage für die rechtmäßige Verarbeitung hängt von der spezifischen Situation und dem Zweck der Verarbeitung ab. In einigen Fällen kann die Grundlage offensichtlich sein.
Ein Beispiel ist, wenn ein Arbeitgeber die Bankdaten eines Mitarbeiters für Gehaltszahlungen verarbeiten muss. Dies geschieht auf der rechtlichen Grundlage „erforderlich für den Vertrag“.
Andere Situationen können weniger klar sein. Stellen Sie sich ein Unternehmen vor, das Kundeninformationen für Marketingzwecke verarbeiten möchte.
Es könnte berechtigte Interessen als seine Rechtsgrundlage verwenden, wobei argumentiert wird, dass die Kunden diese Verarbeitung vernünftigerweise erwarten würden und sie geringe Datenschutz-Auswirkungen hat.
Einwilligung könnte jedoch eine sicherere Wahl sein, insbesondere wenn das Marketing sensible Themen betrifft oder wenn Kunden vernünftigerweise nicht erwarten würden, dass ihre Informationen auf diese Weise verwendet werden.
Wichtig ist, dass Unternehmen die Grundlage vor Beginn der rechtmäßigen Verarbeitung festlegen und ihre Entscheidung dokumentieren sollten. Es ist nicht akzeptabel, die Rechtmäßigkeit nachträglich zu suchen.
Die Rechtmäßigkeit der Verarbeitung wirkt sich auch auf die Rechte der Personen aus. Wenn sich ein Unternehmen beispielsweise auf die Einwilligung stützt, haben die Personen ein stärkeres Recht, dass ihre Daten gelöscht werden.
Besondere Kategorien personenbezogener Daten
Es ist zu beachten, dass die DSGVO besondere Regeln für bestimmte sensible Kategorien von Informationen hat, die als „besondere Kategorien von Daten“ bekannt sind.
Dazu gehören Informationen, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftsmitgliedschaft, genetische, biometrische oder Gesundheitsdaten offenbaren.
Die DSGVO verbietet die Verarbeitung dieser Daten, es sei denn, eine der spezifischen Bedingungen des Artikels 9 der DSGVO trifft zu.
Diese Bedingungen umfassen die ausdrückliche Einwilligung, Erforderlichkeit nach Arbeitsrecht, lebenswichtige Interessen, erhebliches öffentliches Interesse und mehr.
Die Hürde für die Verarbeitung besonderer Daten ist erheblich höher und Unternehmen müssen besondere Vorsicht walten lassen, wenn sie mit dieser Art von sensiblen Informationen umgehen.
Beispielsweise müsste eine Gesundheits-App, die Daten über die medizinischen Bedingungen der Nutzer sammelt, die ausdrückliche Einwilligung der Nutzer einholen und einen starken rechtlichen Grund für die Analyse sensibler Daten haben.
Häufige Fehler bei der Bestimmung der Rechtmäßigkeit der Verarbeitung
Ein häufiger Fehler ist zu denken, dass die Verarbeitung von Daten für Geschäftszwecke automatisch rechtmäßig nach der DSGVO ist. Notwendigkeit allein reicht jedoch nicht aus, um die Rechtmäßigkeit zu begründen.
Die rechtmäßige Verarbeitung muss unter eine der sechs in der DSGVO festgelegten Grundlagen fallen.
Ein weiteres Problem besteht darin, dass Unternehmen versuchen, sich auf eine Rechtmäßigkeit zu stützen, die eigentlich nicht zutrifft.
Ein Unternehmen könnte sagen, dass die Verarbeitung für einen Vertrag notwendig ist. Wenn die Bearbeitung jedoch nicht entscheidend für die Erbringung der Dienstleistung ist, ist die Behauptung nicht gültig.
Ähnlich versuchen Unternehmen manchmal, die Einwilligung als „Allheilmittel“-Rechtsgrundlage zu verwenden, selbst in Fällen, in denen die Einwilligung nicht frei gegeben ist oder bei denen eine andere Rechtsgrundlage geeigneter wäre.
Ein drittes Problem besteht darin, nicht spezifisch genug über die Rechtmäßigkeit zu sein. Unternehmen sollten jede spezifische Verarbeitungsaktivität mit einer Rechtsgrundlage verknüpfen.
Breite Aussagen wie „wir verarbeiten Daten basierend auf berechtigtem Interesse“ sind nicht ausreichend. Unternehmen müssen erklären, was das berechtigte Interesse ist und wie es auf jede Art der Verarbeitung zutrifft.
Best Practices zur Sicherstellung der rechtmäßigen Verarbeitung
Um den DSGVO-Regeln zur Rechtmäßigkeit zu entsprechen, sollten Unternehmen:
- Jede ihrer Aktivitäten abbilden und die Rechtsgrundlage für jede identifizieren.
- Beim Verlassen auf Einwilligung sicherstellen, dass die Verfahren zur Einholung der Einwilligung den DSGVO-Standards entsprechen.
- Beim Verlassen auf berechtigtes Interesse dokumentieren, wie sie ihre Interessen mit den Rechten der Einzelpersonen abgewogen haben.
- Vage Aussagen über die Rechtmäßigkeit vermeiden und für jede einzelne Verarbeitungsaktivität spezifisch sein.
- Einzelpersonen ermöglichen, ihre Rechte gemäß der anwendbaren Rechtsgrundlage auszuüben.
- Regelmäßig die Aktivitäten und Rechtsgrundlagen überprüfen, um die fortlaufende Compliance sicherzustellen.
Dokumentation der Rechtsgrundlagen
Die Dokumentation der Rechtmäßigkeit jeder Aktivität ist ein wesentlicher Bestandteil der DSGVO-Compliance. Diese Dokumentation sollte erklären:
- Welche PII verarbeitet wird
- Der Zweck der Analyse
- Welche Rechtsgrundlage gilt und warum
- Wie das Unternehmen die Rechte der Einzelnen basierend auf der Rechtmäßigkeit wahren wird
- Die Interessenabwägung des Unternehmens (falls zutreffend)
Das Führen und Aktualisieren dieser Dokumentation im Laufe der Zeit ist notwendig. Es ist wichtig, Nachweise der Einhaltung zu haben, die auf Anfrage den Aufsichtsbehörden vorgelegt werden können.
Die Wichtigkeit der rechtmäßigen Verarbeitung
Die Festlegung der Grundlage für die rechtmäßige Verarbeitung von Informationen ist ein Eckpfeiler der DSGVO-Compliance. Unternehmen benötigen eine gültige Rechtsgrundlage, um Beschwerden, Zugriffsanfragen und Bußgelder von Regulierungsbehörden zu vermeiden.
Die richtige Rechtmäßigkeit zu bestimmen ist entscheidend für den Aufbau von Vertrauen mit Kunden und um Reputationsschäden zu vermeiden.
Darüber hinaus ist die Festlegung der Rechtsgrundlagen einfach gute Datenhygiene. Unternehmen können verbessern, wie sie Informationen handhaben, indem sie kritisch darüber nachdenken, warum sie sie verwenden und die beste Rechtsgrundlage auswählen. Dieser Prozess beinhaltet das Überlegen des Zwecks der Informationen und sicherzustellen, dass er den gesetzlichen Anforderungen entspricht.
Dies bildet die Grundlage dafür, einen größeren Wert aus den Ressourcen zu ziehen und gleichzeitig die Rechte und Erwartungen der Einzelnen zu respektieren.
Der Anstoß der DSGVO zur rechtmäßigen Verarbeitung kommt letztendlich sowohl Verbrauchern als auch Unternehmen zugute. Verbraucher gewinnen größere Transparenz und Kontrolle darüber, wie ihre Informationen verwendet werden.
Und Unternehmen können mit größerer Sicherheit agieren und das Vertrauen der Kunden stärken. Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen die Festlegung rechtmäßiger Verarbeitungsgründe priorisieren. Dies erfordert Investitionen von Zeit und Aufwand.