DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Rechtmäßige Verarbeitung

Rechtmäßige Verarbeitung

rechtmäßige Verarbeitung

Die Datenschutz-Grundverordnung, oder DSGVO, legt strenge Regeln fest, wie Unternehmen die rechtmäßige Verarbeitung von personenbezogenen Daten (PII) von Einzelpersonen in der Europäischen Union durchführen können.

Im Kern dieser Regeln steht die Anforderung, dass jede Verarbeitung personenbezogener Daten auf einer rechtmäßigen Grundlage beruhen muss. Es gibt sechs rechtliche Grundlagen für die rechtmäßige Datenverarbeitung gemäß der DSGVO.

Unternehmen müssen die geeignete rechtliche Grundlage bestimmen, bevor sie personenbezogene Daten verarbeiten.

Was sind die sechs rechtmäßigen Grundlagen für die Verarbeitung personenbezogener Daten?

Die DSGVO nennt sechs rechtmäßige Gründe zur Verarbeitung personenbezogener Daten:

  1. Die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer Daten für einen bestimmten Zweck gegeben.

Die Verarbeitung ist notwendig, um:

  1. einen Vertrag mit der betroffenen Person zu erfüllen.
  2. eine rechtliche Verpflichtung zu erfüllen.
  3. die lebenswichtigen Interessen einer Person zu schützen.
  4. eine Aufgabe im öffentlichen Interesse wahrzunehmen.
  5. die berechtigten Interessen des Unternehmens zu wahren, es sei denn, diese Interessen werden durch die Rechte der betroffenen Person überwogen.

Schauen wir uns einige dieser Grundlagen für die rechtmäßige Verarbeitung genauer an. Die Einwilligung ist eine der am häufigsten genutzten rechtlichen Grundlagen.

Wenn Unternehmen auf die Einwilligung setzen, ist es entscheidend, dass sie spezifisch, informiert und unmissverständlich ist. Vorgekreuzte Kästchen oder implizite Einwilligungen sind gemäß der DSGVO nicht gültig.

Zum Beispiel, wenn eine Webseite Cookies verwenden möchte, um das Nutzerverhalten für Werbezwecke zu verfolgen, muss sie klare, bestätigende Einwilligung des Nutzers erhalten.

Ein Banner, das sagt “Durch die Nutzung dieser Seite akzeptieren Sie Cookies” wäre nicht ausreichend. Stattdessen muss der Benutzer auf einen “Ich stimme zu”-Button klicken. Er sollte informiert werden, welche Informationen gesammelt werden und wie diese verwendet werden, bevor dies geschieht.

Eine weitere häufig verwendete rechtliche Grundlage ist das berechtigte Interesse. Unternehmen können personenbezogene Daten ohne Erlaubnis nutzen, wenn sie einen gültigen Grund haben. Dies ist erlaubt, solange es die Rechte und Interessen des Einzelnen nicht beeinträchtigt.

Berechtigte Interessen können Dinge wie Marketing, Betrugsprävention oder IT-Sicherheit umfassen. Unternehmen müssen jedoch ihre Interessen gegen die Interessen der Person abwägen.

Berechtigte Interessen können nicht als rechtliche Grundlage verwendet werden, wenn es einen weniger invasiven Weg gibt, das gleiche Ergebnis zu erzielen.

Ein Beispiel wäre ein Unternehmen, das argumentiert, dass es ein berechtigtes Interesse daran hat, Kundendaten für Direktmarketing zu analysieren.

Wenn jedoch ein Kunde ausdrücklich widersprochen hat, Marketingmitteilungen zu erhalten, würden die berechtigten Interessen des Unternehmens wahrscheinlich durch das Widerspruchsrecht des Einzelnen übertroffen.

Das Unternehmen müsste eine andere Grundlage für diese rechtmäßige Verarbeitung finden, wie z.B. die Einwilligung, oder die Verarbeitung ganz einstellen.

Die Wahl der richtigen Grundlage für die rechtmäßige Verarbeitung

Die Bestimmung der Rechtmäßigkeit jeder Verarbeitungsaktivität ist entscheidend für die DSGVO-Konformität.

Die geeignete rechtmäßige Grundlage hängt von der spezifischen Situation und dem Zweck der Verarbeitung ab. In einigen Fällen ist die Grundlage offensichtlich.

Ein Beispiel ist ein Arbeitgeber, der die Bankdaten eines Mitarbeiters für die Gehaltszahlungen verarbeiten muss. Dies erfolgt auf der rechtlichen Grundlage “notwendig für den Vertrag.” 

Andere Situationen sind weniger eindeutig. Betrachten Sie ein Unternehmen, das Kundendaten für Marketingzwecke verarbeiten möchte.

Es kann berechtigte Interessen als rechtliche Grundlage nutzen, argumentieren, dass Kunden diese Verarbeitung vernünftigerweise erwarten würden und dass sie minimale Datenschutz-Auswirkungen hat.

Einwilligung könnte jedoch die sicherere Wahl sein, insbesondere wenn das Marketing sensible Themen betrifft oder wenn Kunden nicht vernünftigerweise erwarten würden, dass ihre Informationen auf diese Weise verwendet werden.

Wichtig ist, dass Unternehmen die Grundlage vor Beginn der rechtmäßigen Verarbeitung festlegen und ihre Entscheidung dokumentieren. Es ist nicht akzeptabel, nachträglich eine Rechtmäßigkeit zu suchen.

Die Grundlage für die Verarbeitung wirkt sich auch auf die Rechte der Einzelpersonen aus. Wenn sich ein Unternehmen auf die Einwilligung stützt, haben Einzelpersonen ein stärkeres Recht auf Löschung ihrer Daten.

Sensible Kategorien personenbezogener Daten

Es ist erwähnenswert, dass die DSGVO besondere Regeln für bestimmte sensible Datenkategorien vorsieht, die als „besondere Kategorien personenbezogener Daten“ bekannt sind.

Dazu gehören Informationen, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten oder Gesundheitsdaten offenbaren.

Die DSGVO verbietet deren Verarbeitung, es sei denn, eine der spezifischen Bedingungen in Artikel 9 der DSGVO trifft zu.

Diese Bedingungen umfassen unter anderem ausdrückliche Einwilligung, Notwendigkeit für das Arbeitsrecht, lebenswichtige Interessen, erhebliches öffentliches Interesse und mehr.

Die Hürde für die Verarbeitung sensibler Daten ist deutlich höher und Unternehmen müssen besonders sorgfältig sein, wenn sie diese Art von sensiblen Informationen verarbeiten.

Ein Beispiel wäre eine Gesundheits-App, die Daten über die medizinischen Bedingungen der Nutzer sammelt. Sie muss die Erlaubnis der Nutzer einholen und einen starken rechtlichen Grund für die Analyse empfindlicher Daten haben.

Häufige Fehler bei der Bestimmung der Rechtmäßigkeit der Verarbeitung

Ein häufiger Fehler ist anzunehmen, dass die Verarbeitung von Daten zu Geschäftszwecken sie automatisch legal macht gemäß der DSGVO. Notwendigkeit allein reicht jedoch nicht aus.

Die rechtmäßige Verarbeitung muss unter eine der sechs in der DSGVO festgelegten Grundlagen fallen.

Ein weiteres Problem tritt auf, wenn Unternehmen versuchen, sich auf eine Rechtmäßigkeit zu stützen, die nicht wirklich zutrifft.

Ein Unternehmen könnte sagen, dass die Verarbeitung notwendig ist für einen Vertrag. Wenn die Verarbeitung jedoch nicht entscheidend für die Erbringung der Dienstleistung ist, ist die Behauptung nicht gültig.

Ähnlich versuchen Unternehmen manchmal, die Einwilligung als “Auffangbecken” zu nutzen, auch in Fällen, in denen die Einwilligung nicht freiwillig gegeben wird oder wenn eine andere rechtliche Grundlage angemessener wäre.

Ein drittes Problem ist, dass die Unternehmen nicht spezifisch genug bei der Bestimmung der rechtlichen Grundlage sind. Sie sollten jede spezifische Verarbeitungsaktivität mit einer rechtlichen Grundlage verknüpfen.

Allgemeine Aussagen wie “wir verarbeiten Daten auf Grundlage berechtigter Interessen” sind nicht ausreichend. Das Unternehmen muss erklären, was das berechtigte Interesse ist und wie es auf jede Art der Verarbeitung zutrifft.

Best Practices zur Sicherstellung der rechtmäßigen Verarbeitung

Um die DSGVO-Regeln zur Rechtmäßigkeit einzuhalten, sollten Unternehmen:

  • Jede ihrer Verarbeitungsaktivitäten kartieren und die rechtliche Grundlage für jede identifizieren. 
  • Bei der Einholung von Einwilligungen sicherstellen, dass die Verfahren den DSGVO-Standards entsprechen.
  • Bei der Berufung auf berechtigte Interessen dokumentieren, wie sie ihre Interessen mit den Rechten der Einzelnen abgewogen haben.
  • Allgemeine Aussagen zur Rechtmäßigkeit vermeiden und für jede einzelne Verarbeitungstätigkeit spezifisch sein.
  • Den Einzelnen ermöglichen, ihre Rechte auf Basis der anwendbaren rechtlichen Grundlage auszuüben.
  • Die Verarbeitungsaktivitäten und rechtlichen Grundlagen regelmäßig überprüfen, um die fortlaufende Konformität sicherzustellen.

Dokumentation der rechtlichen Grundlagen

Die Dokumentation der Rechtmäßigkeit jeder Aktivität ist ein wesentlicher Bestandteil der DSGVO-Konformität. Diese Dokumentation sollte erklären:

  • Welche personenbezogenen Daten verarbeitet werden
  • Den Zweck der Verarbeitung
  • Welche rechtliche Grundlage gilt und warum
  • Wie das Unternehmen die Rechte der Einzelnen auf Basis der Rechtmäßigkeit wahren wird
  • Die Bewertung der berechtigten Interessen des Unternehmens (falls zutreffend)

Die Pflege und Aktualisierung dieser Dokumentation im Laufe der Zeit ist notwendig. Sie ist ein wichtiges Compliance-Nachweisstück, das den Aufsichtsbehörden auf Anfrage bereitgestellt werden kann.

Die Bedeutung der rechtmäßigen Verarbeitung

Die Bestimmung der Grundlage für die rechtmäßige Verarbeitung von Informationen ist ein Grundstein der DSGVO-Konformität. Unternehmen benötigen eine gültige rechtliche Grundlage, um Beschwerden, Zugriffsanfragen und Geldbußen von Regulierungsbehörden zu vermeiden.

Die richtige Bestimmung der Rechtmäßigkeit ist wesentlich, um das Vertrauen der Kunden zu gewinnen und Rufschäden zu vermeiden.

Darüber hinaus ist die Festlegung rechtmäßiger Verarbeitungsgrundlagen einfach gute Datenhygiene. Unternehmen können ihre Handhabung von Informationen verbessern, indem sie kritisch darüber nachdenken, warum sie sie verwenden und die beste rechtliche Grundlage wählen. Dieser Prozess beinhaltet die Berücksichtigung des Verwendungszwecks der Informationen und die Sicherstellung, dass sie den gesetzlichen Anforderungen entsprechen.

Dies bildet die Grundlage dafür, mehr Wert aus den Informationen zu ziehen, während die Rechte und Erwartungen der Einzelnen respektiert werden.

Der Fokus der DSGVO auf rechtmäßige Verarbeitung kommt letztendlich sowohl den Verbrauchern als auch den Unternehmen zugute. Verbraucher erhalten mehr Transparenz und Kontrolle darüber, wie ihre Informationen verwendet werden.

Und Unternehmen können mit mehr Sicherheit agieren und das Vertrauen der Kunden stärken. Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen der Schaffung rechtmäßiger Gründe für die Verarbeitung personenbezogener Daten Priorität einräumen. Dies erfordert den Einsatz von Zeit und Aufwand.

Nächste

Dataverarbeiter: Die Rolle im Datenmanagement verstehen

Dataverarbeiter: Die Rolle im Datenmanagement verstehen

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]