EU-DSGVO: Zulässigkeit der Datenverarbeitung
Vorbemerkungen
Der Grundsatz lautet schlicht: Jegliche Verarbeitung personenbezogener Daten ist verboten, es sei denn, es gibt eine Erlaubnis dafür. Dieser Satz scheint angesichts einer fortschreitenden Digitalisierung befremdlich, aber er ist Konsequenz des Grundrechtschutzes der personenbezogenen Daten, wie er vom Bundesverfassungsgericht festgeschrieben wurde („informationelle Selbstbestimmung“), und er ist Inhalt der Europäischen Menschenrechtskonvention.
Was regelt die EU-Datenschutz-Grundverordnung?
In Artikel 6 sind die verschiedenen Zulässigkeitsgründe für eine Verarbeitung aufgelistet:
1. Einwilligung
Die betroffene Person muss über den Umfang der Daten, die verarbeitet werden sollen, sowie den Zweck, zu dem sie verarbeitet werden, ausreichend informiert werden.
Die Einwilligung muss nicht mehr schriftlich erteilt werden. Ihre Erteilung muss aber nachweisbar sein. Insofern ist eine Protokollierung elektronischer Einwilligungen sinnvoll.
Die Einwilligungserklärung muss in leicht zugänglicher und verständlicher Form und in einer klaren und einfachen Sprache vorhanden sein.
Bei der Einholung einer Einwilligung muss die betroffene Person darauf hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Die Gegenleistung darf nicht an die Einwilligung in die Verarbeitung von Daten gekoppelt werden, die für die Vertragsausführung nicht erforderlich sind.
Eine auf der Website voreingestellte Einwilligung in Form eines Häkchens („Ich willige in die Verarbeitung meiner Daten ein“) ist keine Einwilligung. Die betroffene Person muss handeln und aktiv ihr Einverständnis ausdrücken.
Wenn die Einwilligung zusammen mit anderen Erklärungen verlangt, muss sie besonders hervorgehoben sein (z. B. drucktechnisch oder als Kasten).
Achtung: Bei Kindern, die das 16. Lebensjahr noch nicht vollendet haben, müssen die Erziehungsberechtigten einwilligen, Art. 8.
Müssen bereits vorliegende Einwilligungen erneut eingeholt werden?Die Aufsichtsbehörden in Deutschland haben sich darauf verständigt, dass Einwilligungen grundsätzlich nicht erneuert werden müssen, wenn sie nach der bisherigen Rechtslage rechtmäßig eingeholt wurden. Dafür erforderlich ist, dass
- das Kopplungsverbot berücksichtigt wurde,
- der Grundsatz der Freiwilligkeit beachtet wurde und
- der Hinweis auf den jederzeitigen Widerruf erfolgte.
2. Vertrag
Daten, die zur Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme benötigt werden, dürfen zulässig erhoben werden.
3. Rechtliche Verpflichtung
Der Verantwortliche muss eine rechtliche Verpflichtung erfüllen und benötigt dafür Daten (z. B. Erhebung der Religionszugehörigkeit im Beschäftigungsverhältnis wegen der Kirchensteuer).
4. Berechtigte Interessen
Die Verarbeitung ist für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, und die Interessen der betroffenen Person überwiegen diese Interessen nicht. Hierunter kann z. B. die Verarbeitung personenbezogener Daten für die Direktwerbung fallen (s. Erwägungsgrund 47).
5. Kompatibler Zweck
Unter bestimmten Voraussetzungen können personenbezogene Daten auch weiterverarbeitet werden, wenn die Verarbeitung nicht mehr dem ursprünglichen Zweck entspricht. Hierfür muss der neue Zweck mit dem alten kompatibel, darf also für die betroffene Person nicht überraschend sein. Hierfür muss aber der Verantwortliche eine genaue – dokumentierte – Prüfung anhand der in Art. 6 Abs. 4 festgelegten Kriterien durchführen:
- - der Zusammenhang der Erhebung der Daten, insbesondere hinsichtlich des Verhältnisses zwischen der betroffenen Person und dem Verantwortlichen
- - die Art der personenbezogenen Daten (z. B. besonders sensible Daten)
- - die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen
- - vorhandene Verschlüsselungen oder Pseudonymisierungen der Daten.
Ergibt die Prüfung, dass der Zweck nicht kompatibel ist, ist eine darauf gestützte Verarbeitung unzulässig, es sei denn, der Verantwortliche holt für den neuen Zweck wiederum eine Einwilligung ein.
6. Rechtsgrundlagen
Die DS-GVO, aber auch das Bundesdatenschutzgesetz (BDSG), das angepasst wird, enthalten selbst Erlaubnistatbestände, nach denen Datenverarbeitung zulässig ist. Hierzu gehören insbesondere Regelungen zur Videoüberwachung und zum Beschäftigtendatenschutz. Die bisherige Vorschrift des § 32 BDSG wird zwar geändert, soll aber im Wesentlichen erhalten bleiben. Sie macht noch einmal deutlich, dass Tarifverträge bzw. Betriebs- und Dienstvereinbarungen verbindlich datenschutzrechtliche Regelungen für das Beschäftigungsverhältnis treffen können.