Datenschutzrecht und DSGVO (III): Wann ist die Verarbeitung erlaubt?

Wann ist die Verarbeitung von personenbezogene Daten erlaubt? Eine Anleitung für die Prüfung:

Grundsätzlich gilt ein präventives Datenverarbeitungsverbot. Eine Verarbeitung von personenbezogenen Daten ist nur erlaubt, wenn ein Erlaubnistatbestand eingreift.

Welche Erlaubnistatbestände gibt es?

Nach Artikel 6 der DSGVO ist eine Verarbeitung von personenbezogenen Daten nur rechtmäßig, wenn eine der nachstehenden sechs Bedingungen erfüllt ist:

Die betroffene Peron hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere Zwecke gegeben;

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte oder Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

In welcher Reihenfolge sollten diese Erlaubnistätbestände geprüft werden?

Bevor eine Einwilligung geprüft wird, sollte immer zuerst geprüft werden, ob einer der anderen, sog. gesetzlichen Erlaubnistatbestände greift und erst dann, wenn dies nicht der Fall ist die Einwilligung. Bei den gesetzlichen Erlaubnistatbeständen ist der Verantwortliche weniger oder gar nicht von dem Betroffenen abhängig. Bei der Einwilligung sind die Anforderungen an deren Wirksamkeit nicht nur sehr hoch. Die Einwilligung kann von dem Betroffenen auch jederzeit widerrufen werden.

Verarbeitung im Rahmen von Vertragsabwicklung und vorvertraglichen Anfragen

Personenbezogene Daten dürfen nach Art. 6 Abs. 1 Buchst. b. DSGVO – wie auch bereits bisher nach dem BDSG – verarbeitet werden, wenn dies für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich ist oder um vorvertragliche Anfragen zu beantworten. Der Datenschutz soll die Vertragsabwicklung nicht behindern. Erforderlich sein dürfte es insbesondere die Kontaktdaten des (potentiellen) Vertragspartners zu erheben, zu erfassen, zu speichern, zu ordnen und im Bedarfsfall zu verwenden, z.B. die Adresse an den Warenspediteur weiterzugeben.

Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung

Die Verarbeitung von personenbezogenen Daten ist auch erlaubt, wenn sie durch andere Gesetze vorgeschrieben ist. Dieser gesetzliche Erlaubnistatbestand begründet also die Subsidarität des Datenschutzrechts. So bestehen z.B. nach § 147 Abgabenordnung Ordnungsvorschriften für die Aufbewahrung von Unterlagen. Danach sind z.B. Rechnungen von Unternehmen zehn Jahre lang aufzubewahren.

Verarbeitung zur Wahrung eines berechtigten Interesses

Gesetzlich erlaubt ist die Verarbeitung personenbezogener Daten, wenn sie zur Wahrung eines berechtigten Interesses erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 Buchst. f. DSGVO).

Im Bereich der Wirtschaft sind berechtigte Interessen u.a. das Interesse an der Gewinnerzielung (Art. 16 EUGRCh), etwa durch Direktwerbung wie Online-Marketing, was ausdrücklich in Erwägungsgrund 47 Satz 7 der DSGVO genannt ist, die Vermeidung von Kosten der Datenhaltung oder die arbeitsteilige Datenverarbeitung innerhalb von Unternehmensgruppen. Berechtigte Interessen können allgemein vermutet werden beim Umgang mit Daten von Kunden-, Mitarbeiter– und ähnlichen Daten (Erwägungsgrund 47 Satz 2 DSGVO).

Außerhalb der Wirtschaft kommen z.B in Betracht die Interessen an der freien, insbes. journalistischen Meinungsäußerung, an der wissenschaftlichen Forschung, an der Verfolgung eigener Rechte und an der Verteidigung des eigenen Vermögens, namentlich gegen Betrug und Hackerangriffe.

Der Erlaubnistatbestand des berechtigten Interesses setzt als einziger eine Abwägung zwischen diesem Interesse, das für die Verarbeitung spricht, und den gegenläufigen Interessen der betroffenen Person voraus. Die relativen Gewichte der gegeneinander abzuwägenden Belange sind allerdings nicht festgelegt und hierzu wird es wohl erst durch die Rechtsprechung zu einer Konkretisierung kommen. Die Belange der betroffenen Person können nach deren “vernünftigen Erwartungen” bezüglich weiterer Verarbeitung ihrer Daten gewichtet werden (Erwägungsgrund 47 S. 1 HS. 2 DSGVO). Die Belange zugunsten der Verarbeitung sind ebenfalls durch den Verweis auf Grundrechte und Grundfreiheiten, z.B auch die Meinungsäußerungs- und die Forschungsfreiheit zu gewichten. Zusätzlich können z.B. das Bestehen eines öffentlichen Interesses,  begünstigende Auswirkungen auf die betroffenen Person und getroffene Schutzmassnahmen für die betroffenen Person ebenso zugunsten der Verarbeitung ins Gewicht fallen wie eine verständliche Datenschutzerklärung und insbesondere die Tatsache, dass der Betroffene mit einer solchen Verarbeitung typischerweise rechnen muss.  Im Zweifel muss die Abwägung nicht gegen die Verarbeitung ausgehen. Vielmehr sind nur unverhältnismäßige Folgen für die Betroffenen zu vermeiden (Arttikel-29-Datenschutzgruppe, Stellungnahme 06/2014, 844/14/EN, 52) und dazu die konkreten Risiken für die in Frage stehenden Belange in Betracht zu ziehen (Erwägungsgrund 47 Sätze 1 bis 4 DSGVO).

Selbst wenn die Belange der betroffenen Person im Sinne des Art. 6 Abs. 1 Buchst. f. DSGVO nicht überwiegen, kann die Verarbeitung doch zu unterlassen sein, wenn die Person Widerspruch eingelegt hat. Dann verbietet Art. 21 Abs. 1 Satz 2 DSGVO die Verarbeitung, sofern nicht eine weitere strengere Abwägung zu Gunsten des Verantwortlichen ausgeht oder die Verarbeitung der Rechtsverfolgung dient. Direktwerbung ist nach Widerspruch immer verboten (Art. 21 Abs. 3 DSGVO).