Recht und Steuern
Erlaubnistatbestände für eine Datenverarbeitung
In der DS-GVO gilt das sog. Verbotsprinzip, das auch bereits im alten Recht zur Anwendung kam. Hierbei wird jegliche Verarbeitung personenbezogener Daten verboten, es sei denn, es gibt eine Erlaubnis dafür. In Artikel 6 Abs.1 DS-GVO sind die verschiedenen Zulässigkeitsgründe für eine Verarbeitung aufgelistet. Die wichtigsten Erlaubnistatbestände sind:
Einwilligung
Die betroffene Person muss über den Umfang der Daten, die verarbeitet werden sollen, sowie den Zweck, zu dem sie verarbeitet werden, ausreichend informiert werden.
Die Einwilligung muss nicht mehr schriftlich erteilt werden. Ihre Erteilung muss aber nachweisbar sein. Insofern ist eine Protokollierung elektronischer Einwilligungen sinnvoll.
Die Einwilligungserklärung muss in leicht zugänglicher und verständlicher Form und in einer klaren und einfachen Sprache vorhanden sein. Bei der Einholung einer Einwilligung muss die betroffene Person darauf hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Die Gegenleistung darf nicht an die Einwilligung in die Verarbeitung von Daten gekoppelt werden, die für die Vertragsausführung nicht erforderlich sind. Eine auf der Website voreingestellte Einwilligung in Form eines Häkchens („Ich willige in die Verarbeitung meiner Daten ein“) ist keine Einwilligung. Die betroffene Person muss handeln und aktiv ihr Einverständnis ausdrücken.
Müssen bereits vorliegende Einwilligungen erneut eingeholt werden?
Die Aufsichtsbehörden in Deutschland haben sich darauf verständigt, dass Einwilligungen grundsätzlich nicht erneuert werden müssen, wenn sie nach der bisherigen Rechtslage rechtmäßig eingeholt wurden. Dafür erforderlich ist, dass
- das Kopplungsverbot berücksichtigt wurde,
- der Grundsatz der Freiwilligkeit beachtet wurde und
- der Hinweis auf den jederzeitigen Widerruf erfolgte.
Vertrag
Daten, die zur Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme benötigt werden, dürfen zulässig erhoben werden.
Datenverarbeitung kraft rechtlicher Verpflichtung
Der Verantwortliche muss eine rechtliche Verpflichtung erfüllen und benötigt dafür Daten, beispielsweise bei der Erhebung der Religionszugehörigkeit im Beschäftigungsverhältnis aufgrund der Kirchensteuer.
„Berechtigte Interessen“
Die Verarbeitung ist für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, und die Interessen der betroffenen Person überwiegen diese Interessen nicht. Hierunter kann z.B. die Verarbeitung personenbezogener Daten für die Direktwerbung fallen.
Zweckänderung
Unter bestimmten Voraussetzungen können personenbezogene Daten verarbeitet werden, die ursprünglich zu einem anderen Zweck erhoben worden sind. Hierfür muss der neue Zweck mit dem alten „vereinbar“ sein, darf also für die betroffene Person nicht überraschend sein.
Dazu ist eine genaue – dokumentierte – Prüfung anhand der in Art. 6 Abs. 4 DSGVO festgelegten Kriterien erforderlich. Ergibt die Prüfung, dass der Zweck nicht kompatibel ist, ist eine darauf gestützte Verarbeitung unzulässig, es sei denn, der Verantwortliche holt für den neuen Zweck wiederum eine Einwilligung ein.
Die Angaben zur Rechtsgrundlage der Datenverarbeitung gehören nach der DS-GVO zu den Informationspflichten des Verantwortlichen. Der Verantwortliche muss sich in der Datenschutzerklärung festlegen, auf welche der dargestellten Erlaubnisse er die Datenverarbeitung stützen möchte.
Rechtsgrundlagen
Die DS-GVO, aber auch das Bundesdatenschutzgesetz (BDSG), das angepasst wurde, enthalten selbst Erlaubnistatbestände, nach denen Datenverarbeitung zulässig ist. Hierzu gehören insbesondere Regelungen zur Videoüberwachung und zum Beschäftigtendatenschutz. Die bisherige Vorschrift des § 32 BDSG wird zwar geändert, soll aber im Wesentlichen erhalten bleiben. Sie macht noch einmal deutlich, dass Tarifverträge bzw. Betriebs- und Dienstvereinbarungen verbindlich datenschutzrechtliche Regelungen für das Beschäftigungsverhältnis treffen können.