Datenschutz

Artikel 6 der DSGVO – Rechtmäßigkeit der Verarbeitung

Artikel 6 der DSGVO – Rechtmäßigkeit der Verarbeitung
252x252-arthur_heydata_882dfef0fd.jpg
Arthur
31.10.2023

In Artikel 6 der DSGVO sind verschiedene rechtliche Grundlagen für die Verarbeitung von Daten aufgeführt. Nicht ausschließlich die Zustimmung ist maßgeblich, sondern auch andere rechtliche Grundlagen wie beispielsweise Vertragserfüllung, Abwägung von Interessen und gesetzliche Pflichten. Unternehmen müssen die geltenden Vorschriften beachten, um Datenschutzbestimmungen einzuhalten. heyData bietet Unterstützung durch rechtskonforme Lösungen und Beratung, um datenschutzrechtlichen Anforderungen gerecht zu werden.

Inhaltsverzeichnis:

Artikel 6 der DSGVO – Rechtmäßigkeit der

Unternehmen, Behörden und Institutionen, welche personenbezogene Daten verarbeiten, sind dazu verpflichtet, die geplante Verarbeitung nach ihrer Rechtmäßigkeit gemäß Artikel 6 der Datenschutzgrundverordnung (DSGVO) zu überprüfen. Schon vor Inkrafttreten der Europäischen Datenschutzgrundverordnung wurde das „Verbot mit Erlaubnisvorbehalt“ durch das Bundesdatenschutzgesetz geregelt und auch zu dieser Zeit galt, dass der Umgang mit personenbezogenen Daten grundsätzlich ausgeschlossen wird. Um einen Umgang mit personenbezogenen Daten zu ermöglichen, muss ein Verantwortlicher einen sogenannten Erlaubnistatbestand nachweisen. Ist in einem Unternehmen, einer Behörde oder einer Institution der Umgang mit personenbezogenen Daten vorgesehen, so ist zu prüfen, welcher Erlaubnistatbestand vorliegt und ob die Datenverarbeitung nach Art. 6 DSGVO somit ermöglicht wird. Grundsätzlich ist hinsichtlich der Verarbeitung der personenbezogenen Daten zwischen verschiedenen Kategorien zu unterscheiden – handelt es sich bei den besonderen Kategorien personenbezogener Daten, so muss gleichsam der Artikel 9 der DSGVO beachtet werden. Für die meisten Unternehmen aus dem produzierenden Gewerbe oder aus dem Dienstleistungsbereich sind diese besonderen Kategorien zu vernachlässigen. Wird mit besonderen Kategorien personenbezogener Daten gearbeitet, ist es anzuraten, die Datenschutzexperten von heydata zu kontaktieren, um alle rechtlichen Belange genau zu prüfen.

Die Einwilligung – eine oft unnötige Rechtsgrundlage

Im Alltag wird oft auf eine benötigte Einwilligung verwiesen, um eine Zusammenarbeit weiterhin zu ermöglichen. Wird auf eine Einwilligung bestanden, so ist dies in vielen Fällen darauf zurückzuführen, dass der Inhalt des Artikel 6 DSGVO nicht bekannt und das Bestehen auf eine Einwilligung auf Unkenntnis der Gesetzeslage zurückzuführen ist. Betrachtet man den Artikel 6, so wird man weitere, oft passende, Rechtsgrundlagen vorfinden, die eine Verarbeitung von personenbezogenen Daten zulassen. Dies kann beispielsweise ein bestehendes Vertragsverhältnis sein. Da innerhalb Artikel 6 der DSGVO die Einwilligung gleich zu Beginn als mögliche Rechtsgrundlage aufgeführt wird, ist es nicht verwunderlich, dass der Artikel so interpretiert wird, dass eine Einwilligung als Rechtsgrundlage unumgänglich ist und als Voraussetzung bewertet werden muss. Die weiteren Optionen werden im Alltag oft nicht mehr zur Kenntnis genommen.

Die Reihenfolge der Rechtsgrundlagen aus Artikel 6 der Datenschutzgrundverordnung

Um eine Prüfung der Rechtsgrundlagen nach Art. 6 vorzunehmen, ist es sinnvoll, die Rechtmäßigkeit einer Verarbeitung von personenbezogenen Daten in einer bestimmten Reihenfolge vorzunehmen.

Die aufgeführten Punkte sollten abgearbeitet werden und eine Prüfung ist beendet, wenn einer der Punkte zutreffend ist.

  1. Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 Buchstabe d)
  2. Wahrung einer öffentlichen Aufgabe (Art. 6 Abs. 2 Buchstabe e)
  3. Gesetz/rechtliche Verpflichtung (Art. 6 Abs. 1 Buchstabe c)
  4. Vertragsbeziehungen mit der betroffenen Person (Art. 6 Abs. 1 Buchstabe b)
  5. Interessenabwägung (Art. 6 Abs. 1 Buchstabe f)
  6. Einwilligung (Art. 6 Abs. 1 Buchstabe a)

Soll ein Erlaubnistatbestand geprüft werden, sollten die Punkte in dieser Reihenfolge geprüft werden. Die ersten beiden Punkte werden im Alltag nicht oft greifen, aber müssen im Sinne der Vollständigkeit beachtet werden.

Schutz lebenswichtiger Interessen

Der Schutz lebenswichtiger Interessen, welcher in Artikel 6 Abs. 1 Buchstabe d der DSGVO behandelt wird, beschreibt Situationen, bei denen das Leben einer Person akut bedroht ist. In diesem Fall dürfen alle angemessenen Maßnahmen ergriffen werden, um die Person zu schützen. Dieser Artikel trifft selten auf Unternehmen und Behörden zu, aber sollte grundsätzlich beachtet werden.

Wahrung einer öffentlichen Aufgabe

Betrachtet man den Artikel 6 Abs. 1 Buchstabe e der DSGVO, so wird einem Unternehmen auffallen, dass diese Beschreibung auf die eigene Situation oft nicht anwendbar ist. Zielgruppe dieses Punktes sind Verantwortliche, welchen eine Aufgabe übertragen wurde, welche im öffentlichen Interesse liegt oder die Arbeit der öffentlichen Gewalt umfasst. Als Beispiel kann hier der Polizeidienst genannt werden. Im Einzelfall kann Artikel 6 Abs. 1 Buchstabe e aber auch bei einem Dienstleistungsunternehmen greifen – dies ist der Fall bei Autowerkstätten, die eine hoheitliche Aufgabe übernehmen und Abgasuntersuchungen anbieten.

Gesetz / Rechtliche Verpflichtung

Im Bereich der Unternehmen, Behörden und Institutionen greift oft der Artikel 6 Abs. 1 Buchstabe c, da in diesem Bereich rechtliche Verpflichtungen beschrieben werden, die ohne eine Verarbeitung von personenbezogenen Daten nicht erfüllt werden können.

Als Beispiele kann man folgende Situationen benennen:

  • Als Arbeitgeber ist man im Rahmen des Meldepflichts verpflichtet, den neuen Mitarbeiter an die Krankenkasse zu melden. Die personenbezogenen Daten dürfen in diesem Fall in dem Bereich einer Verarbeitung genutzt werden. Gleichsam gilt dies auch bei der Verarbeitung von notwendigen Angaben in den Bereichen der Steuer- und Sozialabgaben.
  • Arbeitgeber sind verpflichtet, die rechtlichen Vorgaben in Bezug auf die maximale Arbeitszeit einzuhalten. Diese Vorgaben werden im Arbeitszeitgesetz geregelt. Um diese Vorgaben erfüllen zu können, müssen die Zeiten der Mitarbeiter festgehalten und somit verarbeitet werden.
  • Um Geldwäsche einzudämmen und Einkünfte aus illegalen Quellen auszuschließen, erhalten Unternehmen, die in Bezug auf den Geldverkehr eine gewisse Verantwortung besitzen, eine rechtliche Grundlage. Hier sind insbesondere Versicherungen und Banken zu benennen.
  • Weiterhin ist ein Arbeitgeber rechtlich verpflichtet, die Arbeit eines Mitarbeiters zu entlohnen und die Zahlung zu dokumentieren. Um den Lohn ordnungsgemäß zu überweisen, ist das Geld auf ein bekanntes Konto zu überweisen – hierbei ist auch das Mindestlohngesetz zu beachten. Um eine Entlohnung zu tätigen, darf der Arbeitgeber die Bankverbindung des Betroffenen einfordern und die Arbeitszeiten dokumentieren.

Vertragsbeziehungen mit einer betroffenen Person

Um Vertragsbeziehungen zu erfüllen oder eine Anbahnung von Vertragsbeziehungen zu unterstützen, ist in vielen Fällen eine Verarbeitung von Daten und Informationen erforderlich und aus diesem Grund zulässig. Der Begriff „Vertrag“ sollte hierbei nicht nur national oder europarechtlich bewertet werden. Der Begriff „Vertrag“ greift in diesem Fall auch, wenn zwei Parteien eine Vereinbarung eingehen – diese kann auch mündlich erfolgen. Als Beispiel für eine derartige Vereinbarung kann eine Terminabsprache genannt werden.

Möchte man sich auf den Begriff „Vertrag“ auf eine Rechtsgrundlage beziehen, so ist eine Voraussetzung, dass die betroffene Person Vertragspartner ist. Spricht man von „vorvertraglichen Maßnahmen“, so muss eine Initiative der betroffenen Person verzeichnet worden sein. Ein mutmaßliches Interesse bildet keine Rechtsgrundlage ab und greift somit auch nicht bei Werbung.

Diese Vorgänge fallen häufig unter den vertraglichen Rechtfertigungsgrund, so dass eine Einwilligung nicht erforderlich ist:

  • Bei einem Bewerbungsvorgang dürfen die eingegangenen Daten verarbeitet werden. Der Auswahlprozess fällt hierbei unter den Bereich der „vorvertraglichen Maßnahmen“.
  • Innerhalb eines Beschäftigungsverhältnisses darf der Arbeitgeber Arbeitszeiten erheben, um den Vertrag zu erfüllen. Gleichzeitig dürfen die Arbeitszeiten verwendet werden, um den erarbeiteten Lohn zu ermitteln und auszuzahlen.
  • Kontaktiert eine Privatperson ein Unternehmen, dürfen die Kontaktdaten entgegengenommen werden und eine Nutzung ist gegeben. Oft werden Daten einer Privatperson im Bereich des Onlineshoppings angegeben und die erhaltenen Kontaktdaten und Bankinformationen dürfen verwendet werden, um die entsprechende Dienstleistung und Lieferung durchzuführen.

Interessenabwägung

Möchte man sich auf eine Interessenabwägung als rechtliche Grundlage beziehen, so sollten einige Fakten bewertet und beachtet werden:

  • Das Interesse einer betroffenen Person muss klar erkennbar sein und eine Verarbeitung von Daten liegt im Interesse des Verantwortlichen. Es muss erkennbar sein, dass beide Seiten die gleiche Absicht verfolgen.
  • Wenn eine betroffene Person von einer Datenverarbeitung ausgehen kann (Erwartungshaltung) und informiert ist, bildet dies eine Rechtsgrundlage ab.

Wichtig ist, dass der Verantwortliche hohe Schutzmaßnahmen ergriffen hat. Um eine Interessenabwägung genau einschätzen zu können, ist es sinnvoll, die Experten von heydata zu kontaktieren, um eine genaue Einschätzung durchführen zu können.

Einwilligung

Eine Einwilligung ist oft nicht erforderlich und auch oft nicht sinnvoll, da eine Einwilligung widerrufen werden kann. Verantwortliche sollten folgende Punkte beachten:

  • Eine Einwilligung darf nicht erzwungen werden.
  • Die Einwilligung muss ein konkretes Ziel verfolgen. Eine Freiwilligkeit muss gegeben sein und die betroffene Person wird über das Widerrufsrecht aufgeklärt. Auch ein nachträglicher Widerruf muss umgehend bearbeitet werden.
  • Der Verantwortliche muss nachweisen können, dass eine legitime Einwilligung eingeholt wurde.
  • Ohne eine Einwilligung erfolgt keine Verarbeitung.
  • Eine Verarbeitung darf nicht an andere Maßnahmen gekoppelt werden, wenn dies nicht erforderlich ist.

Fazit

Der Artikel 6 der Datenschutzgrundverordnung (DSGVO) legt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten fest. Es gibt verschiedene Rechtsgrundlagen, die für die Datenverarbeitung gelten können, nicht nur die Einwilligung. Die Rechtsgrundlagen sollten in einer bestimmten Reihenfolge geprüft werden, beginnend mit dem Schutz lebenswichtiger Interessen und der Wahrung öffentlicher Aufgaben, gefolgt von gesetzlichen Verpflichtungen, Vertragsbeziehungen, einer Interessenabwägung und schließlich der Einwilligung. Die Verwendung einer Einwilligung ist nicht immer erforderlich und kann widerrufen werden. Es ist wichtig, dass eine Einwilligung freiwillig, konkret und widerruflich ist. Alternativ können auch andere Rechtsgrundlagen wie gesetzliche Verpflichtungen, Vertragsbeziehungen oder Interessenabwägungen genutzt werden. Bei Fragen zur Rechtmäßigkeit der Datenverarbeitung ist es ratsam, Datenschutzexperten zu konsultieren. Durch die Beachtung der geltenden Rechtsgrundlagen können Unternehmen und Institutionen sicherstellen, dass sie die Datenschutzbestimmungen einhalten.

Weitere Artikel

People & Culture und Datenschutz

People & Culture trifft Datenschutz: So funktioniert’s in der Praxis

Bei heyData schützen wir die persönlichen Daten von Bewerber:innen und Mitarbeiter:innen durch zentrale Datenverwaltung, Rechte- und Rollenmanagement und automatisierte Prozesse. Wir nutzen Tools wie Personio und 1Password, um sicherzustellen, dass wir DSGVO-konform bleiben. Unsere Richtlinien umfassen regelmäßige Datenüberprüfungen, automatisierte Löschfristen und strenge Zugangskontrollen. Datenschutz ist ein fortlaufender Prozess, der durch kontinuierliche Schulungen und bewährte Methoden unterstützt wird, um höchste Sicherheitsstandards zu gewährleisten.

Mehr erfahren
ISO 27001 Zertifizierung: So erreichst du Compliance in wenigen Schritten

ISO 27001 Zertifizierung: So erreichst du Compliance in wenigen Schritten

ISO 27001 ist ein wesentlicher Standard für das Management der Informationssicherheit, der sicherstellt, dass sensible Daten systematisch behandelt werden. Dieser Blog dient als umfassender Leitfaden für die ISO 27001-Zertifizierung und erläutert die wichtigsten Anforderungen und Vorteile für Unternehmen. Er betont, wie Organisationen jeder Größe den Datenschutz verbessern und ihr Engagement für Cybersicherheit unter Beweis stellen können. Der Artikel stellt ISO 27001 NIS2 gegenüber, untersucht ihre Unterschiede und Gemeinsamkeiten, liefert Beispiele für die Umsetzung in der Praxis und stellt einen Compliance-Rahmen mit Schritten zur Verwendung von Tools wie heyData für eine effektive Umsetzung vor.

Mehr erfahren
5 sichere Alternativen zu Passwörtern für Unternehmenssicherheit

5 sichere Alternativen zu Passwörtern für mehr Unternehmenssicherheit

Da die Zahl der Cyberangriffe im Jahr 2024 um 30 % gestiegen ist, setzen Unternehmen auf passwortlose Authentifizierung, um die Sicherheit zu erhöhen. Herkömmliche passwortbasierte Methoden, die anfällig für den Diebstahl von Anmeldedaten, Phishing und menschliche Fehler sind, reichen zunehmend nicht mehr aus. Im Gegensatz dazu bieten passwortlose Methoden einen besseren Schutz und mehr Komfort.

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen