DSGVO – Die Rechtmäßige Verarbeitung von personenbezogenen Daten. Welche Verarbeitungszwecke und Rechtfertigungsgründe sind möglich.
Personenbezogene Daten – die Datenschutz-Grundverordnung (DSGVO) setzt in Art. 4 Nr. 1 das bisherige Merkmal „bestimmte“ mit „identifzierte“ und das Merkmal „bestimmbare“ mit „identifizierbare“ Person gleich. Ein Personenbezug ist dann gegeben, wenn die Daten sich auf eine natürliche Person beziehen. Daher gilt das Datenschutzrecht nicht für juristische Personen. Die Verarbeitung dieser personenbezogenen Daten hat nach Art.5 DSGVO rechtmässig zu erfolgen. Wann wird für die „rechtmässige Datenverarbeitung“ die „Einwilligung“ der betroffenen Person benötigt?
Lesen Sie hier:
Ist die Datenverarbeitung ohne Einwilligung der betroffenen Person rechtlich möglich?
Die Einwilligung belegt die Selbstbestimmung der Person am deutlichsten. Jedoch sieht die neue Datenschutzgrundverordnung noch fünf weitere Möglichkeiten vor, mit denen die Verarbeitung von Personendaten gerechtfertigt werden kann. Diese Möglichkeiten sind nicht frei wählbar. Die Wahl bedarf einer Rechtfertigung und Begründung. Zudem ist die Wahlmöglichkeit mit dem Verarbeitungszweck Verbunden und hat zudem auch zweckgebunden zu sein.
Erfolgt die Verarbeitung der vorhandenen Daten für verschiedene Zwecke, so hat jede Verarbeitung einzeln für sich rechtmässig zu erfolgen. Somit enthalten in diesem Fall ein-und-dieselben Daten hier auch verschiedene Rechtfertigungsgründe. Wichtig zu beachten, dass der gewählte Rechtfertigungsgrund nicht in Nachhinein änderbar oder bei Bedarf anpassbar ist.
Bereits vor dem Inkrafttreten der neuen Datenschutzverordnung gab es sechs verschiedene Rechtfertigungsgründe. Allerdings gelten mit Inkrafttreten der DSGVO deutlich härtere Anforderungen in Bezug auf die Datenverarbeitung, was zur Folge hatte, dass sich die Anforderungen, zur Erfüllung der verschiedenen Rechtfertigungsgründe, ebenfalls verändert haben. Diesbezüglich sollte eine Prüfung der bereits bestehenden Gründe erfolgen.
Hier die 6 Rechtfertigungsgründe zur Verarbeitung Personenbezogener Daten
- Einwilligung durch die Betroffenen Person
- Verarbeitungszweck zur Vertragserfüllung
- Verarbeitungsgrund zur Erfüllung einer rechtlichen Verpflichtung
- Verarbeitung zum Schutz lebenswichtiger Interessen einer Person
- Datenverarbeitung zum Schutz vom öffentlichen Interesse
- Wahrung berechtigten Interessen der Verantwortlichen selbst oder Dritten
-
Verarbeitungszweck 1: Einwillingung von betroffener Person erhalten
Wir der Rechtfertigungsgrund „Einwilligung“ gewählt, so hat die betroffene Person immer die Wahl zu haben, auch abzulehnen (Beispielsweise: Für den Besuch auf der Webseite über ein Cookie oder auch in Verträgen oder Flyern, in welchen ein aktives Kästchen mit einem X zu versehen ist)
Sofern eine Leistung ohne die Zustimmung der betroffenen Person nicht möglich ist, dann kann allerdings auch die Verarbeitung von Daten nicht abgelehnt werden, ohne auf die eigentliche Leistung zu verzichten. Und somit wäre auch ein Weg durch eine Zustimmung der Nutzer für den Betreiber in diesem Fall keine Lösung.
Daneben werden, neben der Möglichkeit zu wählen, zudem auch andere Anforderungen in Bezug auf die Zustimmung geprüft, womit sichergestellt wird, dass jede Person frei darüber entscheiden kann, ob und wie Personendaten verarbeitet werden.
Dabei hat eine Zustimmung stets informieren zu sein um für einen bestimmten Fall abgegeben werden können. Zudem hat eine Zustimmung immer unmissverständlich zu erfolgen. Diesbezüglich hat eine Zustimmung immer in Form einer Erklärung zu erfolgen, mit welcher aktiv zu bestätigen ist, dass der Verarbeitung der eigenen personenbezogenen Daten zustimmt wird.
Und natürlich muss eine derartige Zustimmung immer freiwillig sein, für einen oder mehrere Zwecke bestimmt sein und in Form von einer Willenserklärung oder eindeutigen Handlung erfolgen.
Wie hat die Einwilligung zu erfolgen?
- Freiwillig
- Für einen oder mehrerer bestimmte Zwecke
- Hat informiert zu sein
- Erfolgt durch eine Erklärung oder auch eindeutige Handlung.
-
Freiwillige Zustimmung
Die betroffene Person kann über die Verarbeitung „IHRER“ Personendaten über das „WIE“ und „OB“ zu bestimmen. Damit gewährleistet ist, dass jede Person zu jedem Zeitpunkt die volle Kontrolle über die eigenen Daten besitzt, hat Dieser eine effektive Auswahlmöglichkeit zur Verfügung zu stehen. Ist eine Leistungserfüllung ohne Datenverarbeitung allerdings nicht möglich, hat die jeweilige Person so gesehen gar nicht die Möglichkeit zu wählen, weshalb eine erteilte Zustimmung in diesem Fall keinen Rechtfertigungsgrund darstellt.
Daher kann eine nicht freiwillige Handlung auch daraus resultieren, dass sich eine Person dazu genötigt fühlt zuzustimmen oder sogar negative Konsequenzen erwartet, sofern diese die Zustimmung nicht erteilt.
Zudem ist nach DSGVO Art.7 Abs.4 das „Koppelungsverbot“ zu beachten, durch welchem verhindert werden soll, dass eine Einwilligung unnötiger Weise automatisch mit einem daraus resultierenden Vertrag gekoppelt wird. So benötigt zum Beispiel eine App zur Fotobearbeitung nicht unbedingt einen Zugriff auf die GPS Koordinaten des jeweiligen Nutzers, weshalb ein Zusammenhang mit der eigentlichen Leistung daher nicht zulässig wäre.
Zudem ist es nicht erlaubt eine Auswahlmöglichkeit, mithilfe der Möglichkeit einer Zustimmung, zu suggerieren. Somit wäre es auch nicht korrekt Personendaten, trotz vorheriger Ablehnung seitens der jeweiligen Person, auf Grundlage von einem anderen Rechtfertigungsgrund zu verarbeiten. Hier gilt es daher eine genaue Abwägung vorzunehmen, sollte ein anderer Rechtfertigungsgrund in Betracht gezogen werden, ob die Einwilligung richtig ist.
-
Einwilligung erfolgt für einen oder mehrere bestimmte Zwecke
Wie bei jedem andern Rechtfertigungsgrund hat sich auch die Verarbeitung der jeweiligen Benutzerdaten auf einen oder mehrere zuzuordnende nachvollziehbare Zwecke beziehen.
Diesbezüglich hat die betroffene Person zu wissen, wofür die Zustimmung abgegeben wird. Aus diesem Grund ist eine pauschale Zustimmung zur Verarbeitung der Daten nicht möglich. Zu einer bestehenden Einwilligung ist eine Erweiterung der Datenverarbeitung nur dann möglich, wenn diese mit dem ursprünglichen Zweck auch vereinbar ist.
-
Einwilligung Informiert: Transparenzgebot
Das das Transparenzgebot lt. DSGVO, welches vorgibt, welche Informationen Verantwortliche bereitstellen müssen, gehört zu den wichtigsten Sälen der DSGVO Verordnung. Kurzgesagt: Vorgabe von Informationspflichten, welche vom Verantwortlichen zu befolgen sind. Hierzu gibt es aber keine Vorgabe, auf welchem Wege der Informationsfluss zu erfolgen hat (schriftlich, mündlich, Audio, Video etc..). Zu beachten ist jedoch die Lesbarkeit. Mehrseitige Informationen sollte auch auf kleineren Endgeräten wie Smartphone´s auch lesbar sein (Versteck im Kleingedruckten ist nicht erlaubt).
Unser Beitrag zur Informationspflicht DSGVO Art.13 und 14: https://datenschutzbeauftragter-dsgvo.com/dsgvo-informationspflicht-informationspflicht-art-13-14/
Unser Beitrag zum Transparenzgrundsatz: https://datenschutzbeauftragter-dsgvo.com/dsgvo-transparenzgrundsatz-was-ist-enthalten/
-
Einholung mit Willensbeurkundung
Die Einholung einer Einwilligung durch eine Willensbeurkundung einer Person kann als Erklärung sowohl schriftlich als auch mündlich erfolgen, wenngleich bei einer mündlichen Erklärung stets eine Aufzeichnung für Beweiszwecke nötig ist. Dies führt dazu, dass eine mündliche Erklärung wesentlich umständlicher ist als eine schriftliche. Schriftlich kann diese sowohl in Papierform oder in Form einer elektronischen Erklärung abgegeben werden. Eine pauschale Erklärung in den AGBs ist dagegen unzulässig, da hier kein Zweck vorhanden ist.
Desweiteren kann eine Erklärung auch durch eine klare Handlung erfolgen, wobei es sich zum Beispiel um das Anklicken eines Kästchens, das Betätigen eines Zeigers auf dem Bildschirm oder sogar ein Winken in die Kamera handeln kann. Hierbei ist es jedoch nicht zulässig, dass ein Häkchen bereits gesetzt wurde, bevor die jeweilige Person auf zu ihrer Erklärung aufgefordert wird. Und auch Untätigkeit oder ein ausbleibender Wiederspruch ist nicht dazu geeignet, um als eine Willensbeurkundung gewertet zu werden.
-
Einholung Einwilligung für besonders kategorisierte Personendaten
Bei den sogenannten besonderen Datenkategorien unter Artikel 9 der DSGVO Verordnung ist stets eine „ausdrückliche“ Zustimmung der jeweiligen Person erforderlich, deren Daten in der Folge verarbeitet werden sollen. Hierzu zählen Gesundheitsdaten, sexuelle Orientierung und biometrische Daten…)
Wie jetzt schon bekannt, kann das Einholen einer Zustimmung für die Verantwortlichen Betreiber äußerst mühsam sein, weshalb in der Regel nur eine Zustimmung eingeholt wird, sofern sich die Verarbeitung von Daten nicht durch einen anderen Grund rechtfertigen lässt.
Der Beweis für einen korrekten Ablauf von Zustimmungen obliegt dem jeweiligen Unternehmen. Dies bedeutet wiederum, dass nicht nur ein Zustimmungsmechanismus, sondern auch eine sichere und nicht fälschbare Aufbewahrungsmöglichkeit geschaffen werden muss. Die gesetzlichen Grundlagen zur Aufbewahrungspflicht befinden sich unter dem Artikel 7 Absatz 1 der DSGVO Datenschutzgrundverordnung.
-
Verarbeitungszweck: Zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen
Für die Erfüllung eines Vertrages oder auch im Zuge der vorvertraglichen Maßnahmen ist es oftmals nicht zu verhindern, dass hierfür bestimmte Personendaten verarbeitet werden. So müssen Versandunternehmen zum Beispiel die Lieferadressen von Privatpersonen erfassen, um diesen ihre Pakete überhaupt zustellen zu können. Und dasselbe gilt zudem auch für die Verarbeitung von Kreditkarteninformationen in Zuge einer Zahlung mit einer Karte. Allerdings ist es dabei auch im Interesse beider Vertragsparteien, dass die erforderlichen persönlichen Daten für den jeweiligen Zweck verarbeitet werden, sodass dies auch ohne vorherige Zustimmung der jeweiligen Person möglich ist. Daher sieht die neue Datenschutzverordnung in einer Erfüllung der Leistungen aus einem Vertrages ebenfalls einen Rechtfertigungsgrund für die Datenverarbeitung, lt. DSGVO Artikel 6 Absatz 1 lit.B.
Demnach kann grundsätzlich auf eine Zustimmung von Personen verzichtet werden, wenngleich die Transparenzpflicht selbstverständlich weiterhin gilt. Das bedeutet, dass die entsprechenden Personen auch in einem solchen Fall immer darüber informiert sein müssen, dass Daten verarbeitet werden.
Damit dies gilt, muss es sich bei dem jeweiligen Vertrag allerdings auch immer um einen gültigen Vertrag nach nationalem Rech handeln. Dabei kann es dann lediglich zu Problemen kommen, sofern eine betroffene Person nicht Geschäftsfähig ist, da ein solcher Vertrag, ebenso wie der Erlaubnistatbestand, in diesem Fall ungültig wäre.
Daneben ist eine Verarbeitung personenbezogener Daten bereits im Rahmen von vorvertraglichen Maßnahmen möglich, wie zum Beispiel bei Vertragsverhandlungen. Eine einfache Kontaktaufnahme, um hierrüber ein Verkaufsgespräch einzuleiten, fällt dagegen nicht unter derartige vorvertragliche Maßnahmen, ganz im Gegensatz zu einer Preisverhandlung, bei welcher dem Kunden Angebote erstellt werden. Dagegen fallen zugesendete Prospekte oder andere Werbemittel in den Bereich der einseitigen Maßnahmen, die demnach auch keine Datenverarbeitung erfordern.
Für eine Datenverarbeitung muss außerdem für die Erfüllung einer Leistung immer auch nachweislich erforderlich sein, laut Grundsatz der Zweckbindung lt. DSGVO Art.6 Abs.1 lit. B der DSGVO. Aus diesem Grund muss immer abgeklärt werden, welche Arten von Personendaten zum Zwecke der Erfüllung eines Vertrags benötigt werden. So benötigen Versender von Waren beispielsweise nicht das Geburtsdatum, außer zu Marketingzwecken. Daher kann ein Vertrag alleine auch nicht zur Rechtfertigung für die Verarbeitung von Daten dienen und auch die Unterzeichnung eines solchen Vertrags reicht als Rechtfertigungsgrund zur Verarbeitung von Daten nicht aus. Allerdings spricht nicht überhaupt nichts dagegen, einen Vertrag auf die Weise zu gestalten, dass der Unterzeichner hierrüber über die Verarbeitung von Daten aufgeklärt wird oder darin dessen Zustimmung eingeholt wird.
Im Internet findet man häufig Angebote, die zwar kostenlos genutzt werden können, aber durch Werbung finanziert sind. Zwar ist das Schalten von derartiger Werbung für den jeweiligen Anbieter überaus wichtig, allerdings können Nutzer diese Funktionen auch ohne Werbung nutzen. Denn die Verarbeitung von Daten zum Zwecke zielgruppengerechter Werbemaßnahmen lassen sich nicht mit der Leistungserfüllung aus einem Vertrag rechtfertigen.
Und auch zum Zwecke der Verbesserung von Leistungen oder für Sicherheitszwecke ist es ebenfalls nicht erforderlich persönliche Daten von Nutzern zu verarbeiten.
Auch hat der Verantwortliche stets dazu in der Lage sein, nachzuweisen, warum diese Datenverarbeitung erforderlich ist. Zu diesem Zweck hat der Verantwortliche eine eigene, dokumentierte, Beurteilung, über die jeweiligen verarbeiteten Daten anzufertigen.
Lesen Sie hierzu unseren erarbeiteten Beitrag zum richtigen Dokumentenmanagement-System in Zeiten der DSGVO: https://datenschutzbeauftragter-dsgvo.com/richtiges-dokumentenmanagement-zeiten-dsgvo/
-
Verarbeitungszweck zur Erfüllung einer rechtlichen Verpflichtung:
Sind Verantwortliche Personen zur Erfassung von bestimmten Personendaten verpflichtet worden, so kann auch das einen Grund darstellen, um die Verarbeitung von Daten zu rechtfertigen. Denn es wäre auch nicht zweckdienlich, wenn eine Person die Erhebung von Daten verhindern könnte, die nach dem Gesetz benötigt werden.
Allerdings muss es sich dabei um eine rechtliche Verpflichtung handeln, die eine Datenverarbeitung vorsieht und damit erforderlich macht. Dabei hat die jeweilige Rechtsvorschrift eine Erhebung von Daten unwiderlegbar vorzuschreiben. Doch auch eine derartige Vorschrift rechtfertigt keinesfalls eine dauerhafte Erlaubnis.Hiermit lässt sich immer nur eine gerade aktuelle Datenverarbeitung rechtfertigen.
Die zulässigen Datenverarbeitungsmaßnahmen sind in der Folge sowohl in der Rechtsvorschrift, sowie mit Blick auf den Verarbeitungszweck, genau zu definiert. Hierbei immer auch genau zu prüfen, welche Daten wirklich benötigt werden. Beispielsweise: Daten zur Identitätsermittlung benötigen nicht die Bankverbindung einer Person. Diesbezüglich ist dieser Rechtfertigungsgrund besonders für Verantwortliche in regulierenden Bereichen wie im Gesundheitswesen oder Finanzbereich von Relevanz.
Mitunter können sich derartige Verpflichtungen jedoch auch aus dem geltenden Arbeitsrecht ableiten, beispielsweise wenn hierfür eine gesetzliche Vorschrift existieren, wie die Einhaltung von Arbeitsbedingungen oder auch wenn Sicherheitsvorschriften zu dokumentieren sind. Zudem können derartige Verpflichtungen ihren Ursprung auch im steuer-, handels- oder Sozialversicherungsrecht haben und einen Verantwortlichen dazu verpflichten, gewisse Personendaten aufzuzeichnen und mitunter sogar aufzubewahren.
-
Verarbeitungszweck zum Schutz lebenswichtiger Interessen einer Person.
Auch der Schutz der lebenswichtigen Interessen einer Person ist bereits von früher bekannt und wie damals wird die Bedeutung von diesem Rechtfertigungsgrund auch weiterhin eher gering sein, da diese lebenswichtigen Interessen oftmals eine schwer zu überwindende Hürde darstellen.
Denn bei medizinischen Notfällen werden in der Regel Gesundheitsdaten benötigt und verarbeitet, bei denen es sich um Personendaten von besonderer Kategorie handelt. Und dies führt in der Folge zu einer Ausnahmeregelung nach Artikel 9 Absatz 2 lit. c der DSVGO Datenschutzverordnung.
So müssen die jeweiligen Personen, zum Beispiel aus körperlichen Gründen oder rechtlicher Sicht, nicht dazu in der Lage sein eine eigene Zustimmung abzugeben. Das macht deutlich, dass sich dieser Grund nur in medizinischen Notfällen eignet, um damit das Verarbeiten von Daten zu rechtfertigen.
Eine derartige Datenverarbeitungspraxis wäre unter anderem auch im Zuge einer Epidemie oder einer anderen Katastrophe möglich und wir daher in der Regel die Ausnahme bleiben.
-
Verarbeitungszweck wegen öffentlichem Interesse
Auf ein solches Interesse können sich unter anderem Behörden oder Personen berufen, die unter das öffentliche Recht fallen. Allerdings können sich auch private Unternehmen hierauf Berufen, sofern ein Verantwortlicher des jeweiligen Unternehmens mit einer derartigen Aufgabe betraut wird. Allerdings muss in diesem Fall eine entsprechende Rechtsgrundlage existieren, welche vorsieht, dass die Verarbeitung von Daten von einer hierfür verantwortlichen Person durchgeführt werden darf. Dabei muss es sich grundsätzlich um eine Staatsaufgabe handeln, die zu diesem Zweck von einem dafür zuständigen Verantwortlichen ausgeführt wird.
Dabei steht selbstverständlich außer Frage, dass schon allein aus verfassungs- und völkerrechtlicher Sicht eine Verarbeitung von Daten, zum Beispiel durch eine Religionsgemeinschaft oder eine Partei, immer zweifelsfrei zulässig sein muss. Und zudem muss die Verarbeitung zur Erreichung eines Zwecks erforderlich sein, wobei einmal mehr das Abgrenzungskriterium zu Geltung kommt.
So muss ein Verantwortlicher stets prüfen, ob dieser eine staatliche Aufgabe erfüllt und wenn dies der Fall ist, ob eine gesetzliche Grundlage besteht, nach der die jeweilige Person diese Aufgabe erledigen kann.
Aus diesem Grund ist dieser Grund nur wen wenigsten Verantwortlichen erlaubt und wenn, dann nur in ganz bestimmten Ausnahmefällen.
-
Verarbeitungszweck zur Wahrung der berechtigten Interessen der Verantwortlichen oder Dritten
Dieser Rechtfertigungsgrund ist, im Gegensatz der vorher genannten am flexibelsten, birgt allerdings zugleich auch eine hohe Rechtsunsicherheit. Denn sofern die Interessen eines Verantwortlichen die einer anderen überwiegen und sofern die Verarbeitung von Daten erforderlich ist, so kann dies ebenfalls einen Rechtfertigungsgrund darstellen. Hierbei werden die Interessen und Grundrechte aller beteiligten gegenübergestellt, was immer für jeden Einzelfall zu erfolgen hat.
Doch da die DSGVO Verordnung keinerlei Kriterien hierfür beinhaltet, birgt die Einschätzung von „Verantwortlichen“ immer ein hohes Risiko. Denn das Gesetz bezieht sich hier auf den Anwendungsfall mit Daten von Kindern, denn in diesem Fall können die Interessen von Verantwortlichen nicht überwiegen.
Daher muss sich in den kommenden Jahren in Bezug auf diesen Grund erst noch eine gängige Praxis entwickeln, wodurch die Einordnung bestimmter Fälle mit Sicherheit deutlich vereinfacht werden wird. Und zudem wird dies auch aufseiten der Verantwortlichen zu einer deutlich höheren Rechtssicherheit, in Bezug auf die rechtmässige Datenverarbeitung in solchen Fällen, beitragen. Doch auch dann obliegt die Abwägung der Interessen weiterhin in der Hand der Unternehmen.
Bei Anwendung Einzelfallbeurteilung nötig: Möchte man auf diesen Rechtfertigungsgrund zurückgreifen, ist in jedem Fall eine Einzelfallbeurteilung nötig. Hier sind folgende Punkte festzuhalten: Welches Interesse hat der Verantwortliche, Welcher Zweck, Klare Formulierung des Zwecks zur Interessenabwägung, Besteht ein legitimes Interesse des Verantwortlichen und überwiegen die Interessen des Verantwortlichen.
Ein Vorteil von diesem Rechtfertigungsgrund besteht jedoch bereits heute darin, dass eine Verarbeitung von Daten durchgeführt werden kann, ohne diese vorher um deren Zustimmung zu bitten. Dabei dürfen selbstverständlich die Informationsrechte keinesfalls vernachlässigt werden und zudem muss die betreffende Person auch auf ihr Widerspruchsrecht lt. Art.21 Abs.1 DSGVO hingewiesen werden.
Die Interessen des Verantwortlichen
Die Interessen von „Verantwortlichen“ können sich mitunter sehr stark voneinander unterscheiden. Dabei stehen häufig wirtschaftliche Interessen im Vordergrund, doch auch ideelle Interessen können ebenfalls eine Rolle spielen. Damit jedoch überhaupt eine Beurteilung möglich ist, muss das jeweilige Interesse von dem Verantwortlichen möglichst klar definiert sein.
Es darf sich dabei allerdings nicht um ein rein theoretisches Interesse handeln, sondern der Verantwortliche oder das jeweilige Unternehmen müssen dieses Interesse auch effektiv verfolgen oder nachweisen können. Zum Beispiel könnte ein Verantwortlicher ökonomische Interessen verfolgen, um seinen Kunden in der Folge personalisierte Werbung anzubieten.
Wie das vorherige Beispiel zeigt, macht es im ersten Schritt noch keinen Unterschied, ob aufseiten des Verantwortlichen wirklich ein derart großes Interesse besteht, es hat lediglich um legitimes Interesse zu bestehen. Somit erlaubt, dieses auch zu verfolgen, solange nicht gegen ein anderes Gesetz verstoßen wird.
Wichtige Information zum Zweck der Datenverarbeitung
Ein Rechtfertigungsgrund allein kann niemals als einzige Grundlage für die Verarbeitung personenbezogener Daten dienen, sondern der Verantwortliche muss zudem auch immer bestimmte Zwecke mit der Erhebung solcher Daten verfolgen. Diese Zwecke müssen, gemäß der Informationspflicht, den betreffenden Personen dabei immer offengelegt werden und diese müssen zudem darüber informiert werden, zu welchen Zwecken deren Daten verarbeitet werden.
Wichtige Information zur Interessenabwägung
Als Grundsatz gilt immer erst die Prüfung, ob die Datenverarbeitung auch wirklich notwendig ist. Ist dem Verantwortlichen beispielsweise auch ohne die Verarbeitung von Daten möglich dieselben Ziele zu erreichen, so besteht demnach auch kein überwiegendes Interesse.
Hierzu gilt, dass die eigenen persönlichen Daten durch das Grundrecht geschützt sind, weshalb eine Datenverarbeitung nur durchgeführt werden darf, sofern der Zweck oder die Gründe zur Verarbeitung von Daten überwiegen. Eine Interessenabwägung steht somit immer im Vordergrund der Bearbeitung.
Werden beispielsweise Finanzdaten verarbeitet werden, dann ist das Interesse der jeweiligen Privatperson in jedem Fall deutlich höher, als wenn es sich um Daten handelt, die von der jeweiligen Person bereits selbst zugänglich gemacht wurden.
Natürlich spielt zudem auch der Zweck eine wichtige Rolle, wobei es einen Unterschied macht, wofür die die zu verarbeitenden Daten benötigt werden.
Daneben könnte auch ein öffentliches Interesse ein Grund für die Verarbeitung von Daten sein, obwohl in diesem Fall der Rechtfertigungsgrund des öffentlichen Interesses zur Anwendung käme. So kann bereits eine freiwillige Unterstützung einer Behörde als legitimes Interesse eingestuft werden, sofern dabei die Rechte von Privatpersonen nicht überwiegend oder komplett außer Kraft gesetzt werden.
Bei der Interessenabwägung handelt es sich keinesfalls um eine Wissenschaft, doch ein Verantwortlicher besitzt immer eine Darlegungspflicht und muss daher dokumentieren, weshalb Daten erhoben, verarbeitet werden und wie diese Daten im Anschluss daran verwendet werden. Zudem muss er diese Beurteilung dokumentieren und genau vermerken, aus welchem Grund er eine Verarbeitung bestimmter Daten für zulässig hält.
Wann sind personenbezogene Daten zu löschen?
Gespeicherte personenbezogene Daten sind dann zu löschen, sobald sie nicht mehr notwendig sind. Solange es eine aufrechte Geschäftsbeziehung gibt, ist es auch erlaubt, die Daten zu behalten.
Lesen Sie hierzu auch:
DSGVO Datenminimierung und Datensparsamkeit
DSGVO Dantenminimierung durch Anonymisieurung und Pseudonymisierung
DSGVO relativer oder absoluter Bezug Personenbezogene Daten
[…] Die Rechtmäßige Verarbeitung von personenbezogenen Daten. Welche Verarbeitungszwecke und Rechtfert… […]