Art. 6 DSGVO: Rechtsgrundlage Schritt für Schritt ermitteln
Die Datenschutz-Grundverordnung (DSGVO) kennt das „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass jeglicher Umgang mit personenbezogenen Daten grundsätzlich verboten ist. Nur wenn der Verantwortliche einen Erlaubnistatbestand nachweisen kann, ist die Verarbeitung zulässig. Hauptanlaufstelle für Verantwortliche auf der Suche nach einem Erlaubnistatbestand für eine bestimmte Datenverarbeitung ist Art. 6 DSGVO.
Geht es um besondere Kategorien personenbezogener Daten, also etwa um Gesundheitsdaten oder um biometrische Daten, gehört zudem Art. 9 DSGVO auf die Agenda.
Im klassischen Alltag der meisten produzierenden Unternehmen oder von Betrieben aus dem Dienstleistungssektor spielen diese „besonderen Kategorien personenbezogener Daten“ nur eine untergeordnete Rolle. Sie sind deshalb nicht Gegenstand dieser Ausführungen.
Einwilligung dient viel zu oft unnötig als Rechtsgrundlage
Wer hat Aussagen wie „Wenn Sie uns Ihre Einwilligung nicht geben, können wir Sie nicht weiter als Kunde / Patient etc. führen“ im Vorfeld der DSGVO-Anwendbarkeit nicht gelesen oder gehört?
Vermutlich war die Unkenntnis bei vielen Verantwortlichen und ihren Datenschutzberatern die Ursache dafür, dass sie häufig gänzlich unnötig auf die Einwilligung setzten, statt nach einer anderen, passenderen Rechtsgrundlage wie einer bestehenden Vertragsbeziehung mit der betroffenen Person Ausschau zu halten.
Leider haben die Verfasser der DSGVO in Art. 6 Abs. 1 die Einwilligung als erste Option (Buchst. a) einer möglichen Rechtsgrundlage aufgeführt. Vielleicht ist das die Ursache dafür, dass mancher Leser die weiteren möglichen Rechtsgrundlagen schlicht gar nicht mehr zur Kenntnis genommen hat.
Reihenfolge zur Ermittlung der Rechtsgrundlage aus Art. 6 DSGVO
Die vereinfachte Grafik zeigt auf, in welcher Reihenfolge Verantwortliche die Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO prüfen sollten.
Sobald eine der im Folgenden ausführlich beschriebenen Rechtsgrundlagen greift, ist die Prüfung erfolgreich beendet.
Die ersten beiden Rechtsgrundlagen (Buchst. d und e) kommen in der Praxis bei den wenigsten Verantwortlichen zum Tragen. Sie seien jedoch der Vollständigkeit halber aufgeführt.
1. Schutz lebenswichtiger Interessen – Art. 6 Abs. 1 Buchst. d DSGVO
Ist beispielsweise das Leben einer Person bedroht, dürfen Verantwortliche die nötigen angemessenen Maßnahmen ergreifen, etwa um eine tödliche Krankheit einzudämmen.
Das gehört sicherlich nicht zum Arbeitsalltag in klassischen Unternehmen.
2. Wahrung einer öffentlichen Aufgabe – Art. 6 Abs. 1 Buchst. e DSGVO
Die wenigsten privatrechtlichen Unternehmen haben eine Aufgabe „übertragen bekommen“, die im öffentlichen Interesse liegt oder die Ausübung öffentlicher Gewalt (z.B. Polizei) umfasst.
Falls das im Einzelfall dennoch gegeben sein sollte und eine bestimmte Datenverarbeitung hierfür erforderlich ist, bietet Art. 6 Abs. 1 Buchst. e DSGVO eine mögliche Rechtsgrundlage.
Das trifft z.B. auf Autowerkstätten zu, die die Abgasuntersuchungen anbieten und damit eine hoheitliche Aufgabe wahrnehmen.
3. Gesetz / rechtliche Verpflichtung – Art. 6 Abs. 1 Buchst. c DSGVO
Unternehmen und sonstige Verantwortliche unterliegen häufig rechtlichen Verpflichtungen, die eine Verarbeitung personenbezogener Daten erfordern.
Beispiele hierfür sind:
- Der Arbeitgeber muss Krankenkassenbeiträge für die Beschäftigten der richtigen Krankenkasse zuführen. Dafür muss er die Krankenkasse wissen und darf die personenbezogenen Daten für diese Verarbeitungstätigkeit verwenden. Gleiches gilt, um die rechtlichen Vorgaben zur Abführung sonstiger Sozial- und Steuerabgaben für Beschäftigte zu erfüllen.
- Der Arbeitgeber unterliegt rechtlichen Vorgaben für die maximale Arbeitszeit (Arbeitszeitgesetz). Um diese einhalten zu können, darf er die Arbeitszeiten seiner Mitarbeiter festhalten, z.B. über ein Zeiterfassungssystem.
- Das Geldwäschegesetz soll verhindern, dass Einkünfte aus Straftaten und illegalen Geschäften in den legalen Geldkreislauf kommen. Insbesondere Unternehmen, die den Geldverkehr maßgeblich regeln (Banken, Versicherungen), haben hierin eine gültige Rechtsgrundlage, weiterführende Informationen von beteiligten Personen zu erheben und zu dokumentieren.
- Da der Arbeitgeber verpflichtet ist, Lohn auf ein Konto zu überweisen, und zudem dem Mindestlohngesetz unterliegt, darf er eine Bankverbindung des Beschäftigten kennen und hierfür nutzen sowie die Arbeitszeiten zur Lohnermittlung festhalten.
4. Vertragsbeziehung mit der betroffenen Person – Art. 6 Abs. 1 Buchst. b DSGVO
Um eine Vertragsbeziehung anzubahnen oder durchzuführen, kann eine Verarbeitungstätigkeit erforderlich und damit zulässig sein.
Der Begriff „Vertrag“ sollte dabei nicht nur national, sondern europarechtlich betrachtet werden. Grundsätzlich liegt ein Vertrag bereits dann vor, wenn zwei Parteien eine – ggf. auch mündliche – Vereinbarung schließen (z.B. Terminvereinbarung als Privatperson mit einem Dienstleister).
Die Rechtsgrundlage „Vertrag“ lässt sich aber nur dann heranziehen, wenn eine der Vertragsparteien die betroffene natürliche Person ist.
Bei „vorvertraglichen Maßnahmen“ muss die Initiative durch die betroffene Person selbst erfolgen. Für Werbung auf Basis eines mutmaßlichen Interesses der betroffenen Person kann diese Rechtsgrundlage somit nicht dienen.
Die DSGVO hat also kaum etwas verändert im Umgang mit Daten von Bewerbern, Mitarbeitern und Privatkunden (B2C-Geschäft).
Einwilligungen sind hierfür meist nicht erforderlich:
- Bewerbungseingang: Die zugesendeten Informationen darf das Unternehmen für den Auswahlprozess verwenden („vorvertragliche Maßnahmen“).
- Beschäftigungsverhältnis: Um den Vertrag mit dem Mitarbeiter zu erfüllen, darf der Arbeitgeber Arbeitszeiten erheben (Einhaltung der vertraglichen Regelung prüfen, z.B. 40-Stunden-Woche) und zur Lohnermittlung verwenden (Stundenlohnvereinbarung).
- Privatkunden: Entgegennahme und Nutzung von Kontaktdaten interessierter Privatkunden (B2C-Bereich). Ob auf einer Messe oder über einen Online-Shop: Im B2C-Bereich geben Privatpersonen ihre Kontaktdaten, Bankverbindungen und ggf. weitere Daten preis, um eine Dienstleistung oder Ware zu erhalten. Für diesen Zweck darf der Verantwortliche diese Daten nutzen.
5. Interessenabwägung – Art. 6 Abs. 1 Buchst. f DSGVO
Falls keine der anderen bisher vorgestellten Rechtsgrundlagen greift, bietet die Interessenabwägung die Möglichkeit, sich eine „eigene Rechtsgrundlage“ zu schaffen.
Hierbei gilt es, zwei Positionen gegeneinander abzuwägen:
- das eigene berechtigte Interesse (oder das eines Dritten!), das eine bestimmte Verarbeitung erforderlich macht, und
- die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person.
In der Praxis erfolgt häufig keine echte Abwägung, weil Verantwortliche ausschließlich das eigene berechtigte Interesse als ausreichend ansehen, ohne in eine wirkliche Abwägung der konkreten Interessen beider Seiten einzusteigen und das auch zu dokumentieren.
Das ist so nicht rechtskonform, und somit liegt keine gültige Rechtsgrundlage vor.
Mögliche Faktoren einer Interessenabwägung
Um bei einer Interessenabwägung zum Ergebnis zu kommen, die geplante Verarbeitung betreiben zu dürfen, sind zahlreiche Kriterien zu betrachten.
In sehr vereinfachter Form fällt eine Interessenabwägung meist positiv für den Verantwortlichen aus, wenn viele der folgenden Parameter gegeben sind:
- Die Interessen der betroffenen Person sind erkennbar und liegen nahe bei den Interessen des Verantwortlichen. („Beide wollen das Gleiche.“)
- Die betroffene Person kann von dieser Art der Verarbeitung ausgehen („Erwartungshaltung“) und ist informiert.
Der Verantwortliche hat hohe Schutzmaßnahmen getroffen, z.B.:
- Website-Verarbeitungen: frühestmögliche Anonymisierung der IP-Adresse
- keine Übermittlung an Dritte
- Verschlüsselung der Datenübertragungswege
- Erforderlichkeit: Es gibt kein angemessenes „milderes Mittel“, um das Ziel zu erreichen.
- Die betroffene Person kann jederzeit widersprechen.
Nachfolgend einige Beispiele, bei denen ein berechtigtes Interesse als Rechtsgrundlage dienen könnte.
Es kommt hier allerdings stets auf den konkreten Einzelfall an, ob die Abwägung wirklich trägt. Und das Ergebnis ist aufgrund der Nachweispflicht zu dokumentieren.
- Austausch von geschäftlichen Kontaktdaten im B2B-Bereich zur Umsetzung der Geschäftsbeziehung. Weil hierbei keine „Vertragsbeziehung mit der betroffenen Person“, sondern nur eine zwischen juristischen Personen vorliegt, kann Art. 6 Abs. 1 Buchstabe b DSGVO nicht als Rechtsgrundlage dienen.
- Nutzung geschäftlicher Kontaktdaten im B2B-Bereich, um weitere Produkte zu bewerben
- Videoüberwachung öffentlich zugänglicher Räume
6. Einwilligung – Art. 6 Abs. 1 Buchst. a DSGVO
Obwohl Verantwortliche die Einwilligung sehr häufig verwenden, ist sie als Rechtsgrundlage oft nicht erforderlich und zudem eine unglückliche Wahl. Denn was tun, wenn die betroffene Person die Einwilligung widerruft?
Wo irgend möglich, sollte daher ein anderer Erlaubnistatbestand die Datenverarbeitung legitimieren.
Wann eine Datenschutz-Einwilligung rechtskonform ist, lässt sich den „Bedingungen für die Einwilligung“ in Art. 7 und Art. 8 DSGVO sowie den zugehörigen Erwägungsgründen entnehmen.
Im Kern bedeutet dies für Verantwortliche:
- Freiwillig: Eine Einwilligung darf nicht erzwungen sein. Ohne die Möglichkeit, die Einwilligung abzulehnen, ist keine Freiwilligkeit gegeben. Praxis-Tipp: Auf einem Formular, das die betroffene Person unterzeichnen oder online ausfüllen soll, immer beide Optionen (Ja und Nein) aufführen und eine davon ankreuzen lassen.
- Informiert: Die Einwilligung muss den konkreten Zweck angeben, für den der Verantwortliche die personenbezogenen Daten verarbeiten möchte, sie muss die Freiwilligkeit herausstellen und über die Möglichkeit informieren, dass die betroffene Person die Einwilligung jederzeit widerrufen kann.
- Jederzeitiger Widerspruch möglich: Auch einen nachträglich ausgesprochenen Widerspruch muss der Verantwortliche umsetzen. Er kann ihn vertraglich nicht ausschließen. Somit eignet sich die Einwilligung nicht für Situationen, bei denen die Umsetzung eines Widerspruchs zu hohen finanziellen Kosten führen würde – stattdessen empfiehlt sich ein Vertrag mit angemessener Vergütung (z.B. Mitwirkung eines Mitarbeiters bei Image-Film oder Bildnutzung für Werbemittel).
- Nachweisbarkeit, dass eine gültige Einwilligung eingeholt wurde
- Solange die betroffene Person die Einwilligung nicht erteilt hat, darf keine Verarbeitung erfolgen.
- Keine Kopplung an andere Verarbeitungen, wenn dies nicht erforderlich wäre (z.B. Newsletter nur mit Tracking)
- Aufgrund der Vorgaben für eine Einwilligung stellen die folgenden Praxisbeispiele wohl keine rechtskonforme Umsetzung dar. Somit fehlt die Rechtsgrundlage:
- Einwilligung als Bestandteil eines Arbeitsvertrags (z.B. „Der Mitarbeiter entbindet seinen behandelnden Arzt von der Schweigepflicht gegenüber dem Arbeitgeber“).
- Einwilligung als Bestandteil einer Kundenbeziehung (z.B. „Wenn Sie hier nicht unterzeichnen, können wir Sie nicht weiter betreuen.“) – gültige Rechtsgrundlage ist hier meist „Vertragsbeziehung“ oder „Interessenabwägung“
Wo sind Einwilligungen dann noch sinnvoll? Klassische Beispiele sind die folgenden:
- Nutzung eines Mitarbeiterfotos auf der Firmen-Website
- Protokollierung der Internet-Nutzung von Beschäftigten, sofern der Arbeitgeber gleichzeitig die private Internet-Nutzung erlaubt