Zweck und Rechtsgrundlage einer Datenverarbeitung definieren

Wenn du personenbezogene Daten erhebst und verarbeitest, solltest es einen Zweck und eine Rechtsgrundlage dazu geben. Besonders das Bestimmen der Rechtsgrundlage ist für die meisten kein einfaches Unterfangen. In diesem Beitrag erklären wir dir, wie du im Zuge des Verzeichnisses für Verarbeitungstätigkeiten den richtigen Zweck und die richtige Rechtsgrundlage definierst.

Inhaltsverzeichnis

Zweck der Verarbeitung kurz erklärt

Ein Grundsatz des Datenschutzes ist die Datenminimierung. Das heißt, dass nur solche Daten erhoben werden sollen, welche der Erfüllung eines dezidierten Zweckes dienen. Über die Datenschutzrichtlinie informierst du den Nutzer über diesen Zweck, welcher meistens sehr einfach definiert werden kann.

Die Basis für die Identifizierung eines Zweckes sollte dein Verzeichnis für Verarbeitungstätigkeiten sein. Hier hast du idealerweise bereits definiert, welche „Kategorien personenbezogener Daten“ du im Rahmen einer Verarbeitungstätigkeit erhebst.

In Metasoul erfolgt die Dokumentation in tabellarischer Form, wo du zu jeder Datenkategorie festlegst, zu welchen Zwecken diese verarbeitet wird.

Hier ein paar Beispiele:

  • Sammelst du E-Mail-Adressen um Marketing Mails zu verschicken, kann der Zweck der Erhebung zum Beispiel „Informieren über Neuigkeiten mittels E-Mail Newsletter“ sein.
  • Erhebt dein Webseiten-Hoster die IP-Adresse und Nutzeranalysen, um den Betrieb der Webseite sicherzustellen und bei Fehlern entsprechend reagieren zu können, kann der Zweck „Webseitenbetrieb“ sein.
  • Muss sich der Nutzer bei dir in einer App registrieren, um deine Services zu nutzen, kann der Zweck „Bereitstellen des Services“ sein.

Wie du siehst, lässt sich ein Zweck relativ schnell und einfach definieren so lange man, warum man personenbezogene Daten erhebt.

Schwieriger wird es bei der Rechtsgrundlage. Hier gibt es in der DSGVO Artikel 6, Absatz 1, vorab definierte Grundlagen. Mindestens eine Rechtsgrundlage muss zutreffen, damit die Datenverarbeitung „rechtmäßig“ ist.

Die richtige Rechtsgrundlage wählen

Die richtige Rechtsgrundlage zu wählen ist nicht immer trivial. Aber keine Angst, mit der nachfolgenden Anleitung sollte dies zumindest einfacher sein.

Wie beim Zweck der Verarbeitung solltest du die Rechtsgrundlage pro Datenkategorie bestimmen. Gehe dazu sequenziell durch die folgenden Überlegungen. Sollte eine Überlegung zutreffen, hast du die passende Rechtsgrundlage für die jeweilige Datenkategorie gefunden:

Überlegung 1: Lebenswichtige Interessen?

Ist von der Verarbeitung der Daten das Leben des Betroffenen abhängig? Dies kann zum Beispiel bei medizinischen Notfällen oder in der Katastrophenhilfe notwendig sein. Wenn ja, ist die Rechtsgrundlage „Schutz lebenswichtiger Interessen der betroffenen Person“.

Überlegung 2: Öffentliches Interesse?

Hast du eine Aufgabe „übertragen bekommen“, die im öffentlichen Interesse liegt? Beispiele können statistische Erhebungen für das Statistikamt, die Erfüllung von Bildungsaufgaben (z.B. Schulen) oder die Organisation von Wahlen oder Volksabstimmungen sein. Wenn ja, ist die Rechtsgrundlage „Wahrnehmung einer Aufgabe im öffentlichen Interesse“.

Überlegung 3: Rechtliche Verpflichtung?

Hast du eine rechtliche Verpflichtung zur Verarbeitung personenbezogener Daten? Beispiele können zum Beispiel steuerlicher Natur sein wie z.B. die Erstellung von Lohnabrechnungen oder die Abgabe von Steuererklärungen. Sollte eine rechtliche Verpflichtung die Verarbeitung von personenbezogene Daten nötig machen, ist die Rechtsgrundlage „Erfüllung rechtlicher Verpflichtung“.

Überlegung 4: Vertragsbeziehung?

Du hast eine vertragliche Verpflichtung oder musst personenbezogene Daten verarbeiten, um einen Vertragsabschluss anzubahnen? Eine vertragliche Verpflichtung kann zum Beispiel die Lieferung eines gekauften Produktes (Kaufvertrag) oder die Bereitstellung eines abonnierten Dienstes sein. Auch ein Arbeitsvertrag bringt gewisse Verpflichtungen zur Verarbeitung von Mitarbeiterdaten mit sich. Wichtig: Der Vertrag als Rechtsgrundlage gilt nur, wenn der Vertragspartner eine natürliche Person ist. Vorvertragliche Verpflichtungen ergeben sich zum Beispiel, wenn jemand ein Angebot anfordert oder Informationen zu Vertragsdetails in Klärung sind. Auch hier gibt es ein „aber“: Die vorvertragliche Verpflichtung gilt aber nur, wenn die Initiative von der betroffenen Person ausgeht. „(vor-) vertragliche Verpflichtungen“ ist bei den vorher genannten oder ähnlichen Fällen die korrekte Rechtsgrundlage.

Überlegung 5: Berechtigtes Interesse?

Mit dem „berechtigtem Interesse“ besteht die Möglichkeit, sich selbst eine Rechtsgrundlage schaffen. Die Grundaussage dieser Rechtsgrundlage ist

  • wenn die Interessen der betroffenen Person nahe deiner Interessen liegen, also beide das Gleiche wollen,
  • oder von einer grundlegenden Erwartungshaltung ausgegangen werden kann,

dann kann man von einem berechtigtem Interesse zur Verarbeitung personenbezogener Daten ausgehen.

Hier ein paar Beispiele:

  • Ein Nutzer, welcher deine Webseite besucht, kann davon ausgehen, dass personenbezogene Daten, welche für die Bereitstellung der Webseite oder der Gewährleistung der Netzwerksicherheit nötig sind, verarbeitet werden.
  • Wenn du eine Pizza bestellst, hat der Pizza-Lieferant ein berechtigtes Interesse an deinen Daten, damit er die Pizza überhaupt liefern kann. Aber er hat auch ein berechtigtes Interesse, dir Werbung zu senden, damit er dich als Kunden behalten kann.

Wichtig zu beachten ist, dass neben der Abwiegung der Interessen, auch die Wahrung der Grundrechte und Freiheiten eine wichtige Rolle spielen.

Wir empfehlen folgendes Vorgehen, um festzustellen, ob die Rechtsgrundlage des berechtigten Interesses passend ist:

  • Berechtigtes Interesse identifizieren: Überlege, ob sich ein berechtigtes Interesse von dir oder einem Dritten findet, welches die Verarbeitung personenbezogener Daten rechtfertigt. Häufig ergeben sich Gründe, wenn die betroffene Person ein Kunde ist oder interne Verwaltungsaufgaben oder die Wahrung der Netz- und Informationssicherheit betroffen ist.
  • Erforderlichkeit der Datenverarbeitung bestimmen: Prüfe im zweiten Schritt, ob für die Wahrung des berechtigten Interesses eine Verarbeitung personenbezogener Daten notwendig ist. Falls es alternative Wege zur Erreichung des Zieles gibt, ist die Datenverarbeitung nicht zulässig.
  • Interessen der betroffenen Person abwägen: Überlege hier, welches Interesse die betroffene Person an der Datenverarbeitung haben könnte und ob die Datenverarbeitung Grund- oder Freiheitsrechte der betroffenen Person gefährdet. Stelle dir hier die Frage, ob die betroffene Person mit der geplanten Datenverarbeitung rechnen oder sich diese generell erwarten würde bzw. auch in deren Interesse liegt. Sollten sich hier Gründe ergeben, stelle abschließend sicher, dass das „Minimierungsprinzip“ eingehalten werden kann: Nur minimal benötigte Daten werden für den minimal nötigen Zeitraum verarbeitet und gespeichert.

Hast du alle drei Schritte mit nachvollziehbaren Argumenten positiv beantwortet haben, wähle „Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten“ als Rechtsgrundlage.

Überlegung 6: Einwilligung der betroffenen Person?

Sollte keine der bisher genannten Rechtsgrundlagen gepasst haben, bleibt als letzte Option noch die Einwilligung der betroffenen Person zu der geplanten Datenverarbeitung. Auch hier gibt es einige Überlegungen und Vorgaben zu berücksichtigen:

  • Geschieht die Einwilligung freiwillig? Freiwilligkeit herrscht nur, wenn die betroffene Person die Möglichkeit hat, abzulehnen.
  • Wird die betroffene Person ausreichend informiert? Hier muss für die betroffene Person ausdrücklich ersichtlich sein, welchen Zweck die Datenverarbeitung verfolgt und das die Einwilligung jederzeit widerrufen werden kann.
  • Besteht die Möglichkeit, die Einwilligung zu widerrufen? Dies sollte nachträglich auf einfache Weise möglich sein.
  • Kann nachgewiesen werden, dass eine betroffene Person die Einwilligung gegeben hat?
  • Kann sichergestellt werden, dass die Verarbeitung erst nach Einwilligung erfolgt?

Typische Fälle für eine Einwilligung sind die bekannten Cookiebanner oder die Verwendung von Fotos eines Events auf einer Webseite.

Lässt sich eine Einwilligung wie oben beschrieben einholen, kann als Rechtsgrundlage „Einwilligung der betroffenen Person“ gewählt werden.

Üblicherweise ist die Rechtsgrundlage der Einwilligung komplexer in der Anwendung, als es sich anhört. Darum sollte diese nur verwendet werden, wenn keine andere Rechtsgrundlage passt.

Solltest du bis jetzt keine Rechtsgrundlage gefunden haben, ist von einer Datenverarbeitung abzusehen. Da das Thema der Rechtsgrundlage komplex ist, kann es bei Unsicherheit auch Sinn ergeben, professionelle Hilfe in Anspruch zu nehmen.

Fazit

Verarbeitet man personenbezogene Daten, sollte dies zu einem dezidierten Zweck geschehen und eine Rechtsgrundlage für die Verarbeitung vorhanden sein. Während der Zweck recht einfach identifiziert werden kann, ist die Ermittlung der richtigen Rechtsgrundlage kein einfaches Unterfangen und beinhaltet viele Überlegungen. Mit einem strukturierten Vorgehen ist es einfacher die richtige Auswahl zu treffen, jedoch kann es Sinn machen professionelle Hilfe in Anspruch zu nehmen. Die Dokumention von Zweck und Rechtsgrundlage erfolgt im Verzeichnis für Verarbeitungstätigkeiten.

Weitere Beiträge

How-To

Definieren von Verarbeitungstätigkeiten im VVT einfach erklärt

Wenn man beginnt das Verzeichnis für Verarbeitungstätigkeiten (VVT) zu erstellen, stellt sich für die meisten bereits bei der ersten Aufgabe, der Definition von Verarbeitungstätigkeiten, die Frage des „Wie“. In diesem Beitrag erklären wir dir einfach verständlich, was eine Verarbeitungstätigkeit ist und wie du herausfindest, welche Verarbeitungstätigkeiten in deinem Unternehmen existieren.

Weiterlesen »
How-To

Das Verzeichnis für Verarbeitungstätigkeiten (VVT) – warum es so wichtig ist und wie man am besten damit startet

Die wenigsten Unternehmen denken an das Verzeichnis für Verarbeitungstätigkeiten kurz VVT, wenn sie sich mit Datenschutz beschäftigen. Was die wenigsten wissen: Das VVT ist vermutlich die wichtigste Komponente im DSGVO Jungel. Warum das so ist und wie du einfach und verständlich damit starten kannst ein VVT selbst zu erstellen, erklären wir dir im folgenden Blog Beitrag.

Weiterlesen »