Die Rechtmäßigkeit der Verarbeitung ist eines der zentralen Prinzipien der Datenschutz-Grundverordnung (DSGVO) und legt fest, unter welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen. Nach Art. 6 DSGVO gilt die Verarbeitung personenbezogener Daten nur dann als rechtmäßig, wenn mindestens eine der rechtlichen Grundlagen erfüllt ist. Im Folgenden wird erläutert, welche Bedingungen vorliegen müssen und warum dies für Unternehmen besonders wichtig ist.
Was bedeutet die Rechtmäßigkeit der Verarbeitung?
Die rechtmäßige Verarbeitung stellt sicher, dass Unternehmen und Organisationen personenbezogene Daten nur unter klar definierten Voraussetzungen verarbeiten dürfen. Dies schützt die Privatsphäre der betroffenen Personen und stärkt das Vertrauen in den Umgang mit persönlichen Informationen. Jeder Verstoß gegen dieses Prinzip kann schwerwiegende rechtliche Konsequenzen nach sich ziehen, einschließlich hoher Bußgelder.
Die DSGVO definiert sechs mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Eine Verarbeitung ist nur dann erlaubt, wenn mindestens eine dieser Bedingungen erfüllt ist.
Die sechs Rechtsgrundlagen der DSGVO
- Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) Die Einwilligung ist wohl die bekannteste Rechtsgrundlage. Die betroffene Person muss freiwillig, eindeutig und informiert in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Dies kann z. B. durch das Ankreuzen einer Einverständniserklärung erfolgen. Wichtig ist, dass die Einwilligung jederzeit widerrufen werden kann.
- Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) Daten dürfen verarbeitet werden, wenn dies für die Erfüllung eines Vertrags notwendig ist, den die betroffene Person mit dem Unternehmen geschlossen hat. Beispiele hierfür sind Bestellungen in Online-Shops oder der Abschluss eines Dienstleistungsvertrags.
- Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) In manchen Fällen ist die Verarbeitung personenbezogener Daten gesetzlich vorgeschrieben. Dies kann zum Beispiel die Speicherung von Rechnungsdaten für steuerliche Zwecke betreffen. Unternehmen sind in solchen Fällen verpflichtet, die Daten zu verarbeiten.
- Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d DSGVO) Wenn die Verarbeitung notwendig ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen Person zu schützen, darf sie ebenfalls erfolgen. Dies ist z. B. bei medizinischen Notfällen der Fall, bei denen personenbezogene Daten weitergegeben werden müssen.
- Wahrnehmung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 lit. e DSGVO) Behörden oder andere öffentliche Stellen können personenbezogene Daten verarbeiten, wenn dies zur Erfüllung einer Aufgabe im öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt erforderlich ist. Dies kann etwa bei der Strafverfolgung oder im Bildungswesen der Fall sein.
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) Eine der häufigsten Grundlagen für die Verarbeitung ist das berechtigte Interesse des Verantwortlichen oder eines Dritten, solange die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Zum Beispiel kann ein Unternehmen die Daten seiner Kunden zu Marketingzwecken verarbeiten, solange dies verhältnismäßig ist und keine schwerwiegenden Auswirkungen auf die betroffenen Personen hat.
Bedeutung für Unternehmen
Unternehmen müssen sicherstellen, dass sie stets auf einer der oben genannten Rechtsgrundlagen handeln, wenn sie personenbezogene Daten verarbeiten. Es reicht nicht, nur eine Grundlage auszuwählen – diese muss auch belegbar sein. Unternehmen sollten daher in ihren Datenschutzrichtlinien genau dokumentieren, welche Grundlage für welche Datenverarbeitungstätigkeit gilt.
Zusätzlich sind Unternehmen verpflichtet, betroffene Personen über die Grundlage der Verarbeitung zu informieren, in der Regel durch eine Datenschutzerklärung. Wenn die Verarbeitung auf Einwilligung basiert, muss diese klar und verständlich formuliert und freiwillig erteilt sein.
Fazit
Die Rechtmäßigkeit der Verarbeitung ist ein essenzielles Element des Datenschutzes nach der DSGVO. Unternehmen sollten sich bewusst sein, dass die Nichteinhaltung der rechtlichen Grundlagen schwerwiegende Konsequenzen nach sich ziehen kann. Eine transparente und sorgfältige Verarbeitung personenbezogener Daten stärkt nicht nur die Einhaltung der gesetzlichen Vorschriften, sondern auch das Vertrauen von Kunden und Partnern.