Datenverarbeitung ist nach DSGVO verboten!?

Datenverarbeitung ist nach DSGVO nur mit Rechtsgrundlage erlaubt: Art. 6 zeigt die wichtigsten Ausnahmen – von Einwilligung bis berechtigtes Interesse.

Datenverarbeitung ist nach DSGVO verboten!

Rechtsgrundlagen der Datenverarbeitung

Datenverarbeitung ist nach DSGVO ein Verbot mit Erlaubnisvorbehalt. Das heißt, nach Art. 6 DSGVO ist jede Verarbeitung personenbezogener Daten verboten, wenn es keine Ausnahme gibt. Davon gibt es sechs in Artikel 6 plus eine zusätzliche in Art. 88.

 

Einwilligung

Eine Einwilligung, Erlaubnis oder engl. „Consent“ nach Art. 6 Abs. 1 UAbs. 1 a) DSGVO ist nur wirksam, wenn der Verantwortliche nachweisen kann, dass sie freiwillig ist, was unter anderem ein hohes Maß an Transparenz erfordert. Ihr Nachteil im Geschäftsleben ist, dass sie jederzeit widerruflich ist. Zu ihren Anforderungen stehen in Art. 7, Art. 8, Art. 9 DSGVO viele spezifische Besonderheiten, so dass man meist keine Standardvorlage nutzen kann.

  • Für Mitarbeiter und besonders sensible Daten gibt es weitere Hürden, siehe dazu beispielsweise die Fotoerlaubnis.
  • Im Internet ist sie beispielsweise wichtig für das Cookiebanner.
  • Bitte beachten Sie das Kopplungsverbot in Art. 7 Abs. 4 DSGVO, nachdem ein Vertrag nicht zu einer Einwilligung „zwingen“ darf, die für den Vertrag aus Sicht des Gegenübers gar nicht nötig wäre.

 

Vertrag

Nach deutscher Rechtssystematik wäre die Einwilligung ein „einseitiger“ Vertrag. Aber Vertrag nach Art. 6 Abs. 1 UAbs. 1 b) DSGVO meint nur „zweiseitige“ Verträge, bei denen jeder etwas gibt. Der Vertrag hat den Vorteil, dass er nicht so leicht widerrufen werden kann. Er ist leider meist nicht zulässig, um die Verarbeitung besonders sensibler Daten nach Art. 9 DSGVO zu rechtfertigen. Dann helfen nur noch Einwilligung oder Betriebsvereinbarung.

 

Gesetz

Nach Art. 6 Abs. 1 UAbs. 1 c) DSGVO dürfen Sie alles speichern, was ein Gesetz – dazu zählt auch eine Verordnung – von Ihnen fordert. Dazu gehören vor allem die sogenannten „Handelsbriefe“ nach § 257 HGB, also alle Vertragsunterlagen, die das Finanzamt sehen möchte (6 Jahre) sowie die Bilanzen und Buchungsbelege (10 Jahre).

 

Lebenswichtige Interessen

Lebenswichtige Interessen nach Art. 6 Abs. 1 UAbs. 1 d) DSGVO dient es beispielsweise, wenn Sie dem Notarzt Angaben zu einem schwer verletzten Kollegen machen, der nicht selbst sprechen kann.

 

Öffentliche Interessen

Öffentliche Interessen nach Art. 6 Abs. 1 UAbs. 1 e) DSGVO sind staatlichen Aufgaben. Eigentlich sind die schon von c) umfasst. Hier wird auf die Verhältnismäßigkeitsprüfung besonderen Wert gelegt.

 

Berechtigtes Interesse

Berechtigtes Interesse nach Art. 6 Abs. 1 UAbs. 1 f) DSGVO scheint auf den ersten Blick ganz einfach: Jeder vernünftige Beweggrund zählt. Aber hier wird leider oft vergessen, dass das nur reicht, wenn nicht die Interessen der Betroffenen überwiegen. Das Grundrecht auf informationelle Selbstbestimmung der Betroffenen überwiegt fast immer. Eine große Ausnahme ist die öffentliche Berichterstattung nach § 23 Kunsturhebergesetz.

 

Betriebsvereinbarung

Wenn Sie einen Betriebsrat oder andere Mitarbeitervertretung haben, gibt es für Sie gibt es für Sie nach Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1, 4 BDSG noch die Möglichkeit, mit diesem innerhalb seiner Zuständigkeiten eine Betriebsvereinbarung zu schließen. Das hat den Charme, dass die Vereinbarung für alle Mitarbeiter wirkt, Sie aber nicht alle fragen müssen und diese nicht, wie bei der Einwilligung, jederzeit widersprechen können. Die Betriebsvereinbarung hilft Ihnen zudem, besonders sensible Daten zu verarbeiten, was sonst nur mit Einwilligung möglich wäre.

 

Falls Sie auf dem Weg zur richtigen Rechtsgrundlage Beratung brauchen, sind wir gerne für Sie da.

 

Autor

Thomas Hofmann, Data Privacy Legal Consultant, 28.08.2023

Weiterführende Links

Aufbewahrung von Geschäftsunterlagen
handelskammer-hamburg.de

Jeder Gewerbetreibende ist nach handelsrechtlichen und/oder steuerlichen Vorschriften verpflichtet, geschäftliche Aufzeichnungen zu führen und sie für einen bestimmten Zeitraum aufzubewahren. Bis zum 31. Dezember 2024 betrugen die Fristen abhängig von der jeweiligen Unterlage 6 oder 10 Jahre. Durch das Vierte Bürokratieentlastungsgesetz ist mit Wirkung ab dem 1. Januar 2025 die Aufbewahrungsfrist für Buchungsbelege im Handels- und im Steuerrecht auf 8 Jahre verkürzt worden.

Hauke Pflüger
datenschutz-notizen.de

Das Recht der betroffenen Person auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten ist das erste der in Kapitel 3 der Datenschutzgrundverordnung aufgeführten Betroffenenrechte.

Andere interessante Artikel

Alle ansehen
image
Datenschutz als Prinzip

Datenschutz ist kein „Nachrüsten“, sondern muss von Anfang an mitgedacht werden – Privacy by Design & Default nach Art. 25 DSGVO. Der Beitrag zeigt, wie klare Strukturen, frühe Einbindung von DSB/ISB und benutzerfreundliche Sicherheitslösungen Risiken und teure Nacharbeiten vermeiden.

Wie wird im Datenschutz Rechenschaft abgelegt
Wie wird im Datenschutz Rechenschaft abgelegt?

Die Datenschutz-Grundverordnung (DSGVO) fordert Unternehmen auf, bei der Verarbeitung personenbezogener Daten nicht nur datenschutzkonform zu handeln, sondern diese Konformität auch nachzuweisen. Dieser Grundsatz der Rechenschaftspflicht ist ein zentrales Element der DSGVO und hat weitreichende Konsequenzen für Unternehmen. Aber was genau bedeutet diese Verpflichtung, und wie können Unternehmen sicherstellen, dass sie dieser nachkommen?

Sprechen Sie mit unseren Experten.

Wir beraten Sie gerne und freuen uns auf Ihre Fragen.

To build Software

that people love to use.

+49 (0) 7121 68 08 49-0
mail@bitbasegroup.com
Am Heilbrunnen 47
D-72766 Reutlingen

Berichten Sie uns von Ihren Erfahrungen mit der bbg bitbase group

TopConsultant 2022
kununu
charta der vielfalt
ratiopharm