Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, unter welchen Bedingungen Daten ohne Einwilligung laut der Datenschutzgrundverordnung verarbeitet werden dürfen.

Das bekannte Regelungskonzept des Verbots mit Erlaubnisvorbehaltbleibt auch nach der Verordnung bestehen. Das bedeutet, dass eine Datenverarbeitung nur zulässig ist, wenn die betroffene Person eingewilligt hat oder eine gesetzliche Erlaubnis die Verarbeitung legitimiert. Die gesetzlichen Erlaubnistatbestände sind dabei weitgehend deckungsgleich mit den bestehenden Regelungen.

a. Vertragszweck

Eine in der Praxis besonders wichtige Erlaubnis bleibt auch nach der Verordnung die Verarbeitung von Daten zur Erfüllung eines Vertrages mit der betroffenen Person. Der Text der Verordnung entspricht weitgehend den Regelungen in der Datenschutzrichtlinie und im BDSG, so dass hier keine wesentlichen Änderungen zu erwarten sind. Es bleibt also weiterhin zulässig, personenbezogene Daten der betroffenen Person zu verarbeiten, wenn und soweit dies für die Begründung, Durchführung oder Beendigung eines Vertrages mit dem Betroffenen erforderlich ist. Welche Daten und Verarbeitungsvorgänge hiervon erfasst sind, ist dann im jeweiligen Einzelfall zu beurteilen.

b. Interessensabwägung

Ebenfalls weiterhin zulässig bleibt eine Verarbeitung von personenbezogenen Daten, wenn und soweit dies zur Wahrung der berechtigten Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Diese Regelung entspricht ebenfalls weitestgehend der bestehenden, so dass hier auch hier inhaltlich keine wesentlichen Änderungen zu erwarten sind. Ein Hauptanwendungsfall bleiben auch nach der Neuregelung die konzerninterne Übermittlungen von Kunden- und Beschäftigtendaten (siehe Erwägungsgrund 48). In den Erwägungsgründen ist jedoch auch erwähnt, dass eine Verarbeitung für Direktmarketingzwecke auf diesen Erlaubnistatbestand gestützt werden kann. Neu ist, dass die Interessen besonders sorgfältig abzuwägen sind, wenn es sich bei der betroffenen Person um ein Kind handelt, da Kinder besonders schutzwürdig sind. Entsprechend sind an die berechtigten Interessen besonders hohe Anforderungen zu stellen, wenn Kinder betroffen sind (vgl. Art. 6 (f) am Ende). Eine weitere Neuerung ist, dass wenn eine Datenverarbeitung auf diesen Erlaubnistatbestand gestützt wird, die jeweiligen berechtigten Interessen im Rahmen der Informationspflichten mitzuteilen sind (vgl. Art. 14(2)(b)). Der Umfang dieser Informationspflicht, insbesondere ob auch nähere Informationen zur Abwägung mitzuteilen sind, ist derzeit noch nicht klar.

c. Was gilt bei einer Zweckänderung/-erweiterung?

Auch nach der Verordnung besteht weiterhin der Zweckbindungsgrundsatz. Er wird jedoch dahingehend konkretisiert, dass für einen genau festgelegten, eindeutigen und rechtmäßigen Zweck erhobene personenbezogene Daten nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen (Art. 5 (1)(b)). Um festzustellen, dass bei einer Zweckänderung keine solche unzulässige, also mit dem ursprünglichen Zweck unvereinbare, Verarbeitung erfolgt, hat die verantwortliche Stelle unter anderem nachfolgende Punkte zu beachten und im Rahmen ihrer Rechenschaftspflicht zu dokumentieren: Jede Verbindung zwischen den Zwecken, für welche die Daten erhoben wurden, und den Zwecken der beabsichtigten
Weiterverarbeitung; den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere in Bezug auf das Verhältnis zwischen den Betroffenen und dem für die Verarbeitung Verantwortlichen; die Art der personenbezogenen Daten, insbesondere ob sensible Daten oder Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten verarbeitet werden; die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen; sowie das Vorhandensein angemessener Garantien, die in einer Verschlüsselung oder einer Pseudonymisierung bestehen können. Damit können Daten nunmehr grundsätzlich auch für andere Zwecke verarbeitet werden. Es muss jedoch eine Prüfung der oben genannten Punkte erfolgen und das Ergebnis der Prüfung sowie die wesentlichen Überlegungen sind im Rahmen der Rechenschaftspflicht zu dokumentieren.

d. Sonderfall automatische Entscheidungen (z.B. Scoring)

Nach Art. 20 der Verordnung hat jeder das Recht, nicht einer allein auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder auf andere vergleichbare Weise erheblich beeinträchtigt. Das heißt, grundsätzlich sind automatisierte Entscheidungen, die rechtliche Wirkungen haben oder in sonstiger Weise beeinträchtigen, unzulässig. Von diesem Grundsatz gibt es jedoch drei Einschränkungen, nämlich wenn die Entscheidung
1. für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und der verantwortlichen Stelle erforderlich ist, oder 2. aufgrund von Rechtsvorschriften der EU oder eines Mitgliedstaates zulässig ist und die jeweilige Rechtsvorschrift geeignete Maßnahmen zur Wahrung der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person enthalten, oder 3. mit ausdrücklicher Einwilligung erfolgt. Im wichtigsten ersten sowie im dritten Fall hat die verantwortliche Stelle jedoch zum Schutz des Betroffenen geeignete Maßnahmen zu ergreifen, um die Interessen und Rechte des Betroffenen zu waren. Hierzu gehört mindestens das Recht auf persönliches Eingreifen des für die Verarbeitung Verantwortlichen, auf Darlegung des eigenen Standpunkts sowie das Recht auf Anfechtung der Entscheidung. Dadurch soll sichergestellt werden, dass der Betroffene eine Überprüfung der automatisierten Entscheidung erreichen kann und dieser nicht schutzlos ausgeliefert ist. Zudem sollen keine automatischen Entscheidungen gegenüber Kindern ergehen oder wenn sensible Daten betroffen sind (Erwägungsgrund 71).

e. Voraussetzungen für die Verarbeitung von

sensitiven Daten, insbesondere Gesundheitsdaten Die Definition von „besonderen Kategorien personenbezogener Daten“ (=sensitive Daten) umfasst die bekannten Datenarten, d.h. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit oder Informationen über Gesundheitszustand, Sexualleben oder sexuelle Orientierung hervorgehen, jedoch nunmehr auch ausdrücklich genetische und biometrische Daten. Wie nach den bestehenden Regelungen in der Datenschutzrichtlinie und dem Bundesdatenschutzgesetz gelten strengere Vorschriften für die Verarbeitung dieser sensitiven Daten. Teilweise decken sich die Erlaubnistatbestände mit den bestehenden Regelungen; es sind jedoch auch neue hinzugekommen, insbesondere für die Verarbeitung von Gesundheitsdaten. Nach den Erlaubnistatbeständen in der Verordnung ist eine Verarbeitung sensitiver Daten zulässig:
1. Wenn die Verarbeitung mit Einwilligung der betroffenen Person erfolgt. Dies entspricht der bisherigen Regelung, wobei die Mitgliedstaaten nunmehr ausdrücklich auch Fälle regeln können, in denen die Verarbeitung nicht auf eine Einwilligung gestützt werden kann.
2. Wenn die Verarbeitung erforderlich ist, um arbeitsoder sozialrechtliche Rechte und Pflichten des Betroffenen oder der verantwortlichen Stelle zu erfüllen; hierunter können auch Verarbeitungen zur Erfüllung von Vertriebsvereinbarungen fallen.
3. Wenn die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person erforderlich ist und die betroffenen Person aus physischen oder rechtlichen Gründen außer Stande ist, ihre Einwilligung zu geben. Dies entspricht der bisherigen Regelung.
4. Wenn die Verarbeitung durch Organisationen erfolgt, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind und keine Erwerbszwecke erfolgen, soweit dies für die Tätigkeit der Organisation erforderlich ist. Auch hier ist keine Änderung erfolgt.
5. Wenn (wie bisher) die betroffene Person die Daten offenkundig öffentlich gemacht hat.
6. Wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (insoweit wie bisher) oder bei Handlungen der Gerichte in ihrer gerichtlichen Eigenschaft (das ist neu) erforderlich ist.
7. Wenn dies nach einer Rechtsvorschrift eines Mitgliedstaats zur Wahrung öffentlicher Interessen erforderlich ist. Diese weitere Öffnungsklausel ermöglicht es den Mitgliedstaaten, zusätzliche Erlaubnistatbestände im öffentlichen Interesse zu schaffen.
8. Wenn die Verarbeitung für Zwecke der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Arbeitnehmers, zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsbedrohungen, zur Gewährleistung hoher Standards bei der Gesundheitsversorgung oder zu weiteren in der Verordnung genannten Zwecken aus dem Bereich der Gesundheitsvorsorge und auf der Grundlage eines Unionsakts oder einer mitgliedstaatlichen Regelung erfolgt. Diese Regelungen erweitern die bisherigen Erlaubnistatbestände und schließen bestehende Lücken, indem sie beispielsweise die Übermittlung von Daten an Dienstleister im Gesundheitsbereich erleichtern. Wie ausgeführt, sind jedoch die jeweiligen mitgliedstaatlichen oder unionsrechtlichen Regelungen im Einzelfall zu prüfen und zu beachten.
9. Wenn die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungs- oder statistische Zwecke erforderlich ist.

Checkliste zur Datenschutzgrundverordnung zum kostenlosen Download

Dieser Beitrag ist ein Auszug aus der „Checkliste: 37 Fragen zu Datenschutzgrundverordnung“ von artegic und Bird&Bird. Die vollständige Checkliste finden Sie zum kostenlosen Download unter https://www.elaine.io/checkliste-datenschutzgrundverordnung

Checkliste: 37 Fragen zur Europäischen Datenschutzgrundverordnung

Checkliste: 37 Fragen zur Europäischen Datenschutzgrundverordnung