background

Rechtmäßigkeit der Verarbeitung 

Die eigene Datenverarbeitung legitimieren.

Rechtmäßigkeit einer Datenverarbeitung

Bis zum 25.05.2018 war die Zulässigkeit einer Datenverarbeitung über das BDSG definiert. Seither ist diese Basis in der DSGVO zu finden.

So legitimieren Sie die Rechtmäßigkeit Ihrer Datenverarbeitung

Das Verbot mit Erlaubnisvorbehalt war bisher in   § 4 Absatz 1 BDSG (alt)   niedergelegt:

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet, oder der Betroffene eingewilligt hat.

Die indizierte Rechtswidrigkeit ergibt sich hier aus dem Wort „nur“. Nehmen Sie das auch als Beispiel für die Notwendigkeit, Gesetzestexte mit unbedingter Exaktheit zu lesen und sich über die möglichen Bedeutungen eines jeden Wortes bewusst zu sein. Für den, der seine Berufung in anderen Bereichen als der Interpretation von Texten sieht, ist solches wahrscheinlich eine lästige Aufgabe. Ein weiterer Punkt an dem man vielleicht um einen eDSB dankbar ist. Immerhin ist der DSB im Lesen und Erkennen des Informationsgehalts eines juristischen Textes geschult. Nutzen Sie diesen Vorteil für sich!

Historisch gesehen beginnt die Anerkennung eines Rechts der Person auf Selbstbestimmung, in Bezug auf die persönlichen Daten, am 15. Dezember 1983 in Deutschland. Das Bundesverfassungsgericht hatte sich mit der Zulässigkeit der Verfassungsbeschwerden gegen die damalige Volkszählung befasst. Im daraus resultierenden Urteil wurden Grundsätze des verfassungskonformen Umgangs mit Daten festgeschrieben.

“Im Grunde wurde die DSGVO durch die couragierte Weigerung vieler Deutscher, sich in der Volkszählung 1983 zu offenbaren, maßgeblich beeinflusst!”
Eine Verarbeitung rechtfertigen oder ein anderes Konzept wählen
Eine Verarbeitung rechtfertigen oder ein anderes Konzept wählen.

Legitimation

Grundsätzlich sind persönliche Daten Privateigentum. Für eine Verarbeitung muss folglich der Eigentümer eine Einwilligung geben. Dies ist die ideale Art der Legitimation. Da andererseits für elementare Abläufe des täglichen Lebens diese explizite Erlaubnis nicht immer eingeholt werden kann, gibt es noch andere Rahmenbedingungen, welche die Verarbeitung legitimieren:

  • Die Verarbeitung ist für die Erfüllung eines Vertrags, oder zur Durchführung vorvertraglicher Maßnahmen mit der betroffenen Person erforderlich.
  • Der Verantwortliche unterliegt einer rechtlichen Verpflichtung zu deren Erfüllung die Verarbeitung erforderlich ist.
  • Lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person sind zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Gründe für sich reklamieren

Wir dürfen also nicht einfach so auf das Eigentum anderer zugreifen. Das wird für jeden verständlich sein. Wir dürfen aber Verarbeiten, wenn eine der vorgenannten Bedingungen für unser Anliegen zur Rechtfertigung herangezogen werden kann.

Beschreiben Sie also im ersten Schritt den Dienst, den Sie Ihrem Klienten anbieten. Im Falle einer Dienstleistung ist es ganz leicht dies zu tun. Wenn Sie Produkte verkaufen, dann besteht Ihr Dienst darin dem Käufer zu ermöglichen, in den Besitz des Produkts zu gelangen. Für diesen Prozess ergeben sich natürlich auch unterschiedliche Notwendigkeiten der Datenverarbeitung. Dabei ist zu beachten, dass schon das bloße Wählen einer Telefonnummer eine Verarbeitung darstellt. Das Auslesen der Nummer und anschließende Wählen ist der Verarbeitungsvorgang.

Im zweiten Schritt müssen Sie überlegen welche Verarbeitungen sich durch Ihre grundsätzlichen und zulässigen Notwendigkeiten als Unternehmer legitimieren lassen. Es muss ihnen natürlich möglich sein Kontakt, zu potentiellen Interessenten für Ihren Dienst, aufnehmen zu können. Wenn der Erstkontakt vom Interessenten ausgeht, dann ist es leicht an diesem Punkt eine konkrete Erlaubnis einzuholen. Wenn Sie von sich aus auf Interessenten mit noch ungeklärtem Potential zugehen wollen, dann ist die Situation schwieriger.

Einfach das Telefon in die Hand zu nehmen und wahllos Nummern aus einem Telefonverzeichnis wählen, geht nicht (Belästigung). Ebenso das blinde versenden von Mails (Spam). Beachten Sie hierbei auch, dass der Nutzung der Impressumdaten für Werbezwecke in der Regel durch einen entsprechenden Passus in der Datenschutzerklärung untersagt wird: "Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit widersprochen.""

Es muss also eine gewisse Basis an Indizien geben, die die vermutliche Gewünschtheit eines Kontakts durch die betroffene Personen realistisch erscheinen lassen. Man spricht hier von "konkludentem Handeln". Dies ist sicherlich dann gegeben, wenn jemand sich anmeldet um einen Termin für eine konkrete Dienstleistung zu bekommen.

Jetzt spielt aber schon die Menge der erfassten Daten eine Rolle. Es sollen immer nur so viele wie nötig sein (Datensparsamkeit). Für die vorgenannte Anmeldung zum Termin wird sie sich folglich auf Namen und Telefonnummer beschränken. Weitere Informationen müssen separat erfragt werden und die Person muss der Verarbeitung nachvollziehbar zustimmen.

... und rechtfertigen!

Das wäre der dritte Schritt im Programm. Für die Rechtfertigung eines Verarbeitungsgrundes müssen wir uns immer auf die konkreten Rechtsstellen beziehen.

Art. 6 DSGVO Litera f liefert uns hier den ersten verwertbaren Ansatz:

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Natürlich haben Sie als Unternehmer ein berechtigtes Interesse die Kontaktdaten (der Name beschreibt schon deren Umfang) Ihres künftigen Klienten zu speichern und abrufbereit zu halten. Die logische Weiterführung des Ablaufs führt dazu, dass Sie diese Kontaktdaten um Informationen zum Anliegen der Person ergänzen dürfen. Im digitalen Zeitalter (wo der meiste Informationsaustausch per Mail und Newsletter erfolgt) ist für Straße, Hausnummer, Postleitzahl und Wohnort eine Notwendigkeit nicht unbedingt gegeben. Vor allem sollten Sie aber an folgendes Denken: Die "Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person" werden hier immer als ein sehr hohes Rechtsgut betrachtet. Dem gegenüber stehen Sie als Unternehmer mit Ihrer Absicht Gewinn zu erzielen auf einem viel niedrigeren Level. Die Nutzung dieses Artikels ist daher wirklich nur für die elementarsten Abläufe durchsetzbar.

Auch Art. 6 DSGVO Litera b lässt sich bemühen:   

Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.

Konkludentes Handeln fällt unter diesen Gesichtspunkt.

Darüber hinaus bedingen noch zahlreiche andere, übergeordnete Gesetzesvorschriften, die Notwendigkeit persönliche Daten zu verarbeiten und für bestimmte Zeit zu speichern:

  • § 147 AO
  • § 257 HGB
  • § 4 Abs. 2 und 2a LStDV
  • § 157 HGB
  • § 26 BDSG
  • § 7 Abs. 7 Arbeitsgesetz
  • § 7 III UWG
  • Art. 28 DSGVO
  • Art. 88 DSGVO

Dies sollte einige Ansatzpunkte für Ihre Überlegungen zur Rechtfertigung von Verabeitungsprozessen liefern. Bitte beachten Sie, dass es nur Anregungen sein können. Bei Unklarheiten in ihrem individuellen Entscheidungsprozess können Sie als erstes eine DS-Beratung in der WEB-Lounge buchen.

Zum Datenschutzpaket und Login

Sie sind nicht eingeloggt. Um mehr zu sehen und Vorlagen zu nutzen, bitte Datenschutzpaket erwerben und einloggen!