Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
rechtmaessigkeit_der_verarbeitung [2018/11/05 18:00] – Admin | rechtmaessigkeit_der_verarbeitung [2020/12/15 22:41] (aktuell) – [Sonstiges Recht] Admin |
---|
Die **Rechtmäßigkeit der Verarbeitung** ist die Voraussetzung für die [[Verarbeitung]] [[personenbezogene| personenbezogener Daten]]. Auch unter der [[Datenschutz-Grundverordnung]] bleibt es also bei dem Prinzip eines [[Verbot mit Erlaubnisvorbehalt| Verbotes mit Erlaubnisvorbehalt]]. | ====== Rechtmäßigkeit der Verarbeitung ====== |
| |
Zentrale Regelung ist [[https://dejure.org/gesetze/DSGVO/6.html| Art. 6 Abs. 1 UA 1 DSGVO]]: | Die **Rechtmäßigkeit der Verarbeitung** ist die Voraussetzung für die [[:verarbeitung|]] [[:personenbezogene_daten| personenbezogener Daten]]. Auch unter der [[:datenschutz-grundverordnung|]] bleibt es also bei dem Prinzip eines [[:verbot_mit_erlaubnisvorbehalt| Verbotes mit Erlaubnisvorbehalt]]. |
| |
| Zentrale Regelung ist [[https://dejure.org/gesetze/DSGVO/5.html|Art. 5]] Abs. 1 lit. a DSGVO (Vgl. [[Grundsaetze für die Verarbeitung personenbezogener Daten]] folgend [[https://dejure.org/gesetze/DSGVO/6.html|Art. 6]] Abs. 1 UA 1 DSGVO: |
| |
//Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:\\ | //Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:\\ |
| a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;\\ |
| b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;\\ |
| c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;\\ |
| d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;\\ |
| e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;\\ |
| f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.// |
| |
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;\\ | Die immer wieder - vor allem von Nicht-Fachleuten - als "Königsweg" propagierte [[:einwilligung|]] nach Buchstabe a) sollte für öffentliche Stellen die Ausnahme bleiben, weil die Voraussetzungen und Folgen der Einwilligung meist nicht handhabbar sind (zu Details siehe Artikel [[:einwilligung|]]). Regelfall werden vielmehr die [[:verarbeitung_zur_erfuellung_einer_rechtlichen_verpflichtung|]] und die [[:verarbeitung_fuer_die_wahrnehmung_einer_aufgabe|]] sein. Die [[:verarbeitung_zur_wahrung_berechtigter_interessen|]] scheidet in der Regel für öffentliche Stellen aus - "Behörde" ist hier weit zu fassen. |
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;\\ | |
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;\\ | |
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;\\ | |
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;\\ | |
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.// | |
| |
Die immer wieder als "Königsweg" eingeordnete [[Einwilligung]] nach Buchstabe a) sollte für öffentliche Stellen die Ausnahme bleiben. Regelfall werden vielmehr die [[Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung]] und die [[Verarbeitung für die Wahrnehmung einer Aufgabe]] sein. Die [[Verarbeitung zur Wahrung berechtigter Interessen]] scheidet für öffentliche Stellen aus - "Behörde" ist hier weit zu fassen. | |
| |
Die **Prüfreihenfolge** lautet daher (seltene Fälle in Klammern): | Die **Prüfreihenfolge** lautet daher (seltene Fälle in Klammern): |
- c) Erfüllung einer rechtlichen Verpflichtung | |
- e) Wahrnehmung einer Aufgabe | - c) [[:verarbeitung_zur_erfuellung_einer_rechtlichen_verpflichtung|Erfüllung einer rechtlichen Verpflichtung]] |
| - e) [[:verarbeitung_fuer_die_wahrnehmung_einer_aufgabe|Wahrnehmung einer Aufgabe]] |
- b) (Erfüllung eines Vertrages) | - b) (Erfüllung eines Vertrages) |
- d) (lebenswichtige Interessen der betroffenen Person) | - d) ([[:verarbeitung_zum_Schutz_lebenswichtiger Interessen|lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person]]) |
- a) Einwilligung | - f) ([[:verarbeitung_zur_wahrung_berechtigter_interessen|]], wenn ausnahmsweise anwendbar) |
| - a) [[:einwilligung|]] |
| |
====== Weblinks ====== | Wichtig: Auch wenn auf die Einwilligung als Erlaubnistatbestand möglichst verzichtet werden soll, braucht es dennoch eine [[:datenschutzerklaerung|]], denn die Art. 12ff. [[:dsgvo|DSGVO]] gelten auch bei den anderen Erlaubnistatbeständen. Dementsprechend sollte auch begrifflich sauber unterschieden werden bei vorbereiteten Erklärungen der [[:betroffene_person|betroffenen Person]]:"Ich bin einverstanden" oder ähnliches nur bei Einwilligung. "Habe ich gelesen" oder ähnliches bei [[:verarbeitung|Verarbeitungen]] aufgrund der anderen Erlaubnistatbestände. Ebenso müssen auch bei Lösungen ohne Einwilligung das Prinzip der [[:datenminimierung|Datenminimierung]] beachtet und Technische und organisatorische Maßnahmen ([[:tom|TOM]]) ergriffen werden. |
| |
| |
| ===== Thüringer Datenschutzgesetz ===== |
| |
| Das Thüringer Datenschutzgesetz regelt die Rechtmäßigkeit der Verarbeitung in [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=DSG+TH+%C2%A7+16&psml=bsthueprod.psml&max=true|§ 16]] [[ThürDSG]]. Dabei knüpft § 16 Abs. 1 ThürDSG an Art. 6 Abs. 1 UA 1 Buchstabe e DSGVO ([[Verarbeitung für die Wahrnehmung einer Aufgabe]]) an, wobei vorläufig offen bleiben muss, ob die Vorschrift einen eigenständigen Regelungsgehalt besitzt. § 16 Abs. 2 ThürDSG erlaubt [[besondere Kategorien personenbezogener Daten]] unter im Einzelfall möglicherweise etwas anderen Voraussetzungen zu verarbeiten, als [[https://dejure.org/gesetze/DSGVO/9.html| Art. 9]] DSGVO das zulässt. |
| |
| ===== Sonstiges Recht ===== |
| |
| Das Erfordernis nach Rechtmäßigkeit der Verarbeitung ist umfassend zu verstehen. Art. 6, insbesondere Absatz 1 UA 1, DSGVO sind also nur eine notwendige aber nicht unbedingt auch hinreichende Voraussetzung für die Rechtmäßigkeit. |
| |
| Auch aus anderen Vorschriften können sich Anforderungen für die Rechtmäßigkeit ergeben, wenn diese als [[Schutzzweck der Norm|Schutzzweck]] zumindest auch den Datenschutz haben. Das ist zum Beispiel der Fall bei der notwendigen Anhörung/Mitwirkung von Betriebs- oder Personalrat (Siehe [[:personalrat#mitwirkung_in_datenschutzangelegenheiten|Personalrat#Mitwirkung in Datenschutzangelegenheiten]].). Andererseits wäre es für eine datenschutzrechtlich rechtswidrige Verarbeitung beispielsweise nicht ausreichend, dass die ausführenden Beschäftigten unter Verstoß gegen das Mindestlohngesetz ([[https://www.gesetze-im-internet.de/milog/BJNR134810014.html|MiLoG]]) bezahlt werden. |
| |
| Weiterhin muss sich der Schutzzweck der Norm gerade auch die [[betroffene Person]] erfassen. Im vorgenannten Beispiel kann sich also auf eine unterlassene Anhörung des Personalrats nur ein Beschäftigter berufen, der von diesem Personalrat vertreten wird, aber keine Dritte Person. |
| |
| ===== Weblinks ===== |
| |
* [[https://beck-online.beck.de/?vpath=bibdata%2fkomm%2fBeckOKDatenS_25%2fEWG_DSGVO%2fcont%2fBECKOKDATENS%2eEWG_DSGVO%2eA6%2eglB%2ehtm| BeckOK DatenschutzR/Albers/Veit, 25. Ed. 1.5.2018, DS-GVO Art. 6 Rn. 11-54]] | * [[https://beck-online.beck.de/?vpath=bibdata%2fkomm%2fBeckOKDatenS_25%2fEWG_DSGVO%2fcont%2fBECKOKDATENS%2eEWG_DSGVO%2eA6%2eglB%2ehtm| BeckOK DatenschutzR/Albers/Veit, 25. Ed. 1.5.2018, DS-GVO Art. 6 Rn. 11-54]] |
| |
| {{tag>Artikel}} |