Dies ist eine alte Version des Dokuments!
Die Rechtmäßigkeit der Verarbeitung ist die Voraussetzung für die Verarbeitung personenbezogener Daten. Auch unter der Datenschutz-Grundverordnung bleibt es also bei dem Prinzip eines Verbotes mit Erlaubnisvorbehalt.
Zentrale Regelung ist Art. 6 Abs. 1 UA 1 DSGVO:
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Die immer wieder als „Königsweg“ eingeordnete Einwilligung nach Buchstabe a) sollte für öffentliche Stellen die Ausnahme bleiben, weil die Voraussetzungen und Folgen der Einwilligung meist nicht handhabbar sind (zu Details siehe Artikel Einwilligung). Regelfall werden vielmehr die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung und die Verarbeitung für die Wahrnehmung einer Aufgabe sein. Die Verarbeitung zur Wahrung berechtigter Interessen scheidet idR für öffentliche Stellen aus - „Behörde“ ist hier weit zu fassen.
Die Prüfreihenfolge lautet daher (seltene Fälle in Klammern):
- b) (Erfüllung eines Vertrages)
- d) (lebenswichtige Interessen der betroffenen Person)
- f) (Berechtigtes Interesse, wenn ausnahmsweise anwendbar)
- a) Einwilligung
Thüringer Datenschutzgesetz
Das Thüringer Datenschutzgesetz regelt die Rechtmäßigkeit der Verarbeitung in § 16 ThürDSG. Dabei knüpft § 16 Abs. 1 ThürDSG an Art. 6 Abs. 1 UA 1 Buchstabe e DSGVO (Verarbeitung für die Wahrnehmung einer Aufgabe) an, wobei vorläufig offen bleiben muss, ob die Vorschrift einen eigenständigen Regelungsgehalt besitzt. § 16 Abs. 2 ThürDSG erlaubt Besondere Kategorien personenbezogener Daten unter im Einzelfall möglicherweise etwas anderen Voraussetzungen zu verarbeiten, als Art. 9 DSGVO das zulässt.