Datenschutz im Unternehmen umsetzen – Wann ist die Verarbeitung von personenbezogenen Daten erlaubt?
Die Verarbeitung von personenbezogenen Daten ist grundsätzlich nicht erlaubt, es sei denn es gibt eine rechtliche Grundlage für deren Verarbeitung („Verbot mit Erlaubnisvorbehalt“). Im Datenschutz gibt es unterschiedliche Gründe, warum personenbezogene Daten verarbeitet werden dürfen.
Verbot mit Erlaubnisvorbehalt im Datenschutz
Dieses Prinzip besagt, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, sofern keine ausdrückliche Erlaubnis bzw. rechtliche Grundlage hierfür vorliegt.
Dieses Prinzip ist zentral in der Datenschutz-Grundverordnung (DS-GVO) sowie im Bundesdatenschutzgesetz (BDSG) festgelegt und dient dem Schutz von personenbezogenen Daten von Betroffenen.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS: WAS BEDEUTET SPEICHERBEGRENZUNG?
Rechtliche Grundlagen
Gemäß Artikel 6 der DS-GVO ist die Verarbeitung personenbezogener Daten nur unter bestimmten Bedingungen erlaubt. Diese Bedingungen stellen die Erlaubnistatbestände dar und umfassen unter anderem:
- Einwilligung: Die Person, deren Daten verarbeitet werden, hat ihre informierte Einwilligung zu einer oder mehreren bestimmten Verarbeitungszwecken gegeben.
- Vertragserfüllung: Die Verarbeitung der Daten ist notwendig für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder um auf Anfrage der betroffenen Person vor Vertragsschluss Maßnahmen zu ergreifen.
- rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
- lebenswichtige Interessen: Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
- öffentliches Interesse oder Ausübung öffentlicher Gewalt: Die Verarbeitung ist notwendig zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
- Berechtigtes Interesse: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
BLOG-TIPP: WAS SIND LÖSCHFRISTEN IM DATENSCHUTZ?
Verbot mit Erlaubnisvorbehalt – Bedeutung in der Praxis
Das Verbot mit Erlaubnisvorbehalt bedeutet in der Praxis, dass Unternehmen und Organisationen sehr sorgfältig prüfen müssen, auf welcher rechtlichen Grundlage sie personenbezogene Daten verarbeiten.
Sie müssen sicherstellen, dass mindestens einer der oben genannten Tatbestände auf jede Verarbeitung zutrifft. Dies erfordert eine gründliche Auseinandersetzung mit den Datenverarbeitungsprozessen und -zwecken sowie eine umfassende Dokumentation und Transparenz.
Herausforderungen und Best Practices
Die Einhaltung des Verbot-mit-Erlaubnisvorbehalt-Prinzips stellt Unternehmen vor verschiedene Herausforderungen:
- Erklärung und Dokumentation: Unternehmen müssen sicherstellen, dass sie die rechtliche Grundlage für jede Datenverarbeitung dokumentieren und nachweisen können.
- Transparenz: Unternehmen müssen die Betroffenen umfassend über den Zweck und die Rechtsgrundlage der Datenverarbeitung informieren.
- Einwilligungsmanagement: Bei Verarbeitungsvorgängen, die auf der Einwilligung der Betroffenen beruhen, müssen Unternehmen ein wirksames Einwilligungsmanagementsystem implementieren, das den Widerruf der Einwilligung ebenso berücksichtigt.
Die Einwilligung im Datenschutz
Im Bereich des Datenschutzes spielt daher die Einwilligung eine zentrale Rolle. Sie ist ein essenzielles Instrument zur rechtmäßigen Verarbeitung personenbezogener Daten und unterliegt dabei strengen gesetzlichen Anforderungen.
Einwilligungserklärungen müssen gemäß der Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) bestimmten Kriterien genügen, um als rechtmäßig zu gelten. Folgende Anforderungen sind dabei besonders relevant:
Die Einwilligung muss freiwillig erteilt werden, ohne dass der Betroffene unter Druck gesetzt wird oder Nachteile bei Nicht-Erteilung der Einwilligung befürchten muss. Der Betroffene muss umfassend über die Datenverarbeitung informiert werden. Dies beinhaltet:
- Den Zweck der Datenverarbeitung
- Die Identität des Verantwortlichen
- Die Arten der erfassten Daten
- Das Recht auf Widerruf der Einwilligung
Die Einwilligung muss durch eine klare, eindeutige Handlung oder Erklärung erteilt werden. Stillschweigen, bereits angekreuzte Kästchen oder Inaktivität reichen nicht aus. Der Verantwortliche muss nachweisen können, dass die Einwilligung erteilt wurde. Dies kann durch schriftliche Erklärungen, digitale Bestätigungen oder andere dokumentierte Formen erfolgen.
BLOG-TIPP: GRUNDSÄTZE IM DATENSCHUTZ: WAS BEDEUTET ZWECKBINDUNG?
Die Form der Einwilligung im Datenschutz
Einwilligungen müssen dokumentiert werden. Während schriftliche Einwilligungen oft bevorzugt werden, sind auch elektronische Formen möglich, sofern sie den anderen Anforderungen entsprechen.
Neben der Einhaltung rechtlicher Vorgaben ist es entscheidend, Einwilligungserklärungen so zu gestalten, dass sie für den Betroffenen verständlich und benutzerfreundlich sind. Hier einige Best Practices:
Klare und einfache Sprache, vermeiden Sie Fachjargon und verwenden Sie einfache, klare Sprache. Fachbegriffe sollten erklärt werden, sodass auch Laien den Inhalt verstehen.
Strukturieren Sie die Einwilligungserklärung klar und übersichtlich. Verwenden Sie Überschriften und Absätze, um verschiedene Themen zu trennen. Listen Sie die Zwecke der Datenverarbeitung in klar gegliederten Punkten auf. Betonen Sie wichtige Informationen, wie das Widerrufsrecht, durch hervorhebende Formatierungen.
Nutzen Sie eine ansprechende und gut lesbare Schriftgröße und -art. Stellen Sie sicher, dass die Erklärung auch auf mobilen Geräten gut lesbar ist. Formulieren Sie Einwilligungserklärungen in der aktiven Stimme, um die Aussagekraft zu erhöhen.
Informieren Sie deutlich über das Widerrufsrecht und die einfache Möglichkeit, die Einwilligung jederzeit zu widerrufen. Bieten Sie hierfür klare Kontaktinformationen an.
BLOG-TIPP: LEITFADEN ZUR UMSETZUNG VON DATENSCHUTZMASSNAHMEN IM UNTERNEHMEN
Umfangreiche Anforderungen an die Einwilligungserklärung
Die rechtlichen Anforderungen an Einwilligungserklärungen sind umfangreich, aber unabdingbar für eine rechtskonforme Verarbeitung von personenbezogenen Daten.
Durch klare, verständliche und transparent gestaltete Einwilligungserklärungen schaffen Sie Vertrauen und fördern die Akzeptanz bei den Betroffenen. Achten Sie dabei auf die Einhaltung der gesetzlichen Vorgaben und die Umsetzung der genannten Best Practices, um sowohl rechtliche Sicherheit als auch Nutzerfreundlichkeit zu gewährleisten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.