DATEN RICHTIG VERARBEITEN

So handeln Sie datenschutzkonform
DATEN RICHTIG VERARBEITEN

Mit der DSGVO kamen weitere Anforderungen an Unternehmen, wie Daten zu verarbeiten sind. Wir sagen Ihnen, wie Daten verarbeitet werden.

Datenverarbeitung

DATEN RECHTMÄSSIG VERARBEITEN

Die Datenschutzgrundverordnung stellt in Kapitel zwei verschiedene Prinzipien heraus, die es bei der Datenverarbeitung zwingend zu beachten gilt. Hierzu gehören neben den in Art. 5 DSGVO genannten Prinzipien auch der Grundsatz der Rechtmäßigkeit in Art. 6 DSGVO, Prinzipien zu Einwilligungen nach Art. 7, 8 DSGVO sowie die weiteren Prinzipien in den Regelungen der Art. 9-11 DSGVO. Hinzu treten aufgrund der vorhandenen Öffnungsklauseln nationale Regelungen.

Diese Prinzipien der DSGVO gilt es durch verschiedene Maßnahmen abzusichern. Hierzu gehört zunächst die technische Absicherung gemäß Art. 25-32 DSGVO, die Dokumentations- und Nachweispflicht, die Beachtung der Rechte der betroffenen Personen nach Art. 12-23 DSGVO, organisatorische Absicherungen des Unternehmens gemäß Art. 24-31; 35-36 DSGVO, die Einhaltung von Standards und Zertifizierungen gemäß Art. 40-43 DSGVO und die Überwachung durch den Datenschutzbeauftragten, soweit einer zu bestellen ist, gemäß Art. 37-39 DSGVO.

PRINZIPIEN DER DATENVERARBEITUNG NACH ART. 5 DSGVO Die wesentlichen Prinzipien der Datenverarbeitung haben Eingang in Art. 5 DSGVO, analog den Prinzipien des BDSG, gefunden und sind teilweise in den weiteren gesetzlichen Regelungen dann konkretisiert worden. Aus Art. 5 DSGVO ergeben sich die folgenden Prinzipien:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Die Verarbeitung soll auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erfolgen.

Zweckbindung Die Verarbeitung darf nur für im vorhinein festgelegte Zwecke erfolgen. Eine Weiterverarbeitung der personenbezogenen Daten in einer nicht mit dem im vorhinein angegebenen Zweck zu vereinbarenden Weise ist unzulässig. Erfolgt im Laufe der Verarbeitung eine Zweckänderung löst dies für Unternehmen eine Prüfungspflicht nach Art. 6 Abs. 4 DSGVO aus, die auch zu dokumentieren ist. Als Prüfungskriterien sind bei dieser Vereinbarkeitsprüfung insbesondere die Verbindung zwischen dem Zweck der Erhebung und der Weiterverarbeitung, der Zusammenhang in dem die Daten erhoben wurden, die Art der personenbezogenen Daten, mögliche Folgen der beabsichtigten Weiterverarbeitung für die betroffene Person und das Vorhandensein entsprechender Garantien, die auch Verschlüsselungen oder Pseudonomisierungen betreffen können, zu berücksichtigen. Sollte von der betroffenen Person eine Einwilligung auch für weiterverarbeitende Zwecke eingeholt worden sein, so müssen nach Erwägungsgrund 32 alle Zwecke von der Einwilligung umfasst sein, damit eine Weiterverarbeitung aufgrund der Einwilligung zulässig ist.

Datenminimierung Die Verarbeitung muss dem Zweck angemessen sein und auf das notwendige Maß beschränkt sein.

Richtigkeit Die verarbeiteten Daten müssen richtig und auf dem aktuellen Stand sein. Unrichtige Daten müssen unverzüglich berichtigt oder gelöscht werden.

Speicherbegrenzung Eine Speicherung der personenbezogenen Daten darf nur so lange erfolgen, wie es für den betreffenden Zweck erforderlich ist.

Integrität und Vertraulichkeit Das verarbeitende Unternehmen muss für ausreichenden Schutz gegen unbefugte oder unrechtmäßige Verarbeitung, Zerstörung oder Schädigung sorgen.

Rechenschaftspflicht Die Einhaltung der vorstehenden Prinzipien muss durch den Verantwortlichen nachgewiesen werden können. Aus dieser Regelung in Art. 5 Abs.2 DSGVO sowie aus Art. 24 DSGVO ergibt sich dann auch das Erfordernis eines umfassenden Datenschutz-Management-Systems. Denn die Regelungen zur Rechenschaftspflicht begründen eine Beweislastumkehr, nach welcher betroffene Unternehmen nachweisen können müssen, dass sie compliant, also konform der datenschutzrechtlichen Anforderungen, gehandelt haben. Ein solcher Nachweis ist gleichwohl nur durch ein umfassendes Datenschutz-Management-System möglich.

Hierzu müssen dann eine Datenschutzpolicy, die den Datenschutz im Unternehmen regelt und einen Verantwortlichen benennt sowie ein dokumentiertes Datenschutz-Risikomanagement-System mit abgeleiteten Maßnahmen und interne Audits gehören.

ERLAUBNISTATBESTÄNDE
Wie bereits die Datenschutzrichtlinie und das Bundesdatenschutzgesetz, beruht auch die DSGVO auf dem Prinzip des Verbots der Datenverarbeitung mit Erlaubnisvorbehalt, was sich u.a. aus Erwägungsgrund 40 ergibt. Danach ist die Verarbeitung personenbezogener Daten weiterhin unzulässig, es sei denn, die Voraussetzungen eines Erlaubnistatbestands sind erfüllt. Art. 6 Abs. 1 DSGVO enthält diese allgemeinen Rechtfertigungstatbestände.

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

RECHTMÄßIGKEIT DER VERARBEITUNG NACH ART. 6 DSGVO
Im Bereich der Rechtmäßigkeit der Datenverarbeitung findet in Deutschland keine wesentliche Änderung der bisherigen Regelungen statt. Denn auch die bisherige Regelung in §4 Abs. 1 BDSG (alt) sah eine Rechtmäßigkeit der Verarbeitung nur unter bestimmten Voraussetzungen vor, was sich aus dem Wortlaut „ist nur rechtmäßig, wenn …“ ergibt.

Diese Formulierung hat der europäische Verordnungsgeber übernommen und in Art. 6 Abs.1 DSGVO festgelegt, dass die Verarbeitung nur dann rechtmäßig ist, wenn mindestens eine der dort aufgezählten Bedingungen erfüllt ist.

Danach ist die Datenverarbeitung rechtmäßig, wenn

  • die betroffene Person in die Verarbeitung eingewilligt hat
  • die Verarbeitung zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist sowie von dieser veranlasste vorvertragliche Maßnahmen
  • die Verarbeitung für die Erfüllung einer rechtlichen Pflicht erforderlich ist und der Verantwortliche dieser Verpflichtung unterliegt
  • lebenswichtige Interessen der betroffenen oder anderer Personen geschützt werden sollen und die Verarbeitung hierfür notwendig ist
  • die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, erforderlich ist
  • die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist

Allgemeine gesetzliche Erlaubnistatbestände für die Verarbeitung personenbezogener Daten ergeben sich aus Art. 6 Abs. 1 lit. b) – f) DSGVO.

Die für Unternehmen wichtigsten Regelungen sind dabei in Art. 6 Abs.1 lit. a) und b) DSGVO zu finden, wonach eine Verarbeitung personenbezogener Daten einerseits mit einer Einwilligung zulässig ist, deren Bedingungen in Art. 7 DSGVO konkretisiert werden, und andererseits die Verarbeitung zur Erfüllung eines Vertrages erforderlich ist.

Bei der Datenverarbeitung zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b) DSGVO muss der Verantwortliche wie bisher in §28 Abs.1 S.1 Nr. 2 BDSG (alt) prüfen und sicherstellen, dass die Datenverarbeitung zur Vertragserfüllung erforderlich ist. Der Umfang zulässiger Verarbeitungsvorgänge ergibt sich also insbesondere aus der vertraglichen Leistungsbestimmung. Aber auch, wenn der Betroffene im Rahmen vorvertraglicher Verhandlungen eine Verarbeitung seiner personenbezogenen Daten veranlasst hat, ist die Verarbeitung dieser Daten im Sinne von Art. 6 Abs.1 lit. b) DSGVO erforderlich und damit zulässig.

Hinweis: Die Regelung in Art. 6 lit. d) DSGVO ist nicht im Sinne von polizeilichen Maßnahmen oder sonstigen Sicherheitsvorkehrungen zu verstehen. Die diesbezüglich anwendbaren Regelungen sind zeitgleich mit der hiesigen Regelung in einer Richtlinie verabschiedet worden. Eine Umsetzung der Richtlinie für die Polizeiarbeit ergibt sich deshalb durch die Umsetzung der Richtlinie in das BDSG.

Bei Art. 6 lit. f) DSGVO ist eine Interessenabwägung vorzunehmen, soweit berechtigte Interessen des Verantwortlichen oder eines Dritten die Datenverarbeitung erforderlich macht. In Art. 6 Abs. 1 lit. f) DSGVO ist jetzt ausdrücklich geregelt, dass bei der Verarbeitung personenbezogener Daten von Kindern deren Interessen in besonderem Maße zu berücksichtigen sind. Zur Auslegung und Anwendung der Tatbestandsvoraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO wird man sich an den zu § 28 Abs. 1 S. 1 Nr. 2 BDSG (alt) entwickelten Grundsätzen orientieren können. Ergänzend ergeben sich aus Erwägungsgrund 47 die Kriterien der angemessenen Beziehung zwischen dem Verantwortlichen und dem Betroffenen sowie der Vorhersehbarkeit der Datenverarbeitung für den Betroffenen.

Ein solches berechtigtes Interesse könnte z.B. die Datenübermittlung im Konzernverbund sein. Auch wenn kein grundsätzliches Konzernprivileg vorhanden ist, so wird ein berechtigtes Interesse für die konzerninterne Datenübermittlung für Kundendaten und HR-Daten in Erwägungsgrund 48 aufgeführt. Auch für internationale Übermittlungen kann ein berechtigtes Interesse nach Art. 46, 49 DSGVO vorliegen, wobei diese restriktiv auszulegen sind.

Darüber hinaus kann ein berechtigtes Interesse auch zum Zwecke des Direktmarketings vorliegen, da Direktmarketing als mögliches überwiegendes Interesse in Erwägungsgrund 47 genannt ist. Eine eigene Regelung für das Direktmarketing, wie sie in §28 Abs.3 BDSG (alt) vorgesehen war, gibt es in der DSGVO nicht. Vielmehr ist eine Datenverarbeitung zum Zwecke des Direktmarketings nach der Regelung in §6 Abs.1 lit. f) DSGVO möglich. Gleichwohl entfällt hierdurch die Voraussetzung einer Einwilligung nicht, da diese schon aus wettbewerbsrechtlichen Gründen notwendig ist.

Das berechtigte Interesse des datenverarbeitenden Unternehmens wird allerdings dann hinter den berechtigten Interessen der betroffenen Person zurückstehen, wenn diese nach Art. 21 DSGVO der Verarbeitung widersprochen hat. Unternehmen sind in diesem Zusammenhang insbesondere auf die Regelung in Art. 21 Abs. 4 DSGVO hinzuweisen, wonach die betroffene Person zwingend über das ihr zustehende Widerspruchsrecht zu informieren ist. Insoweit besteht also für Unternehmen eine Informationspflicht.

Sobald eine betroffene Person der Verarbeitung widersprochen hat, entfällt die Rechtmäßigkeit der Verarbeitung für die Zukunft. Ein grundsätzlicher Widerspruch kann für Werbung und Profiling durch betroffene Personen erklärt werden.

Das Widerspruchsrecht der betroffenen Person erfährt nur insoweit eine Einschränkung, als dass der Widerspruch dann nicht durchgreift, wenn ein zwingendes schutzwürdiges Interesse des Verantwortlichen, z.B. zur Rechtsdurchsetzung, besteht. Die hierfür heranzuziehenden Gründe müssen sich aus den persönlichen Umständen des Betroffenen ergeben und müssen damit begründet werden können.

EINWILLIGUNG IN DIE DATENVERARBEITUNG NACH ART. 7 DSGVO
Die Datenverarbeitung ist gemäß Art. 6 Abs.1 lit. a) DSGVO immer dann zulässig, wenn eine Einwilligung der betroffenen Person vorliegt. Die Voraussetzungen für eine Einwilligung sind in Art. 7 DSGVO geregelt. Die dort normierten Anforderungen gehen dabei über die bisherigen Anforderungen des BDSG (alt) hinaus. Auch nach der Datenschutzgrundverordnung wird die Einwilligung also ein wichtiges Mittel zur Rechtfertigung von Datenverarbeitungsprozessen bleiben.

Nach Art. 7 DSGVO muss die betroffene Person zunächst über den Zweck und den Umfang der Verarbeitung informiert werden. Ebenso ist der Betroffene über den Verantwortlichen zu informieren. Anschließend wird eine freiwillige eindeutige Bestätigungshandlung der betroffenen Person verlangt, die zwar auch mündlich oder elektronisch erklärt werden kann, gleichwohl durch die verarbeitende Stelle auch nach Jahren noch nachweisbar sein muss. Sog. Opt-Out-Verfahren werden durch Erwägungsgrund 32 endgültig ausgeschlossen. Auch Schweigen, Untätigkeit oder vorausgefüllte Checkboxen führen zu keiner wirksamen Einwilligung. Darüber hinaus muss die Einwilligung widerrufbar sein durch die betroffene Person und für verschiedene Zwecke und Verarbeitungsvorgänge müssen separate Einwilligungen vorliegen.

Der Text zur Einwilligung muss dabei unmissverständlich sein, d.h. er muss in verständlicher und leicht zugänglicher Form, also klarer und einfacher Sprache, abgefasst sein. Die sich hieraus ergebenden Auswirkungen sind derzeit noch unklar. Unzulässig dürften Einwilligungsvereinbarungen in sog. „Juristen-Deutsch“ oder in einer Fremdsprache sein. Aber auch Schachtelsätze sollten vermieden werden, da diese eine Lesbarkeit ggf. verkomplizieren.

Ob eine Freiwilligkeit der Einwilligung vorliegt bedarf einer Abwägung im Einzelfall unter Berücksichtigung aller Umstände, die zur Erteilung der Einwilligung geführt haben.

Die Handlung des Betroffenen ist nur dann freiwillig, wenn ihm gegenüber kein Druck ausgeübt wird und die Freiwilligkeit auch nicht gemäß Art. 7 Abs.4 DSGVO durch ein Kopplungsgeschäft hergestellt wird. Denn eine Freiwilligkeit liegt schon dann nicht mehr vor, wenn die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung z.B. davon abhängig gemacht wird, dass mehr Daten des Betroffenen abgegeben werden sollen, als für die Erbringung der Leistung erforderlich wäre. Ein Kopplungsgeschäft könnte aber auch dann vorliegen, wenn Daten als „Zahlungsmittel“ für ansonsten unentgeltliche (Internet-)Dienste eingesetzt werden. Ebenfalls könnte eine Freiwilligkeit bei einem Über- und Unterordnungsverhältnis, wie z.B. einem Beschäftigungsverhältnis vorliegen. In einem solchen Fall wäre der Abschluss einer Betriebsvereinbarung für diese Einwilligungen empfehlenswert, da eine Betriebsvereinbarung nach Erwägungsgrund 155 zulässig ist.

VORTEILE

LEGAL TECH PLUS

LEGAL SMART | Die innovative Legal Tech Kanzlei aus Berlin vereint alle Vorteile. LEGAL SMART vereint sämtliche Vorteile einer klassischen Anwaltskanzlei mit dem userfreundlichen Angebot eines Legal Tech Unternehmens. Wir haben unsere Prozesse wie ein Legal Tech Unternehmen ausgerichtet und können Sie trotzdem mit der Kompetenz einer Rechtsanwaltskanzlei in allen Fragen des Wirtschafts- und Zivilrechts beraten.

Wie geht das? Wir entwickeln seit Jahren innovative Technologie, welche uns bei der täglichen Arbeit für optimale und schnelle Ergebnisse für unsere Mandanten unterstützt oder die wir Ihnen direkt online zur Verfügung stellen können.

LEGAL SMART ist eine im Wirtschats- und Zivilrecht tätige Rechtsanwaltskanzlei und berät und vertritt Unternehmen und Verbraucher im vorgerichtlichen wie im gerichtlichen Verfahren. Dabei entwickeln wir für unsere Mandanten immer eine auf den wirtschaftlichen Erfolg ausgerichtete Strategie; wir sprechen eine klare Sprache mit unseren Mandanten und begleiten Sie regelmäßig auch bei der Umsetzung der erzielten Ergebnisse.
Legal Tech wird dort angeboten, wo für ein bestimmtes rechtliches Problem eine Lösung unter Einsatz einer Online-Assistenten möglich ist. Legal Tech zeichnet sich dabei dadurch aus, dass schnelle Lösungen erzielt werden und das Problem komplett abgegeben werden kann. Aber warum sollte das nur außerhalb einer Anwaltskanzlei möglich sein? Das haben wir uns auch gedacht und deshalb mit der hohen Kompetenz unserer Rechtsanwälte für unsere Mandanten schnelle Lösungen in Anwaltsqualität entwickelt. Nutzen Sie unsere einfachen Online-Assistenten und wir erledigen den Rest für Sie.
Digitale Rechtsprodukte sind ein Teil der Zukunft des Rechtsmarkts. LEGAL SMART war die erste Rechtsanwaltskanzlei in Deutschland, die digitale Rechtsprodukte angeboten hat, um Mandanten jederzeit online verfügbare Lösungen in Anwaltsqualität zur Verfügung zu stellen. Und unser Team entwickelt dort stämdig neue Lösungen, wo die Ergebnisse online und offline dieselbe Qualität aufweisen und für den konkreten Einzelfall geeignet sind.
Bei LEGAL SMART arbeiten Anwälte mit Visionen und dem Ziel, die Zukunft des Rechtsmarkts neu zu gestalten. Sie werden durch innovative, junge Leute aus verschiendenen Bereichen unterstützt, um durch effiziente Prozesse immer wieder neue Wege zum besten Rechtsschutz zu finden. Denn wir glauben, dass nicht nur Start-Ups innovativ sein können.
LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS

LEGAL SMART Rechtsprodukt Anwaltliche Erstberatung
149,00 €

Anwaltliche Erstberatung

Lassen Sie sich umfassend und invidiuell beraten zu Ihrer rechtlichen Frage. Fast 85% aller rechtlichen Probleme lassen sich bereits mit der anwaltlichen Erstberatung klären.

MEHR PRODUKTE Anwaltliche Leistung zum Festpreis

LEGAL SMART Rechtsanwaltsgesellschaft mbH

LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.