Datenschutzgrundsätze…die Rechtmäßigkeit

Bestimmung der Rechtsgrundlage für eine Datenverarbeitung

Im Datenschutz gilt das Prinzip „Verbot mit Erlaubnistatbestand“.

Aber was bedeutet das denn genau?

Datenverarbeitung ist immer verboten, es sei denn, es gibt gute Gründe, die die Datenverarbeitung nötig machen. Diese Gründe müssen aus einem Zweck und einer Rechtsgrundlage bestehen.

Bildquelle: pixabay.com

Der Zweck ist für das Unternehmen und die Geschäftsführung meist schnell gefunden.

Die rechtliche Grundlage, die eine Datenverarbeitung „legalisieren“ hingegen, bedarf einem fundierten Wissen über die geltende Gesetzgebung, Rechtsprechung und unternehmerischen Belange.

Sie bildet eine elementare Grundlage für eine Datenverarbeitung.


Gleich vorneweg: „Schema F“ gibt es nicht.


Es gilt grundsätzlich abzuprüfen, welche Rechtsgrundlage aus der DSGVO, dem BDSG und ggf. sonstigen nationalen Gesetzen, Betriebsvereinbarungen, Tarifverträgen etc. greifen.

Am Beispiel eines „normalen“ produzierende Unternehmen bedeutet das, dass mindestens folgende Artikel und Paragrafen aus den Datenschutzgesetzen abzuprüfen sind:

  • Artikel 6 DSGVO – Rechtmäßigkeit der Verarbeitung
  • Artikel 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten
  • Artikel 88 DSGVO – Datenverarbeitung im Beschäftigungskontext
  • 24 BDSG – Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
  • 26 BDSG – Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses.


Im Falle des Art. 6 I 1 c (gesetzliche Grundlage) sind alle nationalen Gesetze zu prüfen. Hier können Gesetze wie das HGB, BGB, die AO, das ArbSchG etc. Grundlage für die Datenverarbeitung sein, aber auch Betriebsvereinbarungen und Tarifverträge müssen betrachtet werden und können eine Datenverarbeitung „legalisieren“.

Meistens liegen einer Datenverarbeitung mehrere Rechtsgrundlagen zu Grunde, was sich am vereinfachten Beispiel der „Rechnungsstellung“ recht gut erklären lässt. Vereinfacht gesagt, geschieht die Datenverarbeitung zum Erstellen der Rechnung erstmal auf Grundlage der Vertragserfüllung (Art. 6 I 1b). Nach dem Geldeingang müsste nun die Rechnung umgehend gelöscht werden. Und hier kommt die Rechtsgrundlage Art. 6 I 1c „Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung“ ins Spiel. In diesem Fall kommt die rechtliche Verpflichtung aus dem HGB und AO. Somit darf – nein muss – die Rechnung weiter gespeichert werden.

Fazit

Was an diesem einfachen Beispiel in einem Absatz erklärbar ist, muss von der Geschäftsführung für jede Datenverarbeitung abgeprüft werden. Deshalb ist es wichtig, genau zu verstehen, weshalb eine Datenverarbeitung erfolgen soll und diese zur Schaffung von Transparenz und zur Erfüllung der Nachweispflicht zu dokumentieren.

 

Benötigen Sie Unterstützung?

Sprechen Sie uns an!