Die "Checkliste" für Ihr Unternehmen

Im Datenschutzrecht ist die Rechtmäßigkeit der Verarbeitung personenbezogener Daten das A und O. Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass jede Verarbeitung auf einer Rechtsgrundlage beruht. Doch welche ist die richtige? Und in welcher Reihenfolge sollte man sie prüfen?

Die beigefügte Übersicht liefert eine klare Priorisierung der sechs möglichen Rechtsgrundlagen gemäß Artikel 6 Absatz 1 DSGVO. Diese Prüfreihenfolge hilft Ihnen, die zulässige Basis für Ihre Datenverarbeitung zu finden – von der dringlichsten bis zur letzten Option.

Die 6 Rechtsgrundlagen für die Datenverarbeitung – in der richtigen Reihenfolge

Ein Verantwortlicher muss die folgenden Rechtsgrundlagen nacheinander prüfen, um die Rechtmäßigkeit der Datenverarbeitung zu gewährleisten:

1. Schutz lebenswichtiger Interessen

Dies ist die dringlichste Rechtsgrundlage und greift nur in absoluten Notfällen, in denen es um Leben und Gesundheit geht, z.B. bei der Verarbeitung von Patientendaten im Krankenhaus.

• Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe d) DSGVO.

2. Wahrung einer öffentlichen Aufgabe

Diese Grundlage gilt für Behörden und öffentliche Stellen, die personenbezogene Daten zur Erfüllung ihrer gesetzlichen Aufgaben verarbeiten, wie z.B. die Polizei oder Kommunalverwaltungen.

• Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe e) DSGVO.

3. Gesetzliche / rechtliche Verpflichtung

Die Verarbeitung ist rechtmäßig, wenn sie zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Dies betrifft beispielsweise die Aufbewahrung von steuerrelevanten Unterlagen.

• Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe c) DSGVO.

4. Vertragsbeziehung mit der betroffenen Person

Die Datenverarbeitung ist erlaubt, wenn sie zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen notwendig ist. Ein klassisches Beispiel ist die Verarbeitung von Kundenadressen für den Versand bestellter Ware.

• Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe b DSGVO.

5. Interessenabwägung – Das berechtigte Interesse

Ist keine der vorangegangenen Grundlagen anwendbar, kann die Verarbeitung auf dem berechtigten Interesse des Verantwortlichen (oder eines Dritten) beruhen. Hierbei muss eine sorgfältige Abwägung erfolgen: Die Interessen des Verantwortlichen dürfen nicht die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Beispiele können Direktmarketing oder die Videoüberwachung zum Eigentumsschutz sein.

• Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe f DSGVO.

6. Einwilligung

Die Einwilligung ist die letzte Rechtsgrundlage in der Prüfungsreihenfolge. Sie kommt ins Spiel, wenn alle anderen Grundlagen ausscheiden. Die Einwilligung muss freiwillig, informiert und spezifisch sein.

• Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe a DSGVO.

Fazit für Ihr Unternehmen

Die Einhaltung der korrekten Reihenfolge bei der Prüfung der Rechtsgrundlagen ist entscheidend für die DSGVO-Konformität. Nutzen Sie diese Priorisierung als Leitfaden in Ihrem Unternehmen. Wenn eine der höheren Rechtsgrundlagen zutrifft, müssen Sie nicht weiter prüfen. Nur wenn keine der ersten fünf zutrifft, kommt die Einwilligung als letzte Option in Betracht.