Rechtmäßigkeit der Datenverarbeitung
Die sechs Rechtsgrundlagen der DSGVO im Überblick: wann eine Verarbeitung personenbezogener Daten ohne Einwilligung zulässig ist und wie der Interessenabwägungstest funktioniert.
Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Art. 6 DSGVO listet abschließend sechs Tatbestände auf, auf die Verantwortliche eine Verarbeitung stützen können. Das Fehlen einer Rechtsgrundlage macht die Verarbeitung rechtswidrig und kann Bußgelder nach Art. 83 DSGVO nach sich ziehen.
Die sechs Rechtsgrundlagen
Die erste Rechtsgrundlage ist die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a). Sie setzt voraus, dass die Einwilligung freiwillig, bestimmt, informiert und unmissverständlich erteilt wurde. Die weiteren Rechtsgrundlagen ermöglichen eine Verarbeitung auch ohne Einwilligung.
Gemäß Art. 6 Abs. 1 lit. b ist eine Verarbeitung zulässig, wenn sie für die Erfüllung eines Vertrags mit der betroffenen Person oder für vorvertragliche Maßnahmen erforderlich ist. Wichtig ist das Kriterium der Erforderlichkeit: Es darf nur verarbeitet werden, was für den konkreten Vertragszweck tatsächlich notwendig ist.
Art. 6 Abs. 1 lit. c erlaubt die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen. Hierunter fallen etwa steuerrechtliche Aufbewahrungspflichten oder gesetzliche Meldepflichten. Der Verantwortliche kann sich auf diese Grundlage jedoch nur berufen, wenn die Verpflichtung im Unionsrecht oder im Recht eines Mitgliedstaats verankert ist.
Die Verarbeitung zur Wahrung lebenswichtiger Interessen einer Person (Art. 6 Abs. 1 lit. d) ist auf Ausnahmesituationen beschränkt, etwa wenn eine Person medizinische Notversorgung benötigt und ihre Einwilligung nicht eingeholt werden kann. Diese Rechtsgrundlage ist in der Praxis selten anwendbar.
Art. 6 Abs. 1 lit. e gestattet die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt. Diese Grundlage ist primär für Behörden und öffentliche Stellen relevant.
Berechtigtes Interesse in der Praxis
Die praktisch bedeutsamste Rechtsgrundlage für privatwirtschaftliche Unternehmen ist die Interessenabwägung nach Art. 6 Abs. 1 lit. f. Die Verarbeitung ist zulässig, wenn ein berechtigtes Interesse des Verantwortlichen oder eines Dritten überwiegt und die Interessen oder Grundrechte der betroffenen Person nicht entgegenstehen. Erwägungsgrund 47 nennt als Beispiele Direktwerbung oder konzerninterne Datenübermittlungen. Der Interessenabwägungstest umfasst drei Stufen: Zunächst ist das berechtigte Interesse zu identifizieren, dann dessen Notwendigkeit zu prüfen, und schließlich sind die Interessen und Grundrechte der Betroffenen gegen das Verarbeitungsinteresse abzuwägen. Das Ergebnis dieser Abwägung ist zu dokumentieren.