2. Zulässigkeit der Datenverarbeitung nach der DSGVO 1. Grundsätze der Datenverarbeitung 2. Erlaubnisnormen 3. Zweckänderung 4. Einwilligung 3. Einzelfragen 2
Abs. 1 BDSG: „Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“ – Wichtigste Erlaubnisvorschriften für die Privatwirtschaft: • § 28 BDSG: Datenerhebung und -speicherung für eigene Geschäftszwecke • § 29 BDSG: Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung 4
5: Grundsätze für die Verarbeitung personenbezogener Daten • Art. 6: Rechtmäßigkeit der Verarbeitung • Art. 7: Bedingungen für die Einwilligung • Art. 8: Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft • Art. 9: Verarbeitung besonderer Kategorien personenbezogener Daten • Art. 10: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten • Art. 11: Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist • Art. 85-91: Spezielle Vorschriften für besondere Verarbeitungssituationen (z.B. Beschäftigungsverhältnis, wissenschaftliche Forschung etc.) 6
personenbezogene Daten Besondere Kategorien personenbezogener Daten • rassische und ethnische Herkunft, politische Meinungen • religiöse oder weltanschauliche Überzeugungen • Gewerkschaftszugehörigkeit • Genetische Daten • Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person • Gesundheitsdaten • Daten zum Sexualleben oder der sexuellen Orientierung • die restlichen Daten Art. 9 Art. 6
Die Verarbeitung ist erforderlich für • die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen (lit. b) – Z.B. Erbringung der vertraglich geschuldeten Leistungen (inkl. Zahlung und Lieferung) • die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (lit. c) – Rechtliche Verpflichtung ergibt sich aus dem EU- oder dem nationalen Recht – Regelung muss mindestens den Zweck der Datenverarbeitung vorgeben – Z.B. §§ 3 Abs. 1, 4 GWG: Identifizierung des Vertragspartners 10
Die Verarbeitung ist erforderlich zur • Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (lit. f). – Interessenabwägung (ähnlich § 28 Abs. 1 Nr. 2 BDSG) – „Auffangtatbestand“, „Generalklausel“ 11
• Art. 6 Abs. 1 lit. f DSGVO („Interessenabwägung“) ist in drei Schritten zu prüfen: 1. Der Verantwortliche oder ein Dritter müssen berechtigte Interessen an der Verarbeitung personenbezogener Daten haben. 2. Die (geplante) Verarbeitung muss zur Wahrung dieser berechtigten Interessen erforderlich sein. 3. Die Interessen oder Grundrechte und Grundfreiheiten der be- troffenen Person, die den Schutz personenbezogener Daten erfordern, dürfen die berechtigten Interessen des Verantwortlichen/Dritten nicht überwiegen. 12
• Berechtigte Interessen des Verantwortlichen / Dritten können z.B. sein: – Verhinderung von Betrug – Direktwerbung – Verarbeitung von Kundendaten im Rahmen von CRM-Systemen – Verarbeitung personenbezogener Daten zu Compliance- Zwecken – Durchführung einer Due Diligence – Warnsysteme (z.B. in der Banken- und Versicherungsbranche) – Adresshandel / geschäftsmäßige Datenerhebung und –speicherung zum Zwecke der Übermittlung (vgl. vormals § 29 BDSG) – … 13
• Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern – Nach ErwGr. 47 sind bei der Abwägung u.a. zu berücksichtigen: • Die Beziehung der betroffenen Person zu dem Verantwortlichen beruhen („je näher die Beziehung, desto eher überwiegen die berechtigten Interessen des Verantwortlichen“) • Ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird – Aber auch andere Kriterien sind zu berücksichtigen, wie z.B. allgemeine Zugänglichkeit der Daten, Sensibilität der Daten etc. 14
Datenaustauschs innerhalb eines Konzerns (z.B. von HR-Daten oder anderen zentralisierten Dienstleistungen) – Konzerngesellschaften sind im Verhältnis zueinander „Dritte“ • Kein „echtes“ Konzernprivileg • Aber: ErwGr. 48: Übermittlung von personenbezogenen Daten für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, kann ein berechtigtes Interesse i.S.d. § 6 Abs. 1 lit. f DSGVO sein 15
Kategorien personenbezogener Daten, z.B.: – Gesundheitsdaten – Religiöse Überzeugung – Sexualleben – … • Daten beinhalten ein besonderes Diskriminierungspotential à à „sensible“ Daten dürfen nur unter den besonders strikten Voraussetzungen des Art. 9 DSGVO verarbeitet werden à à im nationalen Recht befinden sich Erlaubnisnormen insb. auch in §§ 22 ff. BDSG 2018 und im SGB X 2018 16
einen anderen Zweck, als für den sie erhoben wurden, ist zulässig: • Einwilligung der betroffenen Person • Rechtsgrundlage im EU-Recht bzw. nationalen Recht der Mitgliedstaaten erlaubt die Zweckänderung • Art. 6 Abs. 4 DSGVO • § 24 BDSG 2018 17
• Voraussetzung: Zweckvereinbarkeit • Maßgebliche Faktoren: Art. 6 Abs. 4 DSGVO, u.a. – Verbindung zwischen den Zwecken – Verhältnis zwischen betroffener Person und Verantwortlichem – Art der Daten – Folgen für die betroffene Person – Geeignete Garantien, z.B. Verschlüsselung oder Pseudonymisierung 18
7 DSGVO • freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung • Erklärung oder sonstige eindeutige Handlung • Form: grdsl. schriftlich, elektronisch, mündlich, technische Einstellungen, Mausklick, konkludent… (Ausnahmen z.B. im Beschäftigungskontext: schriftlich, § 26 Abs. 2 S. 3 BDSG 2018) • Bei Kindern ab 16 (13) • Unterscheidbarkeit von anderen Sachverhalten • Freiwilligkeit, u.a. Abhängigkeit eines Vertrages von Einwilligung • Jederzeitige Widerrufbarkeit 19
– Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar à à Verwendung von opt-in-Lösungen – Kopplungsverbot? – Nachweisbarkeit der Einwilligung ausdrücklich verlangt (Art. 7 Abs. 1, Art. 5 Abs. 2 DSGVO) – Erweiterte Informationspflichten – Gesonderte Einwilligungen in einzelne Datenverarbeitungsvorgänge/Zwecke 20
Kreises v. 13./14.09.2016: – Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der DSGVO entsprechen (ErwGr. 171 S. 3) – Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen. – Etwas anderes gilt, wenn die folgenden Bedingungen nicht erfüllt sind: • Freiwilligkeit („Kopplungsverbot“) • Altersgrenze: 16 Jahre 21
DSGVO: Rechtsunsicherheit! Erschwerung der Zweckänderung: Mögliche Zwecke bereits bei der Erhebung beachten! Neuer Anwendungsbereich und geänderte Voraussetzung des Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung): Prüfungsbedarf! Verschärfte Anforderungen an Einwilligungen: Prüfungsbedarf!