Praxistipp: Abläufe im Datenschutz rechtmäßig gestalten
Praxistipp Datenschutz 03|2019
Wer Prozesse mit personenbezogenen Daten gestaltet, muss die Grundsätze für Datenverarbeitungen laut DSGVO einhalten. Einer davon ist die Rechtmäßigkeit: Wer personenbezogene Daten verarbeitet, braucht dafür eine rechtliche Grundlage. Sechs mögliche Voraussetzungen für die Rechtmäßigkeit der Verarbeitung stehen zur Verfügung, mindestens eine davon muss erfüllt sein. Wer mehrere zur Verfügung hat, sollte sich auf eine festlegen. Dann gilt es, die „stärkste“ zu wählen.
Praxisfall
Im Unternehmen sollen die mobilen Arbeitsplätze besser in die interne und externe Kommunikation eingebunden werden. Zu diesem Zweck soll ein System für Videokonferenzen eingeführt werden. Welches, ist noch offen, als Entscheidungshilfe soll unter anderem eine datenschutzrechtliche Analyse dienen. Möglich ist etwa die Plattform Teams aus dem Paket Office 365, aber auch andere Möglichkeiten kommen in Frage. Zunächst sollen die Grundsätze der Datenverarbeitung untersucht werden und insbesondere der der Rechtmäßigkeit.
Gut zu wissen
In der DSGVO heißt es lapidar: „Personenbezogene Daten müssen auf rechtmäßige Weise verarbeitet werden“. Stellt man sich die Frage, wie genau das aussehen soll, fällt zunächst der Folgeartikel ins Auge – Artikel 6 der DSGVO. Dort sind sechs Bedingungen genannt, von denen mindestens eine erfüllt sein muss, wenn die Verarbeitung der personenbezogenen Daten „rechtmäßig“ sein soll.
Die sechs Bedingungen, von denen mindestens eine erfüllt sein muss:
Die betroffene Person hat ihre Einwilligung gegeben.
Die Verarbeitung ist erforderlich zur Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person.
Die Verarbeitung ist erforderlich zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen.
Die Verarbeitung ist erforderlich zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person.
Die Verarbeitung ist erforderlich für die Wahrnehmung einer dem Verantwortlichen übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.
Die Verarbeitung ist erforderlich zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten unter Wahrung der Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person (insbesondere bei Kindern).
Was ist „unrechtmäßige Verarbeitung“?
Dennoch ist Vorsicht geboten, denn es gibt Situationen, in denen personenbezogene Daten verarbeitet werden, deren Verarbeitung jedoch aus einem anderen Grund ausgeschlossen, also „nicht rechtmäßig“ ist. So heißt es im Erwägungsgrund 39 der DSGVO: „Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen“. Insbesondere bei Beschäftigtendaten können Situationen entstehen, in denen Daten, ob unbeabsichtigt oder unrechtmäßig, verarbeitet werden, obwohl dies eigentlich ausgeschlossen wurde.
Aufpassen unter anderem bei Betriebsvereinbarungen
Gerade beim Schutz personenbezogener Daten von Beschäftigten gibt es zahlreiche Möglichkeiten, dass Daten unrechtmäßig verarbeitet werden. Das Mitbestimmungsrecht beinhaltet solche Möglichkeiten. Hier sind Betriebsvereinbarungen zu beachten. Regelt eine Betriebsvereinbarung die Verarbeitung personenbezogener Daten zu bestimmten Zwecken, dürfen diese Daten zu keinen anderen Zwecken verarbeitet werden. Ausgeschlossen wird regelmäßig die Nutzung dieser Daten zu Zwecken der Kontrolle von Verhalten und Leistung. Werden die personenbezogenen Daten im betreffenden Prozess dennoch für eine solche Kontrolle herangezogen, ohne dass die Erlaubnis hierfür zuvor sichergestellt wurde, kann es sich um eine unrechtmäßige Verarbeitung handeln. Dass deren Verwendung beispielsweise im Arbeitsgerichtsprozess grundsätzlich keine Rechtswirkung entfaltet, steht auf einem anderen Blatt, ist aber konsequent auch im Sinne der DSGVO.
Beispiel einer nicht rechtmäßigen Verarbeitung
Ein Beispiel aus der Praxis: Die Videoanlage, die zur Wahrung des Hausrechts und zur Aufklärung von Straftaten eingesetzt wird, zeichnet einen Mitarbeiter auf, der an verbotener Stelle auf dem Betriebsgelände eine Zigarette raucht. Hier darf die Aufzeichnung grundsätzlich nicht zur Ahndung des Verstoßes zugrunde gelegt werden – solange der Mitarbeiter nicht das Hausrecht verletzt hat und keine Gefahr im Verzug war.
Aber genau hinsehen!
Anders sieht die Sache aus, wenn die Betriebsvereinbarung zur Videoüberwachung genau für diesen Fall eigene Regelungen enthält – was normalerweise allerdings nicht der Fall sein wird. Das Beispiel soll verdeutlichen, wie komplex sich in der Praxis auch aus Sicht des Datenschutzes die Beurteilung entwickeln kann, ob bei der Verarbeitung personenbezogener Daten Rechtmäßigkeit vorliegt oder nicht.
Rechtmäßigkeit dokumentieren: Wenn die Rechtmäßigkeit der Verarbeitung der erforderlichen personenbezogenen Daten eindeutig geklärt ist, sollten die Voraussetzungen verlässlich dokumentiert werden.
Tipps zum Thema Rechtmäßigkeit
Die folgenden Tipps und Hinweise sollen helfen, die Gestaltungsmöglichkeiten beim Datenschutz auszuschöpfen:
Die Einwilligung nur wählen, wenn keine andere Voraussetzung für Rechtmäßigkeit in Frage kommt. Für eine nachhaltige Datenverarbeitung ist sie nicht optimal, da sie zu jeder Zeit von der betroffenen Person für die Zukunft widerrufen werden kann.
Die Einwilligung ist eine Einbahnstraße – hat man sich einmal für die Einwilligung entschieden, obwohl eine andere Rechtsgrundlage vorliegt, gibt es kein Zurück zu einer anderen Grundlage (vgl. u. a. Erwägungsgrund 40 zur DSGVO).
Möglichst nur eine Grundlage für die Rechtmäßigkeit wählen, auch wenn mehrere zur Verfügung stehen, und dann die „stärkste“ – und das ist oft nicht die Einwilligung.
Informationspflicht nicht vergessen
Selbst wenn die Voraussetzung für die Rechtmäßigkeit der Verarbeitung eindeutig vorliegt und im Verzeichnis der Verarbeitungstätigkeiten festgehalten wurde, müssen die anderen Pflichten beachtet werden, die Verantwortliche nach der DSGVO erfüllen müssen. In Artikel 5 stehen neben der Rechtmäßigkeit die Grundsätze von Treu und Glauben sowie der Transparenz, die ebenfalls zu erfüllen sind.
Praxisbeispiel Videokonferenzsystem
Als mögliche Rechtsgrundlage für die Durchführung von Videokonferenzsystemen kann hier die Vertragserfüllung oder die Erfüllung berechtigter betrieblicher Interessen unter gleichzeitiger Abwägung der Rechte und Freiheiten der betroffenen Personen benannt werden. Welche Voraussetzung letzten Endes gewählt wird, wird von der weiteren Prozessgestaltung abhängen.
Fortsetzung folgt
Im nächsten Praxistipp geht es weiter zum Thema Grundsätze. Verarbeitung nach Treu und Glauben – was heißt das eigentlich? Gleich weiterlesen!
Rechtsquellen zum Nachlesen
- Zu den Grundsätzen für die Verarbeitung personenbezogener Daten: Art. 5 DSGVO
- Zur Rechtmäßigkeit der Verarbeitung: Art. 6 DSGVO
- Zu rechtmäßigen Zwecken: Erwägungsgründe zur DSGVO Nr. 39 Satz 6
Hier gibt es den Praxistipp als kostenlosen PDF-Download:
Team Datenschutz
Langjährige Erfahrung. Zielgerichtete Lösungen. Zufriedene Kunden. In Deutschland. In Europa. Weltweit. Willkommen bei
Team
Datenschutz.
Kontakt
Wir sind für Sie da.
Am Hagelsrech 14
66806 Ensdorf
+49 6831 7689 777
Tipps & News
Praxistipps, Events, Aktuelles & mehr
Newsletter
Immer up to date im Datenschutz.
Copyright © 2024 Team Datenschutz