Rechtliche Grundlagen zur Datenverarbeitung nach DS-GVO
Personenbezogene Daten werden täglich erhoben, verarbeitet, gespeichert und wieder gelöscht. Alle diese Prozesse fallen unter die gesetzlichen Vorgaben der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG).
Aber wann dürfen personenbezogene Daten verarbeitet werden? Das Team von Datenschutzberater.NRW – Ihr externer Datenschutzbeauftragter für Köln, Düsseldorf, Bonn, Siegen, Siegburg und ganz NRW – erklärt Ihnen in diesem Blog, welche Grundlagen Sie beachten sollten.
Gesetzliche Regelungen – Verbot mit Erlaubnisvorbehalt nach DS-GVO
Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten. Nur unter bestimmten Voraussetzungen, also wenn eine gesetzliche Grundlage besteht, warum die Daten verarbeitet werden müssen oder der Betroffene seine Einwilligung gegeben hat, dürfen personenbezogene Daten verarbeitet werden. Dies nennt man „Verbot mit Erlaubnisvorbehalt“.
Um zu wissen, welche Daten verarbeitet werden dürfen, muss man zuerst einmal feststellen, ob personenbezogene Daten in den Prozessen erhoben werden und welche.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Was sagt die LDI NRW zur Verarbeitung von personenbezogenen Daten?
Die Vorgaben der DS-GVO sagen also aus unter welchen Umständen personenbezogene Daten verarbeitet werden dürfen. Auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) verweist auf der offiziellen Homepage darauf und definiert daher genau, wann die Verarbeitung von personenbezogenen Daten erlaubt ist:
„Unter welchen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden? Personenbezogene Daten dürfen nur erhoben, gespeichert, verändert, verarbeitet, übermittelt oder in einer sonstigen Weise genutzt werden, wenn dies durch ein Gesetz erlaubt ist oder wenn die betroffene Person eingewilligt hat.“
Was abstrakt formuliert wird, kann man für Unternehmen und Organisationen genauer definieren – Ein Unternehmen/eine Organisation darf beispielsweise unter folgenden Umständen personenbezogene Daten verarbeiten:
- Es liegt eine Einwilligung der betroffenen Person vor. Diese muss für den Betroffenen leicht verständlich und eindeutig sein.
- Es bestehen vertragliche Verpflichtungen, z.B. ein Vertrag zwischen dem Unternehmen/der Organisation und einem Kunden/Mitglied.
- Es muss eine rechtliche Verpflichtung (nach EU- oder nationalem Recht) erfüllt werden.
- Die Verarbeitung muss zur Durchführung einer Aufgabe erfolgen, die im öffentlichen Interesse ist (nach EU- oder nationalem Recht).
- Die Datenverarbeitung muss zum Schutz von lebenswichtigen Interessen einer Person durchgeführt werden.
BLOG-TIPP: EINWILLIGUNG IM DATENSCHUTZ FÜR DIE RECHTMÄSSIGE VERARBEITUNG
Verarbeitung von personenbezogenen Daten aus berechtigtem Interesse
Personenbezogene Daten können auch aus einem sogenannten berechtigten Interesse verarbeitet werden. Dabei muss aber sichergestellt werden, dass die Grundrechte und die Grundfreiheit des Betroffenen nicht ernsthaft beeinträchtigt werden.
Das bedeutet auch, dass eine Datenverarbeitung dann nicht möglich ist, wenn die Rechte des Betroffenen das Interesse des Unternehmens oder der Organisation überwiegen. Eine Datenverarbeitung auf Grundlage des berechtigten Interesses ist dann nicht möglich.
Die Bewertung des berechtigten Interesses sollte hierbei aber mit einem kritischen Blick betrachtet und bei der Verarbeitung von personenbezogenen Daten in jedem Fall durch den (externen) Datenschutzbeauftragten geprüft werden.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Wann verarbeitet man personenbezogene Daten?
Die DS-GVO definiert in Artikel 4, wann von einer Verarbeitung von personenbezogenen Daten gesprochen wird. Dabei heißt es, dass als Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang gilt. Dazu gehört u.a. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, die Verwendung aber auch die Einschränkung oder Löschung von personenbezogenen Daten.
Auch wenn personenbezogene Daten durch ein externes Unternehmen (zum Beispiel in Form von Dokumenten) vernichtet werden, werden diese Verarbeitet. Da diese Verarbeitung im Auftrag des Verantwortlichen erfolgt, nennt man dies Auftragsverarbeitung. Auch bei dieser Verarbeitung muss der Datenschutz eingehalten werden und durch sogenannte Auftragsverarbeitungs-Verträge (AV-Verträge) abgedeckt werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Datenverarbeitung unterliegt Vorgaben
Egal auf welcher Grundlage personenbezogene Daten verarbeitet werden: Für jede Verarbeitung gelten die gesetzlichen Vorgaben der DS-GVO.
Dabei sollten Sie beachten, dass eine Verarbeitung von personenbezogenen Daten zweckgebunden ist. Außerdem sollten Sie nach dem Grundsatz der Datensparsamkeit nur so viele Daten erheben, wie Sie auch notwendigerweise für den Zweck benötigen.
Jede Verarbeitung muss entsprechend der DS-GVO dokumentiert und auf mögliche Schwachstellen hin geprüft werden. Dazu müssen Sie unter anderem folgende Arbeitsschritte erstellen:
- Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten (VVT) in dem Sie jede Form von Datenverarbeitung beschreiben und dokumentieren.
- Legen Sie technische und organisatorische Maßnahmen fest (TOM), die den Schutz der personenbezogenen Daten sicherstellen und dokumentieren Sie diese.
- Führen Sie bei besonderen Arten von personenbezogenen Daten eine Datenschutzfolgenabschätzung und eine Risikoanalyse durch.
- Beachten Sie die Betroffenenrechte und die Informationspflichten im Datenschutz.
Ziel aller Maßnahmen ist dabei die Gestaltung eines Datenschutzmanagementsystems, welches die Umsetzung des Datenschutzes festlegt und sicherstellt.
BLOG-TIPP: UMSETZUNG DER DS-GVO FÜR UNTERNEHMEN IN KÖLN, BONN, GUMMERSBACH, SIEGEN UND GANZ NRW
Die Verarbeitung von personenbezogenen Daten – ein Fall für den Datenschutzbeauftragten
Um die gesetzlichen Vorgaben im Datenschutz einzuhalten und mögliche Strafen zu verhindern, sollten Sie bei der Verarbeitung von personenbezogenen Daten immer einen (externen) Datenschutzbeauftragten zu Rate ziehen. Dieser bewertet im Einzelfall, welche Daten erhoben werden dürfen und welche Verarbeitung möglich ist.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.