Datenschutz für NRW

Rechtliche Grundlagen zur Datenverarbeitung nach DS-GVO

Personenbezogene Daten werden täglich erhoben, verarbeitet, gespeichert und wieder gelöscht. Alle diese Prozesse fallen unter die gesetzlichen Vorgaben der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG).

Aber wann dürfen personenbezogene Daten verarbeitet werden? Das Team von Datenschutzberater.NRW – Ihr externer Datenschutzbeauftragter für Köln, Düsseldorf, Bonn, Siegen, Siegburg und ganz NRW – erklärt Ihnen in diesem Blog, welche Grundlagen Sie beachten sollten.

Gesetzliche Regelungen – Verbot mit Erlaubnisvorbehalt nach DS-GVO

Wer unseren Blog aufmerksam verfolgt, der hat schon öfter gelesen, dass die Verarbeitung von personenbezogenen Daten eigentlich verboten ist. Was sind personenbezogene Daten? Lesen Sie unseren Artikel hier.

Unter bestimmten Voraussetzungen, also wenn eine gesetzliche Grundlage besteht, warum die Daten verarbeitet werden müssen oder der Betroffene seine Einwilligung gegeben hat, dürfen personenbezogene Daten verarbeitet werden. Dies nennt man Verbot mit Erlaubnisvorbehalt.

Was sagt die LDI NRW zur Verarbeitung von personenbezogenen Daten?

Die Vorgaben der DS-GVO sagen also aus unter welchen Umständen personenbezogene Daten verarbeitet werden dürfen. Auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) verweist auf der offiziellen Homepage darauf und definiert daher genau, wann die Verarbeitung von personenbezogenen Daten erlaubt ist:

Unter welchen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden? Personenbezogene Daten dürfen nur erhoben, gespeichert, verändert, verarbeitet, übermittelt oder in einer sonstigen Weise genutzt werden, wenn dies durch ein Gesetz erlaubt ist oder wenn die betroffene Person eingewilligt hat.

Quelle: Offizieller Internetauftritt der LDI NRW

Was abstrakt formuliert wird, kann man für Unternehmen und Organisationen genauer definieren:

Ein Unternehmen/Eine Organisation darf beispielsweise unter folgenden Umständen personenbezogene Daten verarbeiten:

  • Es liegt eine Einwilligung der betroffenen Person vor. Diese muss für den Betroffenen leicht verständlich und eindeutig sein.
  • Es bestehen vertragliche Verpflichtungen, z.B. ein Vertrag zwischen dem Unternehmen/der Organisation und einem Kunden/Mietglied.
  • Es muss eine rechtliche Verpflichtung (nach EU- oder nationalem Recht) erfüllt werden.
  • Die Verarbeitung muss zur Durchführung einer Aufgabe erfolgen, die im öffentlichen Interesse ist (nach EU- oder nationalem Recht).
  • Die Datenverarbeitung muss zum Schutz von lebenswichtigen Interessen einer Person durchgeführt werden.

Verarbeitung von personenbezogenen Daten aus berechtigtem Interesse

Personenbezogene Daten können auch aus einem sogenannten berechtigten Interesse verarbeitet werden. Dabei muss aber sichergestellt werden, dass die Grundrechte und die Grundfreiheit des Betroffenen nicht ernsthaft beeinträchtigt werden.

Das bedeutet auch, dass eine Datenverarbeitung dann nicht möglich ist, wenn die Rechte des Betroffenen das Interesse des Unternehmens oder der Organisation überwiegen. Eine Datenverarbeitung auf Grundlage des berechtigten Interesses ist dann nicht möglich.

Die Bewertung des berechtigten Interesses sollte hierbei aber mit einem kritischen Blick betrachtet und bei der Verarbeitung von personenbezogenen Daten in jedem Fall durch den (externen) Datenschutzbeauftragten geprüft werden.

Wann verarbeitet man personenbezogene Daten?

Die DS-GVO definiert in Artikel 4, wann von einer Verarbeitung von personenbezogenen Daten gesprochen wird. Dabei heißt es, dass als Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang gilt. Dazu gehört u.a. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, die Verwendung aber auch die Einschränkung oder Löschung von personenbezogenen Daten.

Datenverarbeitung unterliegt Vorgaben

Egal auf welcher Grundlage personenbezogene Daten verarbeitet werden: Für jede Verarbeitung gelten die gesetzlichen Vorgaben der DS-GVO.

Dabei sollten Sie beachten, dass eine Verarbeitung von personenbezogenen Daten zweckgebunden ist. Außerdem sollten Sie nach dem Grundsatz der Datensparsamkeit nur so viele Daten erheben, wie Sie auch notwendigerweise für den Zweck benötigen.

Jede Verarbeitung muss entsprechend der DS-GVO dokumentiert und auf mögliche Schwachstellen hin geprüft werden. Dazu müssen Sie unter anderem folgende Arbeitsschritte erstellen:

  • Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten (VVT) in dem Sie jede Form von Datenverarbeitung beschreiben und dokumentieren.
  • Legen Sie technische und organisatorische Maßnahmen fest (TOM), die den Schutz der personenbezogenen Daten sicherstellen und dokumentieren Sie diese.
  • Führen Sie bei besonderen Arten von personenbezogenen Daten eine Datenschutzfolgenabschätzung und eine Risikoanalyse durch.
  • Beachten Sie die Betroffenenrechte und die Informationspflichten im Datenschutz.

Ziel aller Maßnahmen ist dabei die Gestaltung eines Datenschutzmanagementsystems, welches die Umsetzung des Datenschutzes festlegt und sicherstellt.

Die Verarbeitung von personenbezogenen Daten – ein Fall für den Datenschutzbeauftragten

Um die gesetzlichen Vorgaben im Datenschutz einzuhalten und mögliche Strafen zu verhindern, sollten Sie bei der Verarbeitung von personenbezogenen Daten immer einen (externen) Datenschutzbeauftragten zu Rate ziehen. Dieser bewertet im Einzelfall, welche Daten erhoben werden dürfen und welche Verarbeitung möglich ist.

Aber auch in anderen Bereichen bietet der externe Datenschutzbeauftragte Ihnen Sicherheit im Datenschutz. Wir von Datenschutzberater.NRW bieten folgende Angebote für Ihren Datenschutz:

Wir beraten bereits erfolgreich Mandanten in ganz NRW. Nehmen Sie gerne zu uns Kontakt auf.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der DS-GVO oder sind Sie sich unsicher, wie Sie die aktuellen Bestimmungen umsetzen können? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.

Wann ist die Verarbeitung von personenbezogenen Daten erlaubt?