Blog-Layout

Praxistipp: Abläufe im Datenschutz rechtmäßig gestalten

Team Datenschutz • März 14, 2019

Praxistipp Datenschutz 03|2019

Wer Prozesse mit personenbezogenen Daten gestaltet, muss die Grundsätze für Datenverarbeitungen laut DSGVO einhalten. Einer davon ist die Rechtmäßigkeit: Wer personenbezogene Daten verarbeitet, braucht dafür eine rechtliche Grundlage. Sechs mögliche Voraussetzungen für die Rechtmäßigkeit der Verarbeitung stehen zur Verfügung, mindestens eine davon muss erfüllt sein. Wer mehrere zur Verfügung hat, sollte sich auf eine festlegen. Dann gilt es, die „stärkste“ zu wählen.




Praxisfall


 Im Unternehmen sollen die mobilen Arbeitsplätze besser in die interne und externe Kommunikation eingebunden werden. Zu diesem Zweck soll ein System für Videokonferenzen eingeführt werden. Welches, ist noch offen, als Entscheidungshilfe soll unter anderem eine datenschutzrechtliche Analyse dienen. Möglich ist etwa die Plattform Teams aus dem Paket Office 365, aber auch andere Möglichkeiten kommen in Frage. Zunächst sollen die Grundsätze der Datenverarbeitung untersucht werden und insbesondere der der Rechtmäßigkeit.



Gut zu wissen


In der DSGVO heißt es lapidar: „Personenbezogene Daten müssen auf rechtmäßige Weise verarbeitet werden“. Stellt man sich die Frage, wie genau das aussehen soll, fällt zunächst der Folgeartikel ins Auge – Artikel 6 der DSGVO. Dort sind sechs Bedingungen genannt, von denen mindestens eine erfüllt sein muss, wenn die Verarbeitung der personenbezogenen Daten „rechtmäßig“ sein soll.
Die sechs Bedingungen, von denen mindestens eine erfüllt sein muss:


Die betroffene Person hat ihre Einwilligung gegeben.
Die Verarbeitung ist erforderlich zur Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person.
Die Verarbeitung ist erforderlich zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen.
Die Verarbeitung ist erforderlich zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person.
Die Verarbeitung ist erforderlich für die Wahrnehmung einer dem Verantwortlichen übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.
Die Verarbeitung ist erforderlich zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten unter Wahrung der Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person (insbesondere bei Kindern).



Was ist „unrechtmäßige Verarbeitung“?


Dennoch ist Vorsicht geboten, denn es gibt Situationen, in denen personenbezogene Daten verarbeitet werden, deren Verarbeitung jedoch aus einem anderen Grund ausgeschlossen, also „nicht rechtmäßig“ ist. So heißt es im Erwägungsgrund 39 der DSGVO: „Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen“. Insbesondere bei Beschäftigtendaten können Situationen entstehen, in denen Daten, ob unbeabsichtigt oder unrechtmäßig, verarbeitet werden, obwohl dies eigentlich ausgeschlossen wurde.



Aufpassen unter anderem bei Betriebsvereinbarungen


Gerade beim Schutz personenbezogener Daten von Beschäftigten gibt es zahlreiche Möglichkeiten, dass Daten unrechtmäßig verarbeitet werden. Das Mitbestimmungsrecht beinhaltet solche Möglichkeiten. Hier sind Betriebsvereinbarungen zu beachten. Regelt eine Betriebsvereinbarung die Verarbeitung personenbezogener Daten zu bestimmten Zwecken, dürfen diese Daten zu keinen anderen Zwecken verarbeitet werden. Ausgeschlossen wird regelmäßig die Nutzung dieser Daten zu Zwecken der Kontrolle von Verhalten und Leistung. Werden die personenbezogenen Daten im betreffenden Prozess dennoch für eine solche Kontrolle herangezogen, ohne dass die Erlaubnis hierfür zuvor sichergestellt wurde, kann es sich um eine unrechtmäßige Verarbeitung handeln. Dass deren Verwendung beispielsweise im Arbeitsgerichtsprozess grundsätzlich keine Rechtswirkung entfaltet, steht auf einem anderen Blatt, ist aber konsequent auch im Sinne der DSGVO.



Beispiel einer nicht rechtmäßigen Verarbeitung


Ein Beispiel aus der Praxis: Die Videoanlage, die zur Wahrung des Hausrechts und zur Aufklärung von Straftaten eingesetzt wird, zeichnet einen Mitarbeiter auf, der an verbotener Stelle auf dem Betriebsgelände eine Zigarette raucht. Hier darf die Aufzeichnung grundsätzlich nicht zur Ahndung des Verstoßes zugrunde gelegt werden – solange der Mitarbeiter nicht das Hausrecht verletzt hat und keine Gefahr im Verzug war.



Aber genau hinsehen!


Anders sieht die Sache aus, wenn die Betriebsvereinbarung zur Videoüberwachung genau für diesen Fall eigene Regelungen enthält – was normalerweise allerdings nicht der Fall sein wird. Das Beispiel soll verdeutlichen, wie komplex sich in der Praxis auch aus Sicht des Datenschutzes die Beurteilung entwickeln kann, ob bei der Verarbeitung personenbezogener Daten Rechtmäßigkeit vorliegt oder nicht.
Rechtmäßigkeit dokumentieren: Wenn die Rechtmäßigkeit der Verarbeitung der erforderlichen personenbezogenen Daten eindeutig geklärt ist, sollten die Voraussetzungen verlässlich dokumentiert werden.



Tipps zum Thema Rechtmäßigkeit


Die folgenden Tipps und Hinweise sollen helfen, die Gestaltungsmöglichkeiten beim Datenschutz auszuschöpfen:


Die Einwilligung nur wählen, wenn keine andere Voraussetzung für Rechtmäßigkeit in Frage kommt. Für eine nachhaltige Datenverarbeitung ist sie nicht optimal, da sie zu jeder Zeit von der betroffenen Person für die Zukunft widerrufen werden kann.
Die Einwilligung ist eine Einbahnstraße – hat man sich einmal für die Einwilligung entschieden, obwohl eine andere Rechtsgrundlage vorliegt, gibt es kein Zurück zu einer anderen Grundlage (vgl. u. a. Erwägungsgrund 40 zur DSGVO).
Möglichst nur eine Grundlage für die Rechtmäßigkeit wählen, auch wenn mehrere zur Verfügung stehen, und dann die „stärkste“ – und das ist oft nicht die Einwilligung.



Informationspflicht nicht vergessen


Selbst wenn die Voraussetzung für die Rechtmäßigkeit der Verarbeitung eindeutig vorliegt und im Verzeichnis der Verarbeitungstätigkeiten festgehalten wurde, müssen die anderen Pflichten beachtet werden, die Verantwortliche nach der DSGVO erfüllen müssen. In Artikel 5 stehen neben der Rechtmäßigkeit die Grundsätze von Treu und Glauben sowie der Transparenz, die ebenfalls zu erfüllen sind.



Praxisbeispiel Videokonferenzsystem


Als mögliche Rechtsgrundlage für die Durchführung von Videokonferenzsystemen kann hier die Vertragserfüllung oder die Erfüllung berechtigter betrieblicher Interessen unter gleichzeitiger Abwägung der Rechte und Freiheiten der betroffenen Personen benannt werden. Welche Voraussetzung letzten Endes gewählt wird, wird von der weiteren Prozessgestaltung abhängen.



Fortsetzung folgt


Im nächsten Praxistipp geht es weiter zum Thema Grundsätze. Verarbeitung nach Treu und Glauben – was heißt das eigentlich? Gleich weiterlesen!



Rechtsquellen zum Nachlesen

  • Zu den Grundsätzen für die Verarbeitung personenbezogener Daten: Art. 5 DSGVO
  • Zur Rechtmäßigkeit der Verarbeitung: Art. 6 DSGVO
  • Zu rechtmäßigen Zwecken: Erwägungsgründe zur DSGVO Nr. 39 Satz 6


Hier gibt es den Praxistipp als kostenlosen PDF-Download:


zum Praxistipp
Interieur eines Autos
von Eberhard Häcker 23 Aug., 2024
Sensoren und Aktoren stecken in Autos, im Smart Home, in Industrie, Medizintechnik und mehr. Sie sammeln und verarbeiten Daten, die oft mit Menschen in Verbindung stehen. Klarer Fall für den Datenschutz. 10 Tipps, um Datenpannen zu vermeiden.
von Eberhard Häcker 07 Aug., 2024
Netzwerktopologie bezeichnet, wie Geräte in Computer-Netzwerken miteinander verbunden sind. Die häufigsten Topologien sind Stern, Ring, Bus und Masche. Dabei werden personenbezogene Daten verarbeitet. Umso wichtiger, dass Datenschutzbeauftragte sich des Themas annehmen.
Öffentliches Café am Flughafen
von Eberhard Häcker 09 Juli, 2024
Wie Sie unsichere WLAN-Netzwerke erkennen und mit welchen Maßnahmen Sie Ihre Daten schützen. Unsere Tipps zu sicheren Verbindungen und Mitarbeiterschulungen.
von Team Datenschutz 26 Juni, 2024
Wir laden ein zu einem spannenden neuen Datenschutz-Event: Das Fachseminar "Agile Datenschutzbeauftragte – Immer einen Schritt voraus" richtet sich an Datenschutzbeauftragte, die mit modernen, agilen Methoden den Anforderungen der veränderten Arbeitswelt begegnen und immer einen Schritt voraus sein möchten. Seminarleiter Eberhard Häcker freut sich auf den Austausch mit den Teilnehmenden.
Serverraum
von Eberhard Häcker 07 Juni, 2024
Das beste Schutz gegen Angriffe auf die Unternehmens-IT ist die Härtung der Systeme – also die gezielte Absicherung von Rechnern, Servern und anderen Komponenten. Wie das geht, verrät der Datentipp!
von Eberhard Häcker 29 Mai, 2024
Für Unternehmen sind angemessene Sicherheitsvorkehrungen von entscheidender Bedeutung. Das betrifft unter anderem Firmengebäude und das Firmengelände. Vom Einbruchschutz über eine resiliente IT bis zum Umgang mit Notfallsituationen – eine umfassende Sicherheitsstrategie leistet einen wichtigen Beitrag, Ihr Unternehmen vor Gefahren verschiedenster Art zu schützen. Wir geben Tipps.
von Eberhard Häcker 29 Apr., 2024
Bei Großereignissen wie Demonstrationen, Festen oder sportlichen Ereignissen sind viele Menschen unterwegs. In der nahen Umgebung des Unternehmens können solche Events Auswirkungen haben von logistischen Herausforderungen bis hin zu möglichen Datenschutzverletzungen. 11 Tipps, wie Unternehmen sich auf solche Ereignisse vorbereiten und rechtliche Probleme umgehen.
Globus als Netzwerk
von Eberhard Häcker 05 Apr., 2024
Wer unerlaubt in ein Netzwerk eindringt, kann erheblichen Schaden anrichten. Wie betreiben Organisationen ihre Netze in Sachen Informationssicherheit und Datenschutz rechtskonform? Mittels Network Access Control. 8 Tipps, wie Sie die Netzzugangskontrolle sicher und DSGVO-gerecht regeln.
von Eberhard Häcker 27 März, 2024
Ja, auch im Kalender kann es zu Datenlecks kommen. Viele Unternehmen nutzen Kalender wie Outlook, um Termine zu organisieren. Die Schattenseite: Heikle Infos wie Namen von Bewerbenden sind schnell für Unbefugte sichtbar - wenn die Einträge nicht geschützt sind. Schnell entstehen Vertraulichkeitsprobleme und Datenschutzverletzungen. Vorkehrungen helfen gegen Zwischenfälle. Wir geben Tipps.
Mehr anzeigen
Share by: