Home / Aktuelles & Termine / it.sec blog

Gemäß Art. 6 Abs. 1 DSGVO ist eine Verarbeitung personenbezogener Daten nach der Datenschutzgrundverordnung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  • Die betroffene Person hat ihre Einwilligung Art. 6 Abs. 1 lit. a DSGVO zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
    • Form: ausdrückliche Erklärung oder zumindest unmissverständliche Handlung, die auch durch Mausklick oder per E-Mail erfolgen kann. Wichtig ist, dass der Verantwortliche nachweisen kann, dass eine Einwilligung abgegeben wurde (Dokumentation).
    • Informiertheit: Der Betroffene ist vorab über die Identität des Datenverarbeiters, über die Zwecke der Datenverarbeitung und über sein jederzeitiges, freies Widerrufsrecht ohne entsprechende Rückwirkung zu informieren.
    • Bei Unterbringung u.a. in Allgemeinen Geschäftsbedingungen muss die Einwilligung deutlich hervorgehoben und klar verständlich sein.
    • Vertragliche Einwilligungsklauseln sind in der Regel unwirksam, wenn sie sich auf Daten erstrecken, die für die Erfüllung des Vertrages nicht erforderlich sind.
    • Einwilligungserklärungen sind unwirksam, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht. Ein solches ist in der Regel beispielsweise, wie bisher auch schon, zwischen Arbeitgeber und Arbeitnehmer gegeben. Da auch im Massenverkehr zwischen Unternehmern und Verbrauchern regelmäßig davon auszugehen ist, wird der rechtskonforme Datenverkehr mit Verbrauchern erheblich erschwert.
    • Das Mindestalter für die Einwilligung beträgt in der Regel 16 Jahre.

Zusammenfassend lässt sich sagen, dass die Rechtslage zur „Einwilligung” im Großen und Ganzen unverändert bleibt. Letztlich bleiben alle Erfordernisse, die bisher bestanden, bestehen. Hinzu gekommen sind das Mindestalter sowie die Problematik eines möglichen Ungleichgewichts zwischen dem Verantwortlichen und dem Betroffenen. Teilweise wurden Regelungen, die bisher nicht explizit niedergeschrieben wurden, in den Gesetzestext aufgenommen.

  • Die Verarbeitung ist für die Erfüllung eines Vertrags, Art. 6 Abs. 1 lit. b DSGVO, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgt.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO, erforderlich, der der Verantwortliche unterliegt. Die Rechtsgrundlage für eine solche Verarbeitung wird durch Unionsrecht oder das Recht der Mitgliedsstaaten, dem der Verantwortliche unterliegt, festgelegt.
  • Die Verarbeitung erforderlich ist, um lebenswichtige Interessen, Art. 6 Abs. 1 lit. d DSGVO, der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe, Art. 6 Abs. 1 lit. e DSGVO, erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen, Art. 6 Abs. 1 lit. f DSGVO, des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
    • Mit jeder Form der Datenverarbeitung wird ein bestimmtes Interesse von unterschiedlichen Ausprägungen verfolgt.
    • Ob das verfolgte Interesse berechtigt ist, ist eine reine Wertungsfrage, deren Maßstäbe aus den allgemeinen Datenschutzgrundsätzen abzuleiten sind.
    • Nach Erwägungsgrund 47 S. 1-4 DSGVO kommt es dabei auf die vernünftigen Erwartungen der Betroffenen an.

Erfolgt im Anschluss eine Weiterverarbeitung von Daten zu einem vereinbaren Zweck, so bedarf es keiner gesonderten Rechtsgrundlage für eine solche Weiterverarbeitung, Art. 6 Abs. 4 DSGVO. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen:

  • ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht,
  • in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen,
  • in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt,
  • welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.

Mit der EU-Datenschutzgrundverordnung kommt somit viel Neues aber auch viel alt Bekanntes und Bewehrtes. Die Unternehmen sind gefordert, hier schnell geeignete Umsetzungsorganismen zu implementieren.

Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Jin-hyok Joint Control Kanada Klagebefugnis Kommune Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Strafe Strafverfolgung Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30