Rechtmässigkeit der Datenverarbeitung – Personendaten verarbeiten und DSGVO

Personendaten unter Berücksichtigung der DSGVO (GDPR) verarbeiten

Personendaten müssen auf rechtmässige Weise verarbeitet werden, dies ist einer der Grundsätze für die Verarbeitung von personenbezogenen Daten (vgl. Art. 5 DS – GVO).
Beim Thema der rechtmässigen Datenverarbeitung kommt immer noch oft als erste Reaktion: «Eine rechtmässige Datenverarbeitung benötigt die Einwilligung der betroffenen Personen»
Dass eine Datenverarbeitung nur mit der Einwilligung der betroffenen Person möglich ist, ist als pauschale Aussage so nicht korrekt. Natürlich kommt der Einwilligung in der DS – GVO eine zentrale zu, da eine Einwilligung das informationelle Selbstbestimmung gewiss am deutlichsten zum Ausdruck bringt. Die DS – GVO sieht neben der Einwilligung aber noch fünf weitere Möglichkeit vor, mit dessen sich eine Datenverarbeitung rechtfertigen lässt.

Personendaten müssen auf rechtmässige Weise verarbeitet werden, dies ist einer der Grundsätze für die Verarbeitung von personenbezogenen Daten (vgl. Art. 5 DS – GVO).

Beim Thema der rechtmässigen Datenverarbeitung kommt immer noch oft als erste Reaktion:

«Eine rechtmässige Datenverarbeitung benötigt die Einwilligung der betroffenen Personen»

Dass eine Datenverarbeitung nur mit der Einwilligung der betroffenen Person möglich ist, ist als pauschale Aussage so nicht korrekt. Natürlich kommt der Einwilligung in der DS – GVO eine zentrale zu, da eine Einwilligung das informationelle Selbstbestimmung gewiss am deutlichsten zum Ausdruck bringt. Die DS – GVO sieht neben der Einwilligung aber noch fünf weitere Möglichkeit vor, mit dessen sich eine Datenverarbeitung rechtfertigen lässt. Ein Verantwortlicher kann diese Möglichkeiten natürlich nicht frei wählen, die Wahl muss er entsprechend rechtfertigen und begründen. Ausserdem ist die Wahlmöglichkeit eng mit dem Verarbeitungszweck verbunden. Die Wahl muss sich immer auf einen bestimmten Zweck beziehen. Werden die gesammelten Daten für verschiedene Zwecke verarbeitet, so muss jede Verarbeitung rechtmässig erfolgen. Dies kann dazu führen, dass für dieselben Daten verschiedene Rechtfertigungsgründe vorliegen müssen, da sie für verschiedene Zwecke verwendet werden. Zusätzlich muss man sich vor Augen halten, dass ich ein Rechtfertigungsgrund später nicht mehr so einfach ändern kann, wenn bspw. die Verarbeitung gestützt auf eine Einwilligung erfolgt und die betroffene Person die Einwilligung zurückzieht, dann kann sich ein Verantwortlicher nicht einfach auf einen anderen Rechtfertigungsgrund stützen.

Diese sechs Rechtfertigungsgründe bestanden bereits unter dem alten Datenschutzrecht, die DS – GVO stellt jedoch allgemein strengere Anforderungen an die Datenverarbeitung und somit haben sich auch die Anforderungen an die einzelnen Rechtfertigungsgründe verändert. Eine Prüfung der bestehenden Rechtfertigungsgründe ist daher notwendig.

In den nachfolgenden Beitragsserie werden die verschiedenen Rechtfertigungsgründe genauer beschrieben:

  • Einwilligung der betroffenen Person
  • Zur Erfüllung eines Vertrags oder im Rahmen vorvertraglicher Massnahmen
  • Zur Erfüllung einer rechtlichen Verpflichtung
  • Um lebenswichtige Interessen einer Person zu schützen
  • Gestützt auf ein öffentliches Interesse
  • Zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten

Einwilligung der betroffenen Person

Wählt man die «Einwilligung» als Rechtfertigungsgrund muss die betroffene Person auch eine wirkliche Wahl haben. Kann die Leistung ohne die Zustimmung nicht erbracht werden, so kann die Datenbearbeitung ohne Verzicht auf die Hauptleistung nicht abgelehnt werden und somit wäre ein Weg über die Einwilligung gar nicht erst möglich. Neben einem effektiven Wahlrecht müssen die weiteren Anforderungen an eine gültige Einwilligung durch den Verantwortlichen geprüft und sichergestellt werden. Einfach ausgedrückt muss die Person über das «Ob» und «Wie» der Verarbeitung «Ihrer» Personendaten bestimmen können.

Die Einwilligung muss in informierter Weise für einen jeweils bestimmten Fall abgegeben werden. Die Einwilligung hat unmissverständlich zu erfolgen. Weshalb die abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung zu erfolgen hat, mit welcher die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die Einwilligung muss;

  • Freiwillig
  • Für einen oder mehrere bestimmte Zwecke
  • Informiert und
  • durch eine Erklärung oder eine eindeutige Handlung erfolgen.

Freiwilligkeit

Um eine Kontrolle über die eigenen Personendaten zu haben, muss die betroffene Person auch eine effektive Wahl haben. Wie bereits erwähnt, ist die Erfüllung ohne Datenverarbeitung nicht möglich, so hat die betroffene keine wirkliche Wahl und die Einwilligung ist wohl nicht der richtige Rechtfertigungsgrund. Eine Unfreiwilligkeit kann aber auch darin bestehen, dass sich die Person angehalten fühlt, ihre Zustimmung zu geben oder gar negative Konsequenzen erwartet, wenn sie keine Zustimmung erteilt. In diesem Fall wäre eine Zustimmung ungültig. Daneben gilt es auch das Koppelungsverbot (Art. 7 Abs. 4 DS – GVO) zu beachten, welches verhindert, dass die Einwilligung unnötigerweise mit dem Vertrag verknüpft wird.

Beispiel: Eine App, um Fotos zu editieren, benötigt nicht zwingend Zugriff auf die GPS Daten oder eine Einwilligung die Personendaten auch zu Marketing zu nutzen, eine Verknüpfung mit der Grundleistung (Hauptvertragsleistung) wäre daher unzulässig.

Ausserdem darf durch eine Einwilligung nicht nur ein Wahlrecht suggeriert werden. Es wäre daher stossend, wenn ein Verantwortlicher bei einer Ablehnung, die Verarbeitung anschliessend einfach gestützt auf einen anderen Rechtfertigungsgrund vornimmt. Kommt auch ein anderer Rechtfertigungsgrund in Betracht, gilt es daher vorab eine Abwägung vorzunehmen, ob der Weg über eine Einwilligung der richtige Weg ist oder nicht.

Zweck

Wie bei allen Rechtfertigungsgründen muss sich die Verarbeitung und somit auch die Rechtfertigung auf einen oder mehrere klar zu ortbare Zwecke beziehen. Die betroffene Person muss wissen, wofür sie ihre Zustimmung abgibt. Eine pauschale Einwilligung zur Datenverarbeitung ist daher nicht möglich. Eine Erweiterung der Datenverarbeitung unter einer bestehenden Einwilligung ist daher auch nur möglich, wenn dies mit dem ursprünglichen Zweck vereinbar ist.

Informierte Entscheidung

Wie bereits ausgeführt, muss die betroffene Person wissen wozu sie ihre Einwilligung gibt. Das Transparenzgebot gehört zu den Grundprinzipien der DS – GVO und gibt diverse Informationspflichten vor, welche vom Verantwortlichen befolgt werden müssen. Wie die Informationen mitgeteilt werden müssen, gibt das Gesetz nicht vor. Die notwendigen Informationen können auf verschiedene Arten mitgeteilt werden, so kann dies schriftlich, mündlich aber allenfalls auch per Video oder Audio erfolgen. Es sollte eine jeweils angemessene Form gewählt werden. Z.B. kann bei einem mobilen Gerät – mit kleinem Screen – auf eine mehrstufige Variante gesetzt werden, damit die betroffene Person die Informationen auch auf einem kleinen Gerät lesen kann. Werden die Informationen schriftlich mitgeteilt, so dürfen diese nicht im Kleingedruckten versteckt werden.

Willensbeurkundung

Die erste Möglichkeit ist die Willensbeurkundung in Form einer Einwilligung einzuholen. Die Erklärung kann schriftlich oder mündlich erfolgen. Bei einer mündlichen Erklärung sollte jedoch eine Aufzeichnung zu Beweiszwecken erfolgen, was eine mündliche Erklärung umständlich macht. Die schriftliche Erklärung kann bspw. über ein Papierformular sichergestellt werden, eine elektronische Erklärung ist ebenfalls möglich. Eine pauschale Erklärung in einer AGB ist unzulässig, da ein genauer Zweck fehlt.

Alternativ kann die Erklärung durch eine eindeutige Handlung erfolgen. Dies kann bspw. im Anklicken eines Kästchens beim Besuch einer Webseite bestehen, durch Wischen eines Zeigers auf einem Bildschirm, durch in die Kamera Winken oder auch durch technische Einsteillungen. Ein Opt-out durch Voreinstellungen, bspw. durch ein bereits gesetztes Häkchen, ist nicht zulässig. Untätigkeit oder ein ausbleibender Widerspruch kann ebenfalls nicht als Willensbeurkundung gewertet werden.

Besondere Kategorien von Personendaten

Bei besonderen Datenkategorien nach Art. 9 DS-GVO (Gesundheitsdaten, biometrischen Daten, sexuelle Orientierung, etc.) ist immer eine Einwilligung erforderlich und diese Einwilligung hat zudem «ausdrücklich» zu erfolgen.

Wie die obigen Ausführungen gezeigt haben, kann die Einholung und Handhabung einer Einwilligung für einen Verantwortlichen sehr mühsam werden, weshalb in der Praxis nur eine Einwilligung eingeholt wird, wenn sich die Verarbeitung über keinen anderen Rechtfertigungsgrund rechtfertigen lässt. Nicht nur kann sich die Einholung einer Einwilligung mühsam gestalten, die Beweislast für eine korrekt erteilte Einwilligung verbleibt ebenfalls in der Verantwortung des Unternehmens. Es muss daher nicht nur ein Einwilligungsmechanismus, sondern auch ein beweissicherer Aufbewahrungsmechanismus geschaffen werden (Art. 7 Abs. 1 DS – GVO).

Weitere nützliche Informationen zum Rechtfertigungsgrund der Einwilligung finden sich auf der Webseite des ICO sowie in der Article 29 Working Party Guidelines on consent under Regulation 2016/679.

Zur Erfüllung eines Vertrags oder im Rahmen vorvertraglicher Massnahmen

Im Rahmen der Erfüllung eines Vertrages oder im Rahmen vorvertraglicher Massnahmen ist es oft unumgänglich, dass Personendaten verarbeitet werden. Zum Beispiel muss ein Versandunternehmen die Lieferadresse erfassen, um die Ware überhaupt liefern zu können. Das gleiche gilt für das Verarbeiten von Kreditkarteninformation im Rahmen der Bezahlung. Hierbei ist es im Interesse beider Parteien, dass die Personendaten zu diesem Zweck und ohne zusätzliche Einwilligung verarbeitet werden können. Die DSGVO sieht daher in der Erfüllung eines Vertrages ein Rechtfertigungsgrund zur Datenverarbeitung (Art. 6 Abs. 1 lit. b DS – GVO).

Es kann daher grundsätzlich auf eine Einwilligung verzichtet werden, die Transparenzpflichten bestehen natürlich trotzdem. Die betroffene Person muss daher über Datenverarbeitung informiert werden.

Grundsätzlich muss es sich um einen gültigen Vertrag unter nationalem Recht handeln, damit man sich überhaupt auf diesen Rechtfertigungsgrund stützen kann. Dies kann allenfalls problematisch sein, wenn die betroffene Person nicht handlungsfähig ist und somit keinen Vertrag abschliessen kann. Ist ein Vertrag ungültig, fällt auch der Erlaubnistatbestand weg.

Eine Verarbeitung von Personendaten ist auch im Rahmen vorvertraglicher Massnahmen möglich. Erfasst wird hierbei das Stadium der Vertragsverhandlungen und der Vertragsanbahnung. Die vorvertraglichen Massnahmen müssen jedoch von beiden Parteien getragen werden. Eine einseitige Kontaktaufnahme, um ein Verkaufsgespräch zu starten, fällt somit nicht unter vorvertragliche Massnahmen. Dagegen erfüllt eine Preisverhandlung im Offertstadium die Voraussetzung einer vorvertraglichen Massnahme. Die Zusendung von Prospekten, Preislisten oder anderen Werbemassnahmen stellen jedoch einseitige Massnahmen dar, die keine Datenverarbeitung fordert und damit auch keine Datenverarbeitung rechtfertigt.

Eine Datenverarbeitung muss für die Erfüllung zudem erforderlich sein. Dies ergibt sich eigentlich bereits aus dem Grundsatz der Zweckbindung, ist aber auch im Artikel 6 Abs. 1 lit. b DSGVO nochmals genannt. Es muss daher geklärt werden, welche Personendaten überhaupt zum Zweck der Vertragserfüllung oder im Rahmen vorvertraglicher Massnahmen notwendig sind. Um Waren zu versenden muss der Verantwortliche bspw. nicht das Geburtsdatum, selbst wenn dies aus Marketingsicht natürlich interessant sein könnte. Ein Vertrag kann daher nicht als pauschaler Rechtfertigungsgrund für eine Datenverarbeitung dienen. Hierbei ist insbesondere darauf hinzuweisen, dass die in AGB aufgeführten Datenverarbeitungen nicht automatisch unter Artikel 6 Abs. 1 lit. b DSGVO fallen. Ein akzeptieren oder Unterzeichen eines Vertrags fällt nicht per se unter diesen Rechtfertigungsgrund. Es spricht natürlich nichts dagegen einen Vertrag so auszugestalten, dass gleichzeitig über weitere Datenverarbeitungen aufgeklärt wird und/oder eine Einwilligung eingeholt wird.

Im Onlinebereich finden sich diverse Angebote, welche kostenlos erfolgen aber durch Werbung finanziert werden. Die Werbung ist zwar für den Anbieter eines solchen Angebots wesentlich, der Nutzer kann die Funktionen aber auch ohne Werbung nutzen. Datenverarbeitung für eine zielgruppenspezifische Werbung lässt sich somit nicht mit der Erfüllung eines Vertrages rechtfertigen.

Ebenso gilt dies für Verbesserungen einer Leistung oder für die Überwachung zu Sicherheitszwecken. Hierfür müssen andere Rechtfertigungsgründe verwendet werden.

Der Verantwortliche muss in der Lage sein, nachzuweisen weshalb die Datenverarbeitung erforderlich ist. Der Verantwortliche muss somit eine eigene Beurteilung vornehmen und diese entsprechend dokumentieren.

Hierzu können folgende Fragen hilfreich sein:

  • Welche Art von Leistungen wird für die betroffene Person erbracht?
  • Worin besteht das klare Abgrenzungsmerkmal?
  • Was ist der genaue Vertragsgegenstand? (Inhalt und Zweck des Vertrages)
  • Was sind die wesentlichen Vertragsbestandteile
  • Welche gegenseitigen Erwartungen bestehen unter den Parteien?
  • Wie wird die Leistung oder der Service bei der betroffenen Person beworben?
  • Welche Art von Datenverarbeitung würde eine durchschnittliche Person im Rahmen der Vertragserfüllung erwarten?
  • Was für Datenverarbeitungen sind für die Vertragserfüllung schlussendlich unabdingbar?

Weitere Informationen zur Datenverarbeitung im Rahmen der Erfüllung eines Vertrags oder im Rahmen vorvertraglicher Massnahmen stellt der EDPB mit seiner «Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects» zur Verfügung. Die Guideline ist jedoch noch nicht definitiv.

Zur Erfüllung einer rechtlichen Verpflichtung

Wird ein Verantwortlicher zur Erfassung gewisser Personendaten verpflichtet, so kann dies ein legitimer Rechtfertigungsgrund sein. Es wäre stossend, wenn eine betroffene Person eine Datenverarbeitung, welche sich auf eine rechtliche Pflicht stützt, über einen Widerspruch nach DSGVO verhindern könnte.

Es muss jedoch eine rechtliche Verpflichtung im nationalen oder im Gemeinschaftsrecht bestehen, welche eine Datenverarbeitung auch entsprechend vorsieht. Ausserdem muss die Rechtsvorschrift eine Datenverarbeitung unmittelbar vorsehen und somit erforderlich machen. Die Vorschrift darf jedoch nicht als Blankoerlaubnis angesehen werden, es lässt sich damit nur gerade die notwendige Datenverarbeitung rechtfertigen. Die zulässige Datenverarbeitung ist im Rahmen der Rechtsvorschrift und in der Folge im Rahmen des Verarbeitungszweckes genauer zu definieren. Es ist daher genau zu prüfen, welche Daten effektiv benötigt werden. Besteht beispielsweise eine Pflicht zur Feststellung der Identität, so müssen keine Angaben zur Bankverbindung erhoben werden.

Dieser Rechtfertigungsgrund ist vor allem für Verantwortliche relevant, die in regulierten Bereichen, wie beispielsweise im Finanzbereich oder im Gesundheitsbereich tätig sind.

Teilweise können sich solche Verpflichtungen aber auch aus dem Arbeitsrecht ergeben, wenn bspw. eine gesetzliche Vorschrift besteht, gewisse Arbeitsbedingungen einzuhalten oder die Einhaltung von Sicherheitsvorschriften zu dokumentieren. Des Weiteren können auch rechtliche Verpflichtungen im steuer-, handels- oder dem Sozialversicherungsrecht bestehen, welche einen Verantwortlichen zur Aufzeichnung und auch zur Aufbewahrung von Personendaten verpflichtet.

Um lebenswichtige Interessen einer Person zu schützen

Dieser Rechtfertigungsgrund ist ebenfalls nicht neu, die Bedeutung wird aber weiterhin gering sein, da die Hürde «lebenswichtiger Interessen» weiterhin hoch ist.

Wenn man lebenswichtige Interessen liest, wird ein Leser zuerst an medizinische Notfälle denken, der Gesetzgeber scheint ebenfalls zuerst an diese gedacht zu haben. Bei medizinischen Notfällen werden aber vor allem Gesundheitsdaten verarbeitet und hierbei handelt es sich um Personendaten besonderer Kategorien. In der Folge kommt die Ausnahmeregelung von Art. 9 Abs. 2 lit. c DS – GVO zur Anwendung und die Rechtfertigung erfolgt nicht über Art. 6 Abs. 1 lit. d DS – GVO. In diesem Fall muss die betroffene Person aus körperlichen oder rechtlichen Gründen ausserstande sein, eine Einwilligung abzugeben. Es ist daher klar, dass diese Regelung vor allem auf Notfallsituationen abzielt.

Eine Datenverarbeitung ist daher auch im Rahmen von Epidemien, humanitären Notfällen oder anderen Katastrophen vorstellbar.

Diese Regelungen wird somit meist die Ausnahme bilden und ist für die meisten Verantwortlichen nicht von Relevanz. Die Verantwortlichen werden sich kaum auf diesen Rechtfertigungsgrund stützen können.

Gestützt auf ein öffentliches Interesse

Zum einen kann sich eine Behörde oder eine unter das öffentliche Recht fallende Person auf diesen Rechtfertigungsgrund berufen. Zum anderen kann sich aber auch ein privates Unternehmen als Verantwortlicher darauf berufen, wenn der Verantwortliche mit einer öffentlichen Aufgabe betraut wurde. Es muss jedoch eine entsprechende Rechtsgrundlage bestehen und die Rechtsgrundlage muss vorsehen, dass die Verarbeitung an den entsprechenden Verantwortlichen delegiert werden darf. Grundsätzlich muss es sich um eine klassische Staatsaufgabe handeln, welche nun von einem Verantwortlichen durchgeführt wird.

Bereits aus verfassungsmässigen und völkerrechtlichen Zielen erscheint klar, dass eine Verarbeitung von Personendaten durch eine staatlich anerkannte Religionsgemeinschaft oder eine politische Partei im Zusammenhang mit Wahlen zulässig sein muss. Die Verarbeitung muss jedoch zur Erreichung des Zweckes erforderlich sein. Hier kommt das gleiche Abgrenzungskriterium wie bei der vertraglichen Verarbeitung zum Zuge.

Ein Verantwortlicher muss daher prüfen, ob er eine staatliche Aufgabe wahrnimmt und falls dies bejaht wird, ob eine gesetzliche Grundlage vorliegt, welche ihm die Verarbeitung erlaubt oder die Aufgabe an ihn delegiert werden kann.

Dieser Rechtfertigungsgrund wird daher für Verantwortliche nur in Ausnahmefällen erlaubt sein.

Zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten

Dieser Rechtfertigungsgrund ist der flexibelste, birgt aber auch am meisten Rechtsunsicherheit. Überwiegen die Interessen des Verantwortlichen oder eines Dritten gegenüber der betroffenen Person und ist eine Verarbeitung erforderlich, so kann dies eine Verarbeitung rechtfertigen. Es wird eine Interessenabwägung in Bezug auf die Interessen sowie Grundrechte der betroffenen Person vorgenommen. Die Interessenabwägung erfordert jedoch immer eine Einzelfallbeurteilung. Die DS – GVO führt zudem keine bestimmten Kriterien oder ein Prüfschema auf, die Einschätzung des verantwortlichen Unternehmens (Verantwortlicher) birgt daher immer das Risiko der Rechtsunsicherheit. Das Gesetz nennt als Anwendungsfall lediglich die Datenverarbeitung von Kindern, bei solchen Daten können die Interessen des Verantwortlichen nicht überwiegen. Die Verarbeitung von Daten besonderer Kategorien (bspw. Gesundheitsdaten) verlangt sowieso eine ausdrückliche Einwilligung, weshalb ein berechtigtes bereits Vorgängig ausgeschlossen ist. Natürlich wird sich in den nächsten Jahren eine Praxis entwickeln und dadurch wird sich die Einordnung gewisser Fälle vereinfachen und die Rechtsunsicherheit wird sich reduzieren. Die Interessenabwägung liegt weiterhin beim Unternehmen.

Der Vorteil dieses Rechtfertigungsgrundes besteht klar darin, dass sich eine Verarbeitung durchführen lässt, ohne die betroffene vorgängig um Erlaubnis fragen zu müssen. Die Informationsrechte dürfen natürlich trotzdem nicht vernachlässigt werden und die betroffene Person muss entsprechend über die berechtigten Interessen informiert werden. Zusätzlich ist die betroffene Person auf ihr Widerspruchsrecht (Art. 21 Abs. 1 DS-GVO) hinzuweisen.

Möchte ein Verantwortlicher auf diesen Rechtfertigungsgrund zurückgreifen, muss vor der Verarbeitung eine entsprechende Einzelfallbeurteilung durchgeführt werden.

  • Welche Interessen verfolgt der Verantwortliche?
  • Welcher Zweck wird verfolgt?
  • Ist der Zweck klar genug formuliert, damit eine Interessenabwägung vorgenommen werden kann?
  • Besteht ein legitimes Interesse an einer Datenverarbeitung durch den Verantwortlichen?
  • Überwiegen die Interessen des Verantwortlichen?

Interesse des Verantwortlichen

Das Interesse des Verantwortlichen an einer Datenverarbeitung kann sehr verschieden sein. Im Vordergrund stehen oft wirtschaftliche Interesse, es kann sich aber auch um tatsächliche oder ideelle Interessen handeln. Die Interessen können breit, trivial oder gar kontrovers sein. Damit eine Fallbeurteilung vorgenommen werden kann, muss das Interesse jedoch genügend klar sein. Es darf sich ebenfalls nicht nur um ein theoretisches Interesse handeln, der Verantwortliche oder Dritte muss das Interesse effektiv verfolgen oder zumindest in naher Zukunft ein Interesse an einer Verarbeitung haben.

Beispielsweise kann ein Verantwortlicher ein ökonomisches Interesse daran haben, so viel wie möglich über seine potenziellen Kunden zu erfahren, um diese mit entsprechend personalisierter Werbung bewerben zu können.

Wie dieses Beispiel zeigt, spielt es in einem ersten Schritt noch keine Rolle, ob überhaupt ein überwiegendes Interesse besteht. Es muss sich jedoch um ein legitimes Interesse handeln. Ein legitimes Interesse besteht solange als ein Verantwortlicher dieses verfolgen kann, ohne gegen die DSGVO oder ein anderes Gesetz zu verstossen.

Zweck der Verarbeitung

Natürlich muss der Verantwortliche einen oder mehrere bestimmte Zwecke verfolgen. Der Rechtfertigungsgrund kann also nicht als rechtliches Auffangbecken fungieren. Ein Verantwortlicher muss die einzelnen Zwecke gemäss seinen Informationspflichten offenlegen und die betroffenen Personen entsprechend darüber informieren, zu welchen Zwecken unter diesem Rechtfertigungsgrund Daten verarbeitet werden.

Interessenabwägung

Zuerst muss geprüft werden, ob die Datenverarbeitung wirklich notwendig ist. Hat der Verantwortliche die Möglichkeit, ohne eine Datenverarbeitung oder mit einer geringeren Datenverarbeitung das gleiche Ziel zu erreichen, so kann kein überwiegendes Interesse bestehen.

Die Formulierung «überwiegendes Interesse» weist bereits darauf hin, dass grundsätzlich die Interessen und Grundrechte geschützt sind und nur, wenn der verfolgte Zweck und die Datenverarbeitungsgründe überwiegen, die Datenverarbeitung überhaupt gerechtfertigt sein kann.

Der Zweck und die dafür verwendeten Personendaten müssen den Interessen und Grundrechten gegenübergestellt werden. Für die Interessenabwägung können verschiedene Kriterien hinzugezogen werden. Werden missbrauchsanfällige Personendaten, wie Finanzdaten, verarbeitet sind die Interessen höher zu gewichten, als wenn bereits von der Person öffentlich zugänglich gemachte Personendaten oder Personendaten, welche im Zusammenhang mit einer gewerblichen Tätigkeit stehen verarbeitet werden. Der Zweck spielt natürlich ebenfalls eine wichtige Rolle, so macht es einen Unterschied, ob die Personendaten für Werbezwecke verarbeitet werden oder benötigt werden, um eine Sicherheitsprüfung oder Risikoabklärung durchzuführen. Ist eine Datenverarbeitung im Zeitpunkt der Datenerhebung für eine durchschnittliche Person erkennbar und kann diese vernünftigerweise davon ausgehen, dass in der Erfüllung des Zwecks eine Datenverarbeitung stattfindet, kann dies ebenfalls für die Zulässigkeit sprechen.

Ein weiterer Grund kann in einem öffentlichen Interesse liegen. Wobei hier allenfalls bereits der spezifische Rechtfertigungsgrund des öffentlichen Interesses greift. Eine freiwillige Unterstützung der Behörden kann aber als überwiegendes legitimes Interesse gelten, wenn hierbei die Rechte der betroffenen nicht überwiegen oder gar ausgehebelt werden.

Die Entstehung eines Persönlichkeitsprofils wird regelmässig gegen ein überwiegendes Interesse des Verantwortlichen sprechen.

Die Interessenabwägung ist somit keine exakte Wissenschaft. Ein Verantwortlicher trägt aber eine Darlegungspflicht und muss darum dokumentieren, wieso er die Daten erhebt, verarbeitet und entsprechend verwendet. Des Weiteren muss er seine Beurteilung dokumentieren und festhalten, weshalb er eine Verarbeitung für zulässig hält.

Sicherheitsvorkehrungen

Durch zusätzliche technische und organisatorische Massnahmen lassen sich die Datenschutzrisiken vielfach zusätzlich minimieren. Entsprechende Massnahmen können die Interessenabwägung positiv beeinflussen und allenfalls sogar ausschlaggebend sein, dass schlussendlich die Interessen des Verantwortlichen überwiegen, sofern die Datenschutztechniken durch entsprechende Sicherheitsmassnahmen ausreichend minimiert worden sind.

Yves Gogniat ist Experte für Informations- und Technologierecht mit den Schwerpunkten Datenschutz und IT-, Vertrags- und Gesellschaftsrecht. Er verfügt über ein breites Wissen in den Bereichen Blockchain-Technologie, Krypto-Währungen und hat seine Erfahrungen in verschiedenen Kanzleien sowie in der öffentlichen Verwaltung gesammelt.

Die Kommentarfunktion ist geschlossen.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More