Keine Rechtsgrundlage, keine Verarbeitung
Die DSGVO ist an diesem Punkt glasklar: Sie durfen personenbezogene Daten nur verarbeiten, wenn Sie dafur eine gultige Rechtsgrundlage haben. Artikel 6 der DSGVO gibt Ihnen sechs Optionen. Keine davon trifft zu? Dann durfen Sie die Daten schlicht nicht verarbeiten.
Klingt streng, ist in der Praxis aber gut machbar. Die meisten KMU haben es mit hochstens drei oder vier Rechtsgrundlagen zu tun. Im Folgenden gehen wir alle durch, mit konkreten Beispielen.
Die 6 Rechtsgrundlagen im Uberblick
1. Einwilligung
Wann: jemand gibt Ihnen seine freiwillige, spezifische und eindeutige Einwilligung.
Beispiel: Ein Website-Besucher meldet sich fur Ihren Newsletter an. Marketing-Cookies setzen Sie erst, nachdem jemand auf “Akzeptieren” klickt.
Achtung: Die Einwilligung muss wirklich freiwillig sein. Ein vorangekreuztes Kontrollkastchen zahlt nicht. Die betroffene Person kann die Einwilligung jederzeit widerrufen, wonach Sie die Verarbeitung sofort einstellen mussen. Das macht die Einwilligung zu einer fragilen Grundlage.
2. Vertragserfullung
Wann: die Verarbeitung ist notwendig, um einen Vertrag zu erfullen oder auf Wunsch der betroffenen Person vorvertragliche Massnahmen durchzufuhren.
Beispiel: Ein Kunde bestellt in Ihrem Webshop. Sie benotigen Name, Adresse und Zahlungsdaten, um die Bestellung zu bearbeiten und zu liefern.
Achtung: Dies gilt nur fur Verarbeitungen, die tatsachlich fur den Vertrag notwendig sind. Die Bestellung versenden? Ja. Die E-Mail-Adresse des Kunden auf Ihre Marketingliste setzen? Nein.
3. Rechtliche Verpflichtung
Wann: das Gesetz verpflichtet Sie, bestimmte Daten zu verarbeiten oder aufzubewahren.
Beispiel: Ihre Buchfuhrung. Das Finanzamt verlangt, dass Sie Rechnungen 7 Jahre aufbewahren, einschliesslich der Kundendaten darauf. Ihre Lohnbuchhaltung enthalt Steueridentifikationsnummern, weil das Gesetz es vorschreibt.
Achtung: Sie konnen sich nur auf eine konkrete, spezifische gesetzliche Pflicht berufen. “Schien mir sinnvoll” ist keine rechtliche Verpflichtung.
4. Lebenswichtiges Interesse
Wann: die Verarbeitung ist notwendig, um das Leben einer Person zu schutzen.
Beispiel: Ein Besucher auf Ihrem Betriebsgelande erleidet einen Herzinfarkt und Sie teilen seine medizinischen Informationen mit dem Rettungsdienst.
In der Praxis ist diese Grundlage fur die meisten KMU kaum relevant.
5. Offentliches Interesse oder offentliche Gewalt
Wann: die Verarbeitung ist fur die Wahrnehmung einer Aufgabe im offentlichen Interesse oder in Ausubung offentlicher Gewalt erforderlich.
Als KMU werden Sie diese Grundlage fast nie benotigen. Dies ist der Bereich von Behorden und offentlichen Einrichtungen.
6. Berechtigtes Interesse
Wann: Sie haben ein berechtigtes Interesse, das die Datenschutzinteressen der betroffenen Person uberwiegt.
Beispiel: Sie analysieren die Besucherstatistiken Ihrer Website. Oder Sie installieren Kameras an Ihrem Betriebsgelande zur Einbruchpravention. Oder Sie senden einem bestehenden Kunden eine E-Mail uber ein ahnliches Produkt (Soft Opt-in).
Achtung: Sie mussen eine Interessenabwagung durchfuhren. Ihr Interesse muss die Auswirkungen auf die Privatsphare der betroffenen Person uberwiegen. Dokumentieren Sie diese Abwagung.
Die vier Grundlagen, die KMU am haufigsten nutzen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Newsletter versenden | Einwilligung |
| Marketing-Cookies setzen | Einwilligung |
| Bestellung bearbeiten | Vertrag |
| Angebot erstellen | Vertrag |
| Rechnungen aufbewahren (7 Jahre) | Rechtliche Verpflichtung |
| Lohnbuchhaltung | Rechtliche Verpflichtung |
| Website-Analytics | Berechtigtes Interesse |
| IT-Sicherheit/Protokollierung | Berechtigtes Interesse |
Der haufigste Fehler: fur alles eine Einwilligung einholen
Viele KMU-Inhaber denken: “Wenn ich fur alles eine Einwilligung einhole, bin ich auf der sicheren Seite.” Das ist ein Missverstandnis, das Sie in Schwierigkeiten bringen kann.
Warum? Weil die Einwilligung jederzeit widerrufen werden kann. Wenn ein Kunde seine Einwilligung fur eine Verarbeitung widerruft, fur die Sie eigentlich eine bessere Grundlage hatten (wie Vertrag oder rechtliche Verpflichtung), mussen Sie trotzdem aufhoren.
Beispiel: Sie holen die Einwilligung ein, um Kundendaten auf eine Rechnung zu setzen. Der Kunde widerruft. Jetzt haben Sie ein Problem, denn das Steuerrecht verpflichtet Sie, diese Daten aufzubewahren. Hatten Sie von Anfang an “rechtliche Verpflichtung” gewahlt, gabe es kein Problem.
Die Faustregel: Verwenden Sie die Einwilligung nur, wenn keine andere Grundlage verfugbar ist. Und wenn Sie die Einwilligung einholen, stellen Sie sicher, dass der Widerruf genauso einfach ist wie die Erteilung.
Wie dokumentieren Sie Ihre Rechtsgrundlagen?
- Verarbeitungsverzeichnis - notieren Sie pro Verarbeitungstatigkeit die verwendete Rechtsgrundlage
- Datenschutzerklarung - geben Sie die Grundlage pro Verarbeitungszweck an
- Interessenabwagung - erstellen Sie fur jede Verarbeitung auf Basis berechtigten Interesses eine kurze schriftliche Bewertung
Tipp: Wahlen Sie Ihre Rechtsgrundlage, bevor Sie mit der Verarbeitung beginnen, nicht im Nachhinein. Ruckwirkend eine Grundlage zu suchen, die zu dem passt, was Sie bereits tun, entspricht nicht der DSGVO - und genau das prufen die Aufsichtsbehorden bei Kontrollen.
GDPRWise hilft Ihnen, die richtige Rechtsgrundlage pro Verarbeitung zu wahlen, und dokumentiert alles automatisch in Ihrem Verarbeitungsverzeichnis und Ihrer Datenschutzerklarung.