Was sind personenbezogene Daten?
alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Wann darf ich diese Daten verarbeiten?
Grundsätzlich lässt sich sagen, Sie dürfen personenbezogene Daten nie verarbeiten, außer Sie haben eine Rechtsgrundlage dafür (Verbot mit Erlaubnisvorbehalt).
Diese können sein:
- Einwilligung
- vorvertragliche oder vertragliche Maßnahmen
- zur Erfüllung einer rechtlichen Verpflichtung
- um lebenswichtige Interessen der betroffenen Person zu schützen
- für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt
- Berechtigtes Interesse, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Interessenabwägung)
Wenn keine dieser Rechtsgrundlagen einschlägig ist, dürfen die Daten nicht verarbeiten werden.
Empfehlenswerte Vorgehensweise
Immer wenn es möglich ist, sollte die Verarbeitung auf die Vertragsdurchführung gestützt werden. Zum einen sparen Sie sich den Verwaltungsaufwand der Einholung und Dokumentation der Einwilligung und zum anderen sind die Hürden der Einwilligung recht hoch. Die Verarbeitung über das berechtigte Interesse sollten Sie nur in Ausnahmefällen wählen. Dabei handelt es sich um eine Interessenabwägung zwischen der Verarbeitung der Daten und des Interesses der Person, dass seine Daten nicht verarbeitet werden. Wie Sie sehen, führt das zwangsläufig zu einer subjektiven Abwägung, die im Streitfall unterschiedlich gesehen werden kann. Im schlimmsten Fall kippt die Interessenabwägung hinten über und Sie haben keine gültige Rechtsgrundlage zur Verarbeitung der Daten.
Rechtsgrundlagen: Art. 4, Art 6 DSGVO
Erwägungsgründe: 39, 40, 41, 42, 44, 45, 46, 47, 48