Die DSGVO folgt einem wichtigen Grundprinzip: Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten – außer es gibt eine ausdrückliche Erlaubnis. Diese Erlaubnis nennt man Rechtsgrundlage. Ohne Rechtsgrundlage ist jede Datenverarbeitung ein Verstoß gegen die DSGVO.
Rechtsgrundlage | Erklärung & Beispiel |
|---|---|
Einwilligung (Art. 6 Abs. 1 lit. a) | Die betroffene Person hat freiwillig, informiert und eindeutig zugestimmt. Beispiel: Newsletter-Anmeldung mit Double-Opt-In |
Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Verarbeitung ist für die Erfüllung eines Vertrags nötig. Beispiel: Lieferadresse für Bestellung speichern |
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) | Gesetz schreibt die Verarbeitung vor. Beispiel: Steuerrechtliche Aufbewahrungspflichten (10 Jahre) |
Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d) | Schutz lebenswichtiger Interessen. Beispiel: Notaufnahme verarbeitet Gesundheitsdaten eines bewusstlosen Patienten |
Öffentliches Interesse (Art. 6 Abs. 1 lit. e) | Aufgabe im öffentlichen Interesse. Beispiel: Behörde verarbeitet Einwohnermeldedaten |
Berechtigte Interessen (Art. 6 Abs. 1 lit. f) | Überwiegende berechtigte Interessen des Verantwortlichen. Beispiel: Videoüberwachung zum Schutz von Eigentum (mit Abwägung) |
Die Einwilligung muss:
Freiwillig sein – kein Druckmittel, keine Nachteile bei Verweigerung
Informiert sein – Betroffene wissen wofür sie einwilligen
Eindeutig sein – aktive Handlung (kein vorausgewähltes Häkchen)
Jederzeit widerrufbar sein – Widerruf muss so einfach sein wie die Einwilligung
Dokumentiert sein – Nachweis der Einwilligung muss möglich sein
Jede Person hat das Recht zu erfahren ob und welche Daten über sie verarbeitet werden, zu welchem Zweck, wie lange und woher sie stammen. Der Verantwortliche muss innerhalb von einem Monat antworten.
Unrichtige oder unvollständige Daten müssen auf Anfrage korrigiert werden.
Betroffene können die Löschung ihrer Daten verlangen wenn z.B. der Zweck entfallen ist, die Einwilligung widerrufen wurde oder die Verarbeitung rechtswidrig war. Das Recht auf Löschung gilt nicht wenn gesetzliche Aufbewahrungspflichten bestehen.
Betroffene können verlangen dass ihre Daten zwar gespeichert aber nicht weiterverarbeitet werden – z.B. während eine Berichtigung geprüft wird.
Daten müssen in einem gängigen maschinenlesbaren Format (z.B. CSV, JSON) herausgegeben werden. Gilt nur bei automatisierter Verarbeitung auf Basis von Einwilligung oder Vertrag.
Betroffene können der Verarbeitung widersprechen – insbesondere bei berechtigten Interessen oder Direktwerbung. Bei Direktwerbung muss der Widerspruch immer akzeptiert werden.
Betroffene haben das Recht nicht ausschließlich einer automatisierten Entscheidung mit rechtlicher Wirkung unterworfen zu werden – z.B. automatische Kreditablehnung ohne menschliche Prüfung.
Jede Datenverarbeitung braucht eine Rechtsgrundlage – sonst ist sie verboten (Verbot mit Erlaubnisvorbehalt)
Es gibt sechs Rechtsgrundlagen nach Art. 6: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse, berechtigte Interessen
Einwilligung muss freiwillig, informiert, eindeutig, widerrufbar und dokumentiert sein
Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Schutz vor automatisierten Entscheidungen
Anfragen müssen innerhalb eines Monats beantwortet werden