ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo

Wer bestimmt die Rechtsgrundlage?

/von

Ein häufiges Streitthema in den Unternehmen ist ein grundlegendes: Die Bestimmung der Rechtsgrundlagen der Verarbeitungen. Genauer gesagt die Zuständigkeit dafür. Gewöhnlich gibt es mindestens die folgenden Ansichten:

  • Zuständig ist die Geschäftsleitung, schließlich ist die letztlich verantwortlich
  • Zuständig ist die Fachabteilung, welche ein Verfahren verantwortet, schließlich liegt dort das Fachwissen zum Verfahren
  • Zuständig ist der Datenschutzbeauftragte, schließlich ist dort das Wissen zum Datenschutz gebündelt vorhanden.
  • Wofür braucht man die Rechtsgrundlage? Das Verfahren wird seit 20 Jahren betrieben, wieso sollte es plötzlich nicht mehr rechtmäßig sein?

And the winner is ….

Im Normalfall einigen sich dann alle Beteiligten darauf, dass der Datenschutzbeauftragte zuständig sei und teilen diesem das mit. In unseren Augen ist diese Entscheidung (neben der “wofür eine Rechtsgrundlage?”) die schlechteste aller möglichen Optionen.

Warum ist das so? Die Antwort ist eigentlich ganz einfach: Es geht bei der Bestimmung der Rechtsgrundlage einer Verarbeitung nicht nur darum, eine lästige Pflicht abzuarbeiten. Vielmehr geht es darum, Rechtssicherheit für das Unternehmen zu schaffen.

Keine lästige Pflicht, sondern wichtige Grundlage

Beispielsweise ist die Rechtsgrundlage, auf der eine Verarbeitung beruht, den betroffenen Personen im Rahmen der Informationspflichten (Art. 13 Abs. 1 lit. c sowie Art. 14 Abs. 1 lit. c DSGVO) mitzuteilen. Wird diese Informationspflichten im Rahmen einer Datenschutzerklärung eines Internetauftritts nachgekommen würde hier in aller Öffentlichkeit bestenfalls unzureichende Informationen gegeben. Bereits dieser Tatbestand ist durch die DSGVO mit einem Bußgeld i. H. v. bis zu 20 Mio EUR bedroht.

Auch Teil der Rechenschaftspflicht

Über die reinen Informationspflichten hinaus besteht für alle Verantwortlichen jedoch auch die bereits in zahlreichen anderen Artikeln erwähnte Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Diese besagt unter anderem, dass die für die Verarbeitung Verantwortlichen jederzeit in der Lage sein müssen, die Rechtmäßigkeit der Verarbeitungen nachzuweisen. Dieses ist nur möglich, sofern die Rechtmäßigkeit überhaupt nachweisbar überprüft wurde. Mit anderen Worten: Wenn die Rechtsgrundlage bestimmt wurde und sich verargumentieren lässt.

Die Bestimmung der Rechtsgrundlage ist also ein wichtiger Schritt, im Zuge der Erfüllung der Unternehmerpflichten, welche sich aus der Rechenschaftspflicht ergeben. Dieses wirft nun ein anderes Licht auf die häufig vernachlässigte Aufgabe.

Fachwissen liegt in der Fachabteilung

Da es sich um eine Unternehmerpflicht handelt, liegt die Verantwortlichkeit ganz klar bei der Geschäftsleitung. Diese kann sie natürlich (und unseres Erachtens auch sinnvoller Weise) delegieren. Und zwar in die für die Verarbeitung zuständige Fachabteilung. Dort liegt das Fachwissen, warum bestimmte Prozesse überhaupt durchgeführt werden und warum sie auf die derzeit festgelegte Weise durchgeführt werden. Wenn in den Fachabteilungen das Fachwissen zu den Verarbeitungen nicht vorhanden sein sollte, ist das ein Missstand, welcher dringend und kurzfristig behoben werden sollte.

Art. 6 sollte Notlösung sein

Der Datenschutzbeauftragte hat zwar das Fachwissen zum Datenschutz, jedoch sollten die typischen Rechtsgrundlagen aus dem Datenschutzrecht (Art. 6 DSGVO) eher als “Fallbacklösung” dienen. Findet man tatsächlich keine fachliche Rechtsgrundlage, so kann geprüft werden, ob eine der hier genannten Rechtsgrundlagen (Vertrag mit dem Betroffenen, Einwilligung, berechtigtes Interesse, Schutz lebenswichtiger Interessen etc.) nutzbar ist.

Löschfristen analog

Unser klarer Standpunkt für die Bestimmung der Rechtsgrundlage der Verarbeitungen ist also: Zuständig ist die Fachabteilung. Der Datenschutzbeauftragte unterstützt und prüft, aber er bestimmt die Rechtsgrundlage nicht. Gleiches gilt übrigens für das Thema der Löschfristen. Nur die Fachabteilung kann bestimmen, wie lange Daten benötigt werden. Auch sollte sie die gesetzlichen Aufbewahrungsfristen für die bei ihr verarbeiteten Daten kennen. Aber wir schweifen gerade ab…

Benötigen Sie Unterstützung bei der Bestimmung oder Überprüfung der Rechtsgrundlagen Ihrer Verarbeitungen? Wir helfen!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
besondere kategorien 9Serie Rechtsgrundlagen: Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoAufgaben des Datenschutzbeauftragten nach der DSGVO
privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanSafe Harbor: Hamburger Aufsichtsbehörde wird aktiv
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungAllgemeines Bundesdatenschutzgesetz – ABDSG
überprüfung tom ransomware trojanerÜberprüfung, Bewertung und Evaluierung der TOM – es wird ernst
beschwerde aufsicht 77Serie Betroffenenrechte: Das Recht auf Beschwerde bei der Aufsicht nach Art. 77 DSGVO