Wer bestimmt die Rechtsgrundlage?
Ein häufiges Streitthema in den Unternehmen ist ein grundlegendes: Die Bestimmung der Rechtsgrundlagen der Verarbeitungen. Genauer gesagt die Zuständigkeit dafür. Gewöhnlich gibt es mindestens die folgenden Ansichten:
- Zuständig ist die Geschäftsleitung, schließlich ist die letztlich verantwortlich
- Zuständig ist die Fachabteilung, welche ein Verfahren verantwortet, schließlich liegt dort das Fachwissen zum Verfahren
- Zuständig ist der Datenschutzbeauftragte, schließlich ist dort das Wissen zum Datenschutz gebündelt vorhanden.
- Wofür braucht man die Rechtsgrundlage? Das Verfahren wird seit 20 Jahren betrieben, wieso sollte es plötzlich nicht mehr rechtmäßig sein?
And the winner is ….
Im Normalfall einigen sich dann alle Beteiligten darauf, dass der Datenschutzbeauftragte zuständig sei und teilen diesem das mit. In unseren Augen ist diese Entscheidung (neben der “wofür eine Rechtsgrundlage?”) die schlechteste aller möglichen Optionen.
Warum ist das so? Die Antwort ist eigentlich ganz einfach: Es geht bei der Bestimmung der Rechtsgrundlage einer Verarbeitung nicht nur darum, eine lästige Pflicht abzuarbeiten. Vielmehr geht es darum, Rechtssicherheit für das Unternehmen zu schaffen.
Keine lästige Pflicht, sondern wichtige Grundlage
Beispielsweise ist die Rechtsgrundlage, auf der eine Verarbeitung beruht, den betroffenen Personen im Rahmen der Informationspflichten (Art. 13 Abs. 1 lit. c sowie Art. 14 Abs. 1 lit. c DSGVO) mitzuteilen. Wird diese Informationspflichten im Rahmen einer Datenschutzerklärung eines Internetauftritts nachgekommen würde hier in aller Öffentlichkeit bestenfalls unzureichende Informationen gegeben. Bereits dieser Tatbestand ist durch die DSGVO mit einem Bußgeld i. H. v. bis zu 20 Mio EUR bedroht.
Auch Teil der Rechenschaftspflicht
Über die reinen Informationspflichten hinaus besteht für alle Verantwortlichen jedoch auch die bereits in zahlreichen anderen Artikeln erwähnte Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Diese besagt unter anderem, dass die für die Verarbeitung Verantwortlichen jederzeit in der Lage sein müssen, die Rechtmäßigkeit der Verarbeitungen nachzuweisen. Dieses ist nur möglich, sofern die Rechtmäßigkeit überhaupt nachweisbar überprüft wurde. Mit anderen Worten: Wenn die Rechtsgrundlage bestimmt wurde und sich verargumentieren lässt.
Die Bestimmung der Rechtsgrundlage ist also ein wichtiger Schritt, im Zuge der Erfüllung der Unternehmerpflichten, welche sich aus der Rechenschaftspflicht ergeben. Dieses wirft nun ein anderes Licht auf die häufig vernachlässigte Aufgabe.
Fachwissen liegt in der Fachabteilung
Da es sich um eine Unternehmerpflicht handelt, liegt die Verantwortlichkeit ganz klar bei der Geschäftsleitung. Diese kann sie natürlich (und unseres Erachtens auch sinnvoller Weise) delegieren. Und zwar in die für die Verarbeitung zuständige Fachabteilung. Dort liegt das Fachwissen, warum bestimmte Prozesse überhaupt durchgeführt werden und warum sie auf die derzeit festgelegte Weise durchgeführt werden. Wenn in den Fachabteilungen das Fachwissen zu den Verarbeitungen nicht vorhanden sein sollte, ist das ein Missstand, welcher dringend und kurzfristig behoben werden sollte.
Art. 6 sollte Notlösung sein
Der Datenschutzbeauftragte hat zwar das Fachwissen zum Datenschutz, jedoch sollten die typischen Rechtsgrundlagen aus dem Datenschutzrecht (Art. 6 DSGVO) eher als “Fallbacklösung” dienen. Findet man tatsächlich keine fachliche Rechtsgrundlage, so kann geprüft werden, ob eine der hier genannten Rechtsgrundlagen (Vertrag mit dem Betroffenen, Einwilligung, berechtigtes Interesse, Schutz lebenswichtiger Interessen etc.) nutzbar ist.
Löschfristen analog
Unser klarer Standpunkt für die Bestimmung der Rechtsgrundlage der Verarbeitungen ist also: Zuständig ist die Fachabteilung. Der Datenschutzbeauftragte unterstützt und prüft, aber er bestimmt die Rechtsgrundlage nicht. Gleiches gilt übrigens für das Thema der Löschfristen. Nur die Fachabteilung kann bestimmen, wie lange Daten benötigt werden. Auch sollte sie die gesetzlichen Aufbewahrungsfristen für die bei ihr verarbeiteten Daten kennen. Aber wir schweifen gerade ab…
Benötigen Sie Unterstützung bei der Bestimmung oder Überprüfung der Rechtsgrundlagen Ihrer Verarbeitungen? Wir helfen!