Die Erlaubnistatbestände der DS GVO

Erfüllung einer “rechtlichen Verpflichtung”

Wann ist der Umgang mit personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung erlaubt?

Der Umgang mit personenbezogenen Daten ist von der DS GVO ja grundsätzlich verboten. Andererseits verlangt der “Staat” in vielen Fällen, dass Unternehmen mit personenbezogenen Daten umgehen. Allgemein bekannte Beispiele sind die Aufbewahrungspflichten aus dem Steuerrecht oder dem Handelsrecht.

Ähnlich wie bei der Erlaubnis wegen Vertragserfüllung führt dies ohne weitere Regelungen zu einem Konflikt. Entweder man hält sich an das Verbot oder man erfüllt die vom Staat vorgeschriebene Pflicht. Beides gleichzeitig geht nicht!

Erfüllung einer rechtlichen Verpflichtung

Deshalb gibt es in der DS GVO eine besonderen Erlaubnis (in der Rechtssprache: Erlaubnistatbestand). Das ist die  “Erfüllung einer rechtlichen Verpflichtung”. Dies ist eine wichtige Erlaubnis für die Verarbeitung personenbezogener Daten. Sie wird aber häufig übersehen.

Voraussetzung rechtliche Verpflichtung

Voraussetzung ist, dass der Staat Sie verpflichtet, bestimmte personenbezogene Daten zu verarbeiten. Das kann zum Beispiel die Pflicht sein, Daten aufzubewahren und auf Anfrage mitzuteilen. Solche Pflichten gibt es beispielsweise im Steuerrecht und im Handelsrecht.

Verarbeitung ist erforderlich

Zweite Voraussetzung ist, dass die Verarbeitung für die Erfüllung dieser rechtlichen Pflicht erforderlich ist. Wegen des Grundsatzes der Datensparsamkeit sollte nur die Verarbeitung der nach dem Gesetz notwendigen Daten auf diese Erlaubnis gestützt werden. Denn die Datensparsamkeit ist einer der wichtigsten Grundsätze der DS GVO. Welche Daten notwendig sind, muss sich dabei aus den jeweiligen staatlichen Regelungen ergeben. In der Regel werden dort die erforderlichen Datenkategorien ausdrücklich genannt. Der Katalog kann allerdings sehr umfangreich sein.

weitere Anforderungen

Die staatlichen Regeln, die eine solche Pflicht begründen, müssen noch weitere Anforderungen erfüllen. Das ist für Sie als Anwender aber nicht so wichtig. Sie sollten grundsätzlich davon ausgehen, dass die staatlichen Regeln diesen Anforderungen genügen. Das gilt jedenfalls bei Regeln, die schon länger gelten und angewendet werden.

Wegen der Zweckbindung dürfen die Daten natürlich nicht für andere Zwecke verarbeitet werden, wenn dafür nicht ein entsprechender Erlaubnisgrund herangezogen werden kann.

Ein Beispiel

Zum Verständnis hier ein Beispiel für Sie:

Sie haben personenbezogene Daten Ihres Kunden erhoben und gespeichert. Grund für die Erlaubnis war die Vertragserfüllung.

Der Vertrag ist vollständig abgewickelt. Damit fällt der Grund für die Erlaubnis weg. Sie müssten die Daten daher löschen.

Das Steuerrecht verlangt von Ihnen aber, die Daten zehn Jahre lang aufzubewahren, also zu speichern und für die Finanzbehörden verfügbar zu halten. Dafür gibt es die Erlaubnis zur Erfüllung der rechtlichen Verpflichtung.

ACHTUNG: Wenn Sie ihre “Altkunden” jetzt mit diesen Daten erneut kontaktieren wollen, um ihnen beispielsweise ein neues Angebot zu schicken, können Sie eine solche Verarbeitung nicht auf diese Erlaubnis stützen. Denn eine derartige Verarbeitung ist nicht erforderlich zur Erfüllung der rechtlichen Verpflichtung.

Sie müssen also einen anderen Grund für eine Erlaubnis finden, zum Beispiel die Wahrnehmung berechtigter Interessen. Mit diesem wird sich der nächste Beitrag in einigen Tagen befassen.

 

 

Schreibe einen Kommentar