Blog

Apr 30, 2023

Ein Leitfaden zur Rechtsgrundlage

Artikel durchsuchen

Artikel durchsuchen

Möglicherweise haben Sie bemerkt, dass wir einige Änderungen an unserer Website vorgenommen haben. Dazu gehören Änderungen am Leitfaden zur britischen DSGVO, der in kleinere Leitfäden wie diesen unterteilt wurde.

07. Oktober 2022 - Wir haben unseren Standpunkt hinsichtlich der Notwendigkeit einer neuen Rechtsgrundlage aktualisiert, wenn sich Ihr Verarbeitungszweck ändert. Das Update finden Sie unter „Was passiert, wenn wir einen neuen Zweck haben?“. Abschnitt. Sie müssen nun überlegen, ob Sie eine neue Rechtsgrundlage benötigen, wenn sich Ihre Zwecke für die Verarbeitung personenbezogener Daten ändern.

☐ Wir haben die Zwecke unserer Verarbeitungsaktivitäten überprüft und für jede Aktivität die am besten geeignete Rechtsgrundlage (oder Rechtsgrundlagen) ausgewählt.

☐ Wir haben geprüft, ob die Verarbeitung für den jeweiligen Zweck erforderlich ist, und sind davon überzeugt, dass es keinen anderen angemessenen und weniger einschneidenden Weg gibt, diesen Zweck zu erreichen.

☐ Wir haben unsere Entscheidung darüber, welche Rechtsgrundlage gilt, dokumentiert, um uns beim Nachweis der Einhaltung zu helfen.

☐ Informationen zu den Zwecken der Verarbeitung und den Rechtsgrundlagen der Verarbeitung haben wir in unserer Datenschutzerklärung aufgeführt.

☐ Soweit wir Sonderkategoriedaten verarbeiten, haben wir auch eine Bedingung für die Verarbeitung von Sonderkategoriedaten ermittelt und diese dokumentiert.

☐ Soweit wir Straftatdaten verarbeiten, haben wir zudem eine Voraussetzung für die Verarbeitung dieser Daten festgestellt und diese dokumentiert.

Die Rechtsgrundlagen für die Verarbeitung sind in Artikel 6 der UK-DSGVO festgelegt. Bei der Verarbeitung personenbezogener Daten muss mindestens einer dieser Punkte zutreffen:

(a) Einwilligung:Die Person hat Ihnen eindeutig zugestimmt, ihre personenbezogenen Daten für einen bestimmten Zweck zu verarbeiten.

(b) Vertrag:Die Verarbeitung ist für einen Vertrag erforderlich, den Sie mit der Einzelperson haben, oder weil diese Sie vor Abschluss eines Vertrags aufgefordert hat, bestimmte Schritte zu unternehmen.

(c) Gesetzliche Verpflichtung:Die Verarbeitung ist für die Einhaltung gesetzlicher Vorschriften durch Sie erforderlich (davon ausgenommen sind vertragliche Verpflichtungen).

(d) Wesentliche Interessen:die Verarbeitung ist notwendig, um das Leben einer Person zu schützen.

(e) Öffentliche Aufgabe:die Verarbeitung ist für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder Ihrer dienstlichen Aufgaben erforderlich und die Aufgabe oder Funktion beruht auf einer eindeutigen Rechtsgrundlage.

(f) Berechtigte Interessen: Die Verarbeitung ist für Ihre berechtigten Interessen oder die berechtigten Interessen eines Dritten erforderlich, es sei denn, es gibt einen guten Grund für den Schutz der personenbezogenen Daten der Person, der diese berechtigten Interessen überwiegt. (Dies gilt nicht, wenn Sie eine Behörde sind, die Daten zur Erfüllung ihrer dienstlichen Aufgaben verarbeitet.)

Weitere Einzelheiten zu den einzelnen Rechtsgrundlagen finden Sie auf der jeweiligen Seite dieses Leitfadens.

Externer Link

Externer Link

Dies hängt von Ihren spezifischen Zwecken und dem Kontext der Verarbeitung ab. Sie sollten darüber nachdenken, warum Sie die Daten verarbeiten möchten und welche Rechtsgrundlage den Umständen am besten entspricht. Dabei können Sie unser interaktives Beratungstool nutzen.

Sie könnten in Betracht ziehen, dass mehr als eine Grundlage zutrifft. In diesem Fall sollten Sie alle von Anfang an identifizieren und dokumentieren.

Sie dürfen keinen einheitlichen Ansatz verfolgen. Keine Grundlage sollte als immer besser, sicherer oder wichtiger angesehen werden als die anderen, und in der britischen DSGVO gibt es keine Hierarchie in der Reihenfolge der Liste.

Mehrere der Rechtsgrundlagen beziehen sich auf einen bestimmten Zweck – eine rechtliche Verpflichtung, die Erfüllung eines Vertrags mit der Einzelperson, den Schutz lebenswichtiger Interessen einer Person oder die Wahrnehmung Ihrer öffentlichen Aufgaben. Wenn Sie die Verarbeitung zu diesen Zwecken durchführen, ist die entsprechende Rechtsgrundlage möglicherweise offensichtlich. Daher ist es hilfreich, diese zunächst zu prüfen.

In anderen Fällen haben Sie wahrscheinlich die Wahl zwischen der Nutzung berechtigter Interessen oder der Einwilligung. Sie müssen über den weiteren Kontext nachdenken, einschließlich:

Möglicherweise ziehen Sie es vor, berechtigte Interessen als Ihre Rechtsgrundlage zu betrachten, wenn Sie die Kontrolle über die Verarbeitung behalten und die Verantwortung dafür übernehmen möchten, nachzuweisen, dass sie den berechtigten Erwartungen der Menschen entspricht und keine ungerechtfertigten Auswirkungen auf sie hat. Wenn Sie es andererseits vorziehen, Einzelpersonen die volle Kontrolle über und die Verantwortung für ihre Daten zu geben (einschließlich der Möglichkeit, ihre Meinung darüber zu ändern, ob sie weiterhin verarbeitet werden dürfen), sollten Sie möglicherweise in Betracht ziehen, sich auf die Einwilligung dieser Personen zu verlassen.

Ausführlicher

Wir haben das interaktive Orientierungstool „Rechtsgrundlage“ entwickelt, um Ihnen individuellere Hinweise zu geben, welche Rechtsgrundlage für Ihre Verarbeitungstätigkeiten wahrscheinlich am besten geeignet ist.

Der grundsätzliche Ansatz ist derselbe. Sie sollten über Ihre Zwecke nachdenken und die Grundlage wählen, die am besten passt. Sie können weiterhin unser Rechtsgrundlagen-Tool nutzen, um Ihnen zu helfen.

Die öffentliche Aufgabenbasis dürfte für viele Ihrer Tätigkeiten relevant sein. Wenn Sie eine Behörde sind und nachweisen können, dass die Verarbeitung zur Erfüllung Ihrer im britischen Recht festgelegten Aufgaben dient, können Sie die Grundlage für öffentliche Aufgaben nutzen. Wenn es jedoch einem anderen Zweck dient, können Sie dennoch eine andere Grundlage in Betracht ziehen.

Insbesondere können Sie in manchen Fällen immer noch eine Einwilligung oder berechtigte Interessen berücksichtigen, abhängig von der Art der Verarbeitung und Ihrer Beziehung zur Person. Es gibt kein absolutes Verbot für Behörden, Einwilligung oder berechtigte Interessen als Rechtsgrundlage zu verwenden, obwohl es einige Einschränkungen gibt. Weitere Informationen finden Sie auf der jeweiligen Seite mit den Leitlinien zu den einzelnen Rechtsgrundlagen.

Das Datenschutzgesetz von 2018 besagt, dass „öffentliche Behörde“ hier eine öffentliche Behörde gemäß dem Freedom of Information Act oder dem Freedom of Information (Scotland) Act bedeutet – mit Ausnahme von Gemeinde- und Gemeinderäten.

Beispiel

Eine Hochschule, die personenbezogene Daten verarbeiten möchte, kann unterschiedliche Rechtsgrundlagen in Betracht ziehen, je nachdem, was sie mit den Daten tun möchte.

Da Universitäten als Behörden eingestuft sind, dürfte für einen Großteil ihrer Verarbeitung die Grundlage öffentlicher Aufgaben gelten, abhängig von den Einzelheiten ihrer Verfassung und rechtlichen Befugnisse. Wenn die Verarbeitung unabhängig von ihren Aufgaben als Behörde erfolgt, kann die Universität stattdessen prüfen, ob eine Einwilligung oder berechtigte Interessen unter den jeweiligen Umständen angemessen sind. Beispielsweise könnte sich eine Universität für die Verarbeitung personenbezogener Daten zu Lehr- und Forschungszwecken auf eine öffentliche Aufgabe berufen; sondern eine Mischung aus legitimen Interessen und Einwilligung für Alumni-Beziehungen und Fundraising-Zwecke.

Allerdings muss die Universität die Grundlage sorgfältig prüfen – es liegt in der Verantwortung des Verantwortlichen, nachzuweisen, welche Rechtsgrundlage für den jeweiligen Verarbeitungszweck gilt.

Externer Link

Bevor Sie mit der Verarbeitung personenbezogener Daten beginnen, müssen Sie Ihre Rechtsgrundlage ermitteln. Es ist wichtig, dies gleich beim ersten Mal richtig zu machen. Sollten Sie zu einem späteren Zeitpunkt feststellen, dass die von Ihnen gewählte Basis tatsächlich ungeeignet war, wird es schwierig sein, einfach auf eine andere zu wechseln. Selbst wenn von Anfang an eine andere Grundlage hätte gelten können, wäre ein nachträglicher Wechsel der Rechtsgrundlage wahrscheinlich grundsätzlich ungerecht gegenüber dem Einzelnen und würde zu Verstößen gegen die Anforderungen an Rechenschaftspflicht und Transparenz führen.

Beispiel

Ein Unternehmen entschied sich für die Verarbeitung auf der Grundlage einer Einwilligung und holte die Einwilligung von Einzelpersonen ein. Eine Person hat sich daraufhin entschieden, ihre Einwilligung zur Verarbeitung ihrer Daten zu widerrufen, was ihr Recht ist. Das Unternehmen wollte die Daten jedoch weiterhin verarbeiten und beschloss daher, die Verarbeitung auf der Grundlage berechtigter Interessen fortzusetzen.

Auch wenn es sich ursprünglich auf berechtigte Interessen hätte berufen können, kann das Unternehmen dies zu einem späteren Zeitpunkt nicht tun – es kann nicht die Basis wechseln, wenn es feststellt, dass die ursprünglich gewählte Basis unangemessen war (in diesem Fall, weil es dem Einzelnen kein echtes Angebot machen wollte). laufende Kontrolle). Dem Einzelnen hätte von Anfang an klar sein müssen, dass die Verarbeitung auf der Grundlage berechtigter Interessen erfolgte. Den Einzelnen glauben zu machen, dass er eine Wahl hatte, ist von Natur aus unfair, wenn diese Wahl irrelevant ist. Das Unternehmen muss daher die Verarbeitung einstellen, wenn die Person ihre Einwilligung widerruft.

Daher ist es wichtig, im Vorfeld genau zu prüfen, welche Grundlage angemessen ist, und diese zu dokumentieren. Es kann sein, dass mehr als eine Grundlage für die Verarbeitung gilt, weil Sie mehr als einen Zweck verfolgen. Wenn dies der Fall ist, sollten Sie dies von Anfang an klarstellen.

Wenn es zu einer echten Änderung der Umstände kommt oder Sie einen neuen und unerwarteten Zweck haben, was bedeutet, dass es einen guten Grund gibt, Ihre Rechtsgrundlage zu überprüfen und eine Änderung vorzunehmen, müssen Sie die Person informieren und die Änderung dokumentieren.

Externer Link

Wenn sich Ihre Zwecke im Laufe der Zeit ändern oder Sie einen neuen Zweck haben, mit dem Sie ursprünglich nicht gerechnet haben, müssen Sie den Grundsatz der Zweckbindung einhalten. Zusammenfassend können Sie nur dann fortfahren, wenn:

Weitere Informationen zur Kompatibilität finden Sie in unserem Leitfaden zur Zweckbeschränkung.

Jede Verarbeitung muss rechtmäßig sein, daher müssen Sie auch eine Rechtsgrundlage angeben. Die ursprüngliche Grundlage, auf der Sie die Daten erfasst haben, ist möglicherweise nicht immer für Ihre neue Verwendung der Daten geeignet.

In den meisten Fällen dürfte die geeignete Grundlage für Ihre neue Nutzung der Daten ziemlich offensichtlich sein. Wenn Sie beispielsweise eine spezifische Einwilligung für den neuen Zweck einholen, ist die Einwilligung Ihre Rechtsgrundlage. Wenn Sie sich auf eine Rechtsvorschrift berufen, die die neue Verarbeitung im öffentlichen Interesse erfordert, ist Ihre Rechtsgrundlage eine gesetzliche Verpflichtung. Wenn Sie sich auf eine Rechtsvorschrift berufen, die eine neue Nutzung von Daten im öffentlichen Interesse erlaubt, ist Ihre Rechtsgrundlage eine öffentliche Aufgabe.

Wenn der Zweck Ihrer neuen Verarbeitungstätigkeit mit dem ursprünglichen Zweck der Verarbeitung vereinbar ist, können Sie sich wahrscheinlich auf „berechtigte Interessen“ als Rechtsgrundlage für die neue Verarbeitung berufen, sofern Ihre Nutzung der personenbezogenen Daten dafür erforderlich ist diesen Zweck.

Wir gehen davon aus, dass bei einer Kompatibilitätsbewertung wahrscheinlich ähnliche Faktoren berücksichtigt werden wie bei einer Bewertung legitimer Interessen (LIA). Obwohl hierfür keine Verpflichtung besteht, können Sie unsere LIA-Vorlage zur Beurteilung der Kompatibilität verwenden. Dies hilft Ihnen gleichzeitig, Ihre Rechtsgrundlage nachzuweisen.

Wenn Ihre neue Verarbeitung Forschungszwecken dient, müssen Sie keine Kompatibilitätsprüfung durchführen und können in den meisten Fällen sicher sein, dass Ihre Rechtsgrundlage wahrscheinlich entweder eine öffentliche Aufgabe oder berechtigte Interessen ist. Weitere Einzelheiten hierzu finden Sie in unserem Leitfaden zu den Forschungsbestimmungen.

Wenn Sie die Daten jedoch ursprünglich auf der Grundlage einer Einwilligung erhoben haben, sollten Sie eine neue Einwilligung einholen, die speziell den neuen Zweck abdeckt (es sei denn, Sie berufen sich auf eine klare gesetzliche Bestimmung, die Ihre Weiterverwendung der Daten ausdrücklich erlaubt). Denn Einwilligung bedeutet, dem Einzelnen echte Wahl und Kontrolle darüber zu geben, wie seine Daten verwendet werden. Das bedeutet, dass die Einwilligung stets konkret und informiert erfolgen muss. Menschen können nur dann eine gültige Einwilligung erteilen, wenn sie wissen und verstehen, was Sie mit ihren Daten tun. Wenn Sie für den neuen Zweck eine ausdrückliche Einwilligung einholen, müssen Sie nicht nachweisen, dass er kompatibel ist.

Wenn Sie Daten einer besonderen Kategorie verarbeiten, müssen Sie außerdem sicherstellen, dass Sie eine entsprechende Bedingung identifizieren können, die für Ihre neue Verarbeitung gilt.

Externer Link

Der Grundsatz der Rechenschaftspflicht erfordert, dass Sie nachweisen können, dass Sie die britische DSGVO einhalten und über geeignete Richtlinien und Prozesse verfügen. Das bedeutet, dass Sie nachweisen können, dass Sie sorgfältig geprüft haben, welche Rechtsgrundlage für den jeweiligen Verarbeitungszweck gilt, und dass Sie Ihre Entscheidung begründen können.

Sie müssen daher dokumentieren, auf welche Grundlage Sie sich für jeden Verarbeitungszweck stützen, und eine Begründung dafür angeben, warum Sie glauben, dass diese Grundlage zutrifft. Hierfür gibt es kein Standardformular, solange Sie sicherstellen, dass Ihre Aufzeichnungen ausreichen, um nachzuweisen, dass eine Rechtsgrundlage vorliegt. Dies hilft Ihnen bei der Einhaltung Ihrer Rechenschaftspflichten und hilft Ihnen auch beim Verfassen Ihrer Datenschutzhinweise.

Es liegt in Ihrer Verantwortung sicherzustellen, dass Sie nachweisen können, welche Rechtsgrundlage für den jeweiligen Verarbeitungszweck gilt.

Weitere Informationen zu diesem Thema finden Sie im Abschnitt „Verantwortung“ dieses Leitfadens. Weitere Hinweise zur Dokumentation der Einwilligung oder der Beurteilung berechtigter Interessen finden Sie auch auf den entsprechenden Seiten des Leitfadens.

Externer Link

Sie müssen in Ihrer Datenschutzerklärung Informationen über Ihre Rechtsgrundlage (oder Rechtsgrundlagen, falls mehrere zutreffen) angeben. Gemäß den Transparenzbestimmungen der britischen DSGVO müssen Sie den Menschen unter anderem Folgendes mitteilen:

Dies gilt unabhängig davon, ob Sie die personenbezogenen Daten direkt von der Person erheben oder ob Sie deren Daten aus einer anderen Quelle erheben.

Weitere Informationen zu den Transparenzanforderungen der DSGVO finden Sie im Abschnitt „Recht auf Information“ dieses Leitfadens.

Externer Link

Wenn Sie Daten einer Sonderkategorie verarbeiten, müssen Sie sowohl eine Rechtsgrundlage für die Verarbeitung als auch eine Bedingung einer Sonderkategorie für die Verarbeitung gemäß Artikel 9 angeben. Sie sollten sowohl Ihre Rechtsgrundlage für die Verarbeitung als auch Ihre Bedingung einer Sonderkategorie dokumentieren, damit Sie nachweisen können Compliance und Verantwortlichkeit.

Weitere Hinweise finden Sie im Abschnitt zu Sonderkategoriedaten.

Wenn Sie Daten über strafrechtliche Verurteilungen, Straftaten oder damit verbundene Sicherheitsmaßnahmen verarbeiten, benötigen Sie sowohl eine Rechtsgrundlage für die Verarbeitung als auch entweder eine „amtliche Behörde“ oder eine gesonderte Bedingung für die Verarbeitung dieser Daten gemäß Artikel 10. Sie sollten beides dokumentieren Rechtsgrundlage für die Verarbeitung und der Zustand Ihrer Straftatdaten, damit Sie Compliance und Rechenschaftspflicht nachweisen können.

Weitere Hinweise finden Sie im Abschnitt zu Straftatendaten.

Weiterführende Literatur – ICO-Leitfaden

Das Accountability Framework befasst sich mit den Erwartungen des ICO in Bezug auf die Rechtsgrundlage.