Keine Rechtsgrundlage, keine Verarbeitung
Die DSGVO ist an diesem Punkt glasklar: Sie dürfen personenbezogene Daten nur verarbeiten, wenn Sie dafür eine gültige Rechtsgrundlage haben. Artikel 6 der DSGVO gibt Ihnen sechs Optionen. Keine davon trifft zu? Dann dürfen Sie die Daten schlicht nicht verarbeiten.
Klingt streng, ist in der Praxis aber gut machbar. Die meisten KMU haben es mit höchstens drei oder vier Rechtsgrundlagen zu tun. Im Folgenden gehen wir alle durch, mit konkreten Beispielen.
Die 6 Rechtsgrundlagen im Überblick
1. Einwilligung
Wann: jemand gibt Ihnen seine freiwillige, spezifische und eindeutige Einwilligung.
Beispiel: Ein Website-Besucher meldet sich für Ihren Newsletter an. Marketing-Cookies setzen Sie erst, nachdem jemand auf “Akzeptieren” klickt.
Achtung: Die Einwilligung muss wirklich freiwillig sein. Ein vorangekreuztes Kontrollkästchen zählt nicht. Die betroffene Person kann die Einwilligung jederzeit widerrufen, wonach Sie die Verarbeitung sofort einstellen müssen. Das macht die Einwilligung zu einer fragilen Grundlage.
2. Vertragserfüllung
Wann: die Verarbeitung ist notwendig, um einen Vertrag zu erfüllen oder auf Wunsch der betroffenen Person vorvertragliche Maßnahmen durchzuführen.
Beispiel: Ein Kunde bestellt in Ihrem Webshop. Sie benötigen Name, Adresse und Zahlungsdaten, um die Bestellung zu bearbeiten und zu liefern.
Achtung: Dies gilt nur für Verarbeitungen, die tatsächlich für den Vertrag notwendig sind. Die Bestellung versenden? Ja. Die E-Mail-Adresse des Kunden auf Ihre Marketingliste setzen? Nein.
3. Rechtliche Verpflichtung
Wann: das Gesetz verpflichtet Sie, bestimmte Daten zu verarbeiten oder aufzubewahren.
Beispiel: Ihre Buchführung. Das Finanzamt verlangt, dass Sie Rechnungen 7 Jahre aufbewahren, einschließlich der Kundendaten darauf. Ihre Lohnbuchhaltung enthält Steueridentifikationsnummern, weil das Gesetz es vorschreibt.
Achtung: Sie können sich nur auf eine konkrete, spezifische gesetzliche Pflicht berufen. “Schien mir sinnvoll” ist keine rechtliche Verpflichtung.
4. Lebenswichtiges Interesse
Wann: die Verarbeitung ist notwendig, um das Leben einer Person zu schützen.
Beispiel: Ein Besucher auf Ihrem Betriebsgelände erleidet einen Herzinfarkt und Sie teilen seine medizinischen Informationen mit dem Rettungsdienst.
In der Praxis ist diese Grundlage für die meisten KMU kaum relevant.
5. Öffentliches Interesse oder öffentliche Gewalt
Wann: die Verarbeitung ist für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich.
Als KMU werden Sie diese Grundlage fast nie benötigen. Dies ist der Bereich von Behörden und öffentlichen Einrichtungen.
6. Berechtigtes Interesse
Wann: Sie haben ein berechtigtes Interesse, das die Datenschutzinteressen der betroffenen Person überwiegt.
Beispiel: Sie analysieren die Besucherstatistiken Ihrer Website. Oder Sie installieren Kameras an Ihrem Betriebsgelände zur Einbruchprävention. Oder Sie senden einem bestehenden Kunden eine E-Mail über ein ähnliches Produkt (Soft Opt-in).
Achtung: Sie müssen eine Interessenabwägung durchführen. Ihr Interesse muss die Auswirkungen auf die Privatsphäre der betroffenen Person überwiegen. Dokumentieren Sie diese Abwägung.
Die vier Grundlagen, die KMU am häufigsten nutzen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Newsletter versenden | Einwilligung |
| Marketing-Cookies setzen | Einwilligung |
| Bestellung bearbeiten | Vertrag |
| Angebot erstellen | Vertrag |
| Rechnungen aufbewahren (7 Jahre) | Rechtliche Verpflichtung |
| Lohnbuchhaltung | Rechtliche Verpflichtung |
| Website-Analytics | Berechtigtes Interesse |
| IT-Sicherheit/Protokollierung | Berechtigtes Interesse |
Der häufigste Fehler: für alles eine Einwilligung einholen
Viele KMU-Inhaber denken: “Wenn ich für alles eine Einwilligung einhole, bin ich auf der sicheren Seite.” Das ist ein Missverständnis, das Sie in Schwierigkeiten bringen kann.
Warum? Weil die Einwilligung jederzeit widerrufen werden kann. Wenn ein Kunde seine Einwilligung für eine Verarbeitung widerruft, für die Sie eigentlich eine bessere Grundlage hatten (wie Vertrag oder rechtliche Verpflichtung), müssen Sie trotzdem aufhören.
Beispiel: Sie holen die Einwilligung ein, um Kundendaten auf eine Rechnung zu setzen. Der Kunde widerruft. Jetzt haben Sie ein Problem, denn das Steuerrecht verpflichtet Sie, diese Daten aufzubewahren. Hätten Sie von Anfang an “rechtliche Verpflichtung” gewählt, gäbe es kein Problem.
Die Faustregel: Verwenden Sie die Einwilligung nur, wenn keine andere Grundlage verfügbar ist. Und wenn Sie die Einwilligung einholen, stellen Sie sicher, dass der Widerruf genauso einfach ist wie die Erteilung.
Wie dokumentieren Sie Ihre Rechtsgrundlagen?
- Verarbeitungsverzeichnis - notieren Sie pro Verarbeitungstätigkeit die verwendete Rechtsgrundlage
- Datenschutzerklärung - geben Sie die Grundlage pro Verarbeitungszweck an
- Interessenabwägung - erstellen Sie für jede Verarbeitung auf Basis berechtigten Interesses eine kurze schriftliche Bewertung
Tipp: Wählen Sie Ihre Rechtsgrundlage, bevor Sie mit der Verarbeitung beginnen, nicht im Nachhinein. Rückwirkend eine Grundlage zu suchen, die zu dem passt, was Sie bereits tun, entspricht nicht der DSGVO - und genau das prüfen die Aufsichtsbehörden bei Kontrollen.
GDPRWise hilft Ihnen, die richtige Rechtsgrundlage pro Verarbeitung zu wählen, und dokumentiert alles automatisch in Ihrem Verarbeitungsverzeichnis und Ihrer Datenschutzerklärung.