Zum Inhalt springen
Home » Datenschutz-News » Mehrere Rechtsgrundlagen für eine Datenverarbeitung? Ein verständlicher Überblick

Mehrere Rechtsgrundlagen für eine Datenverarbeitung? Ein verständlicher Überblick

Es ist als eine zentrale Frage, auf welcher Rechtsgrundlage eine Datenverarbeitung erfolgt. Hier erklären wir, wie Verantwortliche mehrere Rechtsgrundlagen nutzen können und welche Besonderheiten zu beachten sind.

Werden personenbezogene Daten verarbeitet, ist hierfür nach Artt. 5 Abs. 1 Buchst. a, 6 Abs.1 DSGVO eine Rechtsgrundlage erforderlich. Hat ein Verantwortlicher für seine Datenverarbeitung keine Rechtsgrundlage, darf er diese Daten nicht verarbeiten. Die Suche nach einer Rechtsgrundlage kann Verantwortliche oft verwirren. Oft kommen auch mehrere Rechtsgrundlagen in Betracht und nicht alle Rechtsgrundlagen sind gleich hilfreich: So können Einwilligungen etwa jederzeit widerrufen werden. Ist der Verantwortliche auf die Datenverarbeitung angewiesen, hat er bei Widerruf der Einwilligung ein Problem, sofern er keine andere Rechtsgrundlage heranziehen kann.

Die Frage: Mehrere Rechtsgrundlagen

In der Praxis könnte es verlockend sein, einfach mehrere Rechtsgrundlagen anzugeben, in der Hoffnung, dass zumindest eine davon zutrifft. Doch ist das wirklich erlaubt?

Die Antwort darauf ist nicht ganz einfach, denn es gibt unterschiedliche Meinungen dazu. Einige Experten, insbesondere deutsche Datenschutzbehörden sind der Ansicht, dass sich Unternehmen auf eine bestimmte Rechtsgrundlage festlegen müssen, um Klarheit und Transparenz zu gewährleisten. Andere hingegen sind der Meinung, dass es zulässig ist, mehrere Rechtsgrundlagen heranzuziehen, solange dies transparent und im Einklang mit den gesetzlichen Vorgaben geschieht.

Vertiefender Hinweis

Die Vertreter der letzteren Ansicht haben ein besonders starkes Argument auf Ihrer Seite: den ausdrücklichen Wortlaut des Art. 17 Abs. 1 Buchst. b DSGVO. An dieser Stelle sieht die DSGVO ausdrücklich vor, dass bei Widerruf einer Einwilligung womöglich eine andere Rechtsgrundlage begründen kann, Daten nicht zu löschen. Und auch darüber hinaus ist nicht per se einleuchtend, warum ein Erlaubnistatbestand nicht greifen sollte, nur weil ein anderer ebenso greift. Art. 6 Abs. 1 DSGVO gibt in seiner Vielzahl an Rechtsgrundlagen jedenfalls keine Spezialität vor. Auch der Europäische Gerichtshof (EuGH) hat in der Vergangenheit zur Rechtslage vor der DSGVO klargestellt, dass es grundsätzlich möglich ist, sich auf mehrere Rechtsgrundlagen zu stützen.

Die Antwort: Differenzierte Betrachtung

Richtigerweise liegt die Lösung der Frage wohl zwischen den beiden Ansichten.  

Zentrale Prinzipien der DSGVO sind die Gundsätze Treu und Glauben sowie Transparenz. Diese erfordern auch, dass Unternehmen ehrlich und transparent gegenüber den betroffenen Personen hinsichtlich der Datenverarbeitung auftreten müssen. Wenn ein Unternehmen beispielsweise bei der Einholung einer Einwilligung den Eindruck erweckt, dass dies die einzige Grundlage für die Datenverarbeitung sei, dann darf es nicht nachträglich andere Rechtsgrundlagen heranziehen, wenn die Einwilligung widerrufen wird. Denn die betroffene Person könnte bei der Einwilligung darauf vertrauen, dass sie durch den Widerruf die Kontrolle über ihre Daten hat. Zwar muss es bereits aufgrund des Wortlauts des Art. 17 Abs. 1 Buchst. b DSGVO möglich sein, dass die Daten dennoch weiterverarbeitet werden, wenn auch eine andere Rechtsgrundlage anwendbar ist. Dies muss der Verantwortliche jedoch dann offenlegen, wenn er die Einwilligung einholt.

Unter Beachtung dieser Anforderung ist es jedoch möglich, eine Datenverarbeitung auf mehrere Rechtsgrundlagen zu stützen.

Fazit

Die DSGVO bietet zwar durchaus Flexibilität in der Wahl der Rechtsgrundlagen, doch muss diese Wahl immer im Einklang mit den Grundsätzen der Transparenz und des Vertrauens stehen. Wenn Sie Ihre Einwilligung zur Datenverarbeitung gegeben haben, sollten Sie darauf vertrauen können, dass Sie durch einen Widerruf tatsächlich Einfluss auf die Verarbeitung Ihrer Daten haben. Zudem bietet es sich ohnehin nur in manchen Situationen an, mehr als eine Rechtsgrundlage für eine Datenverarbeitung heranzuziehen.

Dies evaluieren wir gerne mit Ihnen. Kontaktieren Sie uns dazu gerne.

Bildnachweis: KI generiert

AUTOR

Moritz Kolb ist als externer Datenschutzbeauftragter und Datenschutzberater bei der RMPrivacy GmbH für Unternehmen und öffentliche Stellen tätig. Darüber hinaus hat er als Rechtsanwalt und Rettungssanitäter besonderes Interesse für Rechtsfragen an den Schnittstellen zwischen Datenschutzrecht und Medizinrecht sowie Datenschutzrecht und Vereinsrecht.