Nach Artikel 6 der Allgemeinen Datenschutzverordnung (DSGVO) dürfen Sie personenbezogene Daten nur dann verarbeiten, wenn mindestens eine der sechs in der DSGVO aufgeführten Rechtsgrundlagen für die Verarbeitung gilt.
Hinweis: Die meisten Unternehmen stützen sich in erster Linie auf "Vertragserfüllung", "Einwilligung", "berechtigte Interessen" und "rechtliche Verpflichtungen". Seltener berufen sich die Unternehmen auf "lebenswichtige Interessen" und "öffentliches Interesse"
Die sechs Rechtsgrundlagen sind:
1. Erfüllung eines Vertrages: Die Verarbeitung personenbezogener Daten, weil Sie einen Vertrag mit einem Nutzer haben oder beabsichtigen, einen solchen zu schließen (z.B. Ihre rechtlichen Bestimmungen: Nutzungsbedingungen, Dienstleistungsvereinbarungen, etc.).
Wenn Sie personenbezogene Daten eines Nutzers verarbeiten, weil (a) Sie einen Vertrag mit diesem Nutzer haben oder (b) dieser Nutzer Sie gebeten hat, etwas zu tun, um einen Vertrag abzuschließen, z. B. ein Angebot für Dienstleistungen anzufordern, dann gelten die personenbezogenen Daten, die Sie zum Zweck der Erfüllung dieses Vertrags oder der Erfüllung dieser Anfrage verarbeiten, um einen Vertrag abzuschließen, als Rechtsgrundlage für diese Verarbeitungstätigkeit.
Ein Vertrag muss in diesem Fall kein förmlich unterzeichnetes Dokument sein. Er muss lediglich die Anforderungen des Vertragsrechts erfüllen, d. h. die Bedingungen müssen von den Parteien angeboten und akzeptiert worden sein, beide Parteien müssen die Absicht haben, dass diese Bedingungen rechtsverbindlich sind, und es muss ein Austausch gegen eine Gegenleistung wie Geld oder einen anderen Wert erfolgen.
Wenn Sie sich nicht sicher sind, ob Sie einen Vertrag haben, sollten Sie einen Anwalt konsultieren, bevor Sie sich auf diese Rechtsgrundlage für die damit verbundenen Verarbeitungstätigkeiten berufen.
2. Gesetzliche Verpflichtungen: Verarbeitung personenbezogener Daten zur Einhaltung von Gesetzen.
Wenn Sie personenbezogene Daten verarbeiten, deren Gesamtzweck darin besteht, eine gesetzliche Anforderung zu erfüllen - einschließlich gesetzlicher Verpflichtungen, Common Law-Verpflichtungen, bestimmter regulatorischer Anforderungen und mehr -, gilt für diese Verarbeitungstätigkeit die Rechtsgrundlage "rechtliche Verpflichtung". Diese Rechtsgrundlage gilt nicht für die Verarbeitung zur Erfüllung einer vertraglichen Verpflichtung.
Wenn Sie sich nicht sicher sind, ob für die betreffende Verarbeitungstätigkeit eine rechtliche Verpflichtung gilt, sollten Sie einen Rechtsanwalt konsultieren, bevor Sie sich auf diese Rechtsgrundlage für die entsprechenden Verarbeitungstätigkeiten berufen.
3. Wichtige Interessen: Verarbeitung personenbezogener Daten, um das Leben einer Person zu retten oder zu schützen.
Wenn Sie personenbezogene Daten für Angelegenheiten verarbeiten, bei denen es um Leben und Tod geht, wie z. B. dringende medizinische Versorgung oder humanitäre Notfälle, kann die Rechtsgrundlage "lebenswichtige Interessen" gelten.
Bitte beachten Sie, dass der Anwendungsbereich dieser Rechtsgrundlage sehr begrenzt ist. Wenn Sie nicht sicher sind, ob ein lebenswichtiges Interesse auf die betreffende Verarbeitungstätigkeit zutrifft, sollten Sie einen Rechtsanwalt konsultieren, bevor Sie sich auf diese Rechtsgrundlage für die entsprechenden Verarbeitungstätigkeiten berufen.
4. Öffentliches Interesse: Verarbeitung personenbezogener Daten zur Erfüllung amtlicher Aufgaben oder Funktionen oder anderer spezifischer Aufgaben im öffentlichen Interesse.
Für die meisten Termly-Kunden wird diese Rechtsgrundlage für keine Ihrer Verarbeitungstätigkeiten gelten. Sie müssen zwar keine Behörde sein, aber im Allgemeinen gilt diese Rechtsgrundlage für die Durchführung von offiziellen Aufgaben oder Funktionen im öffentlichen Interesse. Die Verarbeitungstätigkeiten, für die diese Rechtsgrundlage gilt, sind häufig die Art von Aufgaben, die eine Behörde ausführen würde. Dazu gehören Aufgaben wie die Rechtspflege, Regierungsfunktionen, Tätigkeiten zur Unterstützung oder Förderung des demokratischen Engagements und vieles mehr.
5. Zustimmung: Geben Sie Ihren Nutzern die ständige Wahl, ob Sie ihre persönlichen Daten verarbeiten wollen oder nicht.
Wenn Sie personenbezogene Daten verarbeiten und sich dabei auf die Erlaubnis Ihrer Nutzer verlassen wollen, müssen Sie deren Zustimmung einholen. Die Einwilligung nach der DSGVO muss frei, spezifisch, in Kenntnis der Sachlage und unzweideutig erteilt werden und die Wünsche Ihrer Nutzer zum Ausdruck bringen. Der Nutzer muss eine Erklärung abgeben oder eine eindeutige bestätigende Handlung vornehmen, die sein Einverständnis mit der Verarbeitung personenbezogener Daten für den beschriebenen Zweck signalisiert. Dies bedeutet, dass Sie Ihren Nutzern eine echte Wahlmöglichkeit und Kontrolle über die Verwendung ihrer personenbezogenen Daten bieten müssen.
Wenn Sie sich auf eine Einwilligung berufen, müssen Sie überlegen, ob Sie die Verarbeitung auf Anfrage stoppen können, wenn ein Nutzer seine Einwilligung widerruft. Nach der Datenschutz-Grundverordnung haben die Nutzer das Recht, ihre Einwilligung zu widerrufen, und wenn Sie nicht in der Lage sind, diesem Wunsch nachzukommen, sollten Sie sich nicht auf die Einwilligung als Rechtsgrundlage für die Verarbeitung berufen.
6. Legitime Interessen: Wenn Sie die volle Verantwortung für die Rechtfertigung Ihrer Verarbeitung übernehmen.
Sie können sich auf berechtigte Interessen als Rechtsgrundlage berufen, wenn Ihre festgestellten Interessen das Risiko für die Rechte und Interessen der betroffenen Personen überwiegen. Die Rechtsgrundlage des berechtigten Interesses bietet Flexibilität, erfordert aber auch zusätzliche Arbeit, BEVOR Sie sich auf diese Rechtsgrundlage stützen, um sicherzustellen, dass Sie sie angemessen anwenden.
Woher weiß ich, auf welche Rechtsgrundlage ich mich stütze, wenn ich die personenbezogenen Daten eines Nutzers verarbeite?
Welche Rechtsgrundlage am besten geeignet ist, hängt von folgenden Faktoren ab:
Die Kategorien der von Ihnen verarbeiteten personenbezogenen Daten.
Die Gründe, warum Sie diese personenbezogenen Daten verarbeiten müssen. Wenn Sie beispielsweise personenbezogene Daten verarbeiten müssen, um die Zahlung für eine Bestellung abzuwickeln und den Kauf zu bestätigen oder um Ihren Nutzern gezielte Werbung zukommen zu lassen.
Die Art Ihrer Beziehung zu den betroffenen Personen. Beispielsweise kann Ihre Rechtsgrundlage für die personenbezogenen Daten, die Sie über Ihre Mitarbeiter sammeln, eine andere sein als für die personenbezogenen Daten, die Sie über Ihre Kunden sammeln.
Um festzustellen, ob Ihre Verarbeitungstätigkeiten (d. h. die Art und Weise, wie Sie personenbezogene Daten erheben, verwenden, speichern oder weitergeben) nach der DSGVO zulässig sind, müssen Sie ein klares Bild von den Kategorien personenbezogener Daten haben, die Sie verarbeiten, und von den Gründen, die Sie für die Verarbeitung dieser personenbezogenen Daten benötigen.
Um den Abschnitt über die Verwendung von Informationen in der Datenschutzerklärung korrekt auszufüllen, müssen Sie:
Jeden Fall angeben, in dem Sie personenbezogene Daten für einen bestimmten Zweck verarbeiten.
Überprüfen Sie die Zwecke jeder Verarbeitungstätigkeit und wählen Sie die entsprechende(n) Rechtsgrundlage(n) für jede Verarbeitung aus.
Bestätigen Sie, dass jede Verarbeitungstätigkeit notwendig ist. Erforderlich bedeutet mehr als nur nützlich für die Erreichung des Zwecks, insbesondere wenn es weniger eingreifende Möglichkeiten gibt, denselben Zweck zu erreichen.
Wir empfehlen, Ihre Entscheidungen darüber zu dokumentieren, welche Rechtsgrundlagen gelten, damit Sie bei Bedarf Ihre Bemühungen um die Einhaltung der Vorschriften nachweisen können
Hinweis: Sensible Informationen erfordern eine zusätzliche Analyse, um sicherzustellen, dass Sie die Daten rechtmäßig gemäß GDPR verarbeiten.