DSGVO Artikel 6: Was sind die 7 Rechtsgrundlagen für Datenverarbeitung?

Was ist Artikel 6 der DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist der wichtigste Datenschutzrahmen der Europäischen Union. Artikel 6, ein Abschnitt der DSGVO, beschreibt die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Er legt spezifische Bedingungen fest, unter denen personenbezogene Daten rechtmäßig verarbeitet werden können und gewährleistet gleichzeitig die Datenschutzrechte der EU-Bürger.

Das Verständnis von Artikel 6 der DSGVO ist für jede Organisation, die personenbezogene Daten innerhalb der Europäischen Union verarbeitet oder mit Daten von EU-Bürgern umgeht, von entscheidender Bedeutung. Durch die Beschreibung der zulässigen Gründe für die Datenverarbeitung verdeutlicht Artikel 6, wie Organisationen Daten konform erfassen und das Risiko von Bußgeldern und Strafen vermeiden können.

Zu Ihrer Information hier der Hauptteil von Artikel 6 der DSGVO:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Voraussetzungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

(b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die Verarbeitung durch Behörden in Erfüllung ihrer Aufgaben.

Möchten Sie mehr über die Auswirkungen von KI auf die Cybersicherheit erfahren? Lesen Sie unseren Blog „KI-Cybersicherheit: Sicherung von KI-Systemen gegen Cyberbedrohungen“.

DSGVO Artikel 6: Die Rechtsgrundlagen der Verarbeitung

Artikel 6 legt sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten fest. Jede Grundlage berücksichtigt unterschiedliche Kontexte und Bedürfnisse und gewährleistet Flexibilität bei gleichzeitiger Einhaltung strenger Datenschutzstandards. Dieser Abschnitt erläutert jede Grundlage und hebt ihre Anwendbarkeit und Anforderungen hervor.

a) Einwilligung

Die Einwilligung ist eine der wichtigsten Rechtsgrundlagen gemäß Artikel 6 der DSGVO. Sie erfordert, dass Einzelpersonen freiwillig in die Datenverarbeitung einwilligen. Die Einwilligung muss ausdrücklich, spezifisch, informiert und eindeutig sein. Das bedeutet, dass die Nutzer genau wissen müssen, wozu sie ihre Einwilligung geben und dass sie eine klare, bestätigende Zustimmung gegeben haben.

Die Einholung einer gültigen Einwilligung ist jedoch aufgrund der Notwendigkeit von Transparenz und Einfachheit eine Herausforderung. Die Einwilligung sollte jederzeit leicht widerrufbar sein, sodass der Einzelne die Kontrolle über seine Daten behält.

(b) Vertragliche Notwendigkeit

Die vertragliche Notwendigkeit als Rechtsgrundlage gilt, wenn die Datenverarbeitung zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist. Beispielsweise sind beim Kauf eines Produkts Adress- und Zahlungsdaten für die Abwicklung der Transaktion und die Lieferung erforderlich. Diese Grundlage stellt sicher, dass der Geschäftsbetrieb den Kundenerwartungen und der Leistungserbringung entspricht.

Die Einhaltung dieser Grundlage erfordert, dass die Datenverarbeitung direkt mit vertraglichen Verpflichtungen verknüpft ist. Unternehmen müssen sicherstellen, dass sie nicht mehr Daten verarbeiten, als für die Vertragserfüllung erforderlich sind, und einen minimalistischen Ansatz bei der Datenerhebung und -nutzung verfolgen.

(c) Erfüllung gesetzlicher Verpflichtungen

Organisationen können Daten verarbeiten, um ihren gesetzlichen Verpflichtungen nachzukommen. Das bedeutet, dass bestimmte Datenverarbeitungsaktivitäten, wie z. B. die Steuerberichterstattung oder die Pflege von Personalakten, durch Gesetze oder Vorschriften vorgeschrieben sind und gemäß DSGVO rechtmäßig sind. Diese Grundlage stellt sicher, dass Unternehmen zwingende gesetzliche Anforderungen nicht missachten können.

Um dieser Grundlage gerecht zu werden, müssen Unternehmen die geltenden gesetzlichen Anforderungen klar verstehen und sicherstellen, dass ihre Datenverarbeitung diesen Vorgaben strikt entspricht.

(d) Lebenswichtige Interessen

Lebenswichtige Interessen sind eine weitere Rechtsgrundlage, die die Datenverarbeitung zum Schutz des Lebens oder der Gesundheit einer Person erlaubt. Diese Grundlage wird typischerweise in Notsituationen geltend gemacht, in denen sofortiges Handeln erforderlich ist, beispielsweise bei medizinischen Notfällen. Der Schwerpunkt liegt auf der Notwendigkeit der Datenverarbeitung zur Wahrung lebenswichtiger Interessen.

Diese Grundlage erfordert sorgfältige Prüfung, da ihre Anwendung eng und spezifisch ist. Organisationen müssen sicherstellen, dass die Verarbeitung tatsächlich notwendig ist und keine andere Rechtsgrundlage angemessener ist. Dies unterstreicht, wie wichtig es ist, den Datenschutz mit den Erfordernissen in Notfällen abzuwägen.

(e) Öffentliches Interesse oder öffentliche Gewalt

Eine weitere Rechtsgrundlage ist die Datenverarbeitung, die für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist. Behörden und andere Organisationen, die Aufgaben öffentlicher Natur erfüllen, stützen sich häufig auf diese Rechtsgrundlage. Beispiele hierfür sind die Datenverarbeitung für die Wahlverwaltung oder öffentliche Gesundheitsprogramme.

Organisationen, die diese Grundlage nutzen, müssen Klarheit und Transparenz hinsichtlich ihrer öffentlichen Aufgaben und der rechtlichen Rahmenbedingungen für ihr Handeln gewährleisten.

(f) Berechtigte Interessen

Berechtigte Interessen bieten eine flexible Grundlage für die Datenverarbeitung zu Zwecken, die mit den notwendigen und berechtigten Interessen einer Organisation zusammenhängen. Dies kann Aktivitäten wie Betrugsprävention, Direktmarketing und Datenanalyse umfassen. Die berechtigten Interessen dürfen die Rechte und Freiheiten der betroffenen Personen nicht außer Kraft setzen.

Dieser Balanceakt erfordert, dass Organisationen ihre Interessen gegen potenzielle Risiken und Auswirkungen auf die Privatsphäre des Einzelnen abwägen. Eine ordnungsgemäße Dokumentation und gründliche Folgenabschätzungen sind unerlässlich, um das Vertrauen auf diese Grundlage zu rechtfertigen und die Einhaltung der DSGVO-Anforderungen nachzuweisen.

Best Practices zur Einhaltung von Artikel 6 der DSGVO

Um Artikel 6 der DSGVO einzuhalten, müssen die Rechtsgrundlagen für die Datenverarbeitung klar verstanden und angewendet werden. Unternehmen müssen vor jeder Verarbeitungsaktivität die entsprechende Grundlage ermitteln und eine gründliche Dokumentation sowie die Einhaltung der DSGVO-Grundsätze sicherstellen.

Bestimmen Sie die geeignete Rechtsgrundlage

Die Wahl der geeigneten Rechtsgrundlage für die Datenverarbeitung ist für die Einhaltung der DSGVO von grundlegender Bedeutung. Dazu gehört die Bewertung des Kontexts der Datenverarbeitungsaktivitäten und deren Abgleich mit der geeigneten Rechtsgrundlage gemäß Artikel 6. Unternehmen sollten ihre Begründung für jede gewählte Rechtsgrundlage systematisch dokumentieren.

Bei der Beurteilung der Angemessenheit einer Rechtsgrundlage müssen die Art der Daten, der Zweck der Verarbeitung und die möglichen Auswirkungen auf die Rechte des Einzelnen berücksichtigt werden. Dieser Prozess erfordert ein tiefes Verständnis der DSGVO-Anforderungen und der organisatorischen Bedürfnisse, um sicherzustellen, dass der Datenschutz mit den betrieblichen Zielen übereinstimmt.

Sicherstellen einer gültigen Einwilligung

Um eine gültige Einwilligung sicherzustellen, ist vor der Verarbeitung personenbezogener Daten eine klare und ausdrückliche Einwilligung der betroffenen Personen einzuholen. Die Einwilligung muss freiwillig, spezifisch, informiert und eindeutig erfolgen. Unternehmen sollten eine klare Sprache verwenden und Informationen zur Datenverarbeitung bereitstellen.

Einwilligungsmechanismen sollten benutzerfreundlich sein und es Einzelpersonen ermöglichen, ihre Einwilligung einfach zu erteilen und zu widerrufen. Dies erfordert die Integration von Einwilligungsprozessen in Benutzeroberflächen und die Pflege von Systemen, die das Einwilligungsmanagement unterstützen und so die kontinuierliche Einhaltung der DSGVO-Anforderungen gewährleisten.

Aufzeichnungen über die Einwilligung aufbewahren

Die detaillierte Dokumentation der Einwilligungen ist entscheidend für den Nachweis der DSGVO-Konformität. Die Aufzeichnungen sollten enthalten, wer wann eingewilligt hat und worüber die Person informiert wurde. Diese Dokumentation belegt, dass die Einwilligung gültig eingeholt wurde und trägt dazu bei, das Risiko von Vorwürfen wegen Nichteinhaltung zu minimieren.

Die Aufzeichnungen sollten auch alle Änderungen des Einwilligungsstatus, einschließlich Widerrufen oder Änderungen, enthalten. Die Aktualisierung der Einwilligungsaufzeichnungen erfordert regelmäßige Überprüfungen und Audits, um sicherzustellen, dass die Datenverarbeitungsaktivitäten stets den aktuellen Einwilligungsstatus der betroffenen Personen widerspiegeln.

Erleichtern Sie den Widerruf der Einwilligung

Um den Widerruf der Einwilligung zu erleichtern, müssen Einzelpersonen einfache und zugängliche Methoden zur Verfügung gestellt werden, um ihre Einwilligung zur Datenverarbeitung zu widerrufen. Organisationen sollten Mechanismen implementieren, die es den Betroffenen ermöglichen, ihre Einwilligung jederzeit und ohne Angabe von Gründen einfach zu widerrufen.

Nach dem Widerruf müssen Datenverarbeitungsaktivitäten, die ausschließlich auf der Einwilligung beruhen, unverzüglich eingestellt werden. Es sollten Verfahren zur Entfernung oder Anonymisierung der zuvor im Rahmen der widerrufenen Einwilligung erhobenen Daten vorhanden sein, um einen proaktiven Ansatz zur Wahrung der Rechte der betroffenen Personen zu gewährleisten.

Identifizieren der erforderlichen Verarbeitung

Um die notwendigen Verarbeitungsaktivitäten zu identifizieren, müssen die Datenverarbeitungen ermittelt werden, die für die Erreichung bestimmter Zwecke auf einer Rechtsgrundlage erforderlich sind. Unternehmen müssen prüfen, ob die Verarbeitung im Verhältnis zu den angestrebten Zielen steht und ob weniger einschneidende Mittel die gleichen Ergebnisse erzielen könnten.

Diese Bewertung umfasst eine sorgfältige Analyse des Datenverarbeitungsbedarfs, um eine minimale Datenerfassung und eine auf den erforderlichen Umfang zugeschnittene Datenverarbeitung sicherzustellen. Dokumentation und regelmäßige Überprüfungen bestätigen die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitungsmaßnahmen.

Verarbeiten Sie nur die Daten, die zum Schutz lebenswichtiger Interessen erforderlich sind

Die Verarbeitung von Daten ausschließlich zum Schutz lebenswichtiger Interessen ist spezifisch und begrenzt. Organisationen müssen sicherstellen, dass die Verarbeitung eindeutig zum Schutz von Leben oder Gesundheit einer Person erforderlich ist. Diese Grundlage ist in der Regel Notfällen vorbehalten, in denen keine andere Rechtsgrundlage ausreicht.

Unternehmen müssen jeden Fall der Nutzung dieser Grundlage dokumentieren und deren Notwendigkeit klar begründen. Regelmäßige Überprüfungen und Aktualisierungen der Notfallprotokolle tragen dazu bei, dass die Datenverarbeitung im Rahmen lebenswichtiger Interessen konform und transparent bleibt.

Dem öffentlichen Interesse dienen oder öffentliche Gewalt ausüben

Die Verarbeitung von Daten im öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt erfordert eine klare Begründung und rechtliche Grundlage. Diese Grundlage gilt häufig für öffentliche Einrichtungen oder Aufgaben, die der Gesellschaft zugutekommen, wie etwa die Überwachung der öffentlichen Gesundheit oder die Durchführung von Wahlen.

Organisationen müssen ihre Rolle im öffentlichen Interesse transparent kommunizieren und die rechtlichen Rahmenbedingungen für ihre Aktivitäten strikt einhalten. Dies beinhaltet öffentliche Rechenschaftspflicht und ein kontinuierliches Engagement für die Klärung des gesellschaftlichen Nutzens und der Rechtskonformität ihrer Datenverarbeitungsaktivitäten.

Implementieren Sie Datenschutzmaßnahmen

Durch die Umsetzung von Datenschutzmaßnahmen wird die Einhaltung der DSGVO-Grundsätze und die Wahrung der Integrität personenbezogener Daten gewährleistet. Dazu gehören technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffskontrollen, regelmäßige Audits und Mitarbeiterschulungen zum Schutz vor unbefugtem Zugriff oder Datenschutzverletzungen.

Die kontinuierliche Bewertung und Verbesserung der Datenschutzmaßnahmen ist für die Anpassung an neue Bedrohungen und regulatorische Änderungen von entscheidender Bedeutung.

DSGVO-Konformität mit Exabeam

Exabeam unterstützt Unternehmen dabei, sowohl die technologischen als auch die betrieblichen Anforderungen der DSGVO zu erfüllen, darunter:

• Reduzierung externer Bedrohungen: Exabeam arbeitet mit bestehenden Sicherheitslösungen zusammen und nutzt maschinelles Lernen und Verhaltensanalysen, um ungewöhnliche Aktivitäten zu identifizieren, die auf den Versuch eines Angreifers hindeuten könnten, Daten zu finden und darauf zuzugreifen. Die Bedrohungszeitleisten Exabeam kombinieren Ereignisse aus Anomalien und Korrelationsregeln, um Ereignisse nach Benutzer oder Gerät zu gruppieren.
• Reduzierung interner Bedrohungen: Exabeam arbeitet mit Identitäts- und Zugriffsverwaltungslösungen zusammen, um Sicherheitsvorfälle zu verhindern, die durch versehentlichen oder böswilligen Missbrauch zugewiesener Berechtigungen entstehen. Durch die Kennzeichnung von Aktivitäten, die für einen bestimmten Benutzer nicht der Norm entsprechen, hilft Exabeam potenzielle Vorfälle zu erkennen, die zu Datendiebstahl führen könnten. Ideale Protokollquellen, die Anwendungsfällen zugeordnet sind, und das MITRE ATT&CK ^Ⓡ-Framework zeigen, welche Tools im Sicherheitsarsenal kombiniert werden können, um ein klares Bild der Ereignisse zu zeichnen.

Visualisierung und Dashboards: Exabeam bietet klare, Compliance-basierte DSGVO-Dashboards zum einfachen Herunterladen, Exportieren oder regelmäßigen Versenden per E-Mail zur Unterstützung der DSGVO-Vorgaben und der Anforderungen des Datenschutzbeauftragten.