Ein häufiges Streitthema in den Unternehmen, ist die Ermittlung der Rechtsgrundlage der Verarbeitungen, aufgrund der die jeweilige Verarbeitung durchgeführt werden darf. Genauer gesagt, geht es um die Frage der Zuständigkeit für diese Tätigkeit. Hintergrund ist die Ausgestaltung der DS-GVO nach dem Verbotsprinzip mit Erlaubnisvorbehalt. Das bedeutet, dass für jede Verarbeitung eine Rechtsgrundlage vorliegen muss, nach der die jeweilige Verarbeitung explizit zulässig ist. Existiert eine solche Rechtsgrundlage nicht, ist die Verarbeitung nicht zulässig.
Wie kann die jeweilige Rechtsgrundlage ermittelt werden und wer trägt die Verantwortung hierfür? In der Diskussion werden häufig die folgenden Varianten vorgeschlagen:
- Zuständig ist die Geschäftsleitung, da diese letztlich die Verantwortung trägt.
- Zuständig ist die Fachabteilung, welche die Verarbeitung verantwortet, da dort das Fachwissen zur jeweiligen Verarbeitung vorhanden ist.
- Zuständig ist der Datenschutzbeauftragte, da dort das Wissen zum Datenschutz gebündelt vorhanden ist.
- Wofür braucht man die Rechtsgrundlage? Das Verfahren wird seit 20 Jahren betrieben, wieso sollte es plötzlich nicht mehr rechtmäßig sein?
And the winner is ….
Im Normalfall einigen sich dann alle Beteiligten darauf, dass der Datenschutzbeauftragte zuständig sei und teilen diesem das mit. In unseren Augen ist diese Entscheidung (neben der „wofür eine Rechtsgrundlage?“) die schlechteste aller möglichen Optionen.
Warum ist das so? Die Antwort ist eigentlich ganz einfach: Es geht bei der Bestimmung der Rechtsgrundlage einer Verarbeitung nicht nur darum, eine lästige Pflicht abzuarbeiten. Vielmehr geht es darum, Rechtssicherheit für das Unternehmen zu schaffen.
Keine lästige Pflicht, sondern wichtige Grundlage
Beispielsweise ist die Rechtsgrundlage, auf der eine Verarbeitung beruht, den betroffenen Personen im Rahmen der Informationspflichten (Art. 13 Abs. 1 lit. c sowie Art. 14 Abs. 1 lit. c DS-GVO) mitzuteilen. Wird diesen Informationspflichten im Rahmen einer Datenschutzerklärung eines Internetauftritts nachgekommen würden hier öffentlich fehlerhafte Informationen zur Verfügung gestellt. Bereits dieser Tatbestand ist durch die DS-GVO mit einem Bußgeld i. H. v. bis zu 20 Mio. EUR bedroht.
Auch Teil der Rechenschaftspflicht
Über die reinen Informationspflichten hinaus besteht für alle Verantwortlichen jedoch auch die bereits in zahlreichen anderen Artikeln erwähnte Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO). Diese besagt unter anderem, dass die für die Verarbeitung Verantwortlichen jederzeit in der Lage sein müssen, die Rechtmäßigkeit der Verarbeitungen nachzuweisen. Dieses ist nur möglich, sofern die Rechtmäßigkeit überhaupt nachweisbar überprüft wurde. Mit anderen Worten: Wenn die Rechtsgrundlage bestimmt wurde und sich die Entscheidung nachvollziehbar begründen lässt.
Die Bestimmung der Rechtsgrundlage ist also ein wichtiger Schritt, im Zuge der Erfüllung der Unternehmerpflichten, welche sich aus der Rechenschaftspflicht ergeben. Dieses wirft nun ein anderes Licht auf die häufig vernachlässigte Aufgabe.
Fachwissen liegt in der Fachabteilung
Da es sich um eine Unternehmerpflicht handelt, liegt die Verantwortlichkeit ganz klar bei der Geschäftsleitung. Diese kann sie natürlich (und unseres Erachtens auch sinnvoller Weise) delegieren. Und zwar in die für die Verarbeitung zuständige Fachabteilung. Dort liegt das Fachwissen, warum bestimmte Prozesse überhaupt durchgeführt werden und warum sie auf die derzeit festgelegte Weise durchgeführt werden. In sehr vielen Fällen ist die Rechtsgrundlage eine Spezialvorschrift oder eine spezielle Erlaubnisnorm, die nur diesen Fachabteilungen bekannt ist. Der Datenschutzbeauftragte kann nicht alle Spezialvorschriften kennen. Solche Spezialvorschriften sind beispielsweise das Geldwäschegesetz, HGB, AO oder auch bereichsspezifische Regelungen wie Krankenhaus- oder länderspezifische Schulgesetze.
Art. 6 DS-GVO alleine reicht nicht aus…
Der Datenschutzbeauftragte hat zwar das Fachwissen zum Datenschutz, kann damit jedoch häufig keine abschließende Beurteilung vornehmen. In denjenigen Fällen, in denen Spezialvorschriften einschlägig sind, erfolgt die Verarbeitung letztlich auf Basis des Art. 6 Abs. 1 lit c DS-GVO (erforderlich zur Erfüllung einer rechtlichen Verpflichtung). Dies alleine reicht jedoch nicht aus. Die entsprechende rechtliche Verpflichtung, die sich aus einem Spezialgesetz ergibt ist ebenfalls zu ermitteln und zu dokumentieren.
Löschfristen analog
Unser Standpunkt für die Bestimmung der Rechtsgrundlage der Verarbeitungen ist also: Zuständig ist die Fachabteilung. Der Datenschutzbeauftragte unterstützt und prüft, aber er bestimmt die Rechtsgrundlage nicht. Gleiches gilt übrigens für das Thema der Löschfristen. Nur die Fachabteilung kann bestimmen, wie lange Daten benötigt werden. Auch sollte sie die gesetzlichen Aufbewahrungsfristen für die bei ihr verarbeiteten Daten kennen. Aber wir schweifen gerade ab…
Benötigen Sie Unterstützung bei der Bestimmung oder Überprüfung der Rechtsgrundlagen Ihrer Verarbeitungen? Wir helfen Ihnen gerne!