Bevor ein Verantwortlicher personenbezogene Daten verarbeiten darf, muss er viele Pflichten erfüllen. Eine davon ist, die Verarbeitung zu dokumentieren. Im Rahmen dieser Dokumentation ist der Zweck der Verarbeitung und eine dazu passende Rechtsgrundlage anzugeben.
Rechtsgrundlagen sind in der DSGVO in Artikel 6 und 9 definiert. Zusätzlich gibt es Öffnungsklauseln, die es erlauben über andere Regelungen mit Gesetzescharakter solch eine Rechtsgrundlage zu schaffen, z.B. für Kirchen- oder Presserecht.
Auch das BDSG enthält solche Regelungen, z.B. zum Beschäftigtendatenschutz. Diese werden allerdings – Stand April 2023 – vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit als unanwendbar betrachtet. Daher verwenden wir stattdessen die passenden Absätze aus Artikel 6 DSGVO.
Die Rechtsgrundlage Einwilligung darf nur für konkret benannte Zwecke eingeholt werden. Sie muss freiwillig sein. Es wird diskutiert, ob Leistungen davon abhängig sein dürfen (Koppelungsverbot). Der Widerruf muss genauso leicht sein wie die Zustimmung. Alle bei Einwillgung zu berücksichtigenden Aspekte haben wir für Sie zusammengefasst.
Häufig kann stattdessen die Rechtsgrundlage Interessenabwägung verwendet werden. Auch diese kann nicht "einfach so" verwendet werden. Zum einen muss sie dokumentiert sein, zum anderen postulierte die DSK eine bestimmte Vorgehensweise dabei. Diese beschreiben wir in der Arbeitshilfe Durchführung und Dokumentation einer Interessenabwägung.