DSGVO Artikel 6 stellt die grundlegenden Rechtsgrundsätze dar, die jegliche Verarbeitung personenbezogener Daten verbieten, sofern sie nicht auf bestimmten gesetzlichen Bestimmungen beruht.
Rechtmäßigkeit der Verarbeitung
- Die Verarbeitung ist nur dann rechtmäßig, wenn und soweit mindestens einer der folgenden Punkte zutrifft:
- (a) die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt;
- (b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich;
- (c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- (d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- (e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- (f) die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, es sei denn, diese Interessen überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die insbesondere den Schutz personenbezogener Daten erfordern wenn die betroffene Person ein Kind ist.
Unterabsatz 1 Buchstabe f gilt nicht für Verarbeitungen, die von Behörden im Rahmen der Wahrnehmung ihrer Aufgaben vorgenommen werden.- Die Mitgliedstaaten können spezifischere Bestimmungen beibehalten oder einführen, um die Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Einhaltung von Absatz 1 Buchstaben c und e anzupassen, indem sie genauere spezifische Anforderungen an die Verarbeitung und andere Maßnahmen festlegen Gewährleistung einer rechtmäßigen und fairen Verarbeitung, auch für andere spezifische Verarbeitungssituationen gemäß Kapitel IX.
- Die Grundlage für die in Absatz 1 Buchstaben c und e genannte Verarbeitung wird festgelegt durch:
- (a) Unionsrecht; oder
- (b) das Recht des Mitgliedstaats, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung wird in dieser Rechtsgrundlage bestimmt oder muss, soweit es sich um die in Absatz 1 Buchstabe e genannte Verarbeitung handelt, für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich sein Befugnisse, die dem Verantwortlichen zustehen. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem: die allgemeinen Bedingungen für die Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen; die Arten der Daten, die Gegenstand der Verarbeitung sind; die betroffenen Personen; an welche Stellen und zu welchen Zwecken die personenbezogenen Daten weitergegeben werden dürfen; die Zweckbindung; Speicherfristen; und Verarbeitungsvorgänge und Verarbeitungsverfahren, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßigen und fairen Verarbeitung, wie etwa diejenigen für andere spezifische Verarbeitungssituationen gemäß Kapitel IX. Das Recht der Union oder des Mitgliedstaats muss einem Ziel von öffentlichem Interesse dienen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Ziel stehen.
- Wenn die Verarbeitung zu einem anderen Zweck als dem, für den die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einem Gesetz der Union oder eines Mitgliedstaats beruht, das in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zur Wahrung der genannten Ziele darstellt In Artikel 23 Absatz 1 muss der Verantwortliche bei der Feststellung, ob die Verarbeitung zu einem anderen Zweck mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, unter anderem Folgendes berücksichtigen:
- (a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung;
- (b) den Kontext, in dem die personenbezogenen Daten erhoben wurden, insbesondere im Hinblick auf die Beziehung zwischen der betroffenen Person und dem Verantwortlichen;
- (c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden;
- (d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen;
- (e) das Vorhandensein geeigneter Sicherheitsmaßnahmen, zu denen auch Verschlüsselung oder Pseudonymisierung gehören kann.
Rechtmäßigkeit der Verarbeitung
- Die Verarbeitung ist nur dann rechtmäßig, wenn und soweit mindestens einer der folgenden Punkte zutrifft:
- (a) die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt;
- (b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich;
- (c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- (d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- (e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- (f) die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, es sei denn, diese Interessen überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die insbesondere den Schutz personenbezogener Daten erfordern wenn die betroffene Person ein Kind ist.
Unterabsatz 1 Buchstabe f gilt nicht für Verarbeitungen, die von Behörden im Rahmen der Wahrnehmung ihrer Aufgaben vorgenommen werden.
Die Grundlage für die in Absatz 1 Buchstaben c und e genannte Verarbeitung wird durch innerstaatliches Recht festgelegt.
Der Zweck der Verarbeitung wird in dieser Rechtsgrundlage bestimmt oder muss, soweit es sich um die in Absatz 1 Buchstabe e genannte Verarbeitung handelt, für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich sein Befugnisse, die dem Verantwortlichen zustehen. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem: die allgemeinen Bedingungen für die Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen; die Arten der Daten, die Gegenstand der Verarbeitung sind; die betroffenen Personen; an welche Stellen und zu welchen Zwecken die personenbezogenen Daten weitergegeben werden dürfen; die Zweckbindung; Speicherfristen; und Verarbeitungsvorgänge und Verarbeitungsverfahren, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßigen und fairen Verarbeitung, wie etwa diejenigen für andere spezifische Verarbeitungssituationen gemäß Kapitel IX. Das innerstaatliche Recht muss einem Ziel von öffentlichem Interesse dienen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Ziel stehen.- Wenn die Verarbeitung für einen anderen Zweck als den, für den die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf innerstaatlichem Recht beruht, das in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der [nationalen Sicherheit, Verteidigung oder anderer] darstellt. Um die in Artikel 23 Absatz 1 genannten Ziele zu erreichen, berücksichtigt der Verantwortliche bei der Feststellung, ob die Verarbeitung zu einem anderen Zweck mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, unter anderem Folgendes:
- (a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung;
- (b) den Kontext, in dem die personenbezogenen Daten erhoben wurden, insbesondere im Hinblick auf die Beziehung zwischen der betroffenen Person und dem Verantwortlichen;
- (c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden;
- (d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen;
- (e) das Vorhandensein geeigneter Sicherheitsmaßnahmen, zu denen auch Verschlüsselung oder Pseudonymisierung gehören kann.
Wir sind kostengünstig und schnell
In Artikel 6 der DSGVO werden sieben Faktoren aufgeführt, die zu dem beitragen, was er als „Rechtsgrundlage für die Verarbeitung“ definiert:
In diesem Abschnitt sprechen wir über die DSGVO-Artikel 6 (1)(a), 6 (1)(b), 6 (1)(c), 6 (1)(d), 6 (1)(e), 6 ( 1)(f), 6 (2), 6 (3), 6 (4)(a), 6 (4)(b), 6 (4)(c), 6 (4)(d) und 6 ( 4)(e)
Abhängig von der Gerichtsbarkeit müssen Organisationen dies möglicherweise tun nachweisen, dass ihre PII-Verarbeitungsaktivitäten rechtmäßig sind bevor sie beginnen.
Um eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu schaffen, sollten Organisationen:
Für jeden oben genannten Punkt sollten Organisationen eine dokumentierte Bestätigung anbieten können.
Organisationen müssen in ihrem Datenklassifizierungsschema auch alle „besonderen Kategorien“ personenbezogener Daten berücksichtigen, die sich auf ihre Organisation beziehen (siehe ISO 27701 Abschnitt 7.2.8) (Klassifizierungen können von Region zu Region unterschiedlich sein).
Wenn Organisationen Änderungen an ihren zugrunde liegenden Gründen für die Verarbeitung personenbezogener Daten feststellen, sollte sich dies unverzüglich in ihrer dokumentierten Rechtsgrundlage widerspiegeln.
In diesem Abschnitt sprechen wir über DSGVO Artikel 6 (4)(e)
Organisationen müssen entweder alle PII, die keinen Zweck mehr erfüllen, vollständig vernichten oder sie so ändern, dass jede Form der Identifizierung des Auftraggebers verhindert wird.
Sobald die Organisation festgestellt hat, dass die personenbezogenen Daten zu keinem Zeitpunkt in der Zukunft verarbeitet werden müssen, sollten die Informationen verarbeitet werden gelöscht or de-identifiziert, wie es die Umstände erfordern.
| DSGVO-Artikel | ISO 27701-Klausel | Unterstützende Klauseln der ISO 27701 |
|---|---|---|
| EU-DSGVO Artikel 6 (1) (a) bis 6 (4) (e) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| EU-DSGVO Artikel 6 (4)(e) | ISO 27701 7.4.5 | Andere |
Die ISMS.online-Plattform umfasst integrierte Anleitungen für jeden Schritt, kombiniert mit unserem Implementierungsansatz „Übernehmen, Anpassen, Hinzufügen“, sodass der Nachweis Ihrer DSGVO-Konformität wesentlich einfacher ist. Sie profitieren außerdem von einer Reihe leistungsstarker zeitsparender Funktionen.
Durch die Abbildung Ihrer Arbeit über mehrere Standards und Frameworks hinweg erleichtert unsere intuitive Plattform das Erreichen mehrerer Informationssicherheits- und Datenschutzziele.
Wenn Ihnen auf Ihrem Weg zur DSGVO aus irgendeinem Grund das Selbstvertrauen, die Fähigkeit oder der Wille zum Handeln fehlt, können wir Ihnen unser Team interner Experten zur Verfügung stellen oder einen unserer vertrauenswürdigen Partner empfehlen, um Ihren Bemühungen einen Schub zu geben.
Erfahren Sie mehr von Buchung einer kurzen Demo.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
