law, justice, flag-6598281.jpg

Anwendungsbereich und Begriffe der Datenschutz-Grundverordnung

In diesem Beitrag erfahrt ihr, welche grundsätzlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO) zu beachten sind.

Der datenschutzrechtliche Imperativ
Der Umgang mit personenbezogenen Daten ist grundsätzlich verboten. Er wird nur dann zulässig, wenn es eine Rechtsvorschrift erlaubt oder der/ die Betroffene eingewilligt hat. Jurist:innen nennen diese Konstruktion “Verbot mit Erlaubnisvorbehalt”.

Immer wenn ihr mit Daten umgeht, habt ihr euch also zu fragen: ‘Habe ich eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten?“ Das schauen wir uns unter Punkt (1) Rechtmäßigkeit gleich noch genauer an.

Verarbeitung personenbezogener Daten
Was personenbezogene Daten sind, haben wir in Lektion 1 geklärt. Ein weiterer zentraler Begriff der DSGVO ist die “Verarbeitung” von personenbezogenen Daten.

Verarbeitung ist ein sehr weit gefasster Begriff und meint:

  • das Erheben, Erfassen, Organisieren und Ordnen,
  • die Speicherung, Anpassung oder Veränderung,
  • das Auslesen, Abfragen und Verwenden,
  • das Offenlegen durch Übermitteln, Verbreiten oder eine andere Form der Bereitstellung,
  • den Abgleich oder die Verknüpfung und
  • die Einschränkung oder das Löschen/ die Vernichtung von personenbezogenen Daten.

Da der Anwendungsbereich so groß ist, verarbeitet ihr im Ergebnis personenbezogene Daten immer dann, wenn z. B.:

  • Nutzer:innendaten erhoben oder Kunden:innen-Feedbacks eingeholt werden,
  • eine Mailingliste angelegt wird,
  • ein Newsletter Plug-in auf einer Website oder Newsletter-Dienstleister (wie z. B. Mailchimp) benutzt wird,
  • eine Website mit Kontaktformular betrieben wird oder
  • Praktikanten:innen oder Mitarbeiter:innen beschäftigt werden.

Die DSGVO ist in diesen Fällen dann anzuwenden und die Grundsätze für die Verarbeitung personenbezogener Daten sind zu beachten:

(1) Rechtmäßigkeit

Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn die Verantwortlichen dafür eine Rechtsgrundlage (die sind in Art. 6 Abs. 1 DSGVO zu finden) haben. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ergibt sich danach u. a. aus:

  • einer Einwilligung in die Verarbeitung (die immer einseitig gegeben wird, wie z.B. bei einem Kontaktformular auf einer Website oder bei Cookie-Consent-Bannern auf Webseiten),
  • der Erfüllung eines Vertrages (das können Gesellschaftsverträge und Vereinssatzungen oder Dienst-, Werk- oder Kaufverträge sein),
  • einer rechtlichen Verpflichtung (nach einem Gesetz, , wie z. B. das Handelsgesetzbuch, das Anforderungen zu den Aufbewahrungspflichten für Geschäftsbriefe und Rechnungen aufstellt) oder
  • bei einem berechtigtem Interesse des Verantwortlichen (hier muss aber eine wirksame Abwägung mit den Interessen des Betroffenen stattgefunden haben)

Personalisierte Werbung: Einwilligung, Vertrag oder berechtigtes Interesse?

Welche Rechtsgrundlage die Verarbeitung personenbezogener Daten ermöglichen soll, ist oftmals nicht einfach und sollte sorgfältig geprüft werden. Gerade das berechtigte Interesse bedarf einer wirksamen Abwägung und ist daher oft bei einer pauschalen Verwendung unwirksam. Dazu haben sich bereit der EuGH und der europäische Datenschutzausschuss (EDSA) geäußert.

(2) Transparenz- und Informationspflicht

Die Datenverarbeitung muss in einer für die betroffene Person nachvollziehbaren Art und Weise geschehen.  Um das zu gewährleisten, hat die DSGVO Informationspflichten der Verantwortlichen gegenüber den Betroffenen aufgestellt, damit die Betroffenen im Nachgang entsprechende Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung ausüben können.

(3) Zweckbindung

Die personenbezogenen Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.  Wollt ihr also personenbezogene Daten für völlig andere Zwecke nachnutzen, dann benötigt ihr dazu eine neue Rechtsgrundlage.

(4) Datenminimierung

Es dürfen nur die personenbezogenen Daten erhobenen werden, die für diesen Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind.

(5) Richtigkeit

Die personenbezogenen Daten müssen sachlich richtig und auf dem neuesten Stand sein. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich vom Verantwortlichen gelöscht oder berichtigt werden.

(6) Speicherbegrenzung

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das heißt ihr müsst euch Gedanken über ein Löschkonzept machen und die Löschung dann auch so umsetzen, dass die Daten nicht mehr wiederhergestellt werden können.

(7) Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. Das schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ein.

Rechenschaftspflicht

Für die Einhaltung dieser Grundsätze ist der/die Verantwortliche zuständig. Also die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sie muss die Einhaltung dieser Anforderungen nachweisen können. Im Ergebnis führt das für den/ die Verantwortliche/n zu einer Beweislastumkehr. Die Datenschutzbehörden müssen nicht mehr Verstöße nachweisen, sondern der/die Verantwortliche müssen bei einer Prüfung der Datenschutzbehörde nachweisen, dass sie die genannten Grundsätze einhalten.

Daher ist es ganz wichtig, dass ihr die technischen und organisatorischen Maßnahmen zur Umsetzung des Datenschutzes nach der DSGVO aktualisierend dokumentiert.

Nach oben scrollen
Cookie Consent Banner von Real Cookie Banner