In diesem Beitrag erfahrt ihr, welche grundsätzlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO) zu beachten sind.
Der datenschutzrechtliche Imperativ
Der Umgang mit personenbezogenen Daten ist grundsätzlich verboten. Er wird nur dann zulässig, wenn es eine Rechtsvorschrift erlaubt oder der/ die Betroffene eingewilligt hat. Jurist:innen nennen diese Konstruktion “Verbot mit Erlaubnisvorbehalt”.
Immer wenn ihr mit Daten umgeht, habt ihr euch also zu fragen: “Habe ich eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten?“ Das schauen wir uns unter Punkt (1) Rechtmäßigkeit gleich noch genauer an.
Verarbeitung personenbezogener Daten
Was personenbezogene Daten sind, haben wir bereits geklärt (https://gumbrecht.org/deswegen-ist-datenschutz-relevant-fuer-dein-startup/. Ein weiterer zentraler Begriff der DSGVO ist die “Verarbeitung” von personenbezogenen Daten.
Verarbeitung ist ein sehr weit gefasster Begriff und meint:
- das Erheben, Erfassen, Organisieren und Ordnen,
- die Speicherung, Anpassung oder Veränderung,
- das Auslesen, Abfragen und Verwenden,
- das Offenlegen durch Übermitteln, Verbreiten oder eine andere Form der Bereitstellung,
- den Abgleich oder die Verknüpfung und
- die Einschränkung oder das Löschen/ die Vernichtung von personenbezogenen Daten.
Da der Anwendungsbereich so groß ist, verarbeitet ihr im Ergebnis personenbezogene Daten immer dann, wenn z. B.:
- Nutzer:innendaten erhoben oder Kunden:innen-Feedbacks eingeholt werden,
- eine Mailingliste angelegt wird,
- ein Newsletter Plug-in auf einer Website oder Newsletter-Dienstleister (wie z. B. Mailchimp) benutzt wird,
- eine Website mit Kontaktformular betrieben wird oder
- Praktikanten:innen oder Mitarbeiter:innen beschäftigt werden.
Die DSGVO ist somit anzuwenden und die Grundsätze für die Verarbeitung personenbezogener Daten sind zu beachten:
(1) Rechtmäßigkeit
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn die Verantwortlichen dafür eine Rechtsgrundlage (zu finden in Art. 6 Abs. 1 DSGVO) haben. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ergibt sich danach u. a. aus:
- einer Einwilligung in die Verarbeitung (die immer einseitig gegeben wird, wie z.B. bei einem Kontaktformular auf einer Website oder bei Cookie-Consent-Bannern auf Webseiten),
- der Erfüllung eines Vertrages (das können Gesellschaftsverträge und Vereinssatzungen oder Dienst-, Werk- oder Kaufverträge sein),
- einer rechtlichen Verpflichtung (nach einem Gesetz, , wie z. B. das Handelsgesetzbuch, das Anforderungen zu den Aufbewahrungspflichten für Geschäftsbriefe und Rechnungen aufstellt) oder
- bei einem berechtigten Interesse des Verantwortlichen (hier muss aber eine wirksame Abwägung mit den Interessen des Betroffenen stattgefunden haben)
Personalisierte Werbung: Einwilligung, Vertrag oder berechtigtes Interesse?
Welche Rechtsgrundlage die Verarbeitung personenbezogener Daten ermöglichen soll, ist mitunter nicht einfach zu ermitteln. Gerade das berechtigte Interesse bedarf einer sorgfältigen Abwägung und ist daher bei einer pauschalen Verwendung oft unwirksam. Dazu haben sich bereits der EuGH und der europäische Datenschutzausschuss (EDSA) geäußert.
(2) Transparenz- und Informationspflicht
Die Datenverarbeitung muss in einer für die betroffene Person nachvollziehbaren Art und Weise geschehen. Um das zu gewährleisten, hat die DSGVO Informationspflichten der Verantwortlichen gegenüber den Betroffenen aufgestellt, damit die Betroffenen im Nachgang entsprechende Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung ausüben können.
(3) Zweckbindung
Die personenbezogenen Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Wollt ihr also personenbezogene Daten für völlig andere Zwecke danach noch nutzen, benötigt ihr eine neue Rechtsgrundlage.
(4) Datenminimierung
Es dürfen nur die personenbezogenen Daten erhobenen werden, die für diesen Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind.
(5) Richtigkeit
Die personenbezogenen Daten müssen sachlich richtig und auf dem neuesten Stand sein. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich vom Verantwortlichen gelöscht oder berichtigt werden.
(6) Speicherbegrenzung
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das heißt, ihr müsst euch Gedanken über ein Löschkonzept machen und die Löschung dann auch so umsetzen, dass die Daten nicht mehr wiederhergestellt werden können.
(7) Integrität und Vertraulichkeit
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. Das schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen ein.
Rechenschaftspflicht
Für die Einhaltung dieser Grundsätze ist der/die Verantwortliche zuständig. Also die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sie muss die Einhaltung dieser Anforderungen nachweisen können. Im Ergebnis führt das für den/ die Verantwortliche/n zu einer Beweislastumkehr. Die Datenschutzbehörden müssen nicht mehr Verstöße nachweisen, sondern der/die Verantwortliche muss bei einer Prüfung der Datenschutzbehörde beweisen, dass sie die genannten Grundsätze einhält.
Daher ist es ganz wichtig, dass ihr die technischen und organisatorischen Maßnahmen zur Umsetzung des Datenschutzes nach der DSGVO aktualisierend dokumentiert!
Und nun weiter mit dem Website-Datenschutz: https://gumbrecht.org/website-datenschutz-die-basics/
