Spätestens seit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) am 25. Mai 2018
fragen sich viele, was sich geändert hat und nun Rechtslage ist. In diesem Beitrag erfahren Sie, welche
Anforderungen zu beachten sind.
Der datenschutzrechtliche Imperativ
Der Umgang mit personenbezogenen Daten ist grundsätzlich verboten. Der Umgang mit personenbezogenen Daten wird nur dann zulässig, wenn es eine Rechtsvorschrift erlaubt oder der/die Betroffene eingewilligt hat. Juristen nennen diese Konstruktion „Verbot mit Erlaubnisvorbehalt“.
Immer wenn Sie mit Daten umgehen, sollten Sie sich fragen: ‚Hat der/ die Betroffene den Datenumgang erlaubt oder gibt es ein Gesetz, welches mir den Umgang mit diesen Daten erlaubt?‘
Verarbeitung personenbezogener Daten
Was personenbezogene Daten sind, erfahren Sie im Beitrag D.1.
Ein weiterer zentraler Begriff der Datenschutz-Grundverordnung ist die „Verarbeitung“ von personenbezogenen Daten.
Verarbeitung ist ein sehr weit gefasster Begriff und meint:
- das Erheben, Erfassen, Organisieren und Ordnen
- die Speicherung, Anpassung oder Veränderung
- das Auslesen, Abfragen und Verwenden
- das Offenlegen durch Übermitteln, Verbreiten oder eine andere Form der Bereitstellung
- den Abgleich oder die Verknüpfung
- die Einschränkung oder das Löschen/ die Vernichtung
Da der Anwendungsbereich so groß ist, verarbeitet im Ergebnis jedes Unternehmen personenbezogene Daten, wenn z. B.:
- NutzerInnendaten erhoben oder KundenInnen-Feedbacks eingeholt werden,
- eine Mailingliste angelegt wird,
- ein Newsletter Plug-in oder Newsletter-Dienstleister (wie Mailchimp) benutzt wird,
- eine Webseite mit Kontaktformular betrieben wird oder
- PraktikantenInnen oder MitarbeiterInnen beschäftigt werden.
Die Grundsätze für die Verarbeitung personenbezogener Daten
(1) Rechtmäßigkeit
Zur Verarbeitung benötigen die Verantwortlichen eine Rechtsgrundlage. Dies können sein:
- Verträge (z. B. auch eine Vereinssatzung) oder
- Gesetze (z. B. das Handelsgesetzbuch zu den Aufbewahrungspflichten für
Geschäftsunterlagen) oder - eine Einwilligung (die immer einseitig ist, wie z.B. Aufnahmeantrag, Kontaktformular)
(2) Transparenz- und Informationspflicht
Die Datenverarbeitung muss in einer für die betroffene Person nachvollziehbaren Art und Weisegeschehen. Bei Anfrage sind den/ der Betroffenen die ihn/ sie betreffenden personenbezogene Daten zu nennen.
(3) Zweckbindung
Die personenbezogenen Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Bei einer Weiterverarbeitung müssen diese Zwecken beachtet werden. Es darf also nicht geschehen, das personenbezogene Daten in einer nicht festgelegten Art und Weise weiterverarbeitet werden.
(4) Datenminimierung
Es dürfen nur die personenbezogenen Daten erhobenen werden, die für diesen Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind.
(5) Richtigkeit
Die personenbezogenen Daten müssen sachlich richtig und auf dem neuesten Stand sein. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden.
(6) Speicherbegrenzung
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
(7) Integrität und Vertraulichkeit
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. Das schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ein.
Rechenschaftspflicht
Für die Einhaltung dieser Grundsätze ist der/die Verantwortliche zuständig. Also die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sie muss die Einhaltung dieser Anforderungen nachweisen können.
Das ist neu und führt für den/ die Verantwortliche/n zu einer Beweislastumkehr. Die Datenschutzbehörden müssen nicht mehr Verstöße nachweisen, sondern der/die Verantwortliche müssen bei einer Prüfung der Datenschutzbehörde nachweisen, dass sie die genannten Grundsätze einhalten.
