Teil I Grundsätze (DSGVO)
Um die Frage „ Was fordert die DSGVO von Unternehmen? “ beantworten zu können, müssen wir uns im ersten Teil mit den Grundsätzen der Verarbeitung von personenbezogenen Daten auseinandersetzen.
Artikel 5: Was fordert die DSGVO von Unternehmen?
Grundsätze für die Verarbeitung von personenbezogenen Daten
Das Ziel des Datenschutzes ist es, die Grundrechte und die Grundfreiheiten natürlicher Personen im Bezug auf ihre personenbezogenen Daten zu schützen.
Sollte ein Unternehmen personenbezogene Daten verarbeiten, ist es wichtig, dass das Unternehmen diese unter Beachtung von Art. 5 und Art. 6 Der DSGVO verarbeitet.
In Art. 5 der Datenschutzgrundverordnung sind die Grundsätze für die Verarbeitung von personenbezogenen Daten geregelt.
Es wird gefordert, dass personenbezogene Daten nur nach Treue und Glaube, auf eine rechtmäßige Weise und nur für den Betroffenen transparent verarbeitet werden dürfen.
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Sie müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).
Die erhobenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Sollten Daten unrichtig sein, müssen diese unverzüglich gelöscht oder berichtigt werden („Richtigkeit“).
Sie müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“).
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet (technische und organisatorische Maßnahmen).
Beispiel:
Ein Onlineshop erhebt für eine Bestellung folgende personenbezogene Daten des Betroffenen:
- Vor- und Nachname
- Adresse (Str., PLZ, Ort)
- Bankdaten
- Augenfarbe
Jetzt stellt sich natürlich die Frage, ob wirklich alle diese personenbezogenen Daten für den erforderlichen Zweck (die Bestellungen) nötig sind (Datenminimierung, Datensparsamkeit). Vor- und Nachname sowie die Adresse wird benötigt für die Rechnungsanschrift sowie für die Zustellung des Pakets. Die Bankdaten werden für die Zahlungsabwicklung benötigt. Für was wird aber die Augenfarbe benötigt? Dabei sollte man sich immer die Frage stellen, kann der Zweck (die Bestellung) auch ohne diese Angabe erfolgen? Ist die Angabe zwingend erforderlich?
Antwort:
Nein, die Angabe der Augenfarbe ist nicht erforderlich, da sie nicht benötigt wird, um den nötigen Zweck (die Bestellung) zu erfüllen.
Artikel 6: Was fordert die DSGVO von Unternehmen?
Rechtmäßigkeit der Verarbeitung
Nachdem wir uns mit den Grundsätzen der Verarbeitung auseinandergesetzt haben, kommen wir zu Art. 6 Rechtmäßigkeit der Verarbeitung.
Eine Verarbeitung von personenbezogenen Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt wird:
a) Einwilligung
Beispiel:
Newsletter, nicht technisch notwendige Cookies, usw. benötigen eine Einwilligung.
b) Erfüllung eines Vertrags
Beispiel:
Bei einer Bestellung geht der Betroffene einen Vertrag mit dem Verantwortlichen ein. Hierfür dürfen all die personenbezogenen Daten erhoben werden, die für den Zweck erforderlich sind.
c) Erfüllung einer Rechtlichen Verpflichtung
Beispiel:
Sie haben mit einem Kunden einen Vertrag vollständig abgewickelt. Somit fällt der Grund für die Erlaubnis der weiteren Speicherung weg. Da aber das Steuerecht verlangt, dass Sie diese Daten mind. zehn Jahre für die Finanzbehörden verfügbar halten müssen, entsteht hierdurch die Erlaubnis zur Erfüllung einer rechtlichen Verpflichtung. Somit müssen die Daten weiterhin bis zum Ablauf Ihrer Speicherfrist gespeichert werden. Zu beachten ist dabei, dass diese Daten für keinen anderen Zweck verwendet werden dürfen.
d) Lebenswichtige Interessen
Sollte es nötig sein, personenbezogene Daten des Betroffenen zu erheben, da von dieser Person Leib und Leben in Gefahr steht (Lebenswichtiges Interesse), hat man hier einen Erlaubnistatbestand.
Beispiel:
Sollte eine Person bewusstlos in ein Krankenhaus eingeliefert werden, kann das Krankenhaus mit dem Erlaubnistatbestand (Lebenswichtige Interessen) die Patientenakte vom Hausarzt des betroffenen Patienten anfordern.
e) Öffentliche Interessen
Beispiel:
Videoüberwachung eines öffentlichen Platzes.
f) Berechtigtes Interesse
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Beispiel:
Videoüberwachung auf einem Firmengelände, das nach dem Feierabend unbewacht ist. Die Videoüberwachung sollte dabei vor Einbruchsversuchen abschrecken und im Fall eines Einbruches zur Beweissicherung dienen.
Bevor man sich auf das berechtigte Interesse beruft, sollte man beachten, dass eine Interessensabwägung zwischen dem Verantwortlichen und den Betroffenen erstellt werden muss. In dieser muss sich die Frage gestellt werden, ob mein berechtigtes Interesse als Verantwortlicher über den Grundrechten des Betroffenen steht. Sollten die Grundrechte des Betroffenen dabei zu stark eingeschränkt werden, müssen Maßnahmen ergriffen werden, um den Eingriff in das Grundrecht des Betroffenen auf ein Minimum zu reduzieren.
Beispiel:
Muss eine Videoüberwachung, die nach Feierabend vor Einbruch schützen soll, auch während der Geschäftszeiten aufzeichnen? Oder reicht es aus, wenn diese aktiviert wird, sobald der letzte Mitarbeiter das Gelände verlässt?
Da für das verfolgte Ziel eine Überwachung während der Geschäftszeiten nicht notwendig ist, und somit keine Aufzeichnung der Mitarbeiter staatfinden würde, würde man den Eingriff in die Grundrechte der betroffenen Personen auf ein Minimum reduzieren.
In Teil II von „Was fordert die DSGVO von Unternehmen?“ widmen wir uns den Rechten der betroffenen Personen.
Rechtliche Hinweise
Wir übernehmen keine Haftung für die Richtigkeit, Vollständigkeit oder Aktualität der wiedergegebenen Informationen. Dies gilt ebenso für alle Websites, auf die mittels Hyperlinks verwiesen wird. Insbesondere haften wir nicht für dort begangene Verstöße gegen gesetzliche Bestimmungen. Das Unternehmen Thilo-Koerner-Consulting, Johannes Thilo-Koerner behält sich vor, ohne Ankündigung, Änderungen oder Ergänzungen der bereitgestellten Informationen oder Daten vorzunehmen.