Datenschutz 2020. Regina Mühlich
a. mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Nr. 1 DSGVO).
|
|
Name, Wohnort, Fotos, Sprachaufzeichnungen, Kfz-Kennzeichen, Fahrgestellnummer, Kundennummer, IMEI-Nummer, IP-Adresse |
Die Zulässigkeit der Verarbeitung sensitiver Daten ist in Art. 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten geregelt.
|
|
„Sensitive Daten“ bzw. besondere Kategorien von personenbezogenen Daten {personenbezogene Daten, besondere Kategorien} sind u. a.: • rassische und ethnische Herkunft • politische Meinungen • religiöse oder weltanschauliche Überzeugung • Gesundheitsdaten • Angaben zu Sexualleben oder der sexuellen Orientierung • biometrische und genetische Daten |
In Art. 5 DSGVO sind die Grundsätze der Verarbeitung personenbezogener Daten geregelt, sprich die Prinzipien zur Datenverarbeitung {personenbezogene Daten, Verarbeitung}.
So müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Der Grundsatz der Transparenz (Art. 6 Abs. 1 lit. a DSGVO) ist neu hinzugekommen. Dies passt zur erheblichen Ausweitung der Informationspflichten des Verantwortlichen und der Auskunftsrechte für die betroffene Person.
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine von sechs Bedingungen erfüllt ist (Art. 6 Abs. 1 DSGVO):
a) | Die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten gegeben. |
b) | Die Verarbeitung dient der Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen (z. B. Angebotserstellung), die auf Antrag der betroffenen Person erfolgen. |
c) | Die Verarbeitung unterliegt der Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt. |
d) | Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. |
e) | Die Verarbeitung liegt im öffentlichen Interesse oder ist zur Erfüllung hoheitlicher Aufgaben erforderlich. |
f) | Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Dieser Rechtfertigungsgrund gilt nicht für Behörden. |
Es muss nur einer der genannten sechs Punkte gegeben sein, damit die Rechtmäßigkeit für eine Verarbeitung von personenbezogenen Daten gegeben ist.
Bild 4: Rechtmäßigkeit der Verarbeitung (Quelle: © 2020 Regina Mühlich)
|
|
Die Vorschrift legt die grundlegenden Voraussetzungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten fest und bestimmt die Prüfungskriterien für die Zulässigkeit einer Zweckänderung.[1] |
Fußnoten:
Heberlein, Horst: Kapitel II, in: Ehmann, Eugen/Selmayr, Martin (Hg.): Datenschutz-Grundverordnung. Kommentar, München: C.H. Beck 2. Aufl. 2018, S. 206, Rn. 1.
1.7 Grundsätze des Datenschutzes
Die DSGVO hat den Datenschutz nicht neu erfunden. Sie stützt sich auf die seit Jahrzehnten bewährten Grundprinzipien des Datenschutzes. Die sieben Grundsätze des BDSG a. F. waren:
1. | Rechtmäßigkeit (Datenverarbeitungsverbot mit Erlaubnisvorbehalt) |
2. | Zweckbindung |
3. | Direkterhebung |
4. | Datenvermeidung und Datensparsamkeit |
5. | Erforderlichkeit |
6. | Transparenz |
7. | Kontrolle |
Die DSGVO übernimmt diese Grundsätze und erweitert sie in Teilen. Folgende Grundprinzipien der DSGVO sind zu beachten:
Rechtmäßigkeit {Grundsätze des Datenschutzes, Rechtmäßigkeit} Die Verarbeitung der Daten muss „rechtmäßig“ sein, d. h., es muss mindestens eine der Rechtsgrundlagen i. S. d. Artt. 6 oder 9 (besondere Datenkategorien) oder Art. 10 (strafrechtlich relevante Daten) DSGVO gegeben sein. Diese sind z. B. die (freiwillige, informierte) Einwilligung, ein Vertrag, der zwischen den Parteien abgeschlossen ist/wird, eine rechtliche Verpflichtung des Verarbeiters, lebenswichtige Interessen der betroffenen Person, öffentliche Interessen oder ein überwiegend berechtigtes Interesse an der Verarbeitung.
Transparenz {Grundsätze des Datenschutzes, Transparenz} und Information Die Verarbeitung personenbezogener Daten hat transparent zu erfolgen. Die natürlichen Personen, deren Daten verarbeitet werden, sollen Kenntnis darüber haben, welche konkreten Datenkategorien von welchem Verarbeiter für welchen Zweck verarbeitet werden.
Es sind daher umfassende Informationspflichten bei der Erhebung und Verwendung von personenbezogenen Daten normiert. So ist z. B. bei der Einwilligung darauf hinzuweisen, dass die betroffene Person das Recht hat, die Einwilligung zu widerrufen, und es ist über die Rechte der betroffenen Personen – wie z. B. das Recht auf Auskunft, Löschung, Datenportabilität – zu informieren.
Zweckbindung {Grundsätze des Datenschutzes, Zweckbindung} Die Verarbeitung der Daten muss einem eindeutigen, festgelegten Zweck (Zweckbindung) dienen. Die personenbezogenen Daten dürfen nur für diesen konkreten Zweck verwendet werden.
Datenminimierung {Grundsätze des Datenschutzes, Datenminimierung} Datenminimierung bedeutet, dass nur diejenigen personenbezogenen Daten verarbeitet werden dürfen, die für den konkreten Zweck erforderlich sind.
Speicherbegrenzung {Grundsätze des Datenschutzes, Speicherbegrenzung} Die Speicherbegrenzung schreibt vor, dass jeder Verantwortliche und Auftragsverarbeiter im Rahmen der gesetzlichen Anforderungen festlegen muss, wann die Daten zu löschen sind (sofern keine gesetzliche Aufbewahrungsfrist dem entgegensteht), bzw. es dürfen personenbezogene Daten nur so lange gespeichert werden,