Daten-Schutz Basics
In diesem Artikel möchte ich auf die Grundlagen und die wichtigsten Begriffe der Datenschutz-Grundverordnung (DSGVO) eingehen. Was sind eigentlich personenbezogene Daten? Wer ist für die Einhaltung des Datenschutzes verantwortlich? Unter welchen Umständen dürfen personenbezogene Daten verarbeitet werden, welche Grundsätze sind dabei zu beachten und was sind überhaupt technische und organisatorische Sicherheitsmaßnahmen?
Begriffe
Personenbezogene Daten sind gem. Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Diese Person wird daraufhin als Betroffener bezeichnet. Eine Identifikation einer Person kann beispielsweise über ihren Namen, die Telefonnummer, Passnummer, Sozialversicherungsnummer oder Kraftfahrzeugkennzeichen erfolgen, aber auch durch eine Verknüpfung bestimmter Daten wie bspw. Beschäftigungsverhältnis, Alter und Anschrift. Auch ein Fingerabdruck oder genetische Merkmale können als personenbezogenes Datum gelten. Die Verordnung geht von einem sehr weiten Begriffsverständnis aus und bezieht ausdrücklich sämtliche Informationen in den Schutzbereich mit ein, die einen Personenbezug aufweisen. Die Frage, ob auch eine IP-Adresse ein personenbezogenes Datum darstellt, wurde lange diskutiert. Dieser Streit fand Ende 2016 sein Ende durch ein Urteil des EuGH in dem eindeutig bejaht wurde, dass es sich bei IP-Adressen (egal ob dynamisch oder statisch) um personenbezogene Daten handelt. Sogenannte Sachdaten, die sich ausschließlich auf eine Sache beziehen, sind keine personenbezogenen Daten. Die Information, wie warm es in einem Raum ist oder wann eine Lampe eingeschaltet wurde, stellt an sich kein personen-bezogenes Datum dar, solange sie nicht damit verknüpft wird, wer sie einschaltet.
Als besonders schützenswert gelten die in Art. 9 Abs. 1 aufgezählten besonderen Kategorien personenbezogener Daten. Diese umfassen alle Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie alle genetischen Daten, biometrischen Daten zur Eindeutigen Identifizierung einer natürlichen Person (z.B. Fingerabdruck), Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer Person. Gerade der Begriff der Gesundheitsdaten beinhaltet wesentlich mehr als man auf den ersten Blick vermuten könnte. Neben der Berechnung der Herz-Frequenz und des Blutdruckes durch sogenannte wearables (z.B. Fitness-Armbänder) zählt dazu nämlich auch die Information ob jemand Brillenträger ist. Somit ist jedes Foto von mir als besonders schützenswertes Datum im Sinne des Art. 9 DSGVO anzusehen, da ich stark kurzsichtig bin und meine Brille nur zum Schlafen ablege.
Der Verantwortliche ist nach Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Der oder die Verantwortliche muss aber nicht zwingend eine einzelne Stelle sein, sondern es können auch mehrere Stellen gemeinsam die datenschutzrechtliche Verantwortung haben. Wesentliches Merkmal dafür, wer als Verantwortlicher anzusehen ist, ist wer die wesentlichen Entscheidungen über die Verarbeitung von personenbezogenen Daten trifft bzw. wer über die entsprechende Befugnis verfügt. Sind mehrere Personen gemeinsam für die Verarbeitung personenbezogener Daten verantwortlich, so sind diese nach Art. 26 Abs. 1 und Erwägungsgrund 79 zu einer klaren und transparenten Aufgabenverteilung verpflichtet.
Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO sind natürliche und juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Die Bedingungen und Voraussetzungen bezüglich der Auftragsverarbeitung sind in den Artikeln 28 und 29 geregelt. Der Auftragsverarbeiter ist gem. Art. 28 Abs. 3 lit. a dem Verantwortlichen gegenüber weisungsgebunden, wobei die Weisungen dokumentiert werden müssen. Der Auftragsverarbeiter ist weder als Verantwortlicher, noch als Dritter nach Art. 4 Nr. 1, sondern als Empfänger personenbezogener Daten i.S.d. Art. 4 Nr. 9 einzuordnen. In der Literatur führt die Frage, wie Übermittlungen personenbezogener Daten zwischen Verantwortlichem und Auftragsverarbeiter einzuordnen sind regelmäßig zu Diskussionen. Die eine Seite vertritt die Ansicht, es bestünde die Privilegierung, dass bei Datenübertragungen zwischen Verantwortlichem und Auftragsverarbeiter der Erlaubnisvorbehalt nicht greift, da dieser nach dem Wortlaut des Art. 6 Abs. 1 nur die Datenweitergabe an Dritte begrenzt. Auf der anderen Seite wird die Ansicht vertreten, dass auch die Übertragung von personenbezogenen Daten zwi-schen Verantwortlichem und Auftragsverarbeiter einer Rechtfertigung bedarf, da diese Weitergabe als Verarbeitungstätigkeit anzusehen ist. In diesem Streit gilt also, wie so oft, die Lieblingsantwort der Juristen: „Es kommt darauf an“.
Rechtmäßigkeit der Verarbeitung
Rechtmäßigkeit der Verarbeitung. Jede Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten, wenn keine der in Art. 6 Abs. 1 DSGVO aufgezählten Voraussetzungen für eine rechtmäßige Verarbeitung vorliegt. Diese rechtliche Konstellation wird auch als Verbot mit Erlaubnisvorbehalt bezeichnet und kam bereits in § 4 der alten Fassung des Bundesdatenschutzgesetzes (BDSG) zur Anwendung. Art. 6 stellt, bezüglich der Zulässigkeit der Verarbeitung von personenbezogenen Daten, die zentrale Norm innerhalb der Datenschutz-Grundverordnung dar. Zur zusätzlichen Absicherung wird das Verbot mit Erlaubnisvorbehalt durch Anwendung des übergreifenden Prinzips der Erforderlichkeit ergänzt. Demzufolge wird die Verarbeitung personenbezogener Daten nur dann durch einen der in Art. 6 genannten Erlaubnistatbestände zulässig, wenn sie für das mit der Verarbeitung angestrebte Ziel erforderlich ist, diesbezüglich also keine Alternative zur Datenverarbeitung besteht.
Der erste der Rechtfertigungsgründe aus Artikel 6 ist die Einwilligung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten (Art. 6 Abs. 1 lit. a). Durch eine wirksame Einwilligung verzichtet die betroffene Person also auf ihr Recht auf informationelle Selbstbestimmung in Bezug auf eine konkret festgelegte Verarbeitung. Eine Einwilligung ist gem. Art. 4 Nr. 11 eine Willensbekundung in Form einer Erklärung, mit der die betroffene Person für den bestimmten Fall, in informierter Weise und unmissverständlich ihr Einverständnis mit der Verarbeitung, der sie betreffenden personenbezogenen Daten, zum Ausdruck bringt. Dafür reichen vorangekreuzte Kästchen in einem Formular ebenso wenig aus, wie zu schweigen oder untätig zu sein. Wichtig ist auch, dass eine Einwilligung immer persönlich und freiwillig abgegeben wurde, wofür vorausgesetzt wird, dass der Betroffene diesbezüglich eine tatsächliche Wahl hat, er also keine Nachteile befürchten müsste, würde er die Einwilligung nicht abgeben. Eine Freiwilligkeit ist darüber hinaus immer dann nicht gegeben, wenn zwischen Verantwortlichem und Betroffenem ein klares Ungleichgewicht besteht. Auch Minderjährige können eine wirksame Einwilligung abgeben, solange sie gem. Art. 8 Abs. 1 DSGVO das sechszehnte Lebensjahr vollendet haben, oder die Einwilligung mit Einverständnis der Erziehungsberechtigten erfolgt.
Viele Verantwortliche arbeiten mit Einwilligungen als Rechtsgrundlage für alles Mögliche. Oft sind die geforderten Einwilligungen aber gar nicht erforderlich, weil schon ein anderer Rechtfertigungsgrund greift. Wer kennt es nicht, dass man beim Zahnarzt eine Einwilligung in die Verarbeitung seiner Daten unterschreiben soll? Dabei hat man einen Behandlungsvertrag mit dem Arzt, der als Rechtsgrundlage für die Verarbeitung völlig ausreichend ist. Der Grund aus dem man aus meiner Sicht so wenige Einwilligungen verwenden sollte, wie nur irgend möglich ist aber ein anderer: Jede Einwilligung ist jederzeit ohne Angaben von Gründen widerrufbar! Dieser Umstand macht eine Einwilligung als Rechtsgrundlage sehr unbeständig und ich kann nur dazu raten sich immer wenn irgendwie möglich auf andere der Art. 6 Gründe zurück zu berufen.
Neben der Einwilligung kommen eine ganze Menge weiterer Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in Betracht. Zunächst ist die Verarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art. 6 Abs. 1 lit. b). Ebenfalls ist der Verantwortliche zur Verarbeitung personenbezogener Daten berechtigt, wenn diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, z.B. die Datenübertragung zwischen Arbeitgeber und Finanzamt (Art. 6 Abs. 1 lit. c) oder wenn die Verarbeitung dazu erforderlich ist um lebenswichtige Interessen zu schützen (Art. 6 Abs. 1 lit d). Behörden, Kommunen und andere öffentliche Stellen können sich bei der Datenverarbeitung auf den Art. 6 Abs. 1 lit. e) berufen, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder wenn die Verarbeitung in Ausübung öffentlicher Gewalt erfolgt. Der letzte der Rechtfertigungsgründe greift, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Beispiele für ein berechtigtes Interesse des Verantwortlichen sind die Verhinderung von Betrug oder anderen Straftaten, die Direktwerbung, der Datenaustausch innerhalb einer Unternehmensgruppe und die Gewährleistung der IT-Sicherheit.
Datenschutzgrundsätze
In Artikel 5 der Datenschutz-Grundverordnung werden Grundsätze aufgezeigt, die bei der Verarbeitung personenbezogener Daten zu beachten sind. Diese Grundsätze sind verbindlich für alle Adressaten des Datenschutzrechts und haben insofern unmittelbare Wirkung, dass jede Verarbeitung, die gegen diese Grundsätze verstößt als rechtswidrig anzusehen ist. Die DSGVO nennt die Grundsätze der Rechtmäßigkeit, Transparenz, Zweckbindung und Datenminimierung sowie das Prinzip von Treu und Glauben.
Personenbezogene Daten dürfen gem. Art. 5 Abs. 1 lit. a Var. 1 DSGVO nur auf rechtmäßige Art und Weise verarbeitet werden. Dieser Artikel beinhaltet damit das bereits oben erwähnte datenschutzrechtliche Verbot mit Erlaubnisvorbehalt aus Art. 8 Abs. 2 S. 1 GRCh, das besagt, dass jede Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist, solange diese nicht mit Einwilligung der betroffenen Person oder aufgrund einer sonstigen Rechtsgrundlage aus Art. 6 Abs. 1 erfolgt. Zusätzlich muss eine Verarbeitung gem. Art. 5 Abs. 1 lit. a Var. 2 nach Treu und Glauben erfolgen, also innerhalb dessen liegen, womit der Betroffene auf Grund der rechtlichen Regeln zu rechnen hat. Dieser Grundsatz bezieht sich auf das Verhältnis zwischen Verantwortlichem und Betroffenem und sieht, als Auffangklausel, jedes unfaire Verhalten zwischen diesen als rechtswidrig an.
Der Grundsatz der Transparenz ist Art. 5 Abs. 1 lit. a Var. 3 zu entnehmen, wonach personenbezogene Daten in einer Weise verarbeitet werden müssen, die für die betroffene Person nachvollziehbar ist. Für natürliche Personen, deren Daten verarbeitet werden, soll gem. Erwägungsgrund 39 zur DSGVO bezüglich des Zweckes und des Umfangs der Verarbeitungstätigkeiten, den damit einhergehenden Risiken, der Identität des Verantwortlichen sowie der Betroffenenrechte Transparent bestehen. Informationen, die in Bezug zur Datenverarbeitung stehen, sollen für Betroffene leicht zugänglich und darüber hinaus, gem. Art. 12 Abs. 1 durch Verwendung klarer und einfacher Sprache, auch leicht zu verstehen sein. Heimliche Verarbeitungstätigkeiten sind generell unrechtsmäßig und für Verantwortliche besteht die Pflicht, Betroffene über die Verarbeitung ihrer personenbezogenen Daten im Rahmen der Artikel 12 bis 14 umfassend zu informieren. Darüber hinaus ist bei jeder Erhebung personenbezogener Daten, die beim Betroffenen selbst oder an anderer Stelle erfolgt, der Betroffene zu informieren und ihm sind die in Art. 13 bzw. Art. 14 genannten Informationen mitzuteilen, u.a. der Verarbeitungszweck, die Rechtsgrundlage und wer die Verantwortung für die Datenverarbeitung trägt.
Der in Art. 5 Abs. 1 lit. b DSGVO enthaltene Grundsatz der Zweckbindung, stellt den zentralen Grundsatz innerhalb des Datenschutzrechts dar. Der Grundsatz der Zweckbindung gilt für jede Verarbeitung personenbezogener Daten, auch für die, die auf einer Einwilligung beruhen. Er bestimmt, dass jeder Verarbeitung eine Bestimmung der Zwecke, für die die Daten verarbeitet werden sollen, vorangehen muss. Der Zweck beschreibt, welcher Zustand durch die getätigte Datenverarbeitung angestrebt wird. Er muss legitim und eindeutig sein, darf also nicht zu allgemein gefasst sein, um es dem Betroffenen zu ermöglichen, die Folgen der Verarbeitung seiner Daten abschätzen zu können. Die Verarbeitung personenbezogener Daten, um sie generell für Werbung oder Big-Data-Anwendungen zu nutzen, wäre demzufolge kein eindeutiger Zweck im Sinne des Art. 5 Abs. 1 lit. b. Besondere Bedeutung kommt somit der Auslegung des Begriffs des „eindeutigen“ Zweckes zu. Sind personenbezogene Daten einmal zu einem bestimmten Zweck erhoben worden, so muss jede weitere Verarbeitung mit dem ursprünglichen Zweck vereinbar sein. Der Erhebungszweck ist demzufolge mit dem Zweck der Weiterverarbeitung, unter Berücksichtigung des Art. 6 Abs. 4, zu vergleichen. Ist die Vereinbarkeit gegeben, so ist für die weitere Verarbeitung, trotz Zweckänderung, keine neue Rechtsgrundlage erforderlich. Die Zweckänderung ist dem Betroffenen gem. Art. 14 Abs. 1 lit c mitzuteilen und muss nach Art. 30 dokumentiert werden. Liegt keine Vereinbarkeit vor, so muss eine Neuerhebung der Daten erfolgen. Auch wenn eine neue Rechtsgrundlage für eine Verarbeitung vorliegt, die zu einem anderen Zweck als dem, zu dem die Verarbeitung ursprünglich stattgefunden hat erfolgt, ist die Vereinbarkeit des neuen mit dem ursprünglichen Zweck zu prüfen. Ohne Vereinbarkeit ist auch in diesem Fall eine Zweckänderung ausgeschlossen.
Gem. Art. 5 Abs. 1 lit. c sind personenbezogene Daten dem Zweck angemessen und erheblich zu verarbeiten sowie auf das für die Zwecke der Verarbeitung erforderliche Maß beschränkt. Die Wahl der Mittel und des Zwecks, sind demzufolge insofern eingeschränkt, dass jeweils der Verarbeitungsvorgang zu wählen ist, bei dem die wenigsten personenbezogenen Daten verarbeitet werden müssen, um das angestrebte Ziel zu erreichen. Zusätzlich sollen immer, wenn es möglich ist, aus Gründen der Datenvermeidung und -sparsamkeit, anonymisierte statt personenbezogener Daten verarbeitet werden oder die personenbezogenen Daten sind zu pseudonymisieren.
Ich weiß, das waren jetzt eine Menge juristischer Begriffe und Formulierungen, aber ich hoffe ich konnte sie so verpacken, das die Grundlagen und Basics des Datenschutzes, insbesondere der Datenschutz-Grundverordnung, verständlich wurden und vor allem ein erster Überblick entstanden ist, was unter der Verarbeitung personenbezogener Daten zu verstehen ist, welche Bedingungen erfüllt sein müssen um personenbezogene Daten verarbeiten zu dürfen und welche Grundsätze dabei einzuhalten sind.