Nehmen Sie sich einen Moment Zeit und machen Sie sich mit grundlegenden Datenschutzthemen vertraut, wie z.B.
Anwendbarkeit: Wann gilt das Datenschutzrecht und was sind (sensible) personenbezogene Daten?
Datatransfer: Welche rechtlichen Arten der Datenübermittlung gibt es und was ist bei einer grenzüberschreitenden Übermittlung zu beachten?
Einbeziehung der betroffenen Person: Wann ist die Einwilligung eine geeignete Rechtsgrundlage und welche Rechte hat der Betroffene?
Gemäß Art. 13 Abs. 1 S. 1 DSGVO ist es der für die Verarbeitung Verantwortliche, der der betroffenen Person bestimmte Informationen über die Datenverarbeitung bereitstellen muss. Es kann mehrere für die Verarbeitung Verantwortliche geben, die personenbezogene Daten entweder in gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) oder in getrennter Verantwortlichkeit verarbeiten.
Während die Verantwortlichen einer gemeinsamen Verantwortlichkeit festlegen können, dass nur ein für die Verarbeitung Verantwortlicher für die Information zuständig ist (vgl. Art. 26 Abs. S. 2 DSGVO), müssen getrennt Verantwortliche die betroffene Person unabhängig von der Bereitstellung von Informationen durch den jeweils anderen Verantwortlichen informieren.
Die DSGVO unterscheidet in erster Linie zwischen dem Fall, dass personenbezogene Daten "bei der betroffenen Person" erhoben werden (geregelt in Art. 13 DSGVO) und dem Fall, dass personenbezogene Daten "nicht bei der betroffenen Person erhoben wurden" (geregelt in Art. 14 DSGVO).
Leider legt das Gesetz nicht fest, wann die Daten "bei der betroffenen Person" erhoben werden. Das Fehlen jeglicher einschränkender Kriterien spricht für ein weites Verständnis. Ein zu weit gefasstes Verständnis birgt jedoch die Gefahr, dass es für viele moderne Datenverarbeitungen unpraktisch ist, bei denen sich die betroffene Person, obwohl sie zweifellos die Quelle der Informationen ist, der Datenverarbeitung nicht bewusst ist, z. B. wenn sie zufällig von einer verdeckten Kamera gefilmt wird. Daher sollte Art. 13 nur für solche Datenverarbeitungen als anwendbar angesehen werden, bei denen die betroffene Person in einem bestimmten Kontext aktiv Daten bereitstellt (z. B. beim Passieren des Eingangs eines Supermarkts, der sichtbar videoüberwacht wird). Konstellationen, in denen es der Verantwortliche ist, der, in Verfolgung eines legitimen Zwecks, an die betroffene Person herantritt und damit die Einbeziehung der betroffenen Person in eine Datenverarbeitung veranlasst, sollten als Fremderhebung betrachtet werden.
Ein eigenes Arbeitnehmerdatenschutzgesetz gibt es im deutschen Recht nicht. Allerdings befasst sich § 26 BDSG (Bundesdatenschutzgesetz) mit der Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses. Dazu gehören nach § 26 Abs. 7 BDSG auch mündliche Datenverarbeitungen wie z.B. Teambesprechungen.
Nach § 26 Abs. 1 S. 1 dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses oder für die Wahrnehmung von Rechten und Pflichten der Interessenvertretungen der Beschäftigten aus einem Gesetz, einem Tarifvertrag oder einer Betriebsvereinbarung erforderlich ist. Darüber hinaus dürfen in den engen Grenzen des § 26 Abs. 1 S. 2 personenbezogene Daten zur Aufdeckung von Straftaten von Beschäftigten verarbeitet werden.
§ 26 (3) erlaubt die Verarbeitung sensibler personenbezogener Daten zum Arbeitnehmer (z. B. Gesundheitsdaten) über die in der DSGVO definierten Grenzen hinaus, während Abs. 4 klarstellt, dass die Verarbeitung von Arbeitnehmerdaten - einschließlich sensibler Informationen - auf der Grundlage von Tarifverträgen erfolgen kann, für viele Unternehmen mit Betriebsrat eine geeignete Verarbeitungsgrundlage.
Grundsätzlich hindern weder die DSGVO noch das BDSG Arbeitgeber daran, ihre Mitarbeiter um Einwilligung zu bitten. Gemäß Art. 7 (4) DSGVO muss die Einwilligung jedoch "freiwillig" erteilt werden. Eine Einwilligung, die diese Anforderung nicht erfüllt, kann nicht als gültig angesehen werden, sondern könnte vielmehr als Verstoß gegen Art. 5 (1) (a) DSGVO eingeordnet werden, da sie den Arbeitnehmer veranlassen könnte, Daten an seinen Arbeitgeber weiterzugeben, ohne rechtlich dazu verpflichtet zu sein.
Um festzustellen, ob eine Einwilligung als freiwillig erteilt angesehen werden kann, sind nach § 26 (2) BDSG das Abhängigkeitsverhältnis zwischen Arbeitgeber und Arbeitnehmer sowie die Umstände, unter denen die Einwilligung eingeholt wurde, zu berücksichtigen. Umstände, die für eine freiwillig erteilte Einwilligung sprechen, können nach § 26 Abs. 2 S. 2 BDSG dann vorliegen, wenn dem Arbeitnehmer ein rechtlicher oder wirtschaftlicher Vorteil zugute kommt oder wenn Arbeitnehmer und Arbeitgeber mit der Datenverarbeitung gemeinsame Interessen verfolgen.
Abweichend von den allgemeinen Einwilligungserfordernissen der DSGVO hält § 26 Abs. 2 S. 3 eine schriftliche oder elektronische Einwilligung in die Verarbeitung von Beschäftigtendaten für erforderlich.
Art. 9 (1) DSGVO enthält eine abschließende Auflistung sogenannter besonderer Kategorien personenbezogener Daten. Dies sind: personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über die Gesundheit oder das Sexualleben bzw. die sexuelle Orientierung einer Person und die Verarbeitung genetischer oder biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person.
Auch wenn in der Regel nur die vorgenannten Datenkategorien als "sensibel" bezeichnet werden, gelten für personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten ebenfalls besondere Vorschriften (Art. 10 DSGVO). Darüber hinaus kann die Sensitivität bestimmter Datenkategorien wie Standortdaten, Daten über die wirtschaftliche bzw. finanzielle Situation der betroffenen Person, ihre persönlichen Vorlieben, Interessen, Zuverlässigkeit und ihr Verhalten in Anbetracht eines bestimmten Zwecks oder Kontexts ebenfalls als sensibel angesehen werden. Dies ist insbesondere dann der Fall, wenn diese Daten zum Zwecke des Profilings im Sinne von Art. 4 Nr. 4 GDPR genutzt werden.
Die in Art. 9 (1) DSGVO aufgeführten sogenannten besonderen Kategorien personenbezogener Daten dürfen nur verarbeitet werden, wenn eine der in Art. 9 (2) DSGVO genannten Ausnahmen erfüllt ist.
Eine wichtige Ausnahme ist die Einwilligung der betroffenen Person (Artikel 9 (2) (a)). Diese muss ausdrücklich erteilt werden, d.h. die einzelnen sensiblen Datenkategorien sind in der Einwilligungserklärung aufzuführen.
Gemäß Art. 9 (2) (b) ist die Verarbeitung sensibler Daten auch dann rechtmäßig, wenn sie erforderlich ist "damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht". In ähnlicher Weise öffnet Art. 9 (2) (h) die Tür für individuelle nationale Regelungen, wenn die Verarbeitung erforderlich ist "für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich". Das deutsche BDSG sieht entsprechende Regelungen u.a. in § 22 vor.
Schließlich dürfen sensible Daten verarbeitet werden, "die die betroffene Person offensichtlich öffentlich gemacht hat" (§ 9 Abs. 2 Buchstabe e)).
Die zunehmende Diversifizierung des technischen und betrieblichen Know-hows im Geschäftsleben erfordert häufig die Einbeziehung von Dienstleistern oder anderen Kooperationspartnern.
Während bei einigen Geschäftsbeziehungen der Austausch von bloßen Kontaktdaten der Geschäftspartner ausreicht (um die Kommunikation zu ermöglichen), liegt der Schwerpunkt bei anderen Beziehungen auf der Verarbeitung personenbezogener Daten selbst. Dies ist insbesondere dann der Fall, wenn personenbezogene Daten von einem Dienstleister gesammelt, strukturiert und/oder analysiert werden müssen, um Marketing-, Verkaufs- oder andere Bedürfnisse zu erfüllen. Die Speicherkapazität für eine wachsende Menge personenbezogener Daten ist für viele Unternehmen ein weiterer wichtiger Grund, einen Auftragnehmer mit dem Zugriff auf personenbezogene Daten zu betrauen.
Werden solche Dienste nur für den / die Zweck(e) des Auftraggebers erbracht und verbleibt die Hoheit über die Festlegung wesentlicher Verarbeitungsumstände wie Aufbewahrungsfristen, Datenkategorien, betroffene Personen und Zugriffsrechte vertraglich abgesichert beim Auftraggeber, ist die Zusammenarbeit als Auftragsverarbeitung nach Art. 28, 29 DS-GVO einzuordnen. Im Gegensatz dazu ist eine gemeinsame Verantwortlichkeit (wie in Art. 26 DSGVO definiert) dadurch gekennzeichnet, dass beide Partner, nachdem sie sich vertraglich über die wesentlichen Umstände der Verarbeitung geeinigt haben, ihre eigenen Geschäftsziele verfolgen, die nicht identisch sein müssen, aber gemeinsam definiert werden müssen.
Der "gemeinsame Bedeutungshorizont", der sowohl für die Auftraggeber-Auftragnehmer-Beziehung als auch für die gemeinsame Verantwortlichkeit charakteristisch ist, fehlt bei einer getrennten Verantwortlichkeit: Hier können beide Parteien wesentliche Verarbeitungsumstände sowie ihre jeweiligen Zwecke unabhängig vom anderen Partner justieren - die Verarbeitungshorizonte sind nicht miteinander verbunden.
Gemäß Art. 28 (3) S. 1 DSGVO erfolgt die Verarbeitung durch einen Dienstleister in der Rolle eines Auftragsverarbeiters "auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind."
Darüber hinaus muss der Vertrag u.a. Regelungen zur Einbindung von Unterauftragsverarbeitern enthalten - Stellen, die nicht vom Auftraggeber, sondern vom Auftragsverarbeiter zur Erreichung der im Auftragsverarbeitungsvertrag festgelegten Zwecke beauftragt werden. Art. 28 (2) DSGVO sieht vor, dass der für die Verarbeitung Verantwortliche solche Unterauftragsverarbeiter entweder ausdrücklich genehmigen muss oder ihm vertraglich die Möglichkeit eingeräumt werden muss, einer beabsichtigten Einschaltung auf Grundlage einer vorausgehenden Benachrichtigung des Auftragsverarbeiters zu widersprechen.
Nicht zuletzt darf der Auftragsverarbeiter gemäß Art. 29 DSGVO "ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind".
Auch die Parteien einer gemeinsamen Kontrollstelle müssen eine Vereinbarung schließen, um "in transparenter Form fest[zulegen], wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt" (Art. 26 Abs. 1 S. 2 DSGVO).
Art. 26 (3) stellt klar, dass die betroffene Person unabhängig von der Rollenbeschreibung in der Vereinbarung "ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen." In diesem Punkt unterscheidet sich die gemeinsame Verantwortlichkeit nicht von der getrennten Verantwortlichkeit, bei der, ander als bei der Auftragsverarbeitung und der gemeinsamen Verantwortlichkeit, gesetzlich keine speziellen Datenschutzregelungen erforderlich sind, auch wenn sie aus organisatorischer Sicht empfehlenswert sind.
Gemäß Art. 45 (1) DSGVO kann "[e]ine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation [...] vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung." Die Kommission hat bisher eine sogenannte "Angemessenheitsentscheidung" in Bezug auf die folgenden Länder getroffen: Andorra, Argentinien, Kanada (beschränkt auf kommerzielle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und das Vereinigte Königreich. Datenübermittlungen in solche Länder werden genauso behandelt wie Übermittlungen innerhalb der EU / des EWR.
Dagegen erfordern Übermittlungen in so genannte unsichere Drittstaaten - Länder, die aus Sicht der EU-Kommission keinen angemessenen Datenschutz bieten - regelmäßig eine besondere Schutzmaßnahme, um eine konforme Verarbeitung zu gewährleisten.
Zu den möglichen in Art. 46 (2) DSGVO aufgeführten Garantien für Datenübermittlungen in unsichere Länder gehören die sogenannten "Standard-Datenschutzklauseln", die von der Europäischen Kommission verabschiedet wurden. Die Klauseln enthalten zwingende Regeln, die teilweise individuell auf die vier möglichen Transferkonstellationen zugeschnitten sind: EU-Verantwortlicher zu Non-EU-Verantwortlicher, EU-Verantwortlicher zu Non-EU-Auftragsverarbeiter, EU-Auftragsverarbeiter zu Non-EU-Auftragsverarbeiter, EU-Auftragsverarbeiter zu Non-EU-Verantwortlicher. So muss beispielsweise das Modul für die Konstellation EU-Auftragsverarbeiter an Nicht-EU-Auftragsverarbeiter gewählt werden, wenn die Services eines US-amerikanischen IT-Dienstleisters in Anspruch genommen werden sollen, sofern dieser im Rahmen der Dienstleistungserbringung auf personenbezogenen Daten des für die Verarbeitung Verantwortlichen zugreifen kann.
Eine geeignete Alternative zu den Standarddatenschutzklauseln bei Datenübermittlungen zwischen Unternehmen derselben Unternehmensgruppe sind die sogenannten "Binding Corporate Rules", für die Art. 47 (2) DSGVO grundlegende inhaltliche Anforderungen enthält.
Weder die Standard-Datenschutzklauseln noch die Binding Corporate Rules müssen umgesetzt werden, wenn eine Ausnahmeregelung nach Art. 49 (1) DSGVO greift. Wichtige Beispiele für solche Ausnahmen sind die ausdrückliche Einwilligung der betroffenen Person in die Übermittlung (Art. 49 (1) (a) DSGVO) und die Erforderlichkeit der Übermittlung "für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person" (Art. 49 (1) (b) DSGVO).
Die DSGVO gilt gemäß Art. 3 (2) auch für Verantwortliche oder Auftragsverarbeiter, die nicht in der EU ansässig sind, wenn sie personenbezogene Daten von betroffenen Personen in der EU mit der Absicht verarbeiten, ihnen kostenpflichtige oder nicht kostenpflichtige Waren oder Dienstleistungen anzubieten. Folglich gilt die DSGVO auch für Unternehmen aus Nicht-EU-Ländern, die für ihre Produkte bei in der EU lebenden Personen werben, indem sie z. B. ein entsprechendes Lieferziel anbieten.
Darüber hinaus müssen die Anforderungen der DSGVO von Verantwortlichen oder Auftragsverarbeitern erfüllt werden, die das Verhalten der betroffenen Person - z. B. durch Website-Tracking - beobachten, wenn dieses Verhalten innerhalb der EU erfolgt (Art. 3 (2) (b)). Schließlich gilt die DSGVO, wenn das Recht eines Mitgliedstaats aufgrund des Völkerrechts anwendbar ist (Art. 3 (3)).
Datenverarbeitungen, die von Verantwortlichen oder Auftragsverarbeitern außerhalb der EU / des EWR durchgeführt werden, müssen der DSGVO genügen, wenn die Datenverarbeitung "im Rahmen der Tätigkeiten" einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt (Art. 3 (1)). Folglich findet die DSGVO Anwendung solange die Verarbeitung von einer in der EU bzw. im EWR ansässigen Einrichtung organisiert und durchgeführt wird.
Eine Datenverarbeitung, wie sie in Art. 4 (2) DSGVO definiert ist, meint "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten". Art. 4 (2) enthält eine nicht abschließende Liste von Beispielen für einen solchen Vorgang, einschließlich der Erhebung, Organisation, Speicherung, Offenlegung durch Übermittlung und Verbreitung von personenbezogenen Daten. Nicht nur "konstruktive" Vorgänge, sondern auch die Löschung und Vernichtung personenbezogener Daten werden als mögliche Vorgangsformen genannt.
Während die DSGVO unstrittig für alle elektronischen Datenverarbeitungen gilt ("ganz oder teilweise automatisiert", Art. 2 (1)), sind nichtelektronische Verarbeitungen nur dann abgedeckt, wenn die Daten Teil eines Dateisystems sein (sollen). Der Begriff "Dateisystem" wird in Art. 4 (6) definiert und meint "jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird".
Der Zweck des Datenschutzes besteht darin, die unbefangene und unbesorgte Teilnahme der Person am gesellschaftlichen Leben zu ermöglichen, indem die Verwendung personenbezogener Daten durch Stellen geregelt wird, die die Person ggf. daran hindern, ihre Meinung zu äußern und aktiv - z. B. durch die Verbreitung politischer Meinungen oder wirtschaftliche Aktivitäten - am gesellschaftlichen Leben teilzunehmen. Solche "behindernden Stellen" können öffentliche Ämter, Auskunfteien oder Arbeitgeber sein.
In Räumen, in denen solche Risiken nicht bestehen - unter Familienmitgliedern, Freunden oder sogar engen Kollegen - gilt die DSGVO nicht, wenn die Verarbeitung personenbezogener Daten "durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten" erfolgt (Art. 2 (2) (c)). Folglich muss Datenschutzrecht nicht beachtet werden, solange Freunde, Familienmitglieder (oder andere intime Gesprächspartner) die Informationen geheim halten. Wird der intime Gesprächskreis von einem oder mehreren Kommunikationspartnern dagegen durchbrochen und werden die Informationen an Dritte weitergegeben, gilt wieder die DSGVO.
Gemäß Art. 4 (1) DSGVO wird als identifizierbar "eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".
Im Gesetzestext wird der Name der Person nur als ein Beispiel für einen "Identifikator" genannt. Folglich ist nicht nur der Name, sondern alles, was zur Individualisierung einer Person beiträgt, als personenbezogen zu betrachten.
Darüber hinaus können Daten personenbezogen sein, auch wenn die bürgerliche Identität der Person - Name, Adresse, Geburtsdatum usw. - verborgen bleibt. Mit anderen Worten: Die Identifizierung einer Person ist keine Voraussetzung für die Annahme personenbezogener Daten; eine Individualisierung genügt. Ein prominentes Beispiel für eine Individualisierung ohne Identifizierung ist die Verfolgung von Website-Browsing-Aktivitäten mit Hilfe von Cookies, Canvas Fingerprinting oder anderen Technologien: Die gezielte Werbung auf Grundlage individueller Tracking-Profile ist ohne Kenntnis der bürgerlichen Identität der Person möglich.
Manchmal ist der Name der Person nicht nur nicht notwendig, sondern sogar nutzlos für die Individualisierung - und ist daher kein personenbezogenes Datum. Dies kann bei sehr gebräuchlichen Namen wie "Müller" oder "Meier" der Fall sein, wenn diese in einem Kontext genannt werden, in dem es unmöglich ist, sie bestimmten Personen zuzuordnen. Folglich kann nur der Kontext, in dem bestimmte Daten übermittelt werden, eine eindeutige Aussage darüber treffen, ob Daten personenbezogen sind oder nicht.
Daten sind als anonym zu betrachten, wenn sie kein Potenzial (mehr) haben, eine Person zu individualisieren.
Dies trifft in der Regel auf Statistiken zu, deren Zweck darin besteht, das Verhalten oder die Merkmale einer Gruppe, nicht aber einzelner Personen zu analysieren. Aber auch statistische Daten können personenbezogen sein, wenn die Auswahlkriterien für die Zusammensetzung der Gruppe die Identität eines Gruppenmitglieds preisgeben. Dies ist möglich, wenn bestimmte Kriterien (z. B. "weiblich" oder "älter als 60 Jahre") nur einmal in der Gruppe vorkommen. In diesem Fall erweist sich die zur Durchführung der statistischen Analyse verwendete Aggregationsmethode als unwirksam bezüglich der Anonymisierung.
Während die "Aggregationsmethode" darauf abzielt, den individuellen Charakter eines Datensatzes durch die Verbindung mit Datensätzen anderer Betroffener zu verwässern, fokussiert die "Entfernungsmethode" auf Datenelemente innerhalb eines Datensatzes: Das Entfernen von Identifikatoren wie dem Namen oder dem Geburtsdatum der Person kann zu einer "Verblassung" des Datensatzes führen. In vielen Fällen ist eine Kombination aus der Aggregations- und der Entfernungsmethode erforderlich, um erfolgreich Anonymität zu erreichen.
Eine dritte Methode, die Anonymität erzeugen kann, ist Verschlüsselung. Wie bei den beiden anderen Methoden hängt die Wirksamkeit der Verschlüsselung stark von "objektiven Faktoren, wie [den] Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, [ab], wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind" (Erwägungsgrund 26 S. 4 GDPR).
Wenn also eine Anonymisierungsmethode wie MD5 den Versuchen der Re-Identifizierung nicht standhält, muss sie von diesem Zeitpunkt an als unwirksam angesehen werden. Aus diesem Grund erfordern technische Entwicklungen wie das Aufkommen neuer Hacking-Strategien eine kontinuierliche Überprüfung, ob eine einmal gewählte Verschlüsselungsmethode noch Anonymität wahrt.
Traditionell wird die Einwilligung als ein Kernelement des Datenschutzes gesehen, da sie der Person das ausdrückliche Recht einräumt, "ja" oder "nein" zu einer Verarbeitung ihrer Daten zu sagen. Dieses absolute Recht, die Zustimmung zu einer Datenverarbeitung zu verweigern oder - aus Sicht des Unternehmens noch schlimmer - eine einmal erteilte Einwilligung zu widerrufen, ist ein Hauptgrund dafür, dass die Einwilligung für die meisten Datenverarbeitungen keine geeignete Rechtsgrundlage darstellt. Falls die betroffene Person existenziell von dem für die Verarbeitung Verantwortlichen abhängig ist, muss die Einwilligung zudem häufig als ungültig angesehen werden. Dies ist bei vielen Datenverarbeitungen im Beschäftigungskontext regelmäßig der Fall, wenn der Arbeitnehmer, objektiv gesehen, nicht in der Lage ist, freiwillig einzuwilligen.
Folglich sollte eine Einwilligung nur dann eingeholt werden, wenn die folgenden drei Voraussetzungen erfüllt sind: (1) die potenzielle Zustimmung der betroffenen Person kann ohne ausdrücklichen oder impliziten Druck als freiwillig angesehen werden, (2) die Verarbeitung ist für das Unternehmen nicht unerlässlich und (3) es ist organisatorisch und technisch machbar, betroffene Personen von der Verarbeitung auszuschließen, die entweder nicht gewillt sind zuzustimmen oder zu einem späteren Zeitpunkt ihre Einwilligung widerrufen. Diese Kriterien greifen regelmäßig z.B. bei Marketingdatenverarbeitungen.
Nur in Ausnahmefällen - insbesondere bei der Verarbeitung sensibler Daten nach Art. 9 DSGVO - muss eine Einwilligung eingeholt werden, obwohl die Datenverarbeitung für den Verantwortlichen unerlässlich ist.
Im Sinne der DSGVO erfordert eine gültige Einwilligung eine "eindeutige bestätigende Handlung" (Erwägungsgrund 32 S. 1). Darunter versteht man eine "freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich[e] [Bekundung], dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung."
Trotz der Möglichkeit einer "ungeschriebenen" Einwilligung (z. B. mündlich, siehe oben) ist eine dokumentierte Einwilligung zu empfehlen, da Art. 7 (1) DSGVO verlangt, dass der Verantwortliche in der Lage ist, die Zustimmung der Person nachzuweisen. Es sollte also kein Zweifel an ihrer positiven Einstellung zur Datenverarbeitung bestehen.
Dies setzt wiederum voraus, dass die Person sich über die wesentlichen Umstände der Verarbeitung wie den / die Zweck/e, die Datenkategorien und die Datenempfänger vollständig bewusst ist. Diese Informationen müssen in klarer und spezifischer Form erteilt werden. Gemäß Art. 13 Abs. 2 lit. c DSGVO muss die betroffene Person auch über ihr Recht informiert werden, die Einwilligung jederzeit zu widerrufen, "ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird".
Die Erteilung der Zustimmung darf gemäß Art. 7 Abs. 4 DSGVO nicht unnötig von der Erfüllung eines Vertrages abhängig gemacht werden. In ähnlicher Weise ist es unzulässig, mehrere verschiedene Zwecke in demselben Einwilligungsformular zu kombinieren, um nur eine Zustimmung für alle Zwecke auf einmal einzuholen; jeder unabhängige Zweck muss individuell und unabhängig von den anderen Zwecken bestätigungsfähig sein.
Datenschutzrechtlich ist eine Einwilligung für Marketingmaßnahmen in der Regel erforderlich, wenn die berechtigten Interessen des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO) die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Dies ist insbesondere dann der Fall, wenn die für die Marketingmaßnahme genutzten Datenkategorien als hochsensibel einzustufen sind. Letzteres ist regelmäßig der Fall bei besonderen Kategorien personenbezogener Daten (wie Gesundheitsdaten) oder standortbezogenem Marketing.
Eine risikobehaftete und daher zustimmungsbedürftige Marketingmaßnahme liegt auch vor, wenn das Profil der betroffenen Person als Marketinggrundlage dient. Ein Profil kann die Analyse und / oder Vorhersage von Aspekten der wirtschaftlichen Situation, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, des Standorts oder der Bewegungen einer Person ermöglichen (vgl. Art. 4 Nr. 4 DSGVO). Folglich bedarf es beim Website-Tracking auch dann einer Einwilligung, wenn das Tracking auf Daten über die Suchhistorie oder die gezeigten Interessen einer Person beruht, selbst wenn diese Daten als solche nicht als hochsensible einzustufen sind.
Schließlich kann sich die Sensibilität von Marketingmaßnahmen auch aus der angewandten Marketingmethode ergeben: Anders als schriftliches Marketing ist "lebendige" gesprochene Werbung (z.B. über Telefon) in der Regel als aufdringlicher zu betrachten und erfordert die vorherige Zustimmung der Person.
Laut Erwägungsgrund 47 (7) DSGVO kann "[d]ie Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung [...] als eine einem berechtigten Interesse dienende Verarbeitung [entsprechend Art. 6 (1) (f) GDPR] betrachtet werden". Diese gesetzliche Klarstellung darf jedoch nicht überbewertet werden, da das Vorliegen eines berechtigten Interesses als solches noch nicht zwangsläufig zu einem überwiegenden Interesse führt.
Nach dem für die Marketingmaßnahme als solche geltenden Wettbewerbsrecht darf die bloße Nutzung der Postanschrift des Betroffenen für Papierpostwerbung ohne dessen Einwilligung erfolgen, wenn nicht - wie in § 7 Abs. 2 Nr. 1 UWG vorgesehen - offensichtlich ist, dass der Betroffene nicht beworben werden möchte, z.B. angesichts eines Werbewiderspruch-Aufklebers am Briefkasten. Darüber hinaus kann eine Marketingmaßnahme ohne vorherige Einwilligung der Person gemäß § 7 Abs. 3 i.V.m. Art. 6 Abs. 1 lit. (f) DSGVO erfolgen, wenn (1) die E-Mail-Adresse der Person im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung von der Person erlangt wurde, (2) die Adresse für Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwendet werden soll und (3) die Person der Verwendung der Adresse nicht widersprochen hat. Wenn diese drei Bedingungen erfüllt sind, darf die Person ohne vorherige Zustimmung beworben werden, vorausgesetzt, das Recht, jederzeit zu widersprechen, wird dem Kunden zum Zeitpunkt der Datenerhebung und dann bei jeder Verwendung transparent mitgeteilt.
Abhängig von den jeweiligen Umständen der Verarbeitung hat die betroffene Person unter anderem folgende Rechte: Recht auf Auskunft (= Welche Daten verarbeiten Sie über mich?, Art. 15 DSGVO), Recht auf Berichtigung (= Sie verarbeiten unrichtige Daten über mich - bitte berichtigen Sie diese!, Art. 16 DSGVO), Recht auf Löschung (= Ich möchte, dass meine Daten gelöscht werden!, Art. 17 DSGVO), Recht auf Einschränkung (= Bitte hören Sie auf, meine Daten für operative Zwecke zu verwenden!, Art. 18 DSGVO), Recht auf Datenübertragbarkeit (= Ich möchte, dass meine Daten in einem strukturierten, gängigen und maschinenlesbaren Format extrahiert werden, um sie einem anderen Unternehmen zu übermitteln, Art. 20 DSGVO), Widerspruchsrecht (= Stoppen Sie die Verwendung meiner Daten zu Marketingzwecken oder aus anderen legitimen Gründen, Art. 21 DSGVO), Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO), Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO) und Recht auf Schadensersatz (Art. 82 DSGVO).
Alle Rechte - mit Ausnahme des Rechts auf Widerruf der Einwilligung und des Widerspruchs gegen Direktmarketing - sind beschränkt. So darf beispielsweise die Beantwortung einer Anfrage zum Auskunftsrecht gemäß Art. 15 Abs. 4 DSGVO "die Rechte und Freiheiten anderer Personen nicht beeinträchtigen". Zu den "anderen Personen" gehört auch der für die Datenverarbeitung Verantwortliche, soweit es sich um Geschäftsgeheimnisse handelt.
Obwohl das so genannte "Recht auf Vergessenwerden" oft als absolutes Recht beansprucht wird, muss es nicht erfüllt werden, wenn die Verarbeitung weiterhin zur Erfüllung eines legitimen und überwiegenden Geschäftsinteresses erforderlich ist.
Desweiteren gelten einige der Rechte, nämlich das Recht auf Datenübertragbarkeit, das Widerspruchsrecht und das Recht auf Widerruf der Einwilligung nur, wenn die jeweilige Verarbeitung auf einer bestimmten Rechtsgrundlage beruht.
Einschränkungen der oben genannten Datenschutzrechte finden sich nicht nur in der DSGVO, sondern auch im deutschen Bundesdatenschutzgesetz, §§ 34 ff.
Die medizinische Behandlung erfordert regelmäßig die Verarbeitung von Informationen über den biologischen und / oder psychischen Zustand der Patienten. Um eine adäquate und erfolgversprechende Behandlung zu gewährleisten, wird es oft notwendig sein, die gesammelten Gesundheitsdaten mit anderen Gesundheitspraktikern wie spezialisierten Ärzten oder Krankenhäusern zu teilen.
Darüber hinaus bringt die Spezialisierung der modernen Gesundheitswirtschaft die Einbindung von Dienstleistern mit sich, die den Zahlungsverkehr und / oder andere Interaktionen mit dem Patienten übernehmen.
Die zunehmende Digitalisierung, zum Teil auch ausgelöst durch modernisierte gesetzliche Regelungen, ermöglicht eine flexiblere Kommunikation mit Patienten über "Sprechstunden-Apps" oder Gesundheitsportale, die es dem Patienten ermöglichen, sensible Daten über seinen Gesundheitszustand einfach hochzuladen.
Die DSGVO betrachtet Gesundheitsdaten als besondere personenbezogene Daten, die nur unter bestimmten Voraussetzungen verarbeitet werden dürfen. Sowohl die DSGVO als auch das Bundesdatenschutzgesetz sehen Ausnahmeregelungen vor, die die Erhebung von Gesundheitsdaten zu Behandlungszwecken ermöglichen. Ärzte und andere Verantwortliche sollten jedoch sorgfältig prüfen, inwieweit die Einbindung einzelner Dienstleister – z.B. Cloud-Speicher- oder Gesundheits-App-Anbieter – datenschutzkonform ist, insbesondere wenn es um Datenübermittlungen in sogenannte unsichere Drittstaaten geht.
Eine weitere, oft unterschätzte Compliance-Pflicht ist die Information der Patienten über die Verarbeitung ihrer Daten. Diese Information muss nicht nur rechtzeitig (= vor Beginn der Verarbeitung) erfolgen, sondern auch in einer Weise, die geeignet ist, auf die potenziellen Risiken hinzuweisen, die sich aus digitalen Gesundheitslösungen wie Gesundheitstrackern oder der Übertragung von Daten über unverschlüsselte Nachrichten ergeben.
Moderne Online-Shops beinhalten viele verschiedene Datenverarbeitungen, die das Einkaufen ermöglichen und / oder für ein attraktives Einkaufserlebnis sorgen. Personenbezogene Daten werden benötigt, um Bestellungen von Kunden entgegenzunehmen und anschließend die bestellten Produkte an den / die vorgesehenen Empfänger zu liefern.
Die Anonymität des Internets verstärkt das Misstrauen zwischen potenziellen Kunden und Shopbesitzern. Folglich hat das Unternehmen ein großes Interesse daran, Produkte nur an zuverlässige und solvente Kunden zu liefern. Das Betrugsrisiko kann beim Kauf auf Rechnung durch Bonitätsprüfungen minimiert werden, die der Auftragsbestätigung vorausgehen und die Verarbeitung sensibler Finanzdaten des Kunden erfordern.
Das Einkaufserlebnis kann durch integrierte Social Plugins verbessert werden, die es dem Kunden ermöglichen, die Zahlungsfunktionen sozialer Netzwerke oder anderer Technologieunternehmen anstelle der direkt im Webshop angebotenen Zahlungsfeatures zu nutzen.
Nicht zuletzt kann die Performance des Webshops durch eine Vielzahl von Analysetools gemessen werden, die detaillierte Einblicke in die Einkaufsgewohnheiten der Kunden ermöglichen.
Die DSGVO sieht verschiedene Rechtsgrundlagen vor, die für die Verarbeitung von Kundendaten im Webshop herangezogen werden können. Händler sollten sorgfältig prüfen, ob eine durch den Webshop ausgelöste Verarbeitung aus datenschutzrechtlicher Sicht noch als notwendig für die Erbringung einer vom Kunden angeforderten Dienstleistung angesehen werden kann oder ob stattdessen die Einwilligung des Kunden eingeholt werden muss.
Da die DSGVO verlangt, dass der Verantwortliche – hier: der Shop-Betreiber – nachweisen kann, dass die betroffene Person (Kunde) eingewilligt hat, sollten entsprechende Einwilligungsformulare Teil eines übergreifenden Einwilligungsmanagementsystems sein, das die automatisierte Entgegennahme, Überprüfung und den Widerruf der Einwilligung ermöglicht. Selbst in Fällen, in denen eine Einwilligung aus Sicht der DSGVO nicht erforderlich ist, da überwiegende berechtigte Interessen des Shop-Betreibers die Datenverarbeitung ebenfalls legitimieren würden, können andere Gesetze – wie z.B. das deutsche TTDSG – eine Einwilligung verlangen.
Unabhängig von den Rechtsgrundlagen müssen Datenschutzhinweise in die Website integriert werden, die alle shopspezifischen Funktionen einschließlich der für den Kunden unsichtbaren Tracking- und Targeting-Technologien abdecken.
Mindestens zwei wichtige Ereignisse in der Beziehung zwischen Versicherung und Versicherten erfordern die Erhebung und Auswertung umfassender Datensätze.
Der Bedarf an detaillierten Informationen entsteht erstmals bei der Beantragung einer Versicherung: Der Versicherer hat ein großes Interesse daran, sowohl wirtschaftliche als auch rechtliche Pflichten zu erfüllen, die sich bei gesetzlichen Krankenversicherungen aus gesetzlichen Bestimmungen und / oder den Versicherungsbedingungen ergeben können. Die privaten Krankenversicherer müssen sicherstellen, dass sich die Risiken, die neue Versicherte in die Versicherungsgemeinschaft einbringen, in den individuellen Versicherungsbedingungen widerspiegeln, damit Neueinsteiger nicht zu einer Belastung für die Versicherungsgemeinschaft werden. Dies kann zuverlässig nur durch aussagekräftige Informationen über den Gesundheitszustand der Person gewährleistet werden.
Das Misstrauen, das sich aus den naturgemäß gegensätzlichen Interessen der (potenziellen) Versicherten und des Versicherers ergibt, verstärkt den Wunsch des Versicherers, Gesundheitsdokumente direkt von Gesundheitsfachleuten wie Ärzten oder Krankenhäusern anzufordern.
Die Einbeziehung von Dritten in die Prüfung der gesundheitlichen Situation der Person kann auch im Schadensfall als notwendig erachtet werden. Es sind verschiedene Mittel und Technologien denkbar, die es dem Versicherer ermöglichen, das Vorliegen und / oder die Schwere des vom Versicherten geltend gemachten Schadensfalls zu überprüfen.
Mehrere nationale Gesetze wie das VVG (für private Versicherer) und das SGB V (für gesetzliche Krankenversicherer) regeln die Erhebung und den Austausch personenbezogener Daten zwischen Betroffenen und Versicherern sowie zwischen Versicherern und Ärzten. Solche Gesetze gelten als Sonderregelungen gegenüber den originären Datenschutzbestimmungen der DSGVO oder dem Bundesdatenschutzgesetz, die sich auf einer abstrakteren Ebene mit der Verarbeitung von Gesundheitsdaten befassen. Wenn in Spezialvorschriften Zustimmungserfordernisse festgelegt sind, gelten in der Regel die entsprechenden Zustimmungserfordernisse/-bedingungen der DSGVO.
Folglich müssen die Versicherer bei der Beurteilung der Zulässigkeit von Datenverarbeitungen über den Versicherten die gesamte Gesetzeslandschaft berücksichtigen.
Die Vermieter-Mieter-Beziehung kann in verschiedene Phasen unterteilt werden, die alle die Verarbeitung personenbezogener Daten über den Mieter erfordern.
Es beginnt mit der Auswahl potentieller Mieter: Um die hohe Nachfrage nach Wohnraum in beliebten Wohngegenden bewältigen zu können, wünschen Vermieter nachvollziehbarer Weise eine Vorselektion aus manchmal mehreren hunderten Mietinteressierten. Je detaillierter die Informationen zum potentiellen Mieter, desto leichter die Vorselektion. Aus Sicht des Vermieters gibt es nahezu keine Information, die nicht relevant für die Vorselektion sein könnte.
Dabei sind gleichwohl manche Daten besonders entscheidend für eine ausreichend fundierte Entscheidung, wozu z.B. Informationen zum ungefähren Einkommen zählen, die Schlüsse zur finanziellen Stabilität des Mieters erlauben. Dagegen müssen Informationen zu Hoobies und Familienstatus regelmäßig nicht von entscheidender Relevanz.
Je wichtiger die Information, desto höher ist das Bedürfnis des Vermieters, die Korrektheit der Information zu überprüfen bevor der Mietvertrag einem ausgewählten Kandidaten angeboten wird. Dies erfordert regelmäßig die Einbindung von Dritten, wie etwa Auskunfteien (Bonitätsnachweis), Arbeitgebern (Gehaltsnachweis) oder aktuellen Vermietern (Mietschuldenfreiheitsbestätigung).
Ist der Mietvertrag einmal geschlossen, kann für dessen Abwicklung die Verarbeitung von Verbrauchsdaten (Heizung, Wasser) für eine korrekte Nebenkostenabrechnung erforderich sein.
The konfligierenden, oftmals gegensätzlichen, Interessen von Vermietern und (potentiellen) Mietern hinsichtlich der Verarbeitung von teils sensitiven Informationen zur finanziellen Situation des Mieters und Wohnpräferenzen erfordern regelmäßig eine Interessenabwägung.
Für eine angemessene Abwägung bedarf es einer klaren Unterscheidung zwischen "essenziellen" und "nicht-essenziellen" Bedürfnissen des Vermieters hinsichtlich der Auwahl zuverlässiger und zahlungsfähiger Mieter. Wähend es auf der einen Seite das Bedürfnis des Vermieters nach einer kriterienbasierten Auswahl Rechnung getragen werden muss, darf die Sensitivität mancher der angefragten Informationen und die aus dem Profiling potentiell resultierenden Diskriminierungsrisiken und / oder die Verwehrung existentieller Lebensbedürfnisse nicht aus dem Blick geraten.
Demgegenüber ist eine Interessenabwägung dort natürlich nicht erforderlich, wo Daten unzweifelhaft für die Abwicklung des Mietvertrags benötigt werden. Dies kann (je nach Fall) auf Kontakt- und Verbrauchsdaten zutreffen.
Steht die Gewährung eines Kredits gegenüber einer natürlichen Person zur Frage, liegt es im elementaren Interesse des Kreditinstituts, die eigene finanzielle Handlungsfähigkeit und den Einlagenschutz zu gewährleisten. Um trotz Ausfallrisiko auch höhere Kredite vergeben zu können, bedarf es einer individuellen Risikoprüfung des potentiellen Kreditnehmers.
Neben der Bonität des Antragstellers ist auch dessen Seriosität – also die Wahrscheinlichkeit eines Missbrauchs / Betrugs durch die Person – für das Kreditinstitut ein wichtiges Entscheidungskriterium. Daten zur Bonität und zur Seriosität sind äußerst sensibel, da sie potentiell eine Stigmatisierung des Betroffenen ermöglichen. Umso wichtiger ist es, dass die der Risikoprüfung oftmals zugrundeliegenden Scorewerte mittels wissenschaftlich belastbaren Berechnungsmethoden errechnet werden.
Das Finanzinstitut zieht entweder eigene Erfahrungswerte für ein Scoring heran (sog. internes Scoring) oder bedient sich einer Auskunftei, die Scorewerte ggf. automatisiert bereitstellt (sog. externes Scoring). Die dem Scoring zugrundeliegenden Negativ- oder Positivdaten sind ihrerseits oftmals höchst sensibel, weil sie über das frühere Zahlungsverhalten des potentiellen Kreditnehmers Auskunft geben und – im Falle des externen Scorings – auf Erfahrungswerten einer Vielzahl sog. einmeldender Unternehmen beruhen.
Zahlreiche branchenspezifische Vorschriften – u.a. im Kreditwesengesetz (KWG), im Wertpapierhandelsgesetz (WpHG) oder auch im Geldwäschegesetz (GWG) – ermöglichen oder verlangen die Erstellung von Bonitäts- und/ oder Seriositätsprofilen. Dabei ist teils detailliert festgeschrieben, welche einzelnen Datenkategorien für welchen Zweck verarbeitet werden dürfen / müssen und aus welchen Quellen die Daten bezogen werden dürfen. Den jeweiligen Vorschriften geht es dabei nicht immer nur um die Interessen des Finanzinstituts, sondern, wie im Falle einschlägiger Normen des Bürgerlichen Gesetzbuches (BGB), auch um den Schutz des Verbrauchers vor finanzieller Überforderung.
Ein Kreditinstitut muss somit einerseits die jeweils einschlägigen Verarbeitungserlaubnisse kennen und ggf. verpflichtende Datenverarbeitungen umsetzen. Andererseits muss das Institut sicherstellen, dass die jeweilige Profilbildung sich im jeweils zulässigen datenschutzrechtlichen Rahmen bewegt.
Sie möchten, dass wir Ihr Unternehmen bzgl. der Einhaltung relevanter Datenschutzanforderungen analysieren? Buchen Sie ein Datenschutz-Compliance-Assessment.