Die Einführung der europäischen Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) ist schon einige Zeit her – aber noch immer gibt es Verunsicherung beim Thema Datenschutz. Es handelt sich schließlich um eine nicht ganz leicht zu überblickende Materie mit immer neuen Nachrichten über gesetzliche Neuerungen, wie die anstehende e-Privacy-Verordnung. Diese sorgen zusätzlich für Verwirrung.
In diesem Blog Artikel wird deswegen eine grundlegende Frage beantwortet: Wann dürfen personenbezogene Daten überhaupt gespeichert werden?
Was sind personenbezogene Daten?
Im Sinne von DSGVO und BDSG handelt es sich bei personenbezogenen Daten um alle Daten, die einem Menschen (der juristische Ausdruck hierfür ist die „natürliche Person“) zuzuordnen sind. Dabei handelt sich um viele verschiedene Daten, die den Menschen selbst identifizieren können, aber auch Daten, die das direkte Umfeld der Person betreffen.
Eine Person lässt sich anhand von Daten wie seinem
- Namen,
- seiner IP-Adresse,
- seiner E-Mail-Adresse,
- der Postadresse
- und weiteren Kommunikationsdaten wie einer Telefonnummer
identifizieren. Weitere schützenswerte personenbezogene Daten sind beispielsweise
- Geschlecht,
- Wohnort,
- Tarnnamen
- oder Geburtsdaten.
Wenn diese Daten oder Teile dieser Daten zusammengeführt werden, ermöglichen sie eine Identifizierung des Menschen (beispielsweise, wenn der Nickname und die IP-Adresse zusammen abgefragt werden).
Warum sind personenbezogene Daten schützenswert?
Grundsätzlich sind alle personenbezogene Daten schützenswert, weil es im Interesse jedes Einzelnen liegt, selbst entscheiden zu dürfen, wem seine Daten zur Verfügung gestellt werden.
Jeder hat schließlich ein berechtigtes Interesse daran, die eigne Privatsphäre so zu gestalten wie er es für richtig hält.
Beispiele für die Notwendigkeit, das auch scheinbar triviale Daten geschützt werden müssen, gibt es zu Hauf.
Allein am Arbeitsplatz hat jeder Arbeitnehmer ein Interesse daran, das sein Arbeitszeitkonto nur von ihm selbst und der Geschäftsführung eingesehen werden kann – und nicht von jedem Kollegen.
Zusätzlich zu den oben beschriebenen personenbezogenen Daten gibt es noch Daten, die besonders schützenswert sind. An diese Daten werden höhere Anforderungen an den Schutz und die Vertraulichkeit gestellt. Zu solchen Daten gehören beispielsweise Patientenakten oder die Unterlagen von Notaren und Anwälten über ihre Klienten.
Wann dürfen personenbezogene Daten gespeichert werden
Personenbezogene Daten dürfen grundsätzlich nur dann gespeichert werden, wenn hierfür eine gültige Rechtsgrundlage vorhanden ist. Diese kann im Wesentlichen nur auf zwei Wegen erfolgen.
1. Damit personenbezogene Daten gespeichert werden dürfen, bedarf es in den allermeisten Fällen die Zustimmung desjenigen, dessen Daten gespeichert werden sollen.
2. Die zweite Variante ist, wenn die Daten für einen Vertrag oder Verpflichtung gespeichert werden müssen, der auf Betreiben des Betroffenen zustande gekommen ist.
Weiterhin gibt es noch eine dritte und vierte Möglichkeit, die das Speichern von personenbezogenen Daten erlaubt:
3. Die dritte Rechtsgrundlage für die Speicherung personenbezogenen Daten ist, wenn lebenswichtige Interessen dieses Menschen oder einer anderen natürlichen Person auf diese Weise geschützt werden müssen.
4. Die vierte und letzte Rechtsgrundlage ist, wenn die Speicherung nötig ist, um Aufgaben im öffentlichen Interesse ausführen zu können.
Zusammengefasst lässt sich sagen, dass in den allermeisten Fällen, nur dann personenbezogene Daten gespeichert werden dürfen, wenn die ausdrückliche Zustimmung der Betroffenen vorliegt.
Wann liegt eine Zustimmung für die Speicherung der Daten vor?
Unabhängig von der Rechtsgrundlage, auf deren Grundlage die Daten gespeichert werden sollen, müssen die Betroffenen über die Speicherung, die Verwendung und die Verbreitung ihrer Daten vollständig und unmissverständlich informiert werden. Solange die Daten nicht durch eine Behörde erhoben werden, die durch ein Gesetz dazu ermächtigt worden ist (wie zum Beispiel die Polizei) muss auch die Zustimmung der Betroffenen eingeholt werden.
Diese Zustimmung muss grundsätzlich schriftlich erfolgen. Das kann beispielsweise durch ein unterschriebenes Formular erreicht werden. Wenn die Daten über das Internet erhoben und gespeichert werden sollen, ist eine physische Unterschrift natürlich weder möglich noch praktikabel. Daher gelten bei Online-Formularen andere Regelungen.
Damit Betroffene tatsächlich in die Speicherung, Verarbeitung und Verbreitung ihrer Daten einwilligen können, müssen sie nach geltender Rechtsprechung eine tatsächliche Wahl haben. Das heißt, dass keine Daten gespeichert werden dürfen, bevor die Betroffenen nicht informiert worden sind und ausdrücklich und unmissverständlich zugestimmt haben. Cookies dürfen beispielsweise erst dann gespeichert werden, wenn Betroffene dem zugestimmt haben. Das Cookie-Formular muss laut dem Urteil des EuGH dabei so voreingestellt sein, dass die Cookies standardmäßig nicht gespeichert werden.
Außerdem darf das Zustandekommen eines Vertrages durch den Anbieter nicht davon abhängig gemacht werden, ob der Betroffene auch seine Zustimmung zur Datenverarbeitung gibt. Den Betroffenen muss die Wahl bleiben, entweder nur die Daten, die zur Erfüllung des Vertrages nötig sind, zur Verfügung zu stellen – oder auch noch weitere zu anderen Zwecken.
Bei Verstößen gegen die Datenschutzbestimmungen drohen teilweise hohe Bußgelder, daher lohnt es sich für Unternehmen, Institutionen, Vereine und Webseitenbetreiber, sich regelmäßig über die geltenden Datenschutzbestimmungen zu informieren und sicherzustellen, dass die Bestimmungen eingehalten werden.
