- „Hiermit erkläre ich mich einverstanden, dass Sie meine Daten verarbeiten dürfen“
- „Wir möchten Sie darüber informieren, wie wir Ihre Daten verarbeiten…“
- „Bitte stimmen Sie den Datenschutzbestimmungen zu“
So oder so ähnlich: Wir bestätigen es jeden Tag – aber wissen wir denn eigentlich was es bedeutet?
Vermutlich werden wir mit keinem anderen Rechtsgebiet so häufig in unserem Alltag konfrontiert, wie mit „dem Datenschutz“. Vor rund drei Jahren trat die EU-Datenschutzgrundverordnung (DS-GVO) in Kraft. Doch worum geht es darin eigentlich? Wieso ist diese Verordnung so wichtig? Wozu dienen die langen Datenschutzinformationen und Einwilligungserklärungen, die doch keiner liest? Und was sind eigentlich unsere Rechte?
Dieser Artikel soll helfen, sich ein stückweit durch den Normen-Dschungel der Verordnung zu hangeln, sodass wir am Ende die Vorteile, die uns die DS-GVO bringt, erkennen, wie uns das Regelwerk befähigt, Herr unserer Daten zu bleiben, während die Digitalisierung täglich voranschreitet.
Die DS-GVO schützt Personen
Eigentlich ist der Begriff „Datenschutz“ etwas missverständlich; denn er schützt in erster Linie eigentlich gar keine Daten als solche, sondern er schützt Personen vor dem willkürlichen Umgang mit den Daten, die sich auf sie beziehen. Deswegen nennt man diese Daten auch „personenbezogene Daten“.
Doch wann beziehen sich Daten auf eine Person und wann spricht man somit von „personenbezogenen Daten“?
Personenbezogene Daten sind alle Daten, die eine konkrete Person bestimmen oder zumindest bestimmbar machen. Dein vollständiger Name und deine Anschrift (wenn man nicht in einem Mehrfamilienhaus wohnt) bestimmen deine Identität ohne große Umwege. Findet man hingegen deine Handynummer auf der Straße, sieht dein KFZ-Kennzeichen oder liest irgendwo deine Kontonummer, weiß man nicht sofort, welche konkrete Person dahintersteckt – dennoch machen dich diese Daten bestimmbar, denn eine Stelle (z. B. der Mobilfunkanbieter oder das Kreditinstitut) könnte herausfinden, welche konkrete Person sich dahinter verbirgt.
In der DS-GVO wird weiter von „Betroffenen“ gesprochen. Betroffener ist derjenige, dessen personenbezogene Daten verarbeitet werden, das heißt: regelmäßig auch du und ich. Derjenige, der diese Daten verarbeitet, ist der „Verantwortliche“.
„Wozu die langen Datenschutzinformationen und Einwilligungserklärungen, die doch keiner liest?“
Was versteht man eigentlich unter „Verarbeitung“?
Verarbeiten umfasst in diesem Zusammenhang alle Aktivitäten mit personenbezogenen Daten. Darunter fällt u.a. das Erheben, das Erfassen, die Speicherung sowie das Löschen der Daten.
Die DS-GVO kennt zwei Kategorien personenbezogener Daten
Unterschieden wird zwischen personenbezogenen und besonderen Kategorien personenbezogener Daten. Zu letzteren zählen u.a. Gesundheitsdaten, Daten zu Religion, Herkunft oder Weltanschauung sowie biometrische Daten, also z.B. unser Fingerabdruck.
Besondere personenbezogene Daten genießen, wie der Name es vermuten lässt, besonderen Schutz, sodass umfangreichere Anforderungen an die Verarbeitung und dessen Verantwortlichen gestellt werden.
Bei jeder einzelnen Verarbeitung personenbezogener muss der Verantwortliche folgende Grundprinzipien einhalten
Eine Verarbeitung muss auf rechtmäßige Weise erfolgen, d. h. es muss eine Rechtsgrundlage vorliegen. Diese kann unter anderem durch Einwilligung des Betroffenen, zur Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung gegeben sein. Die Verarbeitung der Daten muss ferner auf nachvollziehbare Weise, also transparent sowie nach Treu und Glauben, erfolgen.
Außerdem muss jede Datenverarbeitung zweckgebunden sein. Eine Datenverarbeitung, die von ihrem ursprünglichen Zweck abweicht, muss erneut beurteilt und entsprechend den Datenschutzgrundsätzen behandelt werden.
Es gilt auch das Prinzip der Datenminimierung – oder einfacher: „So wenige Daten wie möglich!“ Es dürfen also nur solche und nur so viele Daten verarbeitet werden wie notwendig, um den Zweck der Datenverarbeitung zu erfüllen. Vorratsdatensammlungen für Datenverarbeitungen zu einem späteren Zeitpunkt stehen nicht im Einklang mit den hier beschriebenen Datenschutzgrundsätzen.
Die durch den Verantwortlichen verarbeiteten Daten müssen richtig und auf dem neuesten Stand sein. Das heißt, er muss sie gegebenenfalls berichtigen bzw. aktualisieren.
Die Daten dürfen nur begrenzt gespeichert werden, also nur so lange wie es erforderlich ist, um den oder die Zwecke der Verarbeitung zu erfüllen.
Der Verantwortliche muss sicherstellen, dass die personenbezogenen Daten des Betroffenen in einer Weise verarbeitet werden, dass der Betroffene darauf vertrauen kann, dass seine Daten technisch und organisatorisch angemessen geschützt werden.
„Es gilt auch das Prinzip der Datenminimierung – oder einfacher: So wenige Daten wie möglich!“
Die DS-GVO verleiht den Betroffenen Rechte
Das 3. Kapitel der DS-GVO regelt die Rechte der Betroffenen. Die aus meiner Sicht wichtigsten sind hier auf einen Blick zusammengefasst:
1. Informationsrecht (Art. 13, 14 DS-GVO)
Immer dann, wenn unsere personenbezogenen Daten verarbeitet werden, muss uns der Verantwortliche hierüber informieren. Dies gilt z. B. beim Aufrufen einer Webseite, beim Onlineshopping, bei der Online-Terminvereinbarung oder im Rahmen des Arbeitsverhältnisses.
Diese Datenschutzinformationen – schon mal eine komplett gelesen?! – sind meistens ellenlang und haben das Ziel, den Betroffenen unter anderem über die folgenden Punkte zu informieren:
- Auf welcher Rechtsgrundlage findet die Verarbeitung statt?
- Wer ist der Verantwortliche?
- Wie werden die personenbezogenen Daten erhoben und verarbeitet?
- Zu welchem Zweck werden die Daten verarbeitet?
- Welche Rechte hat der Betroffene?
- An wen kann er sich im Falle einer Beschwerde wenden?
Datenschutzinformationen müssen transparent und für alle klar verständlich gestaltet sein. Grundsätzlich soll daraus eindeutig hervorgehen, was mit den personenbezogenen Daten passiert.
2. Auskunftsrecht (Art. 15 DS-GVO)
Ferner haben Betroffene im Rahmen des Auskunftsrechts die Möglichkeit, in Erfahrung zu bringen, welche personenbezogenen Daten zu welchen Zwecken an wen übermittelt werden. Meistens haben Unternehmen auf Ihrer Webseite Hinweise, wie man die Auskunft bei diesen einholen kann. Dies funktioniert erfahrungsgemäß via E-Mail oder ggf. über einen gesondert aufgeführten Link auf deren Internetseite.
Generell ist eine solche Anfrage an keine Formalien geknüpft und kann somit simpel von jedem Betroffenen verfasst werden. Große Unternehmen, insbesondere namenhafte Suchmaschinen, benutzen hierfür einen automatisierten Prozess und so erhalten Betroffene einen umfassenden Report über die Art und Weise der Verarbeitung ihrer personenbezogenen Daten. Probiere es doch mal aus!
3. Recht auf Berichtigung (Art. 16 DS-GVO)
Als Betroffener hat man das Recht auf Berichtigung/Korrektur der Daten im Falle dessen, dass die eigenen Daten nicht richtig sind. Wenn ihr z. B. bei einer Wirtschaftsauskunft einen Bonitätscheck anfragt und dort fehlerhafte Angaben ausgewiesen werden, könnte dies nachteilige Folgen für eure Bonität mit sich bringen. In solchen Fällen habt ihr das Recht auf Berichtigung falscher Daten.
4. Recht auf Löschung (Art. 17 DS-GVO)
Betroffene haben das Recht auf Löschung der eigenen Daten. Wir können also vom Verantwortlichen verlangen, unsere Daten zu löschen. Macht ein Betroffener von diesem Recht Gebrauch, müssen die entsprechenden Daten gelöscht werden, sofern keine gesetzlichen oder anderen Aufbewahrungsfristen entgegenstehen. Dies wäre bspw. im Hinblick auf Online-Bestellungen der Fall, da die entsprechenden Rechnungsdaten unter anderem für steuerliche Zwecke sechs Jahre aufbewahrt werden müssen.
„Betroffene haben das Recht auf Löschung der eigenen Daten. Wir können also vom Verantwortlichen verlangen, unsere Daten zu löschen!“
Weit entfernt und doch so nah
Der Zugang zur DS-GVO und zum Datenschutz wird für die meisten Europäer wohl eher schwierig sein. Das liegt unter anderem daran, dass die DS-GVO eine EU-Verordnung ist. In unserem Alltag ist uns nicht immer bewusst, wie viele direkte Berührungspunkte wir mit europäischen Verordnungen haben.
Nichtsdestotrotz erfüllt die DS-GVO ihren Zweck: Neben der Hülle und Fülle an Verpflichtungen und Anforderungen an die Verantwortlichen, erhalten alle Betroffenen ein Kapitel voller Rechte im Gegenzug für die Verarbeitung ihrer Daten!
Die DS-GVO hält somit die Balance zwischen der rasch voranschreitenden Digitalisierung und der Bedeutung des Schutzes von personenbezogenen Daten. Womöglich löst die DS- GVO nicht die Probleme unsere Welt, verleiht allerdings dir und mir ein wenig das Gefühl stets Herr unserer Daten zu bleiben.
JULIETTE- CYNTHIA HECKMANN
Ist Wirtschaftsjuristin mit Schwerpunkt Datenschutzrecht. Im Rahmen dessen ist sie als Datenschutzberaterin für Fresenius tätig.
Dabei wird sie immer wieder mit der Herausforderung konfrontiert, Digitalisierung und die einschlägigen Regelungen in Einklang zu bringen.
Ihr ist es wichtig, dass das Datenschutzrecht nicht als ein „Hemmnis für die Digitalisierung“, sondern als Rahmen dafür angesehen wird. Hier treffen Genauigkeit und Kreativität aufeinander!
