Datenschutz – was ist das eigentlich ?
Die ganze Datenschutz-Thematik ließ sich bisher (bis 24.05.2018) auf das sog. Volkszählungsurteil des Bundesverfassungsgerichts von 1983 zurückführen:
„Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs.1 in Verbindung mit Art. 1 Abs.1 Grundgesetz (GG) umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“
Ab dem 25.05.2018 mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) befinden wir uns jedoch im Europarecht. Hier ist die Grundlage für den Datenschutz der Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh).
Dieser Schutz des Einzelnen spiegelt sich somit auch in der EU-Datenschutz-Grundverordnung (DSGVO) wider. In Art. 1 Abs. 2 DSGVO heißt es:
„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“
Personenbezogene Daten
Das Thema Datenschutz bezieht sich also immer auf personenbezogene Daten.
Diese sind definiert in Art. 4 Nr. 1 DSGVO als:
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“
Die Definitionen können jedoch im Einzelfall schwierig sein. Grundsätzlich gilt, dass alle Informationen, über welche irgendwie ein Personenbezug hergestellt werden kann, unter den Begriff der personenbezogenen Daten fallen. Eindeutig sind beispielsweise der Name, die Telefonnummer sowie Kreditkarten- oder Personalnummern.
Bei anderen Daten stellt sich jedoch oft die Frage, inwieweit es sich noch um personenbezogene Daten handelt. Bei Daten wie einem Kfz-Kennzeichen, einer Kontonummer oder der Anschrift, handelt es sich ebenfalls um personenbezogene Daten.
Die Begründung hierfür ist eigentlich ziemlich einfach. Es lässt sich mit weiteren (ergänzenden) Daten problemlos ein Personenbezug herstellen. Im Zweifelsfall sollte zuerst immer davon ausgegangen werden, dass es sich um personenbezogene Daten handelt und die jeweiligen Datenschutzgesetze anzuwenden sind.
Was ist erlaubt?
Sobald man feststellt, dass man es mit personenbezogenen Daten zu tun hat, ist eine geplante Verarbeitung dieser Daten erst einmal nicht zulässig. Man spricht hier von einem Verbot mit Erlaubnisvorbehalt. Was heißt das schon wieder?
Eine Verarbeitung personenbezogener Daten ist (wie bereits erwähnt) grundsätzlich verboten. Es sei denn, es gibt eine spezielle Erlaubnis zur Verarbeitung.
In der aktuellen Fassung der DSGVO sind in Art. 6 die Erlaubnistatbestände einer Verarbeitung genannt:
- Einwilligung (Art.6 Abs.1 lit. a DSGVO)
- aufgrund eines Vertrags (Art.6 Abs.1 lit. b DSGVO)
- aufgrund einer rechtlichen Verpflichtung (Art.6 Abs.1 lit. c DSGVO)
- Schutz lebenswichtiger Interessen (Art.6 Abs.1 lit. d DSGVO)
- öffentliches Interesse (Art.6 Abs.1 lit. e DSGVO)
- berechtigtes Interesse (Art.6 Abs.1 lit. f DSGVO)
Die Voraussetzungen in Art.6 DSGVO sollten jedoch immer gründlich geprüft werden, da die jeweiligen Alternativen an bestimmte Kriterien gebunden sind. Ein geschulter Datenschutzbeauftragter kann hier sicherlich wertvolle Hilfestellung leisten.
Die Begründung für die gewählte Zulässigkeitsvoraussetzung sollte in Hinblick auf Art. 5 Abs. 2 DSGVO sorgfältig dokumentiert werden.