Personenbezogene Daten im Datenschutz
Seitdem die Datenschutzgrundverordnung (DS-GVO) 2018 in Kraft getreten ist, stellen sich jene, die personenbezogene Daten verarbeiten, die Frage auf welcher Grundlage dies möglich ist. Neben den gesetzlichen Grundlagen, die die Datenverarbeitung möglich macht, gibt es auch die Einwilligung des Betroffenen. Aufgrund dieser Einwilligung ist unter bestimmten Voraussetzungen die Verarbeitung von personenbezogenen Daten rechtmäßig.
Als wichtige Rechtsgrundlage zu Verarbeitung ist die Einwilligung ein Teil des Datenschutzes. Grund genug, dass wir diese im Datenschutz-Blog noch einmal aufgreifen.
Was sind personenbezogene Daten?
Die personenbezogenen Daten sind Dreh- und Angelpunkt im Datenschutz. Bei den Maßnahmen, die gesetzlich vorgeschrieben sind, geht es in erster Linie darum, personenbezogene Daten möglichst in Form und Umfang so zu verarbeiten, dass ein größtmöglicher Schutz für den Betroffenen besteht und ihm kein Schaden durch die Verarbeitung entstehen kann.
Nach Artikel 4 Nr. 1 der DSG-VO ist der Begriff der „personenbezogenen Daten“ definiert als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Das bedeutet, dass alle Daten, die einen Rückschluss auf den Betroffenen zulassen könnten, als personenbezogene Daten angesehen werden können und somit relevant im Datenschutz sind.
Zu den personenbezogenen Daten gehören neben Namen, Geburtsdaten und anderen persönlichen Daten auch E-Mail- oder IP-Adressen und unter Umständen auch Telefonnummern und andere spezifische Daten, die der Person zuordenbar sind. Auch körperliche Merkmale wie Größe, Gewicht und auch geistige Zustände, Verbindungen und Beziehungen gehören zu den personenbezogenen Daten.
Es gibt darüber hinaus auch noch besondere Kategorien von personenbezogenen Daten, wie zum Beispiel Gesundheitsdaten, welche besonders schützenswert sind und daher besonderen Auflagen im Datenschutz unterliegen.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DSG-VO?
Wann dürfen personenbezogene Daten verarbeitet werden?
Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten. Dazu zählt jede Art von Verarbeitung, also zum Beispiel die Erhebung, Speicherung, Löschung oder Weitergabe. Die Verarbeitung ist nur dann erlaubt, wenn eine rechtliche Grundlage vorliegt. Im Datenschutz spricht man dabei von dem sogenannten Verbot mit Erlaubnisvorbehalt.
Eine der Voraussetzungen, unter der personenbezogene Daten verarbeitet werden dürfen, sind:
- Es liegt eine Einwilligung des Betroffenen vor.
- Der Betroffene ist Vertragspartner und für die Vertragserfüllung sind die personenbezogenen Daten erforderlich.
- Die Verarbeitung der personenbezogenen Daten ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich.
- Um die rechtlichen Interessen des Verantwortlichen oder eines Dritten zu wahren, müssen die personenbezogenen Daten verarbeitet werden. – Wahrung der berechtigten Interessen
Vor der Verarbeitung von personenbezogenen Daten sollte also genau geprüft werden, ob diese rechtmäßig durchgeführt werden darf.
BLOG-TIPP: WANN IST DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN ERLAUBT?
Was ist eine Einwilligung im Datenschutz?
In Artikel 4 werden die unterschiedlichen Begriffe des Datenschutzes deutlich definiert, so auch der Begriff der Einwilligung:
„11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;“ (Art. 4, 11 DSG-VO)
Die Einwilligung muss also eindeutig und unmissverständlich vom Betroffenen selbst abgeben werden und darf darüber hinaus nicht durch Zwang oder anderes erlangt werden. Er muss darüber hinaus die Möglichkeit haben, die Einwilligung nicht zu erteilen.
Was muss eine Einwilligung im Datenschutz beinhalten?
Der Betroffene kann keine Pauschaleinwilligung zur Verarbeitung geben. Die Daten dürfen nur für einen festgelegten Fall und einen bestimmten Verarbeitungszweck verarbeitet werden, für den der Betroffene seine Einwilligung gibt.
Die Einwilligung muss klar formuliert und leicht verständlich sein. Sie unterliegt einem Kopplungsverbot. Ggf. muss die Einwilligung auch in einer für den Betroffenen verständlichen Sprache formuliert sein. Es geht darum, dass der Betroffene genau weiß und einschätzen kann, zu welcher Verarbeitung er eine Einwilligung erteilt.
Der Betroffene muss darüber hinaus eine Möglichkeit des Widerrufs haben und auf dieses auch klar hingewiesen werden. Auch dieses Widerrufsrecht muss für den Betroffenen, der die Einwilligung erteilt, klar verständlich und nachvollziehbar sein.
Die Einwilligung darf nicht durch Unterlassen eines Widerspruchs automatisch erfolgen. Im Datenschutz spricht man hierbei von einer unmissverständlichen Willensbekundung. Diese kann durch eine Erklärung oder eine sonstige eindeutig bestätigende Handlung erfolgen.
BLOG-TIPP: SCHUTZ PERSONENBEZOGENER DATEN NACH DS-GVO
Einwilligungen von Kindern und von Beschäftigten
Eine Besonderheit stellt die Verarbeitung von personenbezogenen Daten dar, die Kinder betreffen. Hier müssen die Eltern die Einwilligung erteilen, was der Verantwortliche auch ausreichend überprüfen muss.
Bei Mitarbeitern muss man sich vor allem im Bereich der Freiwilligkeit mit den besonders strengen Regeln vertraut machen. Damit man sicherstellen kann, dass die Einwilligung nicht aufgrund von Druck oder aus Angst vor Problemen in der Anstellung erfolgt, kann in einem Arbeitsverhältnis nur dann davon ausgegangen werden, dass diese freiwillig erteilt wurde, wenn der Beschäftigte rechtliche oder wirtschaftliche Vorteile dadurch erhält. Darüber hinaus ist eine Einwilligung auch dann als freiwillig zu bewerten, wenn Arbeitgeber und -Nehmer ein gleich gelagertes Interesse verfolgen.
Was wenn keine oder eine fehlerhafte Einwilligung vorliegt?
Wenn die Einwilligung nicht den Vorgaben der DSG-VO standhält oder gar keine Einwilligung vorliegt, ist die Verarbeitung von personenbezogenen Daten rechtswidrig. Daher ist diese unzulässig und kann Strafen wie zum Beispiel Bußgelder nach sich ziehen.
Gerade im Bereich der Einwilligung sollte man, falls nicht schon erfolgt, den Rat eines (externen) Datenschutzbeauftragten einholen und die entsprechenden Einwilligungen bewerten lassen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.