Der Schutz personenbezogener Daten ist kein neues Konzept, das erst durch die Datenschutz-Grundverordnung (DSGVO) eingeführt wurde. Durch den europäischen Vorstoß wurde der juristische Term aber auf eine neue Rechtsgrundlage gestellt und hat außerdem viel Publicity erfahren. Das ist durchaus erfreulich, leider hat der Medienrummel um die DSGVO aber auch für viel Verunsicherung gesorgt. In diesem Beitrag erläutern wir Ihnen deshalb, was personenbezogene Daten sind, was nach wie vor erlaubt ist und welche Praktiken Sie künftig besser sein lassen.
Was sind personenbezogene Daten?
Personenbezogene Daten sind gemäß Artikel 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar wird eine Person dabei nicht nur durch den Namen, sondern auch durch andere eindeutige Merkmale, insbesondere Kennziffern, wie etwa die Steuernummer oder die Martrikelnummer. Personenbezogene Daten lassen sich dabei in folgende wichtige Kategorien einteilen:
- Stammdaten (Name, Adresse, Geburtsdatum, Bankverbindung, Kontaktdaten wie Telefonnummer, E-Mail, etc.)
- Kennnummern (Steuer-Identifikationsnummer, Sozialversicherungsnummer, Ausweisnummer, Personalnummer, Mitgliedsnummer, Martrikelnummer, Kfz-Kennzeichen, etc.)
- Informationen über die wirtschaftlichen Verhältnisse (Arbeitsverhältnis/Arbeitgeber, Einkommen, Vermögen, Kredite und Kreditscoring, Grundbucheintragungen, etc.)
- physische Merkmale (Alter, Geschlecht, Körpergröße, Haarfarbe, etc.)
- Online-Daten (MAC-Adresse, IP-Adresse, genutzter Browser, Bildschirmauflösung, Standort des Rechners, etc.)
- Konsumdaten (Käufe, Bestellungen, Vormerkungen, Wunschzettel, etc.)
- Zeugnisse und andere Beurteilungen (Schul-, Ausbildungs- und Arbeitszeugnisse, Referenzen, etc.)
- Fotos und andere Abbildungen einer Person
Darüber hinaus gibt es gemäß Artikel 9 Abs. 1 DSGVO noch besondere Kategorien personenbezogener Daten, die als besonders schutzbedürftig gelten. Dazu zählen Daten, aus denen die rassische und ethnische Herkunft, die politische Meinung, die religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Besonders geschützt sind außerdem genetische und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person sowie Gesundheitsdaten und Informationen zum Sexualleben oder der sexuellen Orientierung.
Was muss bei der Verarbeitung personenbezogener Daten beachtet werden?
Die Verarbeitung, dass heißt insbesondere die Erhebung, Nutzung, Speicherung und Weitergabe personenbezogener Daten, ist gesetzlich geregelt und darf nur unter bestimmten Voraussetzungen erfolgen. Dabei wird oft vom Verbot mit Erlaubnisvorbehalt gesprochen. In einem Rechtsstaat ist normalerweise alles Erlaubt, was nicht ausdrücklich verboten ist. Bei der Verarbeitung personenbezogener Daten gilt aber der entgegengesetzte Grundsatz. Hier ist alles verboten, es sei denn, es liegt ein Erlaubnistatbestand vor. Zu den wichtigsten Erlaubnistatbeständen gehören nach Artikel 6 DSGVO
- die Zustimmung der betroffenen Person,
- ein gesetzliches Erfordernis,
- ein vertragliches Erfordernis,
- die Wahrung berechtigter Interessen
Da Daten keine Drogen sind, ist mit Einwilligung des Datenberechtigten jede Form der Datenverarbeitung erlaubt, selbst die Veröffentlichung einer Krankenakte auf Facebook ist dann kein Tabu mehr. Um Missbrauch vorzubeugen, hat der Gesetzgeber die Beweislast aber dem Datenverantwortlichen, also der natürlichen oder juristischen Person, die die Daten verarbeitet, auferlegt. Die Einwilligung darf nicht erschlichen oder erzwungen werden. Ein entsprechender Passus im Kleingedruckten reicht deshalb nicht aus.
Zu den gesetzlichen Erfordernissen gehört zum Beispiel die Übermittlung der Sozialdaten der Arbeitnehmer an die Einzugsstelle. Hier braucht es keine Einwilligung, der Mitarbeiter muss auf diesen Vorgang nicht einmal hingewiesen werden, da der Arbeitgeber davon ausgehen darf, dass die Beschäftigten die wichtigsten gesetzlichen Regelungen, die die Abwicklung von Arbeitsverträgen betreffen, kennen. Bei freien Mitarbeitern ist es dagegen nicht einmal erlaubt, die Sozialdaten überhaupt zu erheben, geschweige denn, sie an Dritte weiterzuleiten. Hier kann aber das vertragliche Erfordernis bestehen, die Adresse und die Bankverbindung zu speichern oder vor Vertragsabschluss Zeugnisse und Referenzen anzufordern. Die erhobenen Daten dürfen nur für die Abwicklung des Vertrags verwendet werden. So darf ein Onlinehändler die Telefonnummer oder die E-Mail-Adresse eines Kunden für Rückfragen zur Bestellung nutzen, nicht aber für Werbezwecke. Dafür braucht er eine gesonderte Einwilligung.
Bei der Wahrung berechtigter Interessen erfolgt eine Abwägung zwischen den Rechten des Datenverantwortlichen und den Rechten des Betroffenen. Dient die Datenverarbeitung dabei der Durchsetzung eines gesetzlichen oder vertraglichen Anspruchs, ist sie in aller Regel erlaubt. Die Daten eines säumigen Kunden dürfen an einen Anwalt oder ein Inkassobüro weitergegeben werden, soweit dies für die Durchsetzung der offenen Forderung notwendig ist. Will sich der Datenverantwortliche dagegen nur einen wirtschaftlichen oder sozialen Vorteil verschaffen, zum Beispiel durch den Verkauf einer Kundendatei, durch Versand von Werbung oder die Akquise von Anhängern in sozialen Netzwerken, dann überwiegt regelmäßig das Interesse des Betroffenen, das heißt, die Datennutzung für diese Zwecke ist verboten, sofern keine Einwilligung vorliegt.
Was passiert bei einem Verstoß?
Gemäß Artikel 82 DSGVO hat der Betroffene Anspruch auf den Ersatz des materiellen und immateriellen Schadens, der ihm entsteht, wenn der Datenverantwortliche gegen Bestimmungen der DSGVO verstößt. Erfährt zum Beispiel die gesamte Belegschaft, dass Herr Müller ein Toupet trägt, weil ein Foto für die Personalakte ohne seine ausdrückliche Einwilligung im Intranet veröffentlicht wurde, dann hat er nicht nur Anspruch auf sofortige Löschung, sondern kann auch ein Schmerzensgeld verlangen. Darüber hinaus kann er sich bei der zuständigen Aufsichtsbehörde beschweren. Diese darf seit gelten der DSGVO drakonische Sanktionen verhängen. Geregelt ist dies in Artikel 83 DSGVO, der Bußgelder bis zur Höhe von 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes als Bußgeldobergrenzen festsetzt.
Fazit
Die DSGVO hat die Grundsätze, die bei der Verarbeitung personenbezogener Daten gelten, nicht wesentlich verändert. Die Diskussion um die DSGVO hat aber sicher zu einer Sensibilisierung für dieses Thema beigetragen. Gleichzeitig wurden die Sanktionsmöglichkeiten deutlich verschärft. Jedes Unternehmen und jede gemeinnützige Organisation sollte deshalb nach Datenschutz-Schwachstellen suchen und diese zeitnah schließen. Ein Geburtstagsgruß in der Vereinszeitung, der nicht willkommen ist, kann sonst schnell teuer werden.