Die Datenschutz-Grundverordnung stellt klare Richtlinien zur Verarbeitung personenbezogener Daten auf

Der Datenschutz-Grundverordnung folgend müssen Verantwortliche bei der Verarbeitung personenbezogener Daten strenge Auflagen erfüllen. Betroffenenrechte stehen hierbei im Vordergrund und die potentiell hohen Bußgeld der DS-GVO halten Organisationen jeder Art dazu an, diese Rechte ernst zu nehmen.

Einwilligung in die Verarbeitung

Die Datenschutz-Grundverordnung sieht strenge Bedingungen als Voraussetzung für eine rechtmäßige Verarbeitung personenbezogener Daten. Wobei diese durch verschiedene Ausnahmen, z.B. für Behörden oder Strafverfolgung, etwas aufgelöst werden.

An erster Stelle steht die Einwilligung in die Verarbeitung für einen bestimmten Zweck bzw. bestimmte Zwecke. Eine entsprechende Einwilligungserklärung muss durch den Verantwortlichen nachgewiesen werden und sollte in jedem Falle schriftlich erfolgen. Sie muss in verständlicher Sprache verfasst sein und die Möglichkeit zum Widerruf der Erklärung bieten. Darüber hinaus müssen die Zwecke der Verarbeitung, in die eingewilligt wird, auch für die Erfüllung des Vertrags oder der Dienstleistung notwendig sein.

Eine Einwilligung kann sich in einigen Bereichen schwer bis unmöglich gestalten und führt in der bisherigen Praxis, beispielsweise bei Fotographien auf Firmenfeiern oder bei Tracking-Technologien auf Internetportalen, zu Problemen. Denn die Verarbeitung beginn als Vorgangsreihe bereits mit der Datenerhebung.

Beispiel: Tracking-Technologien. Auf praktisch allen modernen Internetportalen kommt irgend eine Form von Tracking der Besucher zum Einsatz. Selbst, wenn die Portalbetreiber jedes Tracking unterlassen, erstellen deren Hoster meist Logfiles von IP-Adressen und weiteren Merkmalen um z.B. die Performance zu tracken. IP-Adressen können als Kennung verstanden werden und zur Identifikation einer natürlichen Person führen. Man begegnet auf Webseiten dauerhaft Bannern und Pop-Ups, die auf Datenschutzerklärungen hinweisen und um eine Einwilligung bitten. Zum Zeitpunkt der Einwilligung sind aber häufig entsprechende Technologien im Hintergrund geladen – was streng genommen einen Verstoß gegen die DS-GVO darstellt.

Zweck der Verarbeitungstätigkeiten

Der Zweck einer Verarbeitung nach DS-GVO steht im Vordergrund

Der Verantwortliche muss seine Verarbeitungstätigkeiten an einen Zweck oder Zwecke knüpfen. Die Datenschutz-Grundverordnung lässt neben der Einwilligungserklärung verschiedene weitere Bedingungen für eine Rechtmäßigkeit einer Verarbeitung zu, deren Auslegung vor allem bei der Abwägung von Interessen sowie rechtlichen Verpflichtungen problematisch sein kann.

So kann eine Verarbeitung rechtmäßig sein, wenn sie:

  • für die einen Vertrag oder auch vorvertragliche Maßnahmen notwendig ist, die die betroffene Person initiiert hat,
  • lebenswichtige Interessen natürlicher Personen schützt,
  • aufgrund einer rechtlichen Verpflichtung erforderlich ist,
  • im öffentlichen Interesse liegt,
  • der Verantwortliche oder Dritten berechtigte Interessen wahren muss.

Die DS-GVO weist beim letzte Punkt auf die Notwendigkeit zur Abwägung von Interessen und Grundrechten der berechtigten Person hin. Überwiegen diese, kann eine Verarbeitung rechtswidrig sein.


Weitere lesenswerte Artikel finden sie im übergeordneten Bereich DS-GVO Basics