Begriffserklärungen

Die wichtigsten Begriffe zum Thema Datenschutz

Werfen wir einen Blick auf die wichtigsten Begriffe, die für dich und das weitere Verständnis relevant sind.

Links

Entstehung der DSGVO
Dokumentation von Davin Bernet „Democracy – Im Rausch der Daten“

Rechtmäßigkeit der Verarbeitung nach DSGVO
Art. 6 DSGVO

DSGVO (auch DS-GVO)

Die DSGVO, kurz für Datenschutzgrundverordnung, ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten in der Europäischen Union sowie der Datenverkehr innerhalb des Europäischen Binnenmarktes geregelt werden soll. Gleichzeitig wirkt sich diese seit 25. Mai 2018 europaweit geltende rechtliche Grundlage natürlich auch auf den Verkehr personenbezogener Daten außerhalb der Europäischen Union aus. Die offizielle Bezeichnung lautet übrigens „(EU) 2016/679“. Im Englischen spricht man von der General Data Protection Regulation (GDPR), eine Formulierung, die dir vor allem bei englischsprachigen Websites und/oder Unternehmen öfter unterkommen wird.

Die DSGVO gilt dabei für jede Person, die regelmäßig personenbezogene Daten verarbeitet. Die Rechtsprechung zeigt, dass die DSGVO in bestimmten Fällen auch Privatmenschen einschließt, z.B. bei Fragestellungen wie Videoüberwachung, Dashcams oder dem Fotografieren von Falschparker*innen.

►►►Nützliches Wissen: Willst du dich mit der Entstehung der DSGVO tiefergehend auseinandersetzen, lohnt sich ein Blick auf die Dokumentation von Davin Bernet „Democracy – Im Rausch der Daten“, die u.a. bei der Bundeszentrale für politische Bildung kostenlos streambar ist.

Einwilligung

Gibt es eine durch die DSGVO definierte Rechtsgrundlage, entfällt der Bedarf einer Einwilligung. Gibt es diese nicht, dann bleibt (fast) nur die Einwilligung; oder die Daten gar nicht erst zu erheben.

Verantwortliche*r

Unter Verantwortlichen versteht die DSGVO diejenigen Personen, denen die Entscheidungsgewalt über die Verarbeitung personenbezogener Daten obliegt. Gleichzeitig sind das auch die Personen, die im Fall des Falles für Bußgelder, Verarbeitungsuntersagungen etc. geradestehen müssen – im Regelfall also selbständig tätige Menschen, Geschäftsführer*innen, Gesellschafter*innen oder Vorstände.

Praxisbeispiele

  • Selbständig als Einzelunternehmung: Du bist der/die Verantwortliche*r.
  • Juristische Person (z.B. GmbH, AG, Verein): In der Regel der/die Geschäftsführende bzw. die Person aus der Geschäftsführung/Vorstand etc., die das Ressort Datenschutz zugeteilt bekommt.

Wichtig: Häufig wird der/die Verantwortliche mit dem/der Datenschutzbeauftragte*n verwechselt. Ein*e Datenschutzbeauftragte*r (intern oder extern) hat lediglich beratende Aufgaben – die Verantwortung für die Verarbeitung personenbezogener Daten liegt dennoch bei der/dem Verantwortlichen.

Betroffene*r

Die Gegenpartei zu den Verantwortlichen sind die betroffenen Personen (Betroffene*r). Werden personenbezogene Daten eines Menschen gespeichert bzw. verarbeitet, dann spricht die DSGVO hier von der/dem Betroffenen.

Verarbeitungszweck

Unter Verarbeitungszweck (auch die Bezeichnung „Zweck der Verarbeitung“ ist gebräuchlich) versteht man den Grund, für den ein bestimmtes Datum verarbeitet wird. Eine E-Mailadresse, die verwendet wird, um eine Rechnung zu verschicken, hat den Zweck der Rechnungszustellung im Kontext der Auftragserfüllung und deinen rechtlichen Verpflichtungen auf eine ordnungsgemäße Buchhaltung. Natürlich kann das gleiche Datum für verschiedene Verarbeitungszwecke genutzt werden, z.B. Rechnungszustellung und Versand eines Newsletters – allerdings unterscheidet sich dann der Verarbeitungszweck.

Rechtsgrundlagen

„Rechtsgrundlage“ bzw. die „Rechtmäßigkeit der Verarbeitung“ im Kontext der Verarbeitung personenbezogener Daten lässt sich folgendermaßen zusammenfassen: Nach der DSGVO ist die Verarbeitung personenbezogener Daten schlicht verboten. Punkt. Außer es ist eine von sechs möglichen Bedingungen, sprich Rechtsgrundlagen erfüllt (Art. 6 DSGVO). Stark vereinfacht lauten diese wie folgt:

  • Art. 6 DSGVO (1) a) – die betroffene Person hat Ihre Einwilligung gegeben.
  • Art. 6 DSGVO (1) b) – Verarbeitung zur Erfüllung eines Vertrages oder zur Vertragsanbahnung.
  • Art. 6 DSGVO (1) c) – Verarbeitung zur Erfüllung rechtlicher Verpflichtungen.
  • Art. 6 DSGVO (1) d) – Verarbeitung ist erforderlich, um lebenswichtige Interessen der/des Betroffenen zu schützen.
  • Art. 6 DSGVO (1) e) – Verarbeitung ist für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich.
  • Art. 6 DSGVO (1) f) – Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich.

Die exakten Bedingungen sind im Rechtstext teils deutlich umfangreicher formuliert. Ein Blick in die entsprechenden Rechtstexte, zu finden z.B. unter dejure.org, ist durchaus sinnvoll.

Das Grundprinzip der DSGVO ist grafisch dargestellt. "Jede Verarbeitung ist verboten, es sei denn...". Die sechs Ausnahmen sind aufgeführt.
© Datenschutzhelden

Praxisbeispiele

  1. Einwilligung: Ein typisches Beispiel für eine Einwilligung ist das Abo eines Newsletters. Um den Newsletter zu versenden muss der/die Verantwortliche die E-Mailadresse der betroffenen Person speichern. Diese Verarbeitung wird auf eine Einwilligung („Ja, ich will diesen Newsletter, hier ist meine E-Mailadresse.“) gestützt.
  2. Vertragserfüllung/Vertragsanbahnung: Ein*e Kunde*in möchte ein Angebot für ein Coaching. Um das Angebot zu erstellen und zusenden zu können, werden die Kontaktdaten (und eventuell weitere Daten) der/des Betroffenen benötigt. Die Rechtsgrundlage ist über Art. 6 (1) b) abgedeckt.
  3. Rechtliche Verpflichtungen: Damit Mitarbeitende vor einer Überschreitung der maximalen Arbeitszeit geschützt werden, können Arbeitszeiten erfasst werden.
  4. Lebenswichtige Interessen: eher selten in der Anwendung. Vorstellbar etwa, wenn eine Person eine allergische Reaktion zeigt und nicht mehr ansprechbar ist. Das Durchsuchen ihrer Taschen auf einen Allergieausweis oder mögliche Anweisungen wären durch diese Rechtsgrundlage abgedeckt.
  5. Öffentliches Interesse / Öffentliche Gewalt: Das trifft vor allem für Polizei und Staat zu. Das Erheben personenbezogener Daten bei einer Führerscheinkontrolle könnte so einen Fall darstellen.
  6. Berechtigtes Interesse: Darum, wann es sich wirklich um „berechtigtes Interesse“ handelt, wird gerne gestritten. Stark zusammengefasst könnte man sagen, dass, wenn 1-5 nicht anwendbar sind, man als Verantwortliche*r abwägen kann, ob die eigenen Interessen die/der Betroffenen (v.a. in Hinblick auf Grundrechte und Grundfreiheiten) übersteigen. Man spricht in diesem Zusammenhang oft von einer Interessenabwägung. Überwiegt das berechtigte Interesse der/des Verantwortlichen die Interessen der Betroffenen, kann es eine Rechtsgrundlage darstellen.

Um Rechtsgrundlagen wird gerne gestritten. Ein einfacher Prüfansatz könnte wie folgt aussehen:

  1. Daten sollen verarbeitet werden.
  2. Lässt sich eine der Optionen aus Art. 6 (1) a) bis e) anwenden – Verarbeitung möglich.
  3. Lässt sich keine der Optionen anwenden, empfiehlt sich in jedem Fall eine Interessenabwägung.
  1. Fällt die Interessenabwägung nicht im Sinne der/des Verantwortlichen aus, sollten die Daten mit hoher Wahrscheinlichkeit nicht erhoben werden.

Ein prüfender Blick auf Art. 6 der DSGVO lohnt sich auch in diesem Fall.

Auftragsverarbeiter

Wenn es um das Thema Datenschutz geht, sind die sogenannten Auftragsverarbeitenden in fast jedem Verarbeitungskontext mit von der Partie. Mit Auftragsverarbeitenden schließen Verantwortliche Verträge und stellen damit eine quasi-mitarbeitenden Rolle für die Auftragsverarbeitenden aus. Das bedeutet, dass die Auftragsverarbeitenden durch den Vertragsschluss zur Verarbeitung personenbezogener Daten, die die/der Verantwortliche erhebt, berechtigt werden. In diesem Vertrag (sog. Vertrag zur Verarbeitung im Auftrag) werden Befugnisse, Rechte, Pflichten und Zwecke zwischen den beiden Parteien geregelt.

Die Grafik trägt den Titel "Auftragsverarbeiter, jede Ebene zählt und muss geprüft werden". Grafisch ist Folgendes dargestellt: Zu einem*r Verantwortlichem*r sind zwei Auftragsverarbeitende mit jeweils einem Strich zugeordnet. Zu jedem*r der Auftragsverarbeitenden gehören wiederum mehrere Auftragsverarbeitenden usw.
© Datenschutzhelden

Praxisbeispiel

Du (Verantwortliche*r) möchtest deine Kundinnendaten regelmäßig in einer Datenbank nach einem bestimmten Schema sortiert und eingepflegt wissen. Daher beauftragst du Dienstleistenden X mit dieser Tätigkeit. Um datenschutzrechtlich alles richtig zu machen, schließt du mit X einen Vertrag, der festhält, was X darf und was nicht, welche Verantwortlichkeiten ihm/ihr zukommen, wie die Kommunikation abzulaufen hat und was im Fall eines Datenschutzvorfalles zu tun ist – einen Vertrag zur Verarbeitung im Auftrag. Damit wird X zum/zur Auftragsverarbeitenden und darf die Daten deiner Kundinnen überhaupt erst verarbeiten.

Muster findest du z.B. hier:

  • Muster des BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit), Bfdi.bund.de
  • Formulierungshilfe des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg, Baden-wuerttemberg.datenschutz.de
  • Muster der bitkom, Bitkom.org
  • Formulierungshilfe des Bayerischen Landesamt für Datenschutzaufsicht, Lda.bayern.de

Übrigens: Viele Dienstleistenden (Hoster, Newsletter, Buchhaltungssoftware etc.), die als Leistung eigentlich immer im Verhältnis eines Auftragsverarbeitenden stehen, bieten dir bereits vorgefertigte Verträge zur Verarbeitung im Auftrag an. Eine gute Übersicht gibt es z.B. unter blogmojo.de.