Die neue Datenschutzgrundverordnung (DSGVO)

Momentan „geistern“ verschiedenste Darstellungen bezüglich der neuen Regeln für den Datenschutz in Europa durch die Medien, welche die tatsächlichen gesetzlichen Gegebenheiten aber häufig falsch oder jedenfalls verzerrt darstellen.

Wir wollen dies zum Anlass nehmen, einige Punkte einmal richtig zu stellen:

Die DSGVO regelt den Umgang mit personenbezogenen Daten in der gesamten EU.
Privatpersonen sollen besser vor Datenmissbrauch geschützt werden und Unternehmen müssen deutlich mehr Sorgfalt bei der Datenverarbeitung und vor allem Transparenz beim Umgang mit den Daten walten lassen.

Nicht richtig ist allerdings, dass Unternehmen grundsätzlich eine Einwilligung brauchen, bevor sie personenbezogene Daten speichern, verarbeiten etc. dürfen.

Richtig ist hingegen, dass im Rahmen der DSGVO der Grundsatz besteht, dass Daten nur in bestimmten Fällen überhaupt gespeichert, verarbeitet etc. werden dürfen.
Einer dieser denkbaren Fälle (man spricht von Erlaubnistatbeständen) ist das Vorliegen einer Einwilligung der betroffenen Person in die Datenverarbeitung.
In der Praxis wird dieser Fall aber eher selten vorkommen.

Der praxisrelevanteste Erlaubnistatbestand besteht darin, dass man Daten verarbeiten darf, weil man dies zur Erfüllung eines Vertrages tun muss. Ein einfaches Beispiel: der Online-Händler muss selbstverständlich Name und Adresse seines Kunden speichern, weil er die Ware anderenfalls dem Kunden nicht zusenden kann. In diesem Fall ist also keine Einwilligung des Kunden bezüglich der Datenspeicherung nötig.

Ein weiterer Erlaubnistatbestand ist die Wahrnehmung berechtigter Interessen seitens der Firma, die die Daten speichern will, worunter eine Vielzahl von weiteren Fällen gefasst werden können, bei denen dann auch keine Einwilligung nötig ist. Wann ein solches berechtigtes Interesse vorliegt, ist allerdings nicht immer ganz einfach zu entscheiden.

Unabhängig davon, welcher der vorgenannten Erlaubnistatbestände einschlägig ist, muss die Person, deren Daten gespeichert werden, aber in jedem Fall über diese Speicherung informiert werden. Diese Informationspflicht wird häufig mit der nur selten tatsächlich notwendigen Einwilligung verwechselt.

Um bei obigem Beispiel zu bleiben: der Onlinehändler braucht zwar keine Einwilligung, um die Daten zu speichern, die er zur Durchführung des Vertrages benötigt. Er muss seine Kunden aber bei Auslösen der Bestellung beispielsweise auf der Internetseite darüber belehren, dass er die Daten speichert (weil er es darf), wozu er die Daten speichert, wie lange er sie speichert und welche Rechte die betroffene Person bezüglich Einsicht in die Daten, bezüglich eines Widerspruchs hiergegen etc. hat.
Diese Datenschutzerklärung muss also in jedem Fall durch das Unternehmen erfolgen, sobald es Daten erfasst, speichert etc. - ganz gleich, auf welchem Erlaubnistatbestand diese Datenverarbeitung beruht.

Im Hinblick auf die DSGVO erfolgen daher aktuell durch viele Unternehmen entsprechende E-Mail-Benachrichtigungen, in denen dann eine Datenschutzerklärung abgegeben wird.

Da auch eine Speicherung personenbezogener Daten erfolgt, sobald ein Nutzer eine Firmen-Internetseite anklickt, muss jede nicht rein private Internetseite ebenfalls eine Datenschutzerklärung enthalten, in der erläutert wird, dass beispielsweise die IP-Adresse aus technischen Gründen gespeichert werden muss, dass Cookies gesetzt werden etc.

 
stfi-neuw 2018-12-10 wid-9 drtm-bns 2018-12-10