31.01.2018 |
von Mag. Patrick Majcen
Datenschutzrecht NEU - Teil 3
![[jpegs.php?filename=%2Fvar%2Fwww%2Fmedia%2Fimage%2F2018.01.31%2F1517390104199914.gif]](https://cdn.lko.at/lko3/mmedia/image//2018.01.31/1517390104199914.gif?m=MzYzLDI0Mg%3D%3D&_=1517390166)
Handelt es sich, wie in Teil 2 dargestellt, um personenbezogene Daten die verarbeitet werden sollen, kommen folgenden Erlaubnistatbestände nach der Datenschutz-Grundverordnung in Betracht, damit diese Datenverarbeitung rechtmäßig ist. Bei jeder Datenverarbeitung ist nach den folgenden Kriterien zu prüfen, ob diese rechtmäßig ist. ( Auf die Rechtsgründe der lebenswichtigen Interessen bzw. Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt wird hier wegen mangelnder Relevanz nicht eingegangen.)
Einwilligung: Als Einwilligung gilt jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Diese Einwilligung kann schriftlich, elektronisch oder auch mündlich erfolgen, etwa auch durch Anklicken eines Kästchens auf einer Internetseite (Nutzer muss das Häkchen setzen, es darf nicht voreingestellt sein!), oder durch eine Verhaltensweise, die im jeweiligen Kontext eindeutig das Einverständnis der betroffenen Person zur Datenverarbeitung signalisiert. Darunter ist bspw. der Fall zu verstehen, wenn jemand bei der Vereinssitzung anwesend ist und anschließend den Mitgliedsbeitrag bezahlt, ohne eine "formelle" schriftliche Beitrittserklärung abgegeben zu haben. Damit signalisiert er eindeutig, dass er Mitglied sein möchte.
Tritt jemand einem Verein bei, wird durch die Beitrittserklärung eine Einwilligung zu sehen sein, dass seine Daten in der Mitgliederverwaltung erfasst werden. Durch die Beitrittserklärung zum Verein wird regelmäßig auch die Einwilligung zur Zusendung von Informationen oder Ähnlichem enthalten sein. Die Veröffentlichung der Mitgliederdaten mit einem Foto auf der Vereinshomepage wird durch Einwilligung durch Beitrittserklärung jedoch wohl eher nicht zu rechtfertigen sein, da seine Einwilligung nicht so weit zu sehen ist.
Man könnte hier argumentieren, dass die Veröffentlichung von Mitgliedern auf der Homepage zwar ohne Einwilligung erfolgt, jedoch durch ein berechtigtes Interesse des Vereins legitimiert ist, vor allem wenn es sich um Funktionäre innerhalb des Vereins handelt. Zu dem Erlaubnistatbestand des berechtigten Interesses siehe weiter unten.
Die Zusendung von Werbematerial (postalisch als auch elektronisch) durch einen Direktvermarkter an seine in der Kundendatei aufgelisteten Kunden, könnte ebenso durch eine Einwilligung legitimiert werden, oder stattdessen durch ein berechtigtes Interesse.
Diese Einwilligung kann schriftlich, elektronisch oder auch mündlich erfolgen, etwa auch durch Anklicken eines Kästchens auf einer Internetseite (Nutzer muss das Häkchen setzen, es darf nicht voreingestellt sein!), oder durch eine Verhaltensweise, die im jeweiligen Kontext eindeutig das Einverständnis der betroffenen Person zur Datenverarbeitung signalisiert. Darunter ist bspw. der Fall zu verstehen, wenn jemand bei der Vereinssitzung anwesend ist und anschließend den Mitgliedsbeitrag bezahlt, ohne eine "formelle" schriftliche Beitrittserklärung abgegeben zu haben. Damit signalisiert er eindeutig, dass er Mitglied sein möchte.
Tritt jemand einem Verein bei, wird durch die Beitrittserklärung eine Einwilligung zu sehen sein, dass seine Daten in der Mitgliederverwaltung erfasst werden. Durch die Beitrittserklärung zum Verein wird regelmäßig auch die Einwilligung zur Zusendung von Informationen oder Ähnlichem enthalten sein. Die Veröffentlichung der Mitgliederdaten mit einem Foto auf der Vereinshomepage wird durch Einwilligung durch Beitrittserklärung jedoch wohl eher nicht zu rechtfertigen sein, da seine Einwilligung nicht so weit zu sehen ist.
Man könnte hier argumentieren, dass die Veröffentlichung von Mitgliedern auf der Homepage zwar ohne Einwilligung erfolgt, jedoch durch ein berechtigtes Interesse des Vereins legitimiert ist, vor allem wenn es sich um Funktionäre innerhalb des Vereins handelt. Zu dem Erlaubnistatbestand des berechtigten Interesses siehe weiter unten.
Die Zusendung von Werbematerial (postalisch als auch elektronisch) durch einen Direktvermarkter an seine in der Kundendatei aufgelisteten Kunden, könnte ebenso durch eine Einwilligung legitimiert werden, oder stattdessen durch ein berechtigtes Interesse.
Vertragserfüllung: Übermittelt ein Käufer dem Verkäufer seine Daten, damit dieser ihm die Waren zusenden kann, ist diese Datenverarbeitung durch den Erlaubnistatbestand der Vertragserfüllung rechtmäßig. Nach Vertragserfüllung erlischt dieser Erlaubnistatbestand. Diese Daten danach weiterhin aufzubewahren, könnte jedoch notwendig sein, um Ansprüche aus dem Vertrag geltend machen bzw. abwehren zu können (Schadenersatz, Gewährleistung,..). So wird hier seitens des Verantwortlichen ein berechtigtes Interesse gegeben sein, die Belege aufzubewahren, um sich im Bedarfsfall entsprechend verteidigen zu können, falls ein Rechtsstreit droht (nachdem z.B. Schadenersatz eine dreijährige Verjährungsfrist ab Kenntnis vorsieht, wird eine Aufbewahrung von Daten, welche einer Rechtsverteidigung dienlich sein könnten, damit ein berechtigtes Interesse darstellen.
Das Erheben von Mitarbeiterdaten beispielsweise dient ebenso zur Vertragserfüllung (Dienstvertrag), genauso wie die Übermittlung dieser Daten an die Bank, damit sein Entgelt ausbezahlt wird.
Das Erheben von Mitarbeiterdaten beispielsweise dient ebenso zur Vertragserfüllung (Dienstvertrag), genauso wie die Übermittlung dieser Daten an die Bank, damit sein Entgelt ausbezahlt wird.
Erfüllung einer rechtlichen Verpflichtung: Unter diesen Erlaubnistatbestand fallen Datenverarbeitungen, mit welcher z.B. die Übermittlung von Mitarbeiterdaten an die Sozialversicherung oder das Finanzamt legitimiert werden.
Berechtigte Interessen: Dieser Erlaubnistatbestand kann eine Einwilligung ersetzen, jedoch bedarf er besonderer Rechtfertigungsgründe, die auch dem Betroffenen mitzuteilen sind (Betroffenen-Informationen wird im nächsten Teil erörtert). Um bestimmte Datenverarbeitungen zu rechtfertigen (z.B. das Nichtlöschen von Daten nach eigentlich erfülltem Zweck oder das Weiterverwenden), ist vom Verantwortlichen der Datenverarbeitung eine Interessenabwägung vorzunehmen.
Zu fragen ist hierbei: Warum sind meine Interessen zur Datenverarbeitung mindestens gleich zu gewichten, wie die Geheimhaltungsinteressen der betroffenen Person. Das Durchsetzen von Rechtsansprüchen, Marktforschung, Mitgliederverwaltung in einer Unternehmensgruppe oder Direktwerbung könnten hier ein berechtigtes Interesse darstellen. Direktwerbung kann z.B. für Direktvermarkter interessant sein, wenn Kundendaten, welche zur Erfüllung eines Vertrages erhoben wurden, nun dazu weiterverwendet werden.
Handelt es sich bei den Kundendaten um solche, welche
Jede Datenverarbeitung ist nach diesen eben genannten Gesichtspunkten zu prüfen. Gibt es mehrere Datenbanken und ist z.B. die Vertragserfüllung damit ausreichend, dass der Kunde in nur einer Datenbank aufscheint, dann gibt es für das Speichern in anderen Datenbanken wahrscheinlich keine Rechtfertigung. Oftmals wird es auch nicht notwendig sein, dass die gesamten Datensätze in der ursprünglich erhobenen Form gespeichert werden. Nach Ausscheiden eines Mitarbeiters, dürfen für spätere Abrechnungszwecke oder Rechtsstreitigkeiten die notwendigen Daten nach oben dargestellten Maßstäben wohl erhalten bleiben. Es ist aber nicht notwendig, dass sich dieser Mitarbeiter in jeder meiner Datenbanken nach Ausscheiden wiederfindet und so wird es auch nicht notwendig sein, dass sein gesamter Datensatz für diese Zwecke erhalten bleibt.
Man sieht ganz deutlich, die Datenschutz-Grundverordnung möchte hier bestimmte Grundsätze eingehalten sehen. Nur so viel als notwendig, nur für bestimmte Zwecke, nur so lange als unbedingt notwendig und wenn dann bitte richtig verarbeitet und transparent für denjenigen, den es betrifft. Andere haben ohne besonderen Rechtsgrund keine Legitimation über mich zu wissen:
Zu fragen ist hierbei: Warum sind meine Interessen zur Datenverarbeitung mindestens gleich zu gewichten, wie die Geheimhaltungsinteressen der betroffenen Person. Das Durchsetzen von Rechtsansprüchen, Marktforschung, Mitgliederverwaltung in einer Unternehmensgruppe oder Direktwerbung könnten hier ein berechtigtes Interesse darstellen. Direktwerbung kann z.B. für Direktvermarkter interessant sein, wenn Kundendaten, welche zur Erfüllung eines Vertrages erhoben wurden, nun dazu weiterverwendet werden.
Handelt es sich bei den Kundendaten um solche, welche
- vorher zur Vertragserfüllung erhoben wurden und nun bloß zu Werbezwecken gleicher oder ähnlicher Produkte weiterverarbeitet werden sollen
- nicht um sensible Daten (Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) und sind
- angemessene Garantien zum Schutz dieser Daten vorhanden (In den nächsten Teilen der Aufsatzreihe)
Jede Datenverarbeitung ist nach diesen eben genannten Gesichtspunkten zu prüfen. Gibt es mehrere Datenbanken und ist z.B. die Vertragserfüllung damit ausreichend, dass der Kunde in nur einer Datenbank aufscheint, dann gibt es für das Speichern in anderen Datenbanken wahrscheinlich keine Rechtfertigung. Oftmals wird es auch nicht notwendig sein, dass die gesamten Datensätze in der ursprünglich erhobenen Form gespeichert werden. Nach Ausscheiden eines Mitarbeiters, dürfen für spätere Abrechnungszwecke oder Rechtsstreitigkeiten die notwendigen Daten nach oben dargestellten Maßstäben wohl erhalten bleiben. Es ist aber nicht notwendig, dass sich dieser Mitarbeiter in jeder meiner Datenbanken nach Ausscheiden wiederfindet und so wird es auch nicht notwendig sein, dass sein gesamter Datensatz für diese Zwecke erhalten bleibt.
Man sieht ganz deutlich, die Datenschutz-Grundverordnung möchte hier bestimmte Grundsätze eingehalten sehen. Nur so viel als notwendig, nur für bestimmte Zwecke, nur so lange als unbedingt notwendig und wenn dann bitte richtig verarbeitet und transparent für denjenigen, den es betrifft. Andere haben ohne besonderen Rechtsgrund keine Legitimation über mich zu wissen:
- Transparenz: Dem Betroffenen ist klar, leicht zugänglich und präzise Information zu der Datenverarbeitung zu erteilen. So wird es bspw. für den Verein notwendig sein, auf der Homepage unten neben Offenlegung/Impressum einen weiteren Punkt "Informationen zum Datenschutz" aufzunehmen, wo er über alle Verarbeitungsschritte informiert wird. Genauso beim Direktvermarkter. Nähere Informationen darüber erfolgen in den nächsten Teilen der Aufsatzreihe.
- Zweckbindungsgrundsatz: Die Daten dürfen nur für einen festgelegten, eindeutigen und legitimen Zweck verarbeitet werden. Deshalb ist auch die Weiterverarbeitung von Kundenlieferungen für Werbezwecke nicht ohne weiteres möglich, sondern bedarf der Einwilligung oder berechtigter Interessen, welche genau zu prüfen sind und in der Information darzulegen ist.
- Datenminimierung: Die Daten dürfen nur soweit erhoben werden, wie notwendig. So ist es für eine Lieferung eines Direktvermarkters beispielsweise nicht ohne weiteres notwendig, auch das Geburtsdatum des Käufers zu erheben (außer es handelt sich um Alkohol).
- Integrität und Vertraulichkeit: technisch- und organisatorische Maßnahmen sind in der Art zu setzen, damit die Daten nicht verloren gehen oder in falsche Hände gelangen. Weitere Informationen dazu in den nächsten Teilen der Aufsatzreihe.
- Rechenschaftspflicht: Die Einhaltung aller dieser obengenannten Regeln, sind vom Verantwortlichen im Bedarfsfall der Behördenprüfer nachzuweisen. Dies geschieht z.B. durch das Datenverarbeitungsverzeichnis (in den nächsten Teilen der Aufsatzreihe) oder durch Vorzeigen der Einwilligungen oder der technisch organisatorischen Maßnahmen.
