Datenschutz-Grundlagen

Die Verarbeitung personenbezogener Daten ist aus unserem Alltag nicht mehr wegzudenken. Gerade im digitalen Bereich bringt sie uns Vorteile: Etwa wenn wir beim genau an unsere Bedürfnisse angepasste Produkte vorgeschlagen bekommen, wenn ein Navigationssystem unseren Standort nutzt um den kürzesten Heimweg zu finden, oder wenn wir Soziale Medien nutzen – das und vieles mehr wäre ohne die Verarbeitung personenbezogener Daten nicht möglich.
Aber: Je mehr personenbezogene Daten Dritte über einen Menschen besitzen und folglich über ihn wissen, desto berechenbarer und somit auch beeinflussbar wird diese Person für sie. Ein transparenter, vertraulicher, sicherer, gewissenhafter und vor allem datenschutzkonformer Umgang mit personenbezogenen Daten ist daher Pflicht!

Ziel des Datenschutzes ist daher primär, das Recht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts der betroffenen Personen zu schützen – denn Datenschutz ist Grundrechtsschutz1. Gleichzeitig soll dieser Schutz bestmöglich mit den Interessen der Datenverarbeiter (z.B. Forschung, Öffentlichkeitsarbeit, Veranstaltungsplanung, etc.) vereinbart werden.

Der nachfolgende Beitrag soll Ihnen einen ersten Überblick über wie wichtigsten Begriffe, Inhalte und Rechtsgrundlagen des Datenschutzes geben.

Welche Rechtsgrundlagen bestehen?

Grundsätzlich gilt: Immer wenn personenbezogene Daten verarbeitet werden sollen, müssen die Regelungen des Datenschutzes beachtet werden.
Einschlägige Regelungen im Datenschutzrecht sind im Wesentlichen:

  • die Europäische Datenschutz-Grundverordnung DSGVO, die seit dem 25. Mai 2018 europaweit anwendbar ist
  • das Bundesdatenschutzgesetz (BDSG) sowie im Freistaat Bayern das Bayerische Datenschutzgesetz (BayDSG)
  • weitere sog. bereichsspezifische Gesetze (z.B. die Sozialgesetzbücher)

Was sind personenbezogene Daten?

Die DSGVO beschreibt personenbezogene Daten in Art. 4 Nr. 1 DSGVO als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, wenn die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung, oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Das sind also unter anderem:

  • Name, Geburtsdatum und -ort, Geschlecht, Alter
  • Kontaktdaten wie Anschrift, E-Mail Adresse, Telefonnummer
  • Eindeutig zugeordnete Identifikationskennzeichen wie Personalausweis-, Sozialversicherungs-, oder Matrikelnummer
  • Ebenso wie beispielsweise Kfz-Kennzeichen, IP-Adressen, Fingerabdrücke, Augenfarbe, Prüfungsergebnisse, Kontodaten, usw.

Wann liegt eine Verarbeitung vor?

Der Begriff Verarbeitung beschreibt gem. Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Wann ist die Verarbeitung personenbezogener Daten erlaubt?

Ein wichtiges Grundprinzip des Datenschutzes ist das sog. Verbot mir Erlaubnisvorbehalt2. Das bedeutet: Die Verarbeitung von personenbezogenen Daten ist grundsätzlich erstmal verboten und wird nur dann rechtmäßig, wenn3

  • sie durch eine Rechtsvorschrift ausdrücklich erlaubt oder angeordnet wird (Die Verarbeitung kann beispielsweise zulässig sein, wenn die sie notwendig ist, um lebenswichtige Interessen der betroffenen Person zu schützen, 
Art. 6 Abs. 1 S. 1 lit. d DSGVO, oder um eine Aufgabe wahrnehmen zu können, die im öffentlichen Interesse liegt, Art. 6 Abs. 1 S. 1 lit. e DSGVO) oder
  • eine Einwilligung durch die betroffene Person vorliegt

Die Einwilligung stellt für Praxisprojekte und Umfragen im Rahmen des Studiums, bei denen personenbezogene Daten verarbeitet werden sollen, den in der Regel relevanteren Fall der Legitimation dar. Weitere Informationen zur datenschutzrechtlichen Einwilligung finden Sie hier.

Welche Informationspflichten müssen erfüllt werden?

Unabhängig von der Frage, auf welcher Grundlage (ob durch Einwilligung oder andere Legitimationsform) personenbezogene Daten verarbeitet werden, müssen die in 
Art. 13 DSGVO festgelegten Informationspflichten erfüllt werden. Der betroffenen Person müssen demnach – auch wenn es sich um Foto- oder Videoaufnahmen handelt – mindestens folgende Informationen zur Verfügung gestellt werden:

  • Welche personenbezogenen Daten sollen verarbeitet werden?
  • Zu welchem Zweck sollen diese Daten verarbeitet werden?
  • Wer ist der Verantwortliche / Ansprechpartner / zuständige Datenschutzbeauftragte?
  • Werden die erhobenen Daten weitergegeben? Wenn ja: An wen? (Falls eine Übermittlung der Daten an ein Drittland oder eine internationale Organisation weitergegeben vorgesehen ist, ist dies ebenfalls ausdrücklich anzugeben)
  • Wie lange sollen die Daten gespeichert werden?
  • Hinweis auf die Betroffenenrechte: Auskunft, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Beschwerde bei der zuständigen Aufsichtsbehörde (in Bayern: Bayerisches Landesamt für Datenschutzaufsicht)
  • Hinweis auf das Recht die Einwilligung jederzeit zu widerrufen

Wenn geplant ist, die personenbezogenen Daten zu veröffentlichen, ist es im Zuge einer transparenten Kommunikation außerdem angebracht, einen Hinweis zur Tragweite der Veröffentlichung zu geben. Sollen die Fotos oder Videos beispielsweise im Internet öffentlich zugänglich gemacht werden, kann dies durch einen Hinweis auf die zeitlich und örtlich unbeschränkte Abrufbarkeit der Daten geschehen.

All diese Informationen und Hinweise müssen den betroffenen Personen gem. Art. 12 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden. Das kann entweder schriftlich oder in anderer Form (z.B. elektronisch) geschehen.

 

1) BfDI (Hrsg.): Datenschutz ist, S. 3 f., online abrufbar unter: www.bfdi.bund.de/SharedDocs/Publikationen/Faltblaetter/Datenschutz-ist.pdf, zuletzt besucht am 16. Juni 2020.

2) Bretthauer in: Specht, Louisa/Mantz, Reto (Hrsg.): Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 31, München, 2019.

3) BfDI (Hrsg): Sozialdatenschutz, S. 15 f., online abrufbar unter: www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO3.pdf, zuletzt besucht am 15. Juni 2020.