Datenschutzrichtlinie (DSGVO)
Generell unterscheidet die Gesetzgebung zwischen „normalen“ personenbezogenen Daten (wie Name, Adresse, Geburtsdatum, Bankdaten u.a.m.) und „sensiblen“ Daten (wie rassische oder ethische Zugehörigkeit, religiöse oder weltanschauliche Überzeugungen, Gesundheitsdaten, sexuelle Orientierung u.a.m.), deren Verarbeitung grundsätzlich untersagt ist.
Für die Verarbeitung personenbezogener Daten (das gilt für das Anlegen von Karteikarten in gleicher Weise wie für die elektronische Verarbeitung) ist eine Zustimmung der betroffenen Person unbedingt erforderlich.
- Diese Zustimmung kann schriftlich, elektronisch oder auch mündlich erfolgen, z.B. auch durch das Anklicken eines Kästchens auf einer Internetseite.
Wichtig ist, dass die Einwilligung durch eine eindeutige bestätigende Handlung erfolgt. Stillschweigen, bereits vorangekreuzte Kästchen oder Untätigkeit stellen beispielsweise keine Einwilligung dar. - Wenn die Verarbeitung mehreren Zwecken dient, ist für jeden Zweck der Verarbeitung eine gesonderte Einwilligung nötig, es sei denn die Weiterverarbeitung (z.B. Aussendung eines Marketingmails) ist mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben worden sind (z.B. Kundendaten aus einem früheren Geschäftsverhältnis), vereinbar.
- Ob (und in welchem Umfang) eine Meldung an das Datenverarbeitungsregister zu erfolgen hat, ist von der Art der Daten und ihrem Zweck abhängig.
Standardanwendungen
Um den Umgang mit den Datenschutzbestimmungen zu erleichtern, hat der Gesetzgeber Standardanwendungen geschaffen, die in den meisten Unternehmen anzutreffen sind. Standardanwendungen dienen einem bestimmten Zweck wie Rechnungswesen und Logistik, Personalverwaltung für privatrechtliche Dienstverhältnisse, Mitgliederverwaltung, Verwaltung von Benutzer*innenkennzeichen, oder auch Kund*innenbetreuung und Marketing für eigene Zwecke. Ob die eigene Datenanwendung eine Standardanwendung ist, ist von folgenden Kriterien abhängig:
- die Übereinstimmung der Zwecke,
- dass keine anderen Personenkreise erfasst werden,
- die Datenarten nicht überschritten werden,
- die Daten nur für die gesetzliche Zeitdauer gespeichert bleiben und
- die Daten an keine anderen Empfängerkreise gehen als in der jeweiligen Standardanwendung genannt.
Die Vorteile einer Standardanwendung sind:
- keine Meldung an das Datenverarbeitungsregister,
- keine Informationsverpflichtung gegenüber den Betroffenen,
- keine Protokollierung von Übermittlungen und
- Erleichterungen beim internationalen Datenverkehr.
Grundsätze bei der Verarbeitung personenbezogener Daten
Die einzuhaltenden Grundsätze bei der Verarbeitung personenbezogener Daten sind:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (die Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden),
- Zweckbindung (die Daten dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden),
- Datenminimierung (die Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein),
- Richtigkeit (die Daten müssen richtig und auf dem neuesten Stand sein, unrichtige Daten müssen gegebenenfalls gelöscht oder berichtigt werden),
- Speicherbegrenzung (die Speicherung der Daten soll auf das erforderliche Mindestmaß beschränkt bleiben), sowie
- Integrität und Vertraulichkeit (angemessene Sicherheit der Daten muss gewährleistet werden, durch z.B. technische und organisatorische Maßnahmen wie auch Zugangsbeschränkungen für Unbefugte).