Worauf Sie bei der Datenverarbeitung nach EU-DSGVO 2018 achten sollten ...
Wie Sie Daten erheben und verarbeiten dürfen
Für die Erhebung und Verarbeitung von personenbezogenen Daten gilt ein Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Nutzung nur dann zulässig ist, wenn eine Einwilligung oder mindestens eine andere den Vorschriften entsprechende Ausnahme vorliegt.
Diese Ausnahmen liegt vor, wenn ...
- die Verarbeitung der Erfüllung eines Vertrags dient, die entsprechenden Daten einer Vertragspartei angehören, oder erforderlich ist, da eine Vertragspartei Antrag stellt, vorvertraglich festgeschriebene Massnahmen durchzuführen.
- die Verarbeitung notwendig ist, um rechtlichen Verpflichtungen nachzukommen, denen die entsprechende Person unterliegt.
- die Verarbeitung unbedingt erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu vertreten.
- die Verarbeitung im öffentlichen Interesse liegt oder zur Erfüllung hoheitlicher Aufgaben erforderlich ist.
- die Verarbeitung zur Wahrung berechtigter Interessen der entsprechenden Person oder Dritter notwendig ist und die Grundrechte der Person nicht übersteigen. Für Behörden trifft dieser Grund nicht zu.
Zweck der Datenerhebung
Beschäftigt man sich mit der ordnungsgemässen Erhebung personenbezogener Daten, spielt auch der Begriff der Zweckbindung eine Rolle. Demnach dürfen die Daten nur für festgelegte, eindeutige und rechtmässige Zwecke erhoben werden. Unternehmen müssen also zu jeder Datenverarbeitung vorab genau definieren, welchem Zweck sie dient. Beispiel: Über einen Onlineshop werden Bestelldaten einschliesslich der E-Mail-Adresse generiert. Zweck der Datenverarbeitung wäre hier die Abwicklung der einzelnen Bestellungen, die zur Erfüllung von Verträgen insbesondere ohne explizite Einwilligung des Kunden zulässig ist. Sollen die Daten jedoch später auch zu anderen Zwecken genutzt werden, beispielsweise zum Versenden von Werbe-Mailings, wäre dazu zuvor wegen der Zweckänderung eine gesonderte Einwilligung der Betroffenen einzuholen.
Bedingungen für eine einwandfreie Einwilligung
Die DSGVO hat klare Bedingungen für eine datenschutzkonforme Einwilligung definiert. Eine Einwilligung muss demnach freiwillig erfolgen und die betroffene Person hat ein Widerrufsrecht, worauf sie bereits bei der Einwilligung hingewiesen werden muss. Darüber hinaus müssen Unternehmen das Kopplungsverbot beachten. Das bedeutet, dass die Einwilligung nicht die automatische Einwilligung eines anderen Vertrages, beispielsweise die Erbringung einer Dienstleistung, darstellen darf.
Löschung von Daten
Nach Artikel 17 der DSGVO ist der Verantwortliche dazu verpflichtet, die Daten einer betroffenen Person unverzüglich zu löschen, wenn einer der folgenden Punkte zutrifft:
- Die personenbezogenen Daten werden nicht mehr für den Erhebungszweck benötigt.
- Die betroffene Person widerruft ihre Einwilligung, die sie zuvor zur Verarbeitung der Daten gegeben hat.
- Die betroffene Person legt gegen die Verarbeitung Widerspruch ein, der sich als berechtigt herausstellt.
- Die personenbezogenen Daten wurden nicht datenschutzkonform erhoben.
- Die Löschung der Daten ist nach EU- oder Mitgliedsstaaten-Recht erforderlich.
- Die Daten wurden aufgrund der Einwilligung eines Kindes erhoben.
Viele Unternehmen müssen geschäftliche Unterlagen beispielsweise aufgrund von Nachweispflichten über einen bestimmten Zeitraum hinweg speichern. In der Regel unterscheidet man dabei zwischen sechs und zehn Jahren. Diese Frist ist vorrangig! Das bedeutet: Auch wenn eine betroffene Person das Recht auf Löschung in Anspruch nehmen möchte, muss dies abgelehnt werden. In diesem Fall tritt das Recht auf Sperrung der personenbezogenen Daten in Kraft. Alle Ausnahmen sind in Art. 17 Abs. 3 DSGVO definiert. Liegt kein Ausnahmefall vor, müssen die Daten umgehend gelöscht werden.
