Grundsätze und zentrale Begriffe des Datenschutzes

Die Grundsätze für die Verabeitung personenbezogener Daten

Gemäß Art. 5 Abs. 1 der DSGVO müssen personenbezogene Daten:

  • auf rechtmäßige Weise, nach Treu und Glauben und in einer für den Betroffenen nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz);
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung);
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung);
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Richtigkeit);
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Speicherbegrenzung);
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit). 

Die Anonymisierung und die Pseudonymisierung von personenbezogenen Daten dienen der Umsetzung der Grundsätze Datenminimierung und Speicherbegrenzung.

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben entweder überhaupt nicht mehr (= echte bzw. absolute Anonymisierung) oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft (= faktische Anonymisierung) einer Person zugeordnet werden können. Zweck der Anonymisierung ist es, die Zuordnung einer Information zu einer natürlichen Person generell und dauerhaft auszuschließen.

Dagegen wird bei einer Pseudonymisierung der Name oder ein anderes Identifikationsmerkmal durch ein Kennzeichen (=Pseudonym) ersetzt, um eine Zuordnung nur in vorher definierten Fällen zu ermöglichen. Erreicht wird dies, indem eine sog. Zuordnungsfunktion verwendet wird (z.B. eine Zuordnungstabelle); die Stelle/Person, die diese besitzt, kann den Personenbezug problemlos wieder herstellen. Der datenschutzfreundliche Effekt dieses Verfahrens tritt ein, wenn pseudonymisierte Daten an Stellen übermittelt werden, die bestimmungsgemäß keinen Zugriff auf die Zuordnungsfunktion haben.

Im Gegensatz zur Verarbeitung anonymer Daten, welche nicht in den Geltungsbereich der DSGVO fällt, handelt es sich bei dem Anonymisierungsverfahren selbst um eine Verarbeitungtätigkeit personenbezogener Daten im Sinne der DSGVO!

Die Einwilligung ist die vorherige Zustimmung einer betroffenen Person in die Verarbeitung Ihrer personenbezogener Daten.

Verarbeitungen personenbezogener Daten auf Grundlage einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO (ggf. i.V.m. Art. 9 Abs. 2 lit. a DSGVO) sind nur dann datenschutzrechtlich zulässig, wenn

  • die Einwilligungserklärung informiert erfolgt, die Betroffenen also vorab konkret über Zwecke, Mittel, Dauer etc. der Verarbeitungen sowie über ihre Rechte aufgeklärt werden (vgl. “Informationspflicht”),
  • das Ersuchen um eine Einwilligung klar ersichtlich ist, in verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache erfolgt,
  • die Einwilligung widerrufbar ist und die Betroffenen explizit auf die Widerrufsmöglichkeit hingewiesen wurden und
  • auf Freiwilligkeit beruht, worauf die Betroffenen ebenfalls explizit hingewiesen werden müssen. Im Kontext der Freiwilligkeit ist besonders zu prüfen, ob tatsächlich im konkreten Fall von einer Freiwilligkeit ausgegangen werden kann. Dies ist insbesondere dann als kritisch zu bewerten, wenn ein Abhängigkeitsverhältnis zwischen ausführender und betroffener Partei besteht (z.B. Arbeitgeber-Arbeitnehmende-Verhältnis oder Lehrperson-Studierende-Verhältnis). In der Regel wird in solchen Konstellationen unterstellt, dass eine Einwilligung nicht freiwillig erfolgt, sich die betroffene Personen vielmehr direkt oder indirekt genötigt fühlt, eine Einwilligung zu erteilen. Diese sind somit nicht rechtskräftig!

In der DSGVO findet sich keine Regelung dazu, in welcher Form eine Einwilligung einzuholen ist. Dies kann entsprechend bspw. in mündlicher oder schriftlicher Form (per E-Mail, in Papierform, via Formular etc.) aber auch durch konkludentes Verhalten erfolgen, wobei bei letzterem eine aktive Handlung der betroffenen Person erforderlich ist. Ein einfaches Unterlassen (bspw. einer Äußerung, dass etwas nicht gewollt ist) stellt keine Einwilligung im Sinne der DSGVO dar. 

Zu beachten ist allerdings, dass Art. 7 Abs. 1 DSGVO eine Nachweispflicht für das Vorliegen einer Einwilligung vorsieht. Daher ist von mündlichen Einwilligungserklärungen stets abzuraten.

Für jede Verarbeitungstätigkeit personenbezogener Daten sind entsprechende Informationen zum Datenschutz gemäß Art. 13/14 DSGVO zu erstellen, welche den Betroffenen vor Einholung der Einwilligung ausgehändigt werden und zum Zwecke des späteren Nachlesens auch bei den Betroffenen verbleiben. Ferner ist über die Rechte der Betroffenen zu informieren.

Die Pflichtinformationen enthalten:

  • die Identität des Verantwortlichen i.S.d. DSGVO,
  • den/die konkreten Zweck(e) der Datenverarbeitung,
  • die Arten der personenbezogenen Daten und ggf. deren Herkunft, sofern die Daten nicht direkt bei den betroffenen Personen erhoben werden,
  • die Speicherdauer je Datenart,
  • die Rechtsgrundlage für die Verarbeitung,
  • die Empfänger der personenbezogenen Daten sowie
  • die Hinweise auf die Rechte der betroffenen Personen gemäß Artt. 15-22 DSGVO.

Eine Vorlage für Datenschutzhinweise finden Sie unter Arbeitshilfen und Formulare (Login erforderlich).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Die Art ihrer Präsentation (z. B. als Bild- oder Audiodaten, digital oder analog) spielt dabei keine Rolle.

Eine natürliche Person ist bestimmt, wenn sie konkret bezeichnet ist. Wenn die Informationen (z.B. Telefonnummer, Personalausweisnummer, Matrikelnummer, KFZ-Zeichen, IP-Adresse) ausreichen, um eine konkrete Person zu identifizieren, ist sie bestimmbar. Bei der Identifizierbarkeit kommt es oft auf das vorhandene Zusatzwissen und den Verwendungszusammenhang an. So kann z.B. auch ein Studiengang ein personenbezogenes Datum sein, wenn bekannt ist, dass dieser nur von einer Person besucht wird.

Jede Information, die einer natürlichen Person konkret zugeordnet werden kann, ist ein personenbezogenes Datum.

Hervorzuheben ist, dass es keine belanglosen Daten gibt. Die Information über die Haarfarbe ist datenschutzrechtlich genauso zu behandeln wie die Anschrift einer Person. Ein höheres Schutzniveau ist aber für besondere Kategorien personenbezogener Daten vorgesehen. Darunter fallen unter anderem: rassische/ethnische Herkunft, politische Meinungen, Religionszugehörigkeit, Gewerkschaftszugehörigkeit und Angaben über die Gesundheit (Art. 9 Abs. 1 DSGVO).

Technische und organisatorische Maßnahmen (TOM) dienen dem Zweck, ein dem Risiko angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten. Hierbei sind der Stand der Technik, die Implementierungskosten und Art, Umfang, Umstände und Zwecke der Verarbeitungstätigkeiten zu berücksichtigen (Art. 32 Abs. 1 DSGVO).

Die Maßnahmen sind im Verzeichnis von Verarbeitungstätigkeiten (VVT) oder in einem separatem Sicherheitskonzept aufzuführen und zu erläutern. Hierzu gehören insbesondere:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Sicherstellung der:
    • Vertraulichkeit: Informationen über personenbezogenen Daten dürfen nur Befugten zugänglich sein (z.B. durch Verschlüsselung von Emails und Festplatten, Zugriffskontrollsysteme, Passwörter);
    • Integrität: Ist gewährleistet, wenn Daten nicht böswillig oder unbeabsichtigt verändert oder unterdrückt werden können (z.B. elektronische Signaturen, Speicher mit Fehlererkennung);
    • Verfügbarkeit: Daten müssen zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden(z.B. Sicherungskopien, gespiegelte Festplatten, Vorkehrungen bei Systemausfall);
    • Belastbarkeit der Systeme und Dienste.
  3. Authentizität: Die Herkunft der Daten muss nachvollziehbar sein (z.B. Dokumentation der Herkunft der Daten).
  4. Revisionsfähigkeit: Die einzelnen Verarbeitungsschritte müssen nachvollziehbar sein (z.B. Protokollierung von An-und Abmeldung, Zugriffe auf bestimmte Dateien).
  5. Transparenz: Eingesetzte Verfahren müssen ausreichend dokumentiert werden (z.B. VVT, Rechte-und Rollenkonzept, Handbücher).

Für jedes automatisierte Verfahren ist ein Sicherheitskonzept zu erstellen, in dem erläutert wird, in welcher Form die oben stehenden Sicherheitsziele umgesetzt werden. Der Umfang eines Sicherheitskonzeptes hängt von der Komplexität des Verfahrens und von der Schutzbedürftigkeit der Daten ab.

Als "Verarbeitung personenbezogener Daten“ (Verarbeitungstätigkeit) versteht man jeden Vorgang mit oder ohne Hilfe von automatisierten Verfahren in Zusammenhang mit personenbezogenen Daten:

  • das Erheben,
  • das Erfassen,
  • die Organisation,
  • das Ordnen,
  • die Speicherung,
  • die Anpassung oder Veränderung,
  • das Auslesen,
  • das Abfragen,
  • die Verwendung,
  • die Offenlegung durch Übermittlung,
  • Verbreitung oder eine andere Form der Bereitstellung,
  • den Abgleich,
  • die Verknüpfung,
  • die Einschränkung,
  • das Löschen oder die Vernichtung.

Auch die Anonymisierung sowie die Pseudonymisierung von personenbezogenen Daten sind Verarbeitungstätigkeiten im Sinne der DSGVO.

Mit dem Begriff der „Verschlüsselung“ bezeichnet das Datenschutzrecht bewusst kein bestimmtes technisches Verfahren, um für künftige Entwicklungen genügend Spielraum zu belassen. Verschlüsseln bedeutet, dass personenbezogene Daten mittels kryptografischer Algorithmen so verändert werden, dass die Kenntnisnahme des Inhaltes der Daten durch Unbefugte (=Personen, die nicht im Besitz des Schlüssels sind) nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

Jede Daten verarbeitende Stelle bzw. jeder Verantwortliche ist verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO).

Das Verzeichnis von Verarbeitungstätigkeiten ist die wichtigste Arbeitsgrundlage des Datenschutzmanagements. Sie

  1. dient der Überwachung der Datenverarbeitung und unterstützt die Selbstkontrolle
  2. schafft Transparenz und hilft bei der Erfüllung der Rechenschafts- und Dokumentationspflicht sowie der Auskunftspflicht.

Ein Formularvorlage finden Sie unter Arbeitshilfen und Formulare (Login erforderlich).