Grundsätze für die Verarbeitung personenbezogener Daten
16Juli
Am 25. Mai 2018 ist ein neues Datenschutzrecht in Kraft getreten. Die Datenschutzgrundverordnung der EU (DSGVO) und das neue Bundesdatenschutzgesetz lösen das bisherige Bundesdatenschutzgesetz ab. Im Datenschutzrecht gilt das sog. Prinzip des Verbotes mit Erlaubnisvorbehalt. Niemand darf daher personenbezogene Daten erheben, speichern oder weitergeben, wenn er nicht über eine ausdrückliche Einwilligung der betroffenen Person verfügt. Einwilligung ist dabei jede freiwillig, für einen bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder in einer sonstigen eindeutigen bestätigenden Handlung, mit der die Person ihr Einverständnis ausdrückt. Dies kann auch durch das Setzen eines Hakens im Internet erfolgen (opt-in). Dagegen ist das Stehenlassen eines bereits vorangehakten Kästchens nicht ausreichend (opt-out).
Personenbezogene Daten dürfen darüber hinaus verarbeitet werden, wenn dies zur Erfüllung eines Vertrages erforderlich ist, wobei hierzu auch vorvertragliche Schuldverhältnisse zählen. Wenn jemand eine Wohnung mieten möchte, kann der Vermieter oder Verwalter nach der Bonität des Interessenten fragen und diese Daten erheben und verarbeiten. Bei einem Vermietungsprozess ist jedoch zu beachten, dass stets nur diejenigen Daten erhoben werden, die zu dem jeweiligen Zeitpunkt erforderlich, so dass beispielweise die Bonität inkl. entsprechender Nachweise erfragt werden darf, wenn der Interessent auch tatsächlich in Betracht kommt.
Personenbezogene Daten dürfen auch zur Wahrung berechtigter Interessen des Verantwortlichen (Unternehmer/Vermieter) verarbeitet werden, solange die Interessen der betroffenen Person nicht entgegenstehen. Problematisch ist jedoch, dass das berechtigte Interesse ggfls. nachgewiesen werden muss. Dies kann in der Praxis schwierig sein, sodass eine andere Rechtsgrundlage (ausdrückliche Norm (z.B. GwG) Vertragsdurchführung oder Einwilligung) der sicherere Weg wäre.
Werden personenbezogene Daten bei der betroffenen Person erhoben, so muss der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten u.a. Folgendes mitteilen: Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Art. 13 DSGVO).
Durften die Daten erhoben werden, kann der Verpflichtete damit nicht machen, was er will. Die Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. Gibt ein Kaufinteressent umfangreiche persönliche Daten an, indem er vielleicht eine Bewerbermappe abgibt, um besonders vertrauenserweckend zu sein, dürfen diese Daten nicht für andere Zwecke als die Durchführung eines Mietvertrages verwendet werden. Es dürfen zudem nur die Daten gespeichert werden, die zur Durchführung des Vertrages erforderlich sind, so dass beispielsweise die Annahme einer solchen Bewerbungsmappe nicht ratsam ist.
Im Grunde genommen hat sich insoweit gegenüber der alten Rechtslage wenig verändert. Neu ist jedoch, dass der Verantwortliche zukünftig die Einhaltung der vorstehenden Grundsätze gegenüber der Behörde nachweisen muss (Rechenschaftspflicht). Konkret bedeutet dies, dass der Verantwortliche gegenüber der Behörde im Zweifel durch die Vorlage einer schriftlichen Dokumentation nachweisen kann, welche personenbezogenen Daten von Mitarbeitern oder Kunden er verarbeitet, auf welcher Rechtsgrundlage dies erfolgt, für welchen Zweck die Verarbeitung erfolgt und wie lange die Daten gespeichert werden sollen.
Die Rechenschaftspflicht macht es der Aufsichtsbehörde relativ leicht, Verstöße zu erkennen und ggfls. zu ahnden. Es wird daher dringend empfohlen, dies ggf. sauber dokumentieren zu können.
Quelle: IVD