In der EU wurde das Datenschutzrecht so vereinheitlicht, dass alle Rechtsgeschäfte, die innerhalb der EU getätigt werden, denselben Regeln unterliegen. Diesmal erfahren Sie unter anderem, was es mit dem "Recht auf Vergessenwerden" auf sich hat.
Bei dem sogenanntn "Recht auf Vergessenwerden" handelt es sich um den Anspruch darauf, dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt. Nicht nur gegen Suchmaschinenbetreiber kann der Anspruch geltend gemacht werden, diesen kann man gegen jede Stelle geltend machen, die personenbezogene Daten verarbeitet.
Konkrete Gründe für diese Datenlöschung sind: Der Zweck für die Datenverarbeitung ist weggefallen, der Betroffene hat seine Einwilligung widerrufen, die Datenverarbeitung war unrechtmäßig. Die Löschung hat unverzüglich und nachweisbar zu erfolgen. Technisch ist das gänzliche Löschen oftmals schwierig, die nachweisliche Pseudonomysierung kann hierbei ein Lösungsweg sein.
Die Rechenschaftspflicht birgt besondere Tücken. Auf Aufforderung müssen Datenverantwortliche die Einhaltung aller Datenschutzprinzipien nachweisen können, das ist die Beweislastumkehr.
Ein effektives Datenschutzmanagement und das Dokumentieren aller gesetzten Schritte zur Einhaltung der Datenschutzanforderungen sind ein erster Schritt. Diese Dokumentationen unterstützen auch in Bezug auf die Auskunft, da es den Verantwortlichen jederzeit und unverzüglich möglich sein muss, Auskunft über die gesamten zu einer Person gespeicherten Daten geben zu können. Hierzu zählen Einträge in Datenbanken ebenso wie gespeicherte E-Mails und Login-Informationen auf der Servicewebsite.
Bei der Dokumentationspflicht kann ein Verzeichnis von Verarbeitungstätigkeiten helfen. Anleitung hierfür bieten Interessensvertretungen.
Was versteckt sich hinter den Personendaten?
Zu den Personendaten zählen alle Angaben einer Person, deren Identität durch diese Daten bestimmt bzw. bestimmbar ist. Dies können alle anagraphischen Daten sein, zudem auch E-Mail-Adressen, IP-Adressen, Sozialversicherungsnummern, Bankdaten oder KFZ-Kennzeichen, zudem auch Cookies usw. Wichtig: Dabei macht es keinen Unterschied, ob es sich um Kunden, Lieferanten, Mitarbeiter oder Bewerber handelt.
Unterscheidungen bei Datenschutz
Der Datenschutz unterscheidet zudem auch nach
besonders schützenswerten Daten und
Daten welche in die besonderen Kategorien personenbezogener Daten fallen.
Zu diesen sensiblen Daten zählen neben Gesundheitsdaten, genetische, biometrische sowie Daten, aus denen sich rassische und ethnische Herkunft, Religionszugehörigkeit, sexuelle oder weltanschauliche Orientierung und andere Aussagen über die identifizierte Person treffen lassen. (Sind Sie in einem Sportverein tätig und haben Informationen über Leistungsdaten oder Sie sind politisch engagiert, so sollte dringend ein Datenschutzbeauftragter zurate gezogen werden.)
Gibt es Unterschiede bei Speicherformen?
Alle Speicherformen sind davon betroffen, sobald Daten in einem Dateisystem gespeichert sind. Ein Dateisystem bezeichnet dabei eine strukturierte Sammlung, unabhängig ob elektronisch oder in Papierform.
Beispiele sind Kunden- bzw Mitarbeiter-Datenbanken, jegliche Form von CRM-Systemen, digitale Kontaktdaten wie z. B. Excel-Listen, Outlook-Kontakte und auch offline-Daten in sortierter Form wie beispielsweise Karteikarten.
Auch die Einwilligung unterliegt Regeln
Die DSGVO gibt in Art. 4 Abs. 11 detaillierte Regelungen zu Einwilligungserklärungen der personenbezogenen Daten vor. Insbesondere wird bei der Einwilligung betont, dass dies eine freiwillige „unmissverständlich abgegebene Willensbekundung“, bzw. „eine eindeutig bestätigende Handlung“ sein muss (Opt-In). Ein bereits angekreuztes Kästchen (Opt-Out) beispielsweise ist nicht zulässig.
Ein besonderes Augenmerk muss zukünftig auch auf der Formulierung der Einwilligung liegen, da diese „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen muss.
Dies bedeutet zudem, dass kritisch geprüft werden muss, ob die vorliegenden Einwilligungserklärungen noch den neuen Anforderungen entsprechen. Im Besonderen sind Newsletter-Zusendungen betroffen, bei diesen ist die eindeutige Zustimmung (Opt-In) ehestmöglich einzuholen und zwecks Nachweisbarkeit zu dokumentieren.
Der Empfänger behält dabei das Widerrufsrecht (Opt-Out) mit Wirkung in die Zukunft. Dabei zu beachten ist, den Verbreitungszweck aufzuführen, eine Einwilligung ist immer zweckgebunden und keine Generaleinwilligung.
Der Autor: Harald Hochstaffl war von 2010 bis 2016 GF des Softwarehauses 3E und zudem verantwortlich für das Stammdatenmanagement. - Harald Hochstaffel
Tipp der Redaktion: Lesen Sie im dritten Teil der Serie im nächsten GLASWELT Newsletter, welche Daten Sie nicht speichern sollten.
Der Autor: Harald Hochstaffl war von 2010 bis 2016 GF des Softwarehauses 3E und zudem verantwortlich für das Stammdatenmanagement.
