HCLC LEGAL BLOG

Unter welchen Bedingungen dürfen Unternehmen meine Daten verarbeiten?

Datum

Jennifer Hammer

Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 gelten neue Regeln über die Zulässigkeit einer Verarbeitung personenbezogener Daten. Wann sind jedoch Daten überhaupt „personenbezogen“? Was genau dürfen Unternehmen? Und welche Rechte haben Verbraucher?

Begriffserklärungen und Bedingungen einer Datenverarbeitung

Wann werden personenbezogene Daten in einem datenschutzrechtlich relevanten Sinne „verarbeitet“?

Eine Verarbeitung personenbezogener Daten findet bei so ziemlich jedem erdenklichen Umgang mit diesen statt: jedem automatisierten oder (bei zumindest angestrebter Speicherung in einem Dateisystem) nicht-automatisierten Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitigen Bereitstellen, Abgleichen oder Verknüpfen, Einschränken, Löschen oder Vernichten von Daten (vgl. Art. 4 Nr. 2 DSGVO). Ein Dateisystem ist schon jede irgendwie strukturierte, nach bestimmten Kriterien zugängliche und auswertungsfähige Sammlung von personenbezogenen Daten (vgl. Art. 4 Nr. 6 DSGVO).

Welche Daten sind „personenbezogen“?

Personenbezogene Daten sind solche, die sich auf eine identifizierbare Person beziehen (vgl. Art. 4 Nr. 1 DSGVO). Dazu muss nicht zwingend der Name einer Person vorliegen. Vielmehr genügt es, wenn eine Identifizierung der Person über die Verbindung mit anderen Informationen möglich ist. So können auch etwa die IP-Adresse oder das Kfz-Kennzeichen einen Personenbezug aufweisen.

Wann Unternehmen Daten verarbeiten dürfen

Damit eine Datenverarbeitung rechtmäßig ist, muss das verarbeitende Unternehmen diese auf eine Rechtsgrundlage stützen können. Mögliche Anknüpfungspunkte für eine rechtmäßige Datenverarbeitung sind zum Beispiel:

  • Einwilligung der betroffenen Person
    Willigt die betroffene Person in die Verarbeitung personenbezogener Daten ein, ist diese grundsätzlich rechtmäßig. Dazu muss die Einwilligung weder schriftlich noch ausdrücklich erfolgen, allerdings muss das Einverständnis unmissverständlich zum Ausdruck kommen. Dies ist etwa der Fall, wenn die betroffene Person einen Antrag stellt, dessen Bearbeitung ohne eine Verarbeitung personenbezogener Daten evident nicht möglich ist. Allerdings erstreckt sich die Einwilligung stets nur auf den bestimmten Zweck und erlischt von selbst, sobald dieser erfüllt ist. Dies gilt jedoch nur insoweit als die verarbeitende Stelle von der Erfüllung des Zwecks Kenntnis haben müsste. Eine Kenntnis des Unternehmens kann beispielsweise nicht vorausgesetzt werden, wenn ein Newsletter-Abonnent zwar insgeheim das Interesse an dessen Bezug verliert, den Newsletter aber nicht abbestellt.
  • Erfüllung eines Vertrags
    Eine Verarbeitung personenbezogener Daten kann auch zur Erfüllung eines Vertrags erforderlich sein. Als Maßstab gilt hier, ob die Erfüllung des Vertrags auch ohne die Verarbeitung noch in demselben Umfang möglich wäre. Oft geht es in solchen Fällen auch um eine Weitergabe der Daten an Dritte. So wird zum Beispiel bei einem Mietvertrag die Hausverwaltung personenbezogene Daten des Mieters an einen Elektriker oder den Ableser übermitteln müssen. Etwa die häufig erfolgende Datenverarbeitung zu Zwecken der Werbung dient jedoch nicht der Erfüllung eines bestehenden, sondern der Anbahnung eines neuen Vertrags und lässt sich daher mit dem Zweck der Vertragserfüllung nicht legitimieren.
  • Erfüllung einer rechtlichen Pflicht
    Mitunter sind Unternehmen sogar rechtlich zur Weitergabe von Kundendaten verpflichtet. Solche Pflichten können etwa in steuerrechtlichen Aufbewahrungspflichten, arbeitsrechtlichen Mitteilungspflichten an Sozialversicherungsträger und Finanzbehörden oder der Pflicht von Banken, über Geldwäsche zu informieren, bestehen.
  • Berechtigtes Interesse des Unternehmens
    Einen der wichtigsten und zugleich hinsichtlich seiner Bedingungen unschärfsten Rechtsgründe stellt die Datenverarbeitung zur Wahrung „berechtigter Interessen“ dar. Dabei werden die Interessen der betroffenen Person gegen die des Unternehmens oder auch einer dritten Partei abgewogen. Häufig möchten Unternehmen die Daten von Kunden zum Beispiel zur Optimierung ihrer Dienste durch die Erstellung von Nutzerprofilen oder die Verbesserung ihrer Algorithmen oder zur Gewinnmaximierung etwa durch Werbung verarbeiten. Stehen der Verarbeitung jedoch Grundrechte der betroffenen Person entgegen, ist eine Verarbeitung nicht rechtmäßig.

Rechte von Verbrauchern gegenüber Unternehmen

Welche Auskunftsrechte haben Verbraucher?

Betroffene Personen haben gegenüber Unternehmen ein Recht darauf, die Art und Weise, den Umfang und die Dauer sowie den Zweck der Datenverarbeitung zu erfahren. Einem Auskunftsersuchen müssen Unternehmen innerhalb eines Monats nachkommen. In besonders aufwändigen Fällen ist eine Fristverlängerung auf zwei Monate möglich.

Wie lange dürfen meine Daten aufbewahrt werden?

Grundsätzlich dürfen Daten nur so lange aufbewahrt werden, bis ihre Verarbeitung für den ursprünglichen Zweck nicht mehr erforderlich ist. Daraus ergibt sich eine direkte Pflicht von Unternehmen zur Löschung der Daten. Allerdings können dieser Löschungspflicht verschiedene gesetzliche Aufbewahrungsfristen entgegenstehen, so etwa bei Mietunterlagen, der An- oder Abmeldung bei der Krankenkasse oder auch einfachen Arbeitsunfähigkeitsbescheinigungen.

Gibt es ein Recht auf Löschung der Daten?

Die Löschung der Daten kann durch die betroffene Person unter bestimmten Bedingungen auch durch eine Anfrage ausgelöst werden. Neben einer ohne Einwilligung erfolgten Datenerhebung oder einem Wegfall der Erforderlichkeit der Daten zu dem ursprünglichen Zweck kann sich die Löschungspflicht auch aus einem Widerruf der Einwilligung zur Datenverarbeitung oder einem Widerspruch ergeben.

Kann ich eine Kopie meiner Daten verlangen?

Ja! Unternehmen sind auf Anfrage zur Bereitstellung einer Kopie der erhobenen personenbezogenen Daten verpflichtet. Die entsprechende Anfrage kann formlos gestellt werden und bedarf keiner Begründung. Zudem ist die erste Kopie der verarbeiteten Daten vom Unternehmen kostenlos bereitzustellen.

Recht auf Widerspruch gegen die Datenverarbeitung

Schließlich können Betroffene einer Datenverarbeitung aus besonderen Gründen jederzeit widersprechen. Eine Besonderheit gilt im Falle der Verarbeitung von Daten zur Nutzung für Direktwerbung: Hier ist ein Widerspruch auch ohne Begründung möglich.

Nützliche Links

Auf den Websites der Verbraucherzentrale sowie des Datenschutzbeauftragten findet ihr weiterführende Tipps und insbesondere Musterbriefe zur Geltendmachung eurer Rechte!

DIE AUTORIN

Jennifer Hammer

Jennifer ist Studierende der Rechtswissenschaft im fünften Fachsemester an der Humboldt-Universität zu Berlin und seit dem Zyklus 2018/19 Teil der HCLC.

Menü schließen