Welche Daten der Datenschutz schützt

lockDatenschutz, Teil 3

Der dritte Teil unserer Datenschutz-Serie: Wir klären, zu welchen Zwecken welche Daten erhoben werden und wie lange sie aufbewahrt werden dürfen. Und: Sind unterschiedliche Datenarten auch unterschiedlich zu behandeln?

Daten, Datum, Dateien. Der Wort-Ursprung ist derselbe, und doch haben die Begriffe eine ganz unterschiedliche Bedeutung. Oder doch nicht? Worüber reden wir eigentlich, wenn wir über Datenschutz sprechen? Meint das Bundesdatenschutzgesetz BDSG oder der Datenschutzbeauftragte, den wir in unserer letzten Folge vorstellten (Der Datenschutzbeauftragte – das unbekannte Wesen!) die gleichen schützenswerten Daten, die wir als schutzwürdig erachten? Sind das wirtschaftliche Daten über das Unternehmen? Sind es die Daten über die Mitarbeiter oder eher über die Kunden? Gehören die Fotos vom letzten Urlaub auch dazu?

Es sind Daten – sogenannte personenbezogenen Daten – die eine natürliche Person eindeutig bestimmen oder eindeutig bestimmbar machen. Bei manchen Promis reicht bereits der Name und Vorname, bei den meisten anderen Menschen muss noch mindestens ein weiteres „Datum“ wie das Geburtsdatum oder auch der Wohnort, meist mit Straße dazu kommen, damit die Person bestimmbar wird. Und diese Daten müssen von jemandem außerhalb des eigenen familiären Umfelds erhoben, gespeichert oder verarbeitet werden, damit das BDSG dafür zuständig wird. Im §3 Abs. 9 BDSG sind über die oben stehende Definition hinaus noch einige Datenkategorien explizit genannt. Diese Daten sind als besonders sensibel eingestuft, und müssen nach BDSG in besonders intensiver Weise geschützt werden. Diese besonderen Arten personenbezogener Daten sind Angaben über

  • Rassische und ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder philosophische Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Gesundheit
    oder
  • Sexualleben

Dies bedeutet, dass z.B. in einem Krankenhaus weitaus höhere Anforderungen an den Datenschutz zu stellen sind als zum Beispiel in einem Handwerksbetrieb.

Im BDSG ist geregelt, was bei der Erhebung der Daten zu berücksichtigen ist, sprich: Welche Daten darf ich wie erheben? Besonders klar ist die Angelegenheit, wenn der Betroffene, also derjenige, der seine Daten zur Verfügung stellt, mir die Daten selbst gibt und dabei eindeutig (beispielsweise durch eine Einverständniserklärung mit Unterschrift) signalisiert, dass er damit einverstanden ist, dass ich sie speichere und verarbeite. Der § 4 BDSG sieht – außer dem Einverständnis des Betroffenen – nur noch die Zulässigkeit der Erhebung, Verarbeitung und Nutzung vor, wenn es ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder anordnet. Ein Beispiel dafür ist unter anderem das Meldegesetz. Die Betroffenen können nicht selbst entscheiden, ob sie sich an ihrem Wohnsitz oder bei Übernachtung in einem Hotel anmelden wollen, sondern das ist vorgeschrieben. Selbst Udo Lindenberg ist im Hamburger Hotel Atlantic Kempinski mit Sicherheit gemeldet. Und wenn es eine Pflicht zur Meldung gibt, müssen die Daten auch gespeichert und verarbeitet werden.

Wenn ich jetzt die Daten vom Betroffenen erhalten habe, darf ich dann damit tun und lassen was ich möchte? Die Antwort ist ein klares NEIN! Das Persönlichkeitsrecht des Betroffenen, nämlich selbst darüber zu entscheiden, was mit seinen Daten passiert und was nicht, bleibt beim Betroffenen und geht nicht an das datenerhebende Unternehmen über. Wenn gesetzliche Vorschriften die Datenerhebung, -verarbeitung und -Nutzung steuern, hat man zwar als Betroffener manchmal das Gefühl der Machtlosigkeit, jedoch ist auch hier ganz klar, dass die Daten nur zu dem Zweck genutzt werden dürfen, zu dem sie erhoben wurden. Deshalb ist es bei den bereits erwähnten Einverständniserklärungen sehr wichtig und auch vorgeschrieben, dass der Betroffene konkret darüber informiert wird, zu welchem Zweck ich seine Daten erhebe, wie ich sie weiterverarbeite und an wen ich sie womöglich weiterleite(n muss). Und wenn sie zu einem anderen Zweck genutzt werden, macht sich die datenerhebende Stelle strafbar.
Hat der Betroffene eine Wahlmöglichkeit – Zustimmung oder Ablehnung – muss ich als datenerhebende Stelle ihn zum Zeitpunkt der Erhebung auch über die Konsequenzen einer Ablehnung informieren. In einigen Fällen hat es wahrscheinlich keine schwerwiegenden Konsequenzen (Beispiel: die Fragestellung, ob Telefonnummer oder Email-Adresse zur Kontaktaufnahme genutzt werden dürfen), in anderen Fällen kann die Folge der Ablehnung sein, dass ein „Geschäft“ nicht zustande kommen kann. Auch hierfür gibt es Beispiele: Der Veranstalter einer Laufveranstaltung speichert die Namen, Jahrgänge und Vereinszugehörigkeit der Teilnehmer, um die Einteilung in Altersklassen und die Auswertung des Laufes mittels einer Software möglichst schnell und fehlerfrei durchführen zu können und direkt nach dem Lauf eine Ergebnisliste zur Verfügung zu haben. Dann ist es das Recht des Veranstalters, Teilnehmern den Start bei seinem Lauf zu verweigern, wenn er einer Speicherung und Nutzung seiner Daten nicht zustimmt.

Wie lange darf ich jetzt aber die Daten behalten und weiterverarbeiten, die ich einmal erhoben habe? Auch das ist sehr klar festgelegt, auch wenn man daraus nicht zu hundert Prozent klare Ableitungen machen kann: Die Daten dürfen solange aufbewahrt werden, bis der Zweck erfüllt ist, für den diese Daten erhoben wurden. Wenn der Betroffene also beispielsweise einen Vertrag unterschreibt, und dadurch seine Daten beim Vertragspartner gespeichert werden, müssen sie gelöscht werden, wenn der Vertrag erfüllt ist. Zu berücksichtigen sind selbstverständlich auch gesetzliche Aufbewahrungsfristen von Rechnungen, Steuerunterlagen, Personalakten und anderer Dokumente, so dass beispielsweise bei einem Kaufvertrag nicht alle Daten sofort vernichtet werden müssen, sobald der Kauf abgeschlossen ist.

Insgesamt spricht das BDSG von einem generellen Verbot mit Erlaubnisvorbehalt. Das heißt: Was nicht ausdrücklich erlaubt ist, ist verboten! Außerdem gibt es das Gebot der Datensparsamkeit, das unter anderem das Thema Vorratsdatenspeicherung als unzulässig darstellt.

Kontakt:

Startklar – Rose MüllerBild Rose Mueller
Bei der Kelter 5
74321 Bietigheim-Bissingen

Telefon: 07142 3392343
Fax: 07142 9669588
Mobil: 01577 3366800
E-Mail: dsb@startklar-rosemueller.de
Web: www.startklar-rosemueller.de