Die Verarbeitung personenbezogener Daten ist generell verboten, so lange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder der Betroffene in die Verarbeitung eingewilligt hat. Durch die Einwilligung des Betroffenen in die Erhebung, Verarbeitung und/oder Nutzung seiner personenbezogenen Daten, wird der Betroffene in die Lage versetzt, über sein Grundrecht zu verfügen.

Die grundsätzlichen Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligung sind in Art. 7 DSGVO festgehalten und in Erwägungsgrund 32 weiter spezifiziert. Diese muss freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben werden. Damit eine Einwilligung freiwillig ist, muss der Betroffenen eine echte Wahl haben. Zusätzlich gilt das sog. „Kopplungsverbot“. So darf ein Vertragsabschluss nicht von der Einwilligung zur Verarbeitung weiterer personenbezogener Daten abhängig gemacht werden, die für die Durchführung des Geschäftes nicht nötig sind. Zudem muss die Einwilligung an einen oder mehrere bestimmte Zwecke gebunden sein, die dann ausreichend erläutert sind. Soll die Einwilligung die Verarbeitung von besonderen personenbezogenen Daten legitimieren, muss sie sich ausdrücklich auf diese beziehen. Der Betroffene muss in allen Fällen über die Möglichkeit zum Widerruf seiner Einwilligung aufgeklärt werden. Der Widerruf muss dabei genauso leicht möglich sein, wie die Abgabe der Einwilligungserklärung selbst.

Es besteht kein Formerfordernis für die Einwilligung, auch wenn die schriftliche Einwilligung aufgrund der Rechenschaftspflichten des Verantwortlichen weiterhin zu empfehlen ist. Sie kann daher auch in elektronischer Form erfolgen. Dabei ist zu beachten, dass laut Erwägungsgrund 32 eine Einwilligung nur durch eine eindeutige Handlung zustande kommen soll. Dies lässt auf das Erfordernis eines Opt-Ins schließen. Eine Besonderheit in diesem Zusammenhang stellt die Einwilligung bei Kindern und Jugendlichen in Bezug auf Dienste der Informationsgesellschaft dar. Für unter sechzehnjährige besteht bei diesen ein zusätzliches Einwilligungs-, bzw. Zustimmungserfordernis durch die Erziehungsberechtigten. Dabei unterliegt die Altersgrenze einer Öffnungsklausel. Mitgliedstaaten können diese durch eine nationale Regelung bis auf 13 Jahre senken. Sollte sich das Angebot des Dienstes explizit nicht an Kinder richten, ist er von der Vorschrift befreit. Dies gilt aber nicht für Angebote, die sowohl Kindern als auch Erwachsenen offen stehen.
 

DSGVO  Personenbezogene Daten

Der Begriff der personenbezogenen Daten ist das Eingangstor zur Anwendung der Datenschutz-Grundverordnung und wird in Art. 4 Abs. 1 Nr. 1 definiert. Danach sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Die Betroffenen sind identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden können, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind. In der Praxis fallen darunter also sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden oder zugeordnet werden können. Beispielsweise zählen die Telefonnummer, die Kreditkarten- oder Personalnummern einer Person, die Kontodaten, ein Kfz-Kennzeichen, das Aussehen, die Kundennummer oder die Anschrift zu den personenbezogenen Daten.

Da sich in der Definition der Ausdruck „alle Informationen“ findet, ist davon auszugehen, dass der Begriff „personenbezogene Daten“ möglichst weit auszulegen ist. Dies geht auch aus der ständigen Rechtsprechung des Europäischen Gerichtshofs hervor. So fallen auch weniger eindeutige Informationen wie Aufzeichnungen über Arbeitszeiten, welche die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, in die Kategorie personenbezogene Daten. Auch die schriftlichen Antworten eines Prüflings und etwaige Anmerkungen des Prüfers zu diesen Antworten sind „personenbezogene Daten“, wenn der Prüfling theoretisch identifiziert werden kann. Selbiges gilt auch für IP-Adressen. Hat der Verarbeitende die rechtliche Möglichkeit den Provider zur Herausgabe weiterer Zusatzinformationen zu verpflichten, welche den hinter der IP-Adresse stehenden Nutzer identifizieren können, so ist diese ein personenbezogenes Datum. Zudem ist darauf zu achten, dass nicht nur objektive Informationen personenbezogen sein können. Auch subjektive Informationen wie Meinungen, Beurteilungen oder Einschätzungen können personenbezogene Daten sein. So etwa die Beurteilung der Kreditwürdigkeit einer Person oder die Einschätzung der Arbeitsleistung eines Arbeitnehmers.

Zu guter Letzt besagt das Gesetz, dass die Informationen für einen Personenbezug sich auf eine natürliche Person beziehen müssen. Das heißt im Umkehrschluss, dass der Datenschutz für Angaben über juristische Personen wie Körperschaften, Stiftungen und Anstalten nicht greift. Für natürliche Person hingegen beginnt und erlischt der Schutz mit ihrer Rechtsfähigkeit. Grundsätzlich erlangt ein Mensch diese Fähigkeit mit seiner Geburt und verliert sie mit seinem Tod. Für einen Personenbezug müssen Daten daher bestimmten oder bestimmbaren lebende Personen zuzuordnen sein.

Neben den allgemeinen personenbezogenen Daten sind vor allem die besonderen Kategorien personenbezogener Daten von hoher Relevanz, da sie ein höheres Schutzniveau genießen. Zu diesen gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen.
 

DSGVO  Recht auf Vergessenwerden

Das Recht auf Vergessenwerden erhielt durch das Google-Spain-Urteil des Europäischen Gerichtshofs (EuGH) im Jahr 2014 breite mediale Aufmerksamkeit. Nun findet sich das Recht auf Vergessenwerden erstmals kodifiziert in der Datenschutz-Grundverordnung neben dem Recht auf Löschung wieder.

Dabei regelt die entsprechend benannte Norm primär Löschpflichten. Demnach sind personenbezogene Daten unverzüglich zu löschen, sobald die Daten zum ursprünglichen Verarbeitungszweck nicht mehr notwendig sind, bzw. die betroffene Person ihre Einwilligung widerrufen hat und kein sonstiger Rechtfertigungsgrund einschlägig ist, die betroffene Person Widerspruch einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen oder die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist. Daneben sind die Daten selbstverständlich zu löschen, wenn bereits die Verarbeitung an sich unrechtmäßig war.

Der Verantwortliche unterliegt also einerseits automatisch einer gesetzlichen Löschungspflicht und muss andererseits den Löschungsbegehren der Betroffene nachkommen. Wie die Daten im Einzelfall gelöscht werden sollen, wird vom Gesetz nicht weiter beschrieben. Maßgeblich ist, dass im Ergebnis keine Möglichkeit mehr besteht, die Daten ohne unverhältnismäßigen Aufwand wahrzunehmen. Als ausreichend wird es daher angesehen, die Datenträger physisch zu zerstören oder die Daten unter Verwendung spezieller Software endgültig zu überschreiben.

Daneben findet das Recht auf Vergessenwerden Einzug in Art. 17 Abs. 2 DSGVO. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und liegt einer der oben genannten Gründe zur Löschung vor, so muss er unter Berücksichtigung der Umstände angemessene Maßnahmen treffen, die alle weiteren für die Datenverarbeitung Verantwortlichen darüber informieren, dass alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen sind.

Ein Löschantrag steht unter keinerlei Formvoraussetzungen und darf durch den Verantwortlichen auch nicht an solche geknüpft werden. Dennoch muss die Identität des Betroffenen in geeigneter Weise nachgewiesen werden. Anderenfalls kann der Verantwortliche erst noch zusätzliche Informationen anfordern oder das Löschen sogar verweigern. Liegt ein Antrag auf Löschung oder eine gesetzliche Löschpflicht vor, hat die Umsetzung unverzüglich zu erfolgen. Das bedeutet, dass dem Verantwortlichen nur eine angemessene Zeit zur Prüfung der Voraussetzungen einer Löschung zur Verfügung steht. Im Falle eines Löschungsantrags ist der Betroffene spätestens innerhalb eines Monats über ergriffene Maßnahmen oder über die Gründe der Ablehnung zu informieren. Ein weiteres Mal schlägt sich das Recht auf Vergessenwerden in der Mitteilungspflicht wieder. Neben der Löschung hat der Verantwortliche gemäß Art. 19 EU-DSGVO sämtliche Empfänger der Daten darüber zu informieren. Dabei hat er alle ihm zur Verfügung stehenden Mittel und angemessene Maßnahmen auszuschöpfen.
 

DSGVO   Informationspflichten

Damit Unionsbürger ihr Recht auf Schutz personenbezogener Daten wahrnehmen können, bedarf es Transparenz bei der Datenerhebung und -nutzung. Deshalb sieht die Datenschutz-Grundverordnung eine Vielzahl von Informationspflichten vor.

Das Gesetz unterscheidet dabei zwischen zwei Fällen: Zum einen, wenn die personenbezogene Daten bei dem Betroffenen direkt erfasst werden (Art. 13 DSGVO) und zum anderen, wenn diese nicht bei der betroffenen Person erhoben werden (Art. 14 DSGVO).

Bei der Direkterhebung ist dieser unverzüglich zu informieren. Inhaltlich umfassen hier die Informationspflichten des Verantwortlichen seine Identität, die Kontaktdaten des Datenschutzbeauftragen (sofern vorhanden), die Verarbeitungszwecke und die Rechtsgrundlage, über etwaige berechtigte Interessen, über den Empfänger bei Übermittlung von Daten und auch über eine etwaige Übermittlung in Drittstaaten zu informieren. Darüber hinaus umfasst die Informationspflicht auch Angaben zur Dauer der Speicherung, den Rechten des Betroffenen, der Widerrufbarkeit von Einwilligungen, dem Beschwerderecht bei der Aufsichtsbehörde sowie die gesetzliche oder vertragliche Verpflichtung personenbezogene Daten bereitzustellen. Zudem ist über eine etwaige automatisierte Entscheidung oder andere Profiling-Maßnahmen zu unterrichten. Entbehrlich ist diese Informationspflicht bei der Direkterhebung nur, wenn der Betroffene bereits über diese Angaben verfügt.

Erfolgt die Erhebung nicht beim Betroffenen, ist dieser innerhalb einer angemessenen Frist, spätestens aber nach einem Monat, bei Verwendung zur Kommunikation jedoch direkt bei Kontaktaufnahme zu informieren. Inhaltlich treffen den Verantwortlichen auch bei dieser Art der Erhebung grundsätzlich die gleichen Informationspflichten. Eine Ausnahme bildet dabei nur die Information über die Verpflichtung zur Bereitstellung, da der Verantwortliche nicht selbst über diese entscheiden kann. Zusätzlich trifft ihn die Pflicht darüber zu informieren, aus welcher Quelle die Daten stammen und ob es sich dabei um eine öffentlich zugängliche handelt. Den Informationspflichten ist in präziser, transparenter, verständlicher und leicht zugänglicher Form nachzukommen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden. Es wird explizit erwähnt, dass dafür auch sog. standardisierte Bildsymbole verwendet werden können, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.

Im Falle, dass die personenbezogenen Daten nicht beim Betroffenen erhoben werden, muss in Ausnahmefällen der Informationspflicht nicht nachgekommen werden. Etwa wenn dies unmöglich oder unverhältnismäßig aufwendig ist, die Erhebung und/oder Übermittlung gesetzlich vorgeschrieben ist oder ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht besteht.

Weitere wichtige Informationen finden Sie unter https://dsgvo-gesetz.de/