Alle reden von Datenschutz, von DSGVO, aber was ist das eigentlich genau? Darf man denn jetzt gar keine Daten mehr verarbeiten, das kann doch irgendwie nicht sein oder? Jahrelang haben wir alle Informationen aufgesogen, gesammelt, gehortet in der mehr oder minder begründeten Hoffnung, man könne sie nochmal irgendwann sinnvoll gebrauchen. Ist das jetzt alles verboten, was vorher als schick und vernünftig galt?

Nein, natürlich nicht, aber man sollte schon zur Kenntnis nehmen, dass mit Blick auf bestimmte Daten sich etwas verändert hat. Jedem ist klar, dass man noch Daten verarbeiten dürfen muss, aber wie? Wir wollen uns an dieser Stelle mal sortieren. Die Datenschutzgrundverordnung – kurz DSGVO – oder manchmal auch als „DS-GVO“ bezeichnet, schützt personenbezogene Daten von natürlichen Personen wie Name, Adresse, Bilder, Telefonnummern, Krankheitsdaten usw.. Was zu diesen Daten gehört, steht in Art. 4 Abs. 1 DSGVO. Es kommt darauf an, dass man diese Daten einer bestimmten Person zuordnen kann und sie dadurch identifiziert, also erkennen oder wiederkennen kann. Wie irrtümlich häufig angenommen, besteht der Schutzzweck des Gesetzes nicht darin, Betriebs- und Geschäftsgeheimnisse zu schützen, wenngleich vor allem eine gute technische Ausstattung natürlich auch alle anderen Daten und Geheimnisse mit- „beschützt“. Ebenfalls sollte mal erwähnt werden, dass die DSGVO auch keinen Platz in den rein privaten Beziehungen, also in der Familie oder auch gegenüber Freunden hat. Daher ist die berühmte Frage nach der Telefonnummer für ein „Date“ nicht in Gefahr, man braucht noch immer keine gesetzliche Grundlage, was für ein Glück.

Aber zurück zur DSGVO und der Frage, wie kann man personenbezogene Daten denn nun rechtmäßig verarbeiten. Diese Frage wird überwiegend in Art. 6 DSGVO beantwortet. Hierfür braucht man eine sogenannte Rechtsgrundlage, also eine gesetzliche Erlaubnis, weil andernfalls die Datenverarbeitung schlicht verboten ist. In Art. 6 Abs. 1 a-f DSGVO werden 6 Erlaubnistatbestände aufgeführt, wovon wir hier mal die Wichtigsten betrachten sollten.

Unter Art. 6 Abs. 1 a DSGVO finden wir als erstes die Einwilligung. Das bedeutet, wenn die betroffene Person, von welcher wir Daten erheben, in eine Datenerhebung und damit Datenverarbeitung einwilligt, dürfen wir personenbezogene Daten verarbeiten. Die Rechtsgrundlage „Einwilligung“ sieht einfach aus, ist es aber in der Praxis nicht. Denken wir mal an die Einwilligung auf den verschiedenen Websites, auf welchen wir jetzt immer in einer sog. Cookiebar gefragt werden, welche Daten von uns erhoben werden dürfen – essentiell oder doch mehr? Was steckt dahinter? Hier geht es einzig um die Frage, ob der Webseitenbetreiber der Seite personenbezogene Daten des Nutzers erheben und damit auch verarbeiten darf. Denn auch wenn man nicht seinen Namen oder die Anschrift hinterlässt, so stellt doch schon die IP-Adresse, vereinfacht die „Postanschrift“ eines mit dem Internet verbundenen Gerätes, einen Bezug zu einer natürlichen Person her und fällt somit unter die DSGVO. So sollte man meinen, wenn der Nutzer nun das Häkchen an die eine oder andere Stelle gesetzt hat, also seine Einwilligung in die Verarbeitung seiner Daten gegeben hat, wäre eine Verarbeitung rechtmäßig. Ja, das sieht auf dem ersten Blick so aus, aber so einfach ist es nicht. Denn diese Einwilligung ist im rechtlichen Sinne nur wirksam, wenn die einwilligende Person vorher, Zitat des Europäischen Gerichtshof (11.11.2020): „eine Information über alle Umstände im Zusammenhang mit dieser Verarbeitung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erhalten hat, die sie in die Lage versetzt, die Konsequenzen dieser Einwilligung leicht zu ermitteln, sodass gewährleistet ist, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird“. Wie man sehen kann, sind die Anforderungen hoch und werden in der Praxis nur von den wenigsten erfüllt. Darüber hinaus muss man wissen, dass jede Einwilligung in die Verarbeitung nur eines bestimmten Zwecks dient und daher die einmal erteilte Einwilligung kein Freibrief für jedwede Verwendung ist. Wichtig ist im Zusammenhang mit der Rechtmäßigkeit einer Einwilligung auch, dass die betreffende Person stets darüber aufgeklärt werden muss, dass diese Einwilligung jederzeit widerrufen werden kann. Die Abgabe der Einwilligung darf auch nicht an eine andere Sache, wie bspw. das beliebte Gewinnspiel gekoppelt sein, Art. 7 DSGVO. Also fassen wir mal zusammen, die Datenverarbeitung auf der Grundlage einer Einwilligung ist nur möglich, wenn man vorher umfassend aufgeklärt wurde, diese jederzeit widerrufen kann und die Erklärung nicht von irgendetwas anderen abhängt und damit freiwillig war.

Wie man anhand der vorstehenden Erläuterungen erkennen kann, eignet sich die Einwilligung als Rechtsgrundlage nicht für Menschen, die in einer wie auch immer gearteten rechtlichen Beziehung stehen. Deshalb ist die Datenverarbeitung auch auf der Grundlage des Art. 6 Abs. 1 b DSGVO möglich, wonachdie Verarbeitung in Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, zur Durchführung vorvertraglicher Maßnahmen erforderlich oder auf Anfrage der betroffenen Person erfolgen muss. Wie unschwer zu erkennen ist, fallen unter diese Kategorie alle Verträge, wie Arbeitsverträge, Kaufverträge, Werkverträge, Mietverträge aber auch die sogenannten vorvertraglichen Verhältnisse wie eine Bewerbung auf einen Arbeitsplatz. Ohne dass man sich im Datenschutz auskennen muss, leuchtet es wohl jedem ein, dass man für die Erfüllung eines Vertrag gewisse Daten – wie bspw. Name, Adresse, Bankverbindung – erheben muss. Gleichwohl muss man sich bei diesem Erlaubnistatbestand immer fragen, welche personenbezogenen Daten benötige ich konkret für die Erfüllung dieses Vertrages. Denn Daten, die nicht unbedingt gebraucht werden, dürfen auf dieser Grundlage nicht erhoben und verarbeitet werden. In der Praxis ist erkennbar, dass regelmäßig zu viele Daten erhoben werden und deshalb vielfach eine rechtmäßige Datenverarbeitung nicht vorliegt. So sollte man sich bspw. mal überlegen, ob für die Abwicklung eines Kaufvertrages tatsächlich das Geburtsdatum von Nöten ist? Wenn der Käufer im Laden vor einem steht, wird man nur selten gefragt, weil regelmäßig erkennbar ist, ob eine Person über 18 Jahre alt ist, oder nicht. Anders sieht es bei Käufen im Internet aus. Hier ist dem Verkäufer zuzugestehen, dass er wissen möchte, ob ein Besteller bereits 18 Jahre alt und damit voll geschäftsfähig ist. Im Sinne der DSGVO ist es aber für die Abwicklung eines Kaufvertrages nicht notwendig in Erfahrung zu bringen, wann der Käufer Geburtstag hat, um ihm ggf. einen Geburtstagsgutschein zu übersenden. Daher ist die Abfrage im Regelfall eines konkreten Geburtstages nur mit dem Hinweis gestattet, dass man diese Daten zu Marketingzwecken erheben möchte und dafür eine Einwilligung des Käufers braucht. Ebenso verhält es sich mit den zahlreichen Newslettern, bei welchem die E-Mail-Adresse der Kunden erhoben wird. Unter rechtlichen Aspekten benötigt man keinen Newsletter um einen bereits geschlossenen Kaufvertrag abzuwickeln. Denn im Kaufvertrag selbst sind Namen und Adressen des Verkäufers und Käufers sowie die einzelnen Vertragspflichten der Parteien aufgeführt, so dass es einer E-Mail Adresse des Kunden an sich nicht bedarf. Handelt es sich aber um einen Kaufvertrag, bei welchem auch eine E-Mail Adresse zur Abwicklung benötigt wird, darf diese selbstverständlich unter diesem Erlaubnistatbestand erhoben werden. Aber darf man dann auch die einmal erhobene E-Mail-Adresse zur Versendung eines Newsletters verwenden? Natürlich nicht, denn hier schlägt ein anderer Grundsatz der DSGVO zu, die Zweckbindung. Wenn man also bestimmte Daten bspw. im Rahmen eines Vertragsverhältnisses rechtmäßig erhoben hat, darf man diese Daten auch nur für diesen Zweck verwenden und nicht anderweitig gebrauchen. Dass sich an diesen Grundsatz viele Marktteilnehmer nicht halten erkennt man schon daran, dass man immer wieder ungefragt Werbe-Mails erhält oder aber Flyer im Briefkasten von Firmen findet, die einem bis dato völlig unbekannt waren. Fassen wir auch diesen Erlaubnistatbestand mal damit zusammen, dass man auf der Grundlage eines Vertrages Daten genau die Daten rechtmäßig erheben und verarbeiten darf, die man für die Abwicklung genau dieses Vertrages braucht. Für einen anderen Zweck darf man die gewonnen Erkenntnisse jedoch nicht verwenden.

Wenn Sie jetzt unsicher geworden sind und sich fragen, ist das alles was ich noch darf, dann lautet die klare Antwort Nein! Es gibt noch vier weitere Erlaubnistatbestände und der wichtigste unter ihnen ist in Art. 6 Abs. 1 f DSGVO geregelt. Danach ist die Verarbeitung von personenbezogenen Daten „zur Wahrung der berechtigten Interessen des Erhebenden oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“. Dieser Tatbestand klingt kompliziert, ist es auch ganz häufig, aber manchmal eben nicht. Einfach ist es, wenn man im Straßenverkehr von einem Dritten angefahren wird und ihn nach seinem Namen, seiner Adresse und womöglich seiner Versicherung fragt. Dann hat der Geschädigte in jedem Fall ein berechtigtes Interesse in Erfahrung zu bringen, wer der Schädiger ist, wo er wohnt, um den Schaden abzuwickeln. Schon unter Gerechtigkeitsgesichtspunkten ist wohl jedermann klar, dass die Interessen des Schädigers und seien diese auch noch so wichtig, zurückstehen müssen. Was aber versteht man generell unter Wahrung der berechtigten Interessen und wann überwiegen die Grundrechte und Grundfreiheiten die Interessen des anderen? Wenn Sie nicht gleich eine Antwort darauf wissen, dann geht es Ihnen wie vielen, die sich auch berufsmäßig mit der Frage beschäftigen, den   Juristen. Woran liegt das? Es liegt an der Struktur, an der Machart eines Gesetzes. Um möglichst viele Sachverhalte zu erfassen, arbeitet der Gesetzgeber mit sogenannten „unbestimmten Rechtsbegriffen“. Das sind abstrakte Rechtsbegriffe, die erst im Laufe der Jahre durch die Rechtsprechung der Gerichte mit Leben erfüllt werden. Aufgrund einzelner, gerichtlich entschiedener Fälle werden Leitsätze, Grundsätze etc. entwickelt werden, die dann den Begriff der „berechtigten Interessen“ im Sinne der DSGVO schärfen. Auch die Frage, wie welche Grundrechte und Grundfreiheiten abgewogen werden, wird in ein paar Jahren geklärt sein. Bis dahin dürfen Sie sich – wie auch sonst – auf Ihren gesunden Menschenverstand verlassen. Das bedeutet zusammenfassend, wenn Sie zu der betroffenen Person nicht in einem Vertragsverhältnis stehen, keine Einwilligung besitzen, brauchen Sie für die Erhebung der personenbezogenen Daten einfach einen guten Grund zur Wahrung Ihrer eigenen Interessen. Wer sich dann in geordneten Bahnen bewegt, die Daten in einem vernünftigen Umfang erhebt und dann auch nur für diesen Zweck gebraucht, macht wahrscheinlich fast immer alles richtig.