DSGVO: Wann dürfen personenbezogene Daten verarbeitet werden?

Die EU-Datenschutzgrundverordnung (DSGVO) legt verbindliche Regeln für alle Unternehmen fest, die Daten von EU-Bürgern verarbeiten. Verletzungen der Vorgaben haben hohe Strafen zur Folge, die bis 4% des globalen Umsatzes eines Unternehmens, bzw. bis zu 20 Mio. Euro reichen können (je nachdem welcher Betrag höher (!) ist).

Es gibt hier von Seiten des DSGVO in Artikel 6 eine klare Auflistung der Kriterien für die Rechtmäßigkeit einer Verarbeitung. Mindestens einer der folgenden Punkte muss erfüllt sein:

• die betroffene Person hat die Einwilligung erteilt
• die Verarbeitung ist zur Erfüllung eines Auftrags notwendig (inkl. vorvertraglicher Maßnahmen, z. B. Broschüre zusenden oder Angebotserstellung)
• das Unternehmen ist rechtlich verpflichtet die Daten zu verarbeiten (z. B. Buchhaltung)
• lebenswichtige Interessen der betroffenen Person werden berührt (das ist eher im Gesundheitswesen bzw. der Notfallmedizin anzutreffen als bei „normalen“ Unternehmen)
• die Verarbeitung liegt im öffentlichen Interesse
• das Unternehmen (der „Verantwortliche“) hat ein berechtigtes Interesse an den Daten, das die Grundrechte und Grundfreiheiten der betroffenen Person übersteigen

Wie man an der Auflistung sieht, können alle Punkte, bis auf den Letzten, recht klar eingeteilt werden und lassen nur wenig Interpretationsspielraum zu. Mit dem letzten Punkt begibt man sich jedoch in eher unsichere Gewässer. Weshalb man eine Datenverarbeitung (oder Datensammlung), die auf dem letzten Punkt basiert, vorab mit einem auf Datenschutzrecht-spezialisierten Anwalt abklären sollte.

Sobald kein Grund mehr für die Rechtmäßigkeit der Verarbeitung vorliegt, sind die Daten der Person zu löschen. Hier muss betont werden, dass eine „Löschung“ tatsächlich ein Löschen oder Unkenntlichmachen (ohne Möglichkeit der Wiederherstellung) bedeutet, nicht nur das „inaktiv“ setzen des Datensatzes in der Kundendatenbank.

Eine Person möchte bei einem Unternehmen einen Artikel kaufen, der Artikel ist jedoch nicht lagernd und muss bestellt werden. Die Daten der Person dürfen aufgenommen und verarbeitet werden, da sie für die Erfüllung des Auftrags notwendig sind (Kontaktaufnahme bei Eintreffen der Lieferung). Der Artikel wird geliefert, es wird eine Rechnung ausgestellt auf der der Name der Person aber nicht enthalten ist und die Rechnung wird bezahlt. Somit ist der Auftrag abgeschlossen. Natürlich würde das Unternehmen die Person marketingtechnisch gerne weiter betreuen und über andere Produkte oder Angebote informieren. Wenn das Unternehmen aber nicht schlüssig argumentieren kann, wieso seine Interessen an einer weiteren Datenhaltung wichtiger sind als das Grundrecht der Person auf Privatsphäre, gibt es auch keine Rechtmäßigkeit der Verarbeitung und die Daten müssen gelöscht werden.

Um hier in keine Interpretationsfalle zu tappen, sind Unternehmen gut beraten sich die Einwilligung zur Verarbeitung von ihren Kunden und Interessenten zu holen. Für diese Einwilligung gelten jedoch einige formale Vorschriften, die in einem weiteren Artikel dieses Blogs ausgeführt werden. Des Weiteren darf so eine Einwilligung nicht zwingend für die Durchführung eines Auftrags verlangt werden. Das bedeutet, dass Unternehmen ihre Prozesse zweigleisig führen müssen: einmal für Personen, bei denen eine Einwilligung vorliegt und für solche bei denen eine Einwilligung nicht vorliegt.

In manchen Systemen ist ein „Löschen“ nicht vorgesehen. Hier kann dann (neben einer Anregung an den Software-Hersteller, sein Produkt DSGVO-konform zu machen) nur die Pseudonymisierung helfen, d. h. die personenbezogenen Daten werden durch zufällig generierte Zeichen ersetzt, aus denen kein Rückschluss mehr auf die ursprünglichen Daten mehr möglich ist. Zusätzlich muss bedacht werden, dass die Löschung der Daten alle Systeme betreffen muss, in denen die Daten gespeichert sind. So haben manche Unternehmen z. B. ein Webformular, in dem Bestellungen entgegen genommen werden und dessen Daten dann in ein zentrales CRM-System importiert werden und anschließend an einen Auftragsverarbeiter zum Versand weiter gegeben werden. Eine Löschung muss dann alle drei genannten Stellen berücksichtigen. Falls die Daten an weitere Unternehmen oder Auftragsverarbeiter weitergegeben wurden gilt Ähnliches. Auch diese anderen Unternehmen müssen die Daten dann löschen.

Dem Gesetzgeber war natürlich bei der Erstellung des Gesetzes bewusst, dass zusätzliche Kopien der Daten in Form von Datensicherungen vorliegen werden. Diese Datensicherungen müssen nicht sofort überschrieben werden, um auch die dort noch enthaltenen Daten der betroffenen Person zu löschen. Hier reicht das Abwarten der regelmäßigen Überschreib-Operationen im Rahmen eines Datensicherungsplans aus.