Rechtmäßigkeit
Rechtmäßigkeit, „Treu und Glauben“, Transparenz
- Grundsätzlich muss die Verarbeitung personenbezogener Daten rechtmäßig sein, also geltendem Recht entsprechen (siehe Nr. 3).
- Sie muss auch nach „Treu und Glauben“ erfolgen, also allgemeinen moralischen Vorstellungen entsprechen.
- Sie muss nachvollziehbar sein, also dokumentiert und offen.
DSG NW: Die Daten sollen nach Zwecken getrennt verarbeitet werden. Ist das nicht möglich, ist ihre Verarbeitung zulässig, wenn schutzwürdige Belange der Betroffenen nicht überwiegen (z. B. Verbindung zwischen personenbezogenen Daten und besonderen personenbezogenen Daten). Die für die Verarbeitung nicht erforderlichen Daten dürfen dabei aber nicht verwertet werden.
Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Allerdings definiert die Datenschutzgrundverordnung natürlich Ausnahmen. Ansonsten wären dieser und andere Texte schlicht überflüssig.
Der Unterschied zwischen "Es ist alles erlaubt, was nicht verboten ist" und "Es ist alles verboten, was nicht erlaubt ist" ist gewaltig. Besteht nämlich für irgendeinen Bereich keine Regelung, kommt es darauf an, welcher der beiden Sätze gilt. In einem freien Rechtsstaat würde der erste Satz gelten, in einer Diktatur wohl eher der zweite.
Möchten Sie Ihre Meinung über einen Politiker öffentlich äußern, überlegen Sie besser, in welcher Art Staat Sie gerade unterwegs sind. In Rechtsstaaten gibt es i. A. kein Gesetz, dass das regelt. Sie dürfen Ihre Meinung also frei äußern. In restriktiven Staaten sollten Sie vorsichtiger sein. Jedenfalls, wenn Sie weiterlesen wollen.
Erfolgt die Verarbeitung aufgrund eines Interesses?
Die Verarbeitung personenbezogener Daten ist ebenfalls rechtmäßig, wenn berechtigte oder gar lebenswichtige Interessen einer betroffenen Person durch sie gewahrt werden können. DSG NW: Ohne Einwilligung dürfen (besondere) personenbezogene Daten verarbeitet werden, wenn dahinter erforderliche wissenschaftliche, historische oder statistische Zwecke stehen und schutzwürdige Interessen der Betroffenen nicht überwiegen.
Es sind aber angemessene und „spezifische“ Maßnahmen zur Wahrung der Interessen der Betroffenen vorzusehen. Nach Möglichkeit sind die besonderen personenbezogenen Daten zu anonymisieren. Angaben zur De-Anonymisierung sind gesondert zu speichern und dürfen nur zusammengeführt werden, soweit der Forschungszweck das erfordert. Eine unumkehrbare Anonymisierung ist also nicht erforderlich. Werden diese Schlüssel für den Forschungszweck nicht mehr benötigt, sind sie zu löschen.
Veröffentlicht werden dürfen derlei Daten nur bei Einwilligung der Betroffenen oder wenn das für den Forschungszweck unbedingt erforderlich ist. Die schutzwürdigen Belange der Betroffenen sind natürlich dabei zu wahren.
Die alte Regelung, dass Daten zwecks öffentlicher Auszeichnungen und Ehrungen verarbeitet werden dürfen, besteht weiterhin im § 22 des Datenschutzgesetzes NRW. Zur Ausübung des Gnadenrechts dürfen Daten verarbeitet werden, die sich sogar der Kontrolle der LDI entziehen.
Rechtmäßigkeit aufgrund einer Einwilligung
Die Verarbeitung personenbezogener Daten ist immer rechtmäßig, wenn eine Einwilligung der betroffenen Personen vorliegt.
Der Verantwortliche, der personenbezogene Daten verarbeitet, muss die Einwilligung jederzeit nachweisen können. Diese Beweislast bedeutet, dass Einwilligungen aufbewahrt werden müssen, solange die Verarbeitung anhält.
Einwilligungen können nur für einen Sachverhalt erteilt werden. Sind Einwilligungen für mehrere Sachverhalte erforderlich, sind die Sachverhalte klar voneinander zu trennen und für jeden Sachverhalt muss eine eigene Einwilligung eingeholt werden.
Einwilligungen können jederzeit widerrufen werden. Die bisherige Verarbeitung ist dadurch nicht rechtswidrig. Der Widerruf gilt immer für die Zukunft. Hierauf muss der Text der Einwilligung klar und deutlich hinweisen („Informiertheit“). Der Widerruf muss so einfach wie die Zustimmung sein.
Einwilligungen müssen freiwillig erfolgen. Werden nicht für die Verarbeitung benötigte Daten verarbeitet, muss darauf hingewiesen werden, dass die Angabe dieser Daten freiwillig und nicht für die Verarbeitung notwendig ist. Das Ziel der Verarbeitung darf nicht davon abhängig gemacht werden, ob freiwillige Daten angegeben werden oder nicht („Koppelungsverbot“).
DSG NW: Die Freiwilligkeit der Einwilligung ist im DSG NW für den Beschäftigungskontext besonders geregelt. Abhängigkeiten und Umstände müssen hier (wegen des Rechtsgefälles) besonders betrachtet werden. Von einer Freiwilligkeit ist auszugehen, wenn von Arbeitgeber und Arbeitnehmer „gleichgelagerte“ Interessen verfolgen (z. B. eine Einstellung oder auch eine Aufhebung). Wenn der betroffenen Person ein wirtschaftlicher oder rechtlicher Vorteil gewährt wird, sollte die Einwilligung freiwillig sein. Sie muss in jedem Fall schriftlich erfolgen und über den Zweck der Verarbeitung und das Widerrufsrecht ist aufzuklären.
Bezieht sich die Einwilligung auf besondere personenbezogene Daten, muss in der Einwilligung gesondert darauf hingewiesen werden.
Eine Einwilligung für Bewerber bei Polizeibehörden zwecks Datenübermittlung an Nachrichtendienste oder andere Polizeibehörden ist nicht erforderlich (sog. Routineüberprüfung).
Kinder, die das 16. Lebensjahr noch nicht vollendet haben, können selbst nicht einwilligen. Verarbeitungen erfordern in diesen Fällen eine Einwilligung oder die Zustimmung eines Trägers der elterlichen Verantwortung. Auch das muss jederzeit nachweisbar sein.
DSG NW: Die Verarbeitung von genetischen oder biometrischen Daten bedarf unbedingt der Schriftlichkeit.
Sonderfall: Videoüberwachung Der Europäische Datenschutzausschuss hat Richtlinien für die Videoüberwachung beschlossen. Diese bestimmen z. B., dass private Unternehmen keine Gesichtserkennung nutzen dürfen; das ist den Polizeibehörden vorbehalten. Ferner muss eine konkret zu benennende Gefahr mit der Videoüberwachung abgewehrt werden.
Sonderfall: Websites und Cookies Cookies sind kleine Dateien, die der Verwaltung der Verbindung zwischen einem Browser und einer Website dienen und personenbezogene Daten speichern können. Technisch notwendige Cookies sind erlaubt. Cookies, die von Drittanbietern (also weder vom Betreiber der Webseite noch von ihren Besuchern) gesetzt werden, benötigen dagegen die Einwilligung des Besuchers, da sie Benutzerverhalten ausspionieren könnten.
Weitere Informationen
- Der allgemeine Hinweis bei der Ankündigung einer Veranstaltung reicht möglicherweise nicht aus.
- Fehlendes Cookie-Banner: 30.000.- € Bußgeld.
- Zu viele Cookie-Banner sind unrechtmäßig (26.02.2020).
- Zur Einwilligung bei Websites.
- Einwilligungen für "Cookies" müssen aktiv angekreuzt werden.