Das häufigste Missverständnis in Bezug auf den Datenschutz ist, dass es darum geht,welcheArt von personenbezogenen Daten gespeichert werden. Auch wenn die Art der von einer Anwendung gespeicherten Daten intuitiv als unbedenklich oder als Eingriff in die Privatsphäre erscheinen mag, lässt sich allein anhand des Datensatzes nicht beurteilen, ob ein Dienst Daten rechtmäßig verarbeitet. Ich erhalte oft Fragen zur Europäischen Datenschutz-Grundverordnung (DSGVO) und habe daher diesen kurzen blog verfasst, um einige der am häufigsten gestellten Fragen zu beantworten.
Wann ist die Datenverarbeitung rechtmäßig?
Es gibt sechs rechtmäßige Gründe für die Verarbeitung personenbezogener Daten, doch alleerfordern einen Zweck.
- Einverständnis
- Vertragserfüllung
- Gesetzliche Vorschrift
- Berechtigtes Interesse
- Lebenswichtiges Interesse
- Öffentliches Interesse
Ein auf Einwilligung basierender Ansatz zur Rechtmäßigkeit ist oft der am besten geeignete. Es ist jedoch wichtig, sich vor Augen zu halten, dass es noch andere Gründe gibt, aus denen eine Organisation Ihre Daten verarbeiten darf. Jede Verarbeitung muss jedoch einen klar definierten, transparenten Zweck haben, um rechtmäßig zu sein.
Welche personenbezogenen Daten darf eine Organisation verarbeiten?
Die DSGVO basiert auf dem Grundsatz der Datenminimierung. Die Erhebung von Name und E-Mail-Adresse sollte daher unbedenklich sein. Die Erhebung von Angaben zum Geschlecht einer Person wäre hingegen unzulässig, da der Zweck der Verarbeitung keinen Bedarf dafür erkennen lässt.
Welche Sicherheitsmaßnahmen sind zum Schutz der Daten erforderlich?
Wenn Sie den Zweck sowie die Art der von Ihnen gespeicherten personenbezogenen Daten kennen, erhalten Sie einen guten Anhaltspunkt für das erforderliche Sicherheitsniveau. Was wäre das Schlimmste, was passieren könnte, wenn jemand Ihre Datenbank hacken und alle Abonnenten als Katzenliebhaber entlarven würde? Und welche Sicherheitsvorkehrungen sollten Sie treffen, um dies zu verhindern? Auch wenn unser Beispiel trivial erscheinen mag, ist der Missbrauch von E-Mail-Adressen eine der häufigsten Methoden, um Betrug zu begehen, und kann eine Person leicht mit anderen personenbezogenen Daten in Verbindung bringen. Stellen Sie also sicher, dass Sie eine Lösung entwickeln, die über angemessene Sicherheitsvorkehrungen verfügt, oder wählen Sie einen seriösen Anbieter mit guten Sicherheitsvorkehrungen.
Wie werden personenbezogene Daten erhoben und Benutzer:innen informiert?
Der Zweck bildet die Grundlage für die Information Benutzer:innen. Niemand sollte den Eindruck gewinnen, dass es sich um eine Mailingliste für Hundeliebhaber handelt, nur um dann mit Katzenvideos zugespammt zu werden. Das Leitprinzip lautet, dass Ihre Datenverarbeitung transparent sein muss.
Wann muss eine Organisation personenbezogene Daten löschen?
Die meisten Verarbeitungszwecke haben einen Anfang und ein Ende. Wenn der Zweck nicht mehr gegeben ist oder die Verarbeitung nicht mehr rechtmäßig ist, müssen Sie die Daten löschen. Da es sich um ein Opt-in-System handelt, endet der Zweck, sobald die Einwilligung widerrufen wird oder wenn die Organisation den Dienst vollständig einstellt.
Wenn Sie als Benutzer:in wissen möchten, welche Arten von personenbezogenen Daten ein Dienst über Sie verarbeitet, sollten Sie Folgendes beachten:
- Zu welchem Zweck verarbeitet dieser Dienst meine Daten?
- Welcher rechtliche Grund wird für die Verarbeitung der Daten angegeben?
- Weckt der Anbieter mein Vertrauen, dass er meine Daten zuverlässig schützt?
- Erscheinen mir die Daten, um deren Übermittlung ich gebeten werde, angesichts der Punkte 1, 2 und 3 plausibel?
Das Tolle an der DSGVO ist, dass sie vorschreibt, dass die Verantwortlichen diese Informationen Benutzer:innen Dienstes leicht zugänglich machen müssen. Hoffentlich werden wir in Zukunft viel mehr Transparenz hinsichtlich der Zwecke der Datenverarbeitung und einen besseren Schutz unserer personenbezogenen Daten erleben.
itslearning ist einer der ersten LMS-Anbieter, der die DSGVO-Konformität erreicht hat. Weitere Informationen finden Sie auf unsererDSGVO-Seite.
Ursprünglich veröffentlicht am 9. April 2018. Aktualisiert am 19. Oktober 2021
