Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Ratgeber

DSGVO: Welche Daten du nutzen darfst – und welche nicht (Teil 2)

    DSGVO: Welche Daten du nutzen darfst – und welche nicht (Teil 2)

Die Datenschutzgrundverordnung (DSGVO) wirkt ab Mai 2018. (Grafik: Shutterstock)

Die Datenschutzgrundverordnung  – DSGVO – regelt, ob von Unternehmen erhobene Daten personenbezogen sind oder nicht. Doch welche Daten dürfen genutzt werden? Eine Anleitung.

Im ersten Teil der Beitragsreihe habe ich erklärt, dass die Verarbeitung personenbezogener Daten nur dann legal ist, wenn das Gesetz es erlaubt. Und: Dass Verstöße mit hohen Bußgeldern geahndet werden. Dies bedeutet zum einen, dass du sicher wissen musst, welche Daten personenbezogen sind. Zum anderen musst du ebenso wissen, wann und unter welchen Voraussetzungen das Gesetz deren Verarbeitung erlaubt. Diesen Punkten widmet sich der heutige Teil der Beitragsreihe.

Verarbeitung personenbezogener Daten

Geht im Zweifel vom Personenbezug der Daten aus

Personenbezogene Daten sind Angaben jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Diese komplizierte Ausdrucksweise sagt so viel, wie dass die Person nicht identifiziert werden muss. Es reicht, dass die Person mit Hilfe der zur Verfügung stehenden Daten identifiziert werden könnte.

So ist auch ein pseudonymisiertes Werbe-Cookie auf einem Computer samt darin gespeicherter Daten personenbezogen. Denn der Nutzer ist identifizierbar, zum Beispiel anhand der vielen zu ihm gespeicherten Verhaltensmerkmale und spätestens anhand der IP-Adresse. Die IP-Adresse stellt wiederum eine „Online-Kennung“ im Sinne des Gesetzes, ein personenbezogenes Datum (Einzahl von Daten) dar.

Tracking-Cookies und IP-Adressen sind personenbezogen

Das „identifiziert werden kann“ muss zudem sehr weit verstanden werden. Es müssen auch Möglichkeiten der Identifizierung durch Dritte berücksichtigt werden, wenn sie als vernünftig und möglich erscheinen. So ist es zum Beispiel wahrscheinlich, dass eine IP-Adresse auf Anordnung eines Gerichts von einem Internet-Zugangsprovider einem Kunden zugeordnet werden kann (so werden File-Sharing-Verstöße nachgewiesen).

Eine Verarbeitung von Daten erfasst dabei praktisch alle erdenklichen Verwendungen. Angefangen beim Erheben, Speichern, Offenlegen durch Übermittlung, Löschen und Unterfallen. Es sei denn die verarbeiteten Daten sind anonym.

Anzeige

Aber wann sind Daten anonym?

Die Anonymität ist sehr fragil 

Anonyme Daten lassen keine Rückschlüsse auf konkrete Personen zu. Dazu gehören zum Beispiel aufsummierte Statistiken über die Besuche einer Webseite. Allerdings ist es wichtig zu wissen, dass Daten durch deren Vermengung personenbezogen werden können. So ist die Bonität einer Region an und für sich ein anonymes Datum. Wird die Angabe zur Bonität mit Adressen von Personen verbunden, wird das Datum personenbezogen.

Unterm Strich solltest du beim Umgang mit Daten also davon ausgehen, dass personenbezogene Daten verarbeitet werden. Erst, wenn du dir sicher bist, dass die Daten anonym sind, musst du dir um die DSGVO keine Gedanken machen. Ansonsten muss geprüft werden, ob die Voraussetzungen der folgenden Erlaubnisse vorliegen.

Verarbeitung im Rahmen von Anfragen und Vertragsabwicklung

Datenschutz soll die Vertragsabwicklung nicht behindern

Wie auch bisher, dürfen personenbezogene Daten verarbeitet werden, wenn dies für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich ist oder um vorvertragliche Anfragen zu beantworten (Art. 6 Abs. 1 lit. b. DSGVO). Bedeutet: Ein Onlineshop-Anbieter darf auf Kontaktformularanfragen antworten und dem Warenspediteur die Adressen der Käufer übermitteln.

Checkliste - Ist meine Datenverarbeitung erlaubt (Art. 6 DSGVO)?

  • Einwilligung
  • Vertragserfüllung (zum Beispiel Daten an Spediteur)
  • Gesetzliche Pflichten (zum Beispiel Archivieren von Rechnungen)
  • Schutz lebenswichtiger Interessen von Menschen (zum Beispiel in der Medizin)
  • Berechtigte Interessen (IT-Sicherheit, Compliance, Beschäftigtenkontrolle, Marketing, Direktwerbung)

Verarbeitung aufgrund gesetzlicher Verpflichtungen

Verarbeitung ist erlaubt, wenn sie durch andere Gesetze vorgeschrieben ist

Auf diese Erlaubnisnorm (Art. 6 Abs. 1 lit. c. DSGVO) kann sich dann berufen werden, wenn Gesetze zur Verarbeitung personenbezogener Daten zwingen. Ein sehr häufiger Fall ist beispielsweise die Pflicht, Rechnungen zehn Jahre lang aufzubewahren.

Verarbeitung auf Grundlage berechtigter Interessen

Die neue Generalklausel für Sicherheits- oder Marketinginteressen

Die Verarbeitung personenbezogener Daten auf Grundlage berechtigter Interessen wird neben der Einwilligung zur wichtigsten Erlaubnisnorm der DSGVO werden (Art. 6 Abs. 1 lit. f. DSGVO). Berechtigt sind insbesondere auch wirtschaftliche Interessen. Diese sind mit den Interessen der Nutzer am Datenschutz abzuwägen. Das heißt: Du kannst dir die Prüfung dieser Erlaubnisnorm wie eine Waage vorstellen, auf deren Gewichte du selbst Einfluss hast.

So sinkt das Schutzinteresse der Nutzer beispielsweise mit technischen und organisatorischen Schutzmaßnahmen wie der Pseudonymisierung von Daten, der Informationen in einer verständlichen Datenschutzerklärung und vor allem, wenn Nutzer mit einer solchen Verarbeitung typischerweise rechnen müssen.

Diese Verarbeitungsgrundlage wird vor allem im Marketing eine große Rolle spielen, weswegen es nachfolgend als praktisches Beispiel für diese Erlaubnisvorschrift dient.

Finde einen Job, den du liebst

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Hinweis

Du hast gerade auf einen Provisions-Link geklickt und wirst in Sekunden weitergeleitet.

Bei Bestellung auf der Zielseite erhalten wir eine kleine Provision – dir entstehen keine Mehrkosten.


Weiter zum Angebot