Stop! Verbot mit Erlaubnisvorbehalt – So funktioniert Datenschutz Teil 2

Teil 2 der dreiteiligen Serie: Ein Crashkurs für Interessierte dazu, wie Datenschutz tickt und was man wissen sollte für die eigene Datensouveränität.

Das Grundprinzip: Verbot mit Erlaubnisvorbehalt

Warum sollte ich genau das wissen? Das Verbot mit Erlaubnisvorbehalt ist das Grundprinzip des Datenschutzrechts. Wer weiß, auf welcher Rechtsgrundlage Daten verarbeitet werden dürfen, kann einschätzen, was erlaubt ist und wie man die eigenen Rechte durchsetzt.

Stoppschild
Photo by John Matychuk on Unsplash

Normalerweise ist alles erlaubt, was nicht verboten ist. Im Datenschutzrecht ist es umgekehrt. Zunächst ist die Verarbeitung von personenbezogenen Daten grundsätzlich verboten. Erlaubt ist sie nur, wenn es eine Rechtsgrundlage gibt – und davon gibt es bedeutend mehr als die Einwilligung, die wir wohl als erstes mit Datenschutz verbinden. Die Einwilligung ist aber oft gar nicht die geeignete Grundlage: Sei es, weil eine andere sinnvoller ist, sei es, weil eine Einwilligung sogar schädlich sein kann.

Der große Vorteil für die betroffene Person ist der große Nachteil für die Stelle, die Daten verarbeiten will: Eine Einwilligung kann jederzeit ohne Angabe von Gründen widerrufen werden. Daher ist es besonders ungeschickt, da eine Einwilligung zu erheben, wo es eine rechtliche Pflicht oder eine vertragliche Vereinbarung gibt: Was, wenn ich jemanden einwilligen lasse, dass ich die Rechnungsdaten zehn Jahre lang speichern lasse, und die Person widerruft die Einwilligung? Rechtlich bin ich gleichzeitig verpflichtet, die Daten aufzubewahren und sie zu löschen. (Und eine Korrektur einer irrtümlich angewendeten Einwilligung ist nicht einfach möglich, findet sowohl die europäische wie die deutsche Datenschutz-Konferenz.)

Welche Rechtsgrundlagen es außer der Einwilligung noch gibt, steht in Art. 6 DSGVO (§ 6 KDG/DSG-EKD):

  • Die Verarbeitung wird für die Erfüllung eines Vertrags benötigt (der Versandhandel darf mein Adresse verarbeiten, um mir meine Bestellung zuzuschicken)
  • Ein Gesetz ordnet die Verarbeitung an (ich muss Rechnungsdaten zehn Jahre lang aufbewahren) (Außerdem können andere Gesetze als die DSGVO als Rechtsgrundlage dienen.)
  • Die Verarbeitung schützt lebenswichtige Interessen (Informationen zu Medikamentenunverträglichkeiten eines bewusstlosen Patienten werden an die behandelnde Ärztin übermittelt)
  • Die Verarbeitung erfolgt in Wahrnehmung einer Aufgabe im öffentlichen Interesse nötig oder in Übernahme öffentlicher Gewalt (der von der Stadt beauftragte private Sicherheitsdienst darf das Kennzeichen der Falschparkerin verarbeiten)
  • Es besteht ein berechtigtes Interesse an der Verarbeitung – eine Interessensabwägung ergibt, dass der Nutzen der Verarbeitung den Schaden für die betroffene Person überwiegt (ein Foto einer Straßenansicht wird veröffentlicht, auf dem zufällig im Hintergrund auch Menschen erkennbar sind)

(Mehr Informationen und Beispiele zu den einzelnen Rechtsgrundlagen gibt es in der Serie Rechtsgrundlagen: Welche Regelungsgrundsätze definiert die DSGVO? im Blog der bITs GmbH.)

Auf dieser Grundlage lässt sich schnell einschätzen, ob eine Datenverarbeitung zulässig ist – ganz eindeutig ist es, wenn es in einem Gesetz angeordnet wird, anspruchsvoller, wenn man eine Interessensabwägung vornehmen muss. Als betroffene Person ist es nützlich, die Rechtsgrundlage zu kennen, um den eigenen Handlungsspielraum zu kennen: Eine Einwilligung kann jederzeit ohne Angaben von Gründen widerrufen werden, gegen eine Verarbeitung auf Grundlage von berechtigtem Interesse kann widersprochen werden, ein Vertrag kann erfüllt oder gekündigt werden, und aus einer rechtlichen Verpflichtung kommt man ohne Gesetzesänderung nicht heraus.

Besonderheiten im kirchlichen Datenschutzrecht

Der auffälligste Unterschied ist die unterschiedliche Reihenfolge der Rechtsgrundlagen in den jeweiligen Paragraphen; inhaltlich sind sie größtenteils identisch. Der deutlichste Unterschied betrifft die Wahrnehmung einer Aufgabe im öffentlichen Interesse. Die kirchlichen Gesetzgeber können für staatliche Behörden nichts regeln, stattdessen wird eine ähnlich lautende Rechtsgrundlage für die Verarbeitung im kirchlichen Interesse aufgestellt. KDG und DSG-EKD machen zudem explizit, dass auch ein anderes Gesetz (im KDG explizit auch: ein kirchliches Gesetz) eine Rechtsgrundlage sein kann. Beim berechtigten Interesse streicht das DSG-EKD das Interesse des Verantwortlichen und nennt nur die berechtigten Interessen eines Dritten als Rechtsgrundlage. Inwiefern das die Anwendung des Gesetzes im Vergleich zur DSGVO ändert oder ob der anders aufgebaute Abschnitt zum kirchlichen Interesse alle Anwendungen des berechtigten Interesses der DSGVO abbildet, ist nicht klar. Die Regelungen der kirchlichen Datenschutzgesetze müssen allerdings im Einklang mit der europäischen Verordnung sein und können daher nur wenig von ihr abweichen.

Eine Synopse der Rechtsgrundlagen nach DSGVO, KDG und DSG-EKD gibt es hier zum Download.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.