Frühjahrsputz: Die 5 größten Datenschutzirrtümer

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) hat kürzlich den Safer Internet Day 2024 dazu genutzt, um über einige, sich hartnäckig haltende Datenschutzirrtümer aufzuklären. Grund genug für Dr. Datenschutz, zum Frühlingsanfang mit einigen Mythen und Halbwahrheiten rund um das Thema Datenschutz aufzuräumen.

Die Datenschutzausrede

Beginnen wir mit einem absoluten Klassiker. Jeder wird diesen Satz schon hier und da einmal gehört haben:

„Das geht nicht… wegen Datenschutz“

Ob nun aus Unsicherheit, Unwissenheit oder Desinteresse wird häufig versucht lästige Nachfragen oder Themen mit dem Machtwort Datenschutz vom Tisch zu wischen und danach am besten gleich unter den Teppich zu kehren. Datenschutz dient nicht selten als schnelle Ausrede, wenn man ansonsten keine bessere Antwort hat.

Nicht selten liegt dieser Antwort ein Missverständnis zu Grunde. Und zwar, dass der Datenschutz Daten schützt. Genau genommen schützt die DSGVO nämlich den Menschen hinter den Daten. Der Fokus liegt auf der Wahrung der Privatsphäre, des Persönlichkeitsrechts und der informationellen Selbstbestimmung jedes Einzelnen. Indem man sich dieser Tatsache bewusstwird, erhält man ein besseres Verständnis dafür, warum Datenschutz von entscheidender Bedeutung ist. Und wann dieser keine Rolle spielt.

Es geht darum, die individuellen Rechte und Freiheiten zu respektieren und sicherzustellen, dass persönliche Daten angemessen geschützt werden, um mögliche Missbräuche zu verhindern und das Vertrauen in die digitale Welt zu stärken.

Der Datenschutz findet nur dann gem. Art. 2 Abs. 1 DSGVO Anwendung, wenn personenbezogene Daten verarbeitet werden. Dies sind nach Art. 4 Nr. 1, Hs. 2 DSGVO alle Informationen, die sich auf eine identifizierte oder aufgrund weiterer (zusätzlicher) Informationen identifizierbare lebende Person beziehen.

So mögen z.B. bei juristischen Personen das Geschäftsgeheimnis und bei Verstorbenen das StGB oder der postmortale Persönlichkeitsschutz einer Auskunft entgegenstehen. Der Verweis auf die DSGVO wäre aber in diesen Fällen ebenso falsch, wie dies bei der einfachen Frage nach dem Weg oder der Form der bevorzugten Nudelsorte wäre. Nur wäre in diesem Fall die Ausrede offensichtlicher.

Die Beantwortung der Gretchenfrage, ob die Verarbeitung eines personenbezogenen Datums vorliegt oder nicht, kann aber im Einzelfall durchaus Schwierigkeiten bereiten. Dennoch lohnt es sich, hin und wieder die Frage zu stellen, ob gewisse Vorgänge oder Themen wirklich personenbezogene Daten enthalten.

Jede Datenerfassung bedarf einer Einwilligung

Wenn der Personenbezug aber erstmal eindeutig hergestellt ist, ist der laxe Verweis auf den Datenschutz als Hinderungsgrund immer noch meistens verfehlt. Denn dabei sollte nicht vergessen werden, dass der Datenschutz kein Selbstzweck und das Datenschutzrecht kein Verhinderungsrecht ist. Werden nämlich personenbezogene Daten nach dem Grundsatz Rechtmäßigkeit i.S.d. Art. 5 Abs. 1 lit. a Alt. 1 DSGVO aufgrund einer Rechtsgrundlage verarbeitet, ist dies in aller Regel datenschutzrechtlich legitim.

Dies führt uns aber gleich zum nächsten DSGVO-Phänomen: Die sog. „Einwilligeritis“. Und diese scheint nach über fünf Jahren immer noch nicht heilbar zu sein.

„Dafür brauchen wir eine Einwilligung“

bekommt man im Zusammenhang mit datenschutzrechtlichen Fragestellungen häufig zu hören.

Aber eine Einwilligung braucht man nur dann, wenn die Datenverarbeitung nicht auf eine andere Rechtgrundlagen der DSGVO gestützt werden kann, wie etwa auf einen Vertrag oder das berechtigte Interesse. Die Einwilligung ist zwar wohl die berühmteste Rechtgrundlage der DSGVO, aber sie leidet eben auch wie viele andere Celebrities unter ein paar Starallüren, welche im Detail in unserem Beitrag zur Einwilligung nachzulesen sind.

Da sich die Einwilligung häufig als unpraktikabel und rechtsunsicher darstellt (informiert, freiwillig, wiederrufbar), zahlt es sich aus, die anderen Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO eines genaueren Blickes zu würdigen.

In die Datenschutzerklärung muss eingewilligt werden

Ein weit verbreiteter Irrglaube im Zusammenhang mit der Einwilligung betrifft die gute alte Datenschutzerklärung. Wir sind bei allen möglichen Online-Vorgängen schon daran gewöhnt, immer wieder aufgefordert zu werden, irgendwelche Bestimmungen zu akzeptieren oder zu bestätigen, diese genaustens von vorne bis hinten gelesen und auch verstanden zu haben.

Inwiefern dies bei Allgemeinen Geschäftsbedingungen oder insbesondere den häufig ausufernden Datenschutzerklärungen überhaupt möglich ist und eine informierte Einwilligung oder Lesebestätigung anzunehmen ist, darüber ließe sich trefflich streiten. Bei einem Information Overload reagiert unser Gehirn mit einer quasi automatisierten Entscheidungsfindung:

„Einfach schnell wegklicken“

Die Datenschutzerklärung steht nicht zur Disposition

Hierbei ist Folgendes zu bedenken: Bei der Datenschutzerklärung handelt es sich nicht um einen Vertrag. Wie auch schon die Datenschutzkonferenz erklärt hat, informiert die Datenschutzerklärung nach Art. 13 DSGVO lediglich betroffene Personen u.a. darüber, zu welchem Zweck und auf welcher Rechtsgrundlage ihre Daten wie verarbeitet und welche Betroffenenrechte bestehen. Webseitenbesucher können diese Informationen z.B. durch eine Verlinkung auf die Datenschutzbestimmungen zur Kenntnis nehmen und dies ggf. durch einen Klick dokumentieren. Dadurch wird die Kenntnisnahme aber noch keine erteilte Einwilligung nach Art. 7 DSGVO.

Denn die Datenschutzhinweise stehen nicht zur Disposition. Sie sind nicht verhandelbar. Ob der Websitebesucher die Datenschutzhinwiese also zusätzlich akzeptiert, spielt keine Rolle für die Erfüllung der Informationspflicht. Der so häufig auf Webseiten gelesene Satz beim Absenden eines Kontaktformulars o.ä.

„Ich akzeptiere die Datenschutzerklärung“

vermischt also Informationspflicht und Einwilligung.

Vermischung von Informationspflicht und Einwilligung vermeiden

Es sollte auf jeden Fall darauf geachtet werden, dass gegenüber den Websitebesuchern nicht der Eindruck erweckt wird, sie müssten bestimmten Inhalten in der Datenschutzerklärung zustimmen. Ansonsten könnte die Zustimmung zu Datenschutzerklärung hinsichtlich der darin enthaltenen Verarbeitungstätigkeiten u.U. als eine datenschutzrechtliche Einwilligung fehlinterpretiert werden und die Datenverarbeitung würde dann auf die falsche Rechtsgrundlage gestützt werden.

Die Einholung einer Einwilligung (und u.U. sogar auch die Bestätigung der Kenntnisnahme) können nach Ansicht des Obersten Gerichtshofs in Österreich (OGH) und des europäischen Datenschutzausschusses (EDSA) letztlich gegen den Grundsatz von Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO) verstoßen. Das Kammergericht urteilte in diesem Zusammenhang, dass zustimmungsbedürftige Datenschutzbestimmungen wegen Unvereinbarkeit mit den Grundgedanken der DSGVO als AGB-rechtliche Verstöße zu werten seien.

Quintessenz: Lieber bleiben lassen! Und nur auf die Datenschutzbestimmungen hinweisen.

Bei jeder Beauftragung von Dritten wird ein Auftragsverarbeitungsvertrag benötigt

Unternehmen beauftragen die unterschiedlichsten Dienstleister. Und die meisten von ihnen verarbeiten in irgendeiner Form auch personenbezogene Daten. Das bedeutet aber nicht, dass sie auch als Auftragsverarbeiter tätig werden und demzufolge auch in jedem Fall ein Auftragsverarbeitungsvertrag (AVV) i.S.d. Art. 28 DSGVO abgeschlossen werden muss.

Unter einer Auftragsverarbeitung i.S.d. DSGVO versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag des Verantwortlichen. Der Dienstleister muss in diesem Fall die Daten streng weisungsgebunden verarbeiten. Wenn dieser keine eigene Entscheidungsbefugnis hat oder ihm die Nutzung der Daten für eigene Zwecke ausdrücklich untersagt ist, spricht viel für eine Auftragsverarbeitung.

Es kommt allerdings auch sehr häufig vor, dass AVV geschlossen werden, obwohl die vorgenannten Voraussetzungen gar nicht erfüllt sind. So müssen z.B. Handwerksbetriebe, die für eine Hausverwaltung arbeiten oder als Subunternehmer tätig sind, keinen Auftragsverarbeitungsvertrag unterschreiben. Zwar bekommen die Handwerksbetriebe in diesen Fällen Kundendaten. Aber diese sind nicht wesentlicher Gegenstand des Vertrags – sie sind lediglich nötig, um den handwerklichen Auftrag erfüllen zu können.

Auch spricht vieles dafür, dass eine von einer Wohnungseigentümergemeinschaft (WEG) beauftragte Hausverwaltung deren Daten in der Regel in eigener Verantwortung verarbeitet und damit nicht als Auftragsverarbeiter tätig wird.

Gleiches gilt bei der Inanspruchnahme fremder Fachdienstleistungen, wie z. B. einem Rechtsanwalt oder einem Steuerberater. Diese sind auch keine Auftragsverarbeiter, weil diese auf Grund ihrer besonderen Stellung als Berufsgeheimnisträger niemals weisungsgebunden handeln.

Pauschalisierung von Löschfristen

Ein weiterer häufiger Irrtum betrifft die Löschroutinen. Für Löschung einer Vielzahl unterschiedlicher personenbezogene Daten werden doch allzu oft dieselben Fristen festgelegt.

Dabei ist der der Verantwortliche nach Art. 17 DSGVO dazu verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn es für deren weitere Speicherung der keine Rechtsgrundlage mehr gibt. Artikel 5 Abs. 1 lit. e DSGVO normiert den sogenannten Grundsatz der Speicherbegrenzung. Dieser wiederum schreibt vor, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es der Zweck, zu dem sie verarbeitet werden, erfordert. Soweit also der Speicherungszweck entfallen ist und diese nicht mehr notwendig ist, muss also gelöscht werden. Die Löschfristen müssen daher individuell unter Berücksichtigung der jeweiligen Verarbeitungstätigkeiten, deren Zweck und Rechtsgrundlage festgelegt werden

Die erst kürzlich ergangene Entscheidung des EuGH (Urteil vom 30.01.2024, Az. C-118/22) unterstreicht einmal wieder, dass eine Pauschalisierung von Löschfristen nur sehr schwer möglich ist und im Regelfall Einzelfallentscheidungen getroffen werden müssen. Dies gilt unabhängig davon, ob Daten von Behörden oder Unternehmen betroffen sind. Ein gut ausgearbeitetes Löschkonzept mit guten Überprüfungsmechanismen ist entsprechend unerlässlich.

Zu frühes Löschen kann jedoch ebenso wie zu spätes Löschen problematisch werden, wenn dadurch der Schutzzweck der dahinterstehenden Aufbewahrungsfrist verletzt wird. Eine klare Orientierung bei der Ausarbeitung eines Löschkonzepts bieten gesetzliche Aufbewahrungsfristen. Hier ergeben sich konkrete Aufbewahrungsfristen maßgeblich aus steuer- und handelsrechtlichen Regelungen. So lassen sich Aufbewahrungsfristen für viele Unterlagen in der Regel aus der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB) ableiten. Danach müssen Geschäftsunterlagen entweder 10 oder 6 Jahre aufbewahrt werden.

Datenschutz ist langweilig und nervt

Nach fünfmal falsch kommt jetzt ein richtig! Zumindest zum Teil. Hier kommt es natürlich auf den Blickwinkel an. Auf manche wird diese Aussage nämlich so sicherlich zutreffen. Es ist nur allzu verständlich, dass nicht jeder die Zeit und Lust dazu verspürt, sich tiefgreifend in die Materie des Datenschutzrechts einzuarbeiten. Umso besser, dass es für so etwas begeisterte Datenschützer gibt, welche man hierbei zu Rate ziehen kann und die einem dann auch gleich noch beim datenschutzrechtlichen Frühjahrsputz helfen.

Wen allerdings jetzt die Putzlaune so richtig gepackt hat, der kann sich gerne beim TLfDI weitere Beispiele aus der Hitparade der beliebtesten Datenschutzirrtümer zu Gemüte führen.