DSGVO | made (very) simple
Moderner Datenschutz ist Enabling
Datenschutz ist Grundrechtschutz. Guter Datenschutz steht dem Fortschritt in der IT nicht im Weg. Im Gegenteil: Datenschutz macht Fortschritt in der IT langfristig überhaupt erst möglich. Wer darauf vertrauen kann, dass schutzbedürftige Daten tatsächlich gut aufgehoben sind, wird sich neuen Services aufgeschlossen gegenüber zeigen. Wir brauchen Innovationen für unsere Zukunft.
Heute ist ein guter Datenschützer Enabler, Ideengeber. Moderner Datenschutz will die Digitalisierung nicht verhindern, sondern ermöglichen. Die DSGVO erlaubt quasi jede Verarbeitung, wenn bestimmte Regeln eingehalten werden. Ein guter Datenschutzbeauftragter hilft dabei, diese Regeln einzuhalten; er unterstützt beim Design von Datenschutzarchitekturen.
Datenschutz (und Informationssicherheit) ist das Zusammenspiel einer guten betrieblichen Organisation, intelligent eingesetzter Technik und einer pragmatischen Anwendung geltenden Rechts. Ein guter Datenschützer kennt sich in allen diesen Themenfeldern zumindest soweit aus, dass er Spezialisten sinnvoll koordinieren und Datenschutzarchitekturen orchestrieren kann.
Die DSGVO ist nicht kompliziert
Der Standard-Lehrsatz zum “Verbot mit Erlaubnisvorbehalt” wirkt komplizierter als er tatsächlich ist. Vielfach wird er allerdings so erklärt: “Jede Verarbeitung von personenbezogenen Daten benötigt eine Rechts- oder Ermächtigungsgrundlage”. Das ist Juristendeutsch und nicht alltagstauglich. Dabei ist gerade dieser zentrale Punkt in der DSGVO im Grunde ganz einfach!
Merke: Die Verarbeitung personenbezogener Daten ist immer dann zulässig, wenn es notwendig (erforderlich) ist, um ein legitimes Ziel zu erreichen. Das Ziel wird vielfach auch Zweck genannt.
Kontrollfragen:
- Kann ein Vertrag oder Gesetz nur mit Verarbeitung der personenbezogenen Daten erfüllt werden (Beispiel Vertrag: Hotelbuchung, Beispiel Gesetz: Aufbewahrungspflicht von Rechnungen)
- Kann das Leben einer Person nur gerettet werden, wenn Daten zu ihrer Person bekannt sind?
- Kann eine Behörde einen Bescheid nur erstellen, wenn sie personenbezogene Daten verarbeitet?
- Kann ein Unternehmen seinem (legitimen) Interesse an einer guten Kundenbetreuung nur nachkommen, wenn es die Kontaktdaten in einem CRM verwaltet?
Lautet die Antwort auf eine der Fragen JA, dann ist die Verarbeitung grundsätzlich zulässig! Im Fall des Vertrages wäre eben der Vertrag formell die Rechtsgrundlage. Weil dies in der DSGVO im Art. 6 Abs. 1 lit. b geregelt ist, wird oft auch diese Textstelle der DSGVO als Rechts- bzw. Ermächtigungsgrundlage genannt. Wie gesagt, klingt alles viel komplizierter als es ist. Mit dieser Erläuterung sollten die Fachbegriffe Rechts- bzw. Ermächtigungsgrundlage eigentlich ihren Schrecken verloren haben.
Und welche Verarbeitungsvorgänge lassen sich in der Praxis eigentlich nicht mit den oben angerissenen Szenarien begründen? Damit hat eigentlich alles, was zur Erreichung legitimer Zwecke erforderlich ist, im Licht der DSGVO ein klares GO.
In der Praxis scheint diese versimplifizierte Alltagssicht auf die DSGVO jedoch vielfach noch nicht angekommen zu sein. Andernfalls ist kaum zu erklären, warum so viele Akteure nach wie vor für eine Datenverarbeitung eine Einwilligung fordern – obwohl sie aufgrund der Verarbeitung längst eine Rechtsgrundlage haben (s.o.). Ja, die Einwilligung ist laut DSGVO auch eine zulässige Rechtsgrundlage. Für viele Verarbeitung ist sie jedoch völlig ungeeignet! Mehr dazu hier.