DS – DSGVO | made (very) simple

DSGVO | made (very) simple

Moderner Datenschutz ist Enabling

Datenschutz ist Grundrechtschutz. Guter Datenschutz steht dem Fortschritt in der IT nicht im Weg. Im Gegenteil: Datenschutz macht Fortschritt in der IT langfristig überhaupt erst möglich. Wer darauf vertrauen kann, dass schutzbedürftige Daten tatsächlich gut aufgehoben sind, wird sich neuen Services aufgeschlossen gegenüber zeigen. Wir brauchen Innovationen für unsere Zukunft.

Heute ist ein guter Datenschützer Enabler, Ideengeber. Moderner Datenschutz will die Digitalisierung nicht verhindern, sondern ermöglichen. Die DSGVO erlaubt quasi jede Verarbeitung, wenn bestimmte Regeln eingehalten werden. Ein guter Datenschutzbeauftragter hilft dabei, diese Regeln einzuhalten; er unterstützt beim Design von Datenschutzarchitekturen.

Datenschutz (und Informationssicherheit) ist das Zusammenspiel einer guten betrieblichen Organisation, intelligent eingesetzter Technik und einer pragmatischen Anwendung geltenden Rechts. Ein guter Datenschützer kennt sich in allen diesen Themenfeldern zumindest soweit aus, dass er Spezialisten sinnvoll koordinieren und Datenschutzarchitekturen orchestrieren könnte*.

*] Der offiziell ernannte DSB soll beim Thema Datenschutz vor allem beraten und kontrollieren. Die operative Wahrnemung von Aufgaben mit Datenschutzbezug darf nicht vom DSB erfolgen – ansonsten müsste er / sie sich selbst kontrollieren (gem. DSGVO verbotener Interessenkonflikt).

Die DSGVO ist nicht kompliziert

Der Standard-Lehrsatz zum “Verbot mit Erlaubnisvorbehalt” wirkt komplizierter als er tatsächlich ist. Vielfach wird er allerdings so erklärt: “Jede Verarbeitung von personenbezogenen Daten benötigt eine Rechts- oder Ermächtigungsgrundlage”. Das ist Juristendeutsch und nicht alltagstauglich, weil kompliziert klingend. Dabei ist gerade dieser zentrale Punkt in der DSGVO im Grunde ganz einfach!

Merke: Die Verarbeitung personenbezogener Daten ist immer dann zulässig, wenn es notwendig (erforderlich) ist, um ein legitimes Ziel zu erreichen. Das Ziel wird vielfach auch Zweck genannt.

Kontrollfragen:

Kann ein Vertrag oder Gesetz nur mit Verarbeitung der personenbezogenen Daten erfüllt werden (Beispiel Vertrag: Hotelbuchung, Beispiel Gesetz: Aufbewahrungspflicht von Rechnungen)
Kann das Leben einer Person nur gerettet werden, wenn Daten zu ihrer Person bekannt sind?
Kann eine Behörde einen Bescheid nur erstellen, wenn sie personenbezogene Daten verarbeitet?
Kann ein Unternehmen seinem (legitimen) Interesse an einer guten Kundenbetreuung nur nachkommen, wenn es die Kontaktdaten in einem CRM verwaltet?

Lautet die Antwort auf eine der Fragen JA, dann ist die Verarbeitung grundsätzlich zulässig! Im Fall des Vertrages wäre eben der Vertrag formell die Rechtsgrundlage. Weil dies in der DSGVO im Art. 6 Abs. 1 lit. b geregelt ist, wird oft auch diese Textstelle der DSGVO als Rechts- bzw. Ermächtigungsgrundlage genannt. Wie gesagt, klingt alles viel komplizierter als es ist. Mit dieser Erläuterung sollten die Fachbegriffe Rechts- bzw. Ermächtigungsgrundlage eigentlich ihren Schrecken verloren haben.

Und welche Verarbeitungsvorgänge lassen sich in der Praxis eigentlich nicht mit den oben angerissenen Szenarien begründen? Damit hat eigentlich alles, was zur Erreichung legitimer Zwecke erforderlich ist, im Licht der DSGVO ein klares GO.

In der Praxis scheint diese versimplifizierte Alltagssicht auf die DSGVO jedoch vielfach noch nicht angekommen zu sein. Andernfalls ist kaum zu erklären, warum so viele Akteure nach wie vor für eine Datenverarbeitung eine Einwilligung fordern – obwohl sie aufgrund der Verarbeitung längst eine Rechtsgrundlage haben (s.o.). Ja, die Einwilligung ist laut DSGVO auch eine zulässige Rechtsgrundlage. Für viele Verarbeitung ist sie jedoch ziemlich ungeeignet! Mehr dazu hier.