Datenschutz und Datenverarbeitung

Der Umfang der Datenverarbeitung

Umfang der Datenverarbeitung

Neben dem Zweck spielt auch der Umfang der Datenverarbeitung eine wesentliche Rolle im Datenschutz.

Bei der Datenverarbeitung muss jedes Unternehmen darauf achten, dass die personenbezogenen Daten auf den festgelegten Zweck begrenzt werden. Alles was für den Zweck nicht erforderlich ist, darf nicht erhoben und verwendet werden.

Praxisbeispiel: Wer bei der Abwicklung eines Kaufvertrages Daten zum Familienstand, zum Geburtsdatum oder der Zugehörigkeit zu Vereinen abfragt, handelt rechtswidrig. Es sind für die Abwicklung lediglich Angaben zum Namen, zur Anschrift und unter Umständen allgemeine Angaben zur Volljährigkeit (nicht das konkrete Geburtsdatum) erforderlich.


Achtung: In Onlineshops oder auf Webseiten werden häufig eine Vielzahl von Daten abgefragt. Unternehmen müssen zwingend darauf achten bei Formularen zwischen Pflichtangaben und freiwilligen/ optionalen Angaben zu differenzieren! Ein Hinweis oder eine direkte Verlinkung zur eigenen Datenschutzerklärung ist zwingend vorzunehmen.


Bei der technischen Umsetzung des Datenschutzes ist in diesem Zusammenhang auf die Datensparsamkeit zu achten, § 3a BDSG. Zu achten ist bei der Programmgestaltung auch auf etwaige Aufbewahrungsfristen, die je nach Art der Daten bis zu 10 Jahre betragen können.Ohne derartige Fristen sind personenbezogene Daten im Zweifel unverzüglich zu löschen.


Auskünfte und Informationen

Neben der Festlegung des Verwendungszwecks und dem Umfang der Datenverarbeitung hat jeder Betroffenen einen Auskunftsanspruch gegenüber demjenigen Unternehmen, welches seine Daten verarbeitet.

Hier gilt zunächst der Grundsatz, dass personenbezogene Daten grundsätzlich nur bei dem Betroffenen direkt erhoben werden dürfen.

Ohne den Betroffenen ist die Datenerhebung nur zulässig, wenn es durch Rechtsvorschriften legitimiert ist, die Erhebung erforderlich ist und die Verarbeitung verhältnismäßig ist. Diese Voraussetzungen muss im Zweifel das Unternehmen beweisen.

Soweit personenbezogene Daten erhoben worden sind, ist der Betroffenen hierüber zu informieren. Dies kann ausnahmsweise entbehrlich sein, wenn der Betroffenen auf andere Weise bereits Kenntnis erlangt hat. Hintergrund dieser Informationspflicht ist, dass der Betroffene wissen muss wer was über ihn weiß und an wen er sich wenden kann, wenn er Auskunft verlangen oder Beanstandungen aussprechen will.


Das Interesse an personenbezogene Daten beschränkt sich aber nicht auf private Unternehmen. Auch öffentliche Stellen wie Ordnungs- und Sicherheitsbehörden, Finanzämter und dergeichen haben ein besonderes Interesse an personenbezogenen Daten.


Im privatwirtschaftlichen Bereich sind Unternehmen oftmals neben den eigentlichen Arbeitnehmerdaten auch an der Überwachung der Mitarbeiter interessiert, um etwaige Delikte und Straftaten aufzudecken.

Bei Kundendaten sind die Erstellung von Kundenprofilen für eine gezielte Werbung und Marketingstrategie sowie einer Bonitätsprüfung vordergründig.


Ob, wann und in welchem Umfang diese Art der Datenverarbeitung zulässig ist, hängt unter anderem von der Art der Daten ab. So können zum Beispiel Markt- und Meinungsforschungsinstitute Kundendaten sammeln und auswerten, um sie sodann an andere Unternehmen oder Behörden zu verkaufen. Wenn die gesammelten Angaben über die Kunden anonym sind, dass heißt keiner konkreten Person individuell zugeordnet werden können, liegen so zwar statistische Angaben vor, in der Regel aber keine personenbezogenen Daten mit der Folge das keine Pflichtauskünfte zu erteilen sind.