Umfang der Datenverarbeitung

Für die Rechtmäßigkeit der Datenverarbeitung spielt, neben dem Zweck, auch der Umfang der Datenverarbeitung eine wesentliche Rolle. Demnach ist bei der Datenverarbeitung darauf zu achten, dass die personenbezogenen Daten grundsätzlich nur auf den vorab festgelegten Zweck begrenzt werden. Alles was für den Zweck nicht erforderlich ist, darf nicht erhoben und verwendet werden.

Praxisbeispiel: Für die Abwicklung eines Kaufvertrages sind Daten zum Familienstand oder der Zugehörigkeit zu Vereinen in der Regel nicht erforderlich, sodass diese auch nicht abgefragt werden dürfen. Vielmehr reicht es für die Vertragsabwicklung aus, dass Angaben zum Namen, zur Anschrift und unter Umständen Kontaktdaten (Telefon, E-Mail) für eventuelle Rückfragen verlangt werdeb.

Achtung: In Onlineshops oder auf Webseiten werden häufig eine Vielzahl von Daten abgefragt. Unternehmen müssen darauf achten, bei Formularen zwischen Pflichtangaben und freiwilligen/ optionalen Angaben zu differenzieren. Ein Hinweis oder eine direkte Verlinkung zur eigenen Datenschutzerklärung ist ebenfalls vorzunehmen.

Bei der technischen Umsetzung ist zudem auch auf den Grundsatz der Datensparsamkeit zu achten. Zudem sollten die Löschfristen und Aufbewahrungsfristen bereits bei der Programmgestaltung berücksichtigt werden.

Der Zweck der Datenverarbeitung

Bei der Erfüllung der Informationspflichten muss unter anderem auch immer der Zweck der Datenverarbeitung benannt werden. Der Zweck der Datenverarbeitung muss bereits bei der Erhebung der Daten festgelegt werden. Die Zweckbindung soll auf der einen Seite sicher stellen, dass der Betroffene weiß, für was genau seine Daten genutzt werden (sollen) und soll auf der anderen Seite zugleich verhindern, dass der Verantwortliche frei über die Daten zu anderen Zwecken bestimmen kann.

Bei der Datenverarbeitung im Rahmen eines Vertragsverhältnisses (zum Beispiel Arbeitsverträge, Kaufverträge oder Dienst- und Werkverträge) kann die Datenverarbeitung auf Art. 6 Abs. 1 S. 1 lit. b DSGVO als Legitimationsgrundlage gestützt werden. Demnach ist die Datenverarbeitung insbesondere dann zulässig, "wenn es der Zweckbestimmung des Vertragsverhältnisses dient."

Als Vertragszweck ist wiederum die Erfüllung der gegenseitigen Pflichten anzusehen.

Praxisbeispiel: Arbeitgeber und Arbeitnehmer haben aus dem Arbeitsvertrag verschiedene Rechte und Pflichten. Für die Vergütung muss der Arbeitgeber verschiedenen persönliche Daten seines Arbeitnehmers erhalten. So ist zum Beispiel der Bildungsstand, die Angabe zum Personenstand, die Angabe von Unterhaltspflichten und die Angabe der Bankdaten unverzichtbar für die Bezahlung. Allerdings darf ein Arbeitgeber diese Daten erst nach Vertragsschluss abfragen, da sie für den eigentlichen Abschluss des Arbeitsvertrages nicht erforderlich sind. Sie betreffen (nur) die Durchführung.

Ändert sich der Zweck der ursprünglichen Datenverarbeitung, muss eine neue und gesonderte Berechtigung vorliegen bzw. eine neue Einwilligung eingeholt werden.

Achtung: Auch der neue Zweck muss wiederum rechtlich legitimeirt sein und darf die Rechte des Betroffenen nicht verletzen. Der Zweck muss zudem im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO aufgenommen werden.

Bei Rückfragen stehe ich Ihnen als Rechtsanwältin und externe Datenschutzbeauftragte gerne zur Verfügung.