Datenschutz und Datenverarbeitung

Umfang und Zweck der Datenverarbeitung


Umfang der Datenverarbeitung

Neben dem Zweck spielt für die Rechtmäßigkeit der Datenverarbeitung auch der Umfang eine wichtige Rolle. Bei der Datenverarbeitung ist daher darauf zu achten, dass die Erhebung und Verarbeitung von personenbezogenen Daten grundsätzlich nur auf den vorab festgelegten Zweck begrenzt wird. Daten, die für den Zweck unerheblich sind, dürfen nicht erhoben und verarbeitet werden.

 

Praxisbeispiel: Daten wie der Familienstand oder die Zugehörigkeit zu einem Verein sind in der Regel nicht erforderlich, wenn es um die Abwicklung eines Kaufvertrages geht. Daher drüfen diese in diesem Zusammenhang auch nicht abgefragt werden. Hier werden eher Angaben zum Namen, der Anschrift und Kontaktinformationen (Telefon, E-Mail) benötigt.

 

Achtung: Auf Webseiten und in Online-Shops werden oftmals sehr viele Daten abgefragt. Unternehmer sollten hierbei darauf achten, zwischen Pflichtangaben und optionalen / freiwilligen Angaben zu unterscheiden und die Unterscheidung auch kenntlich zu machen. Ebenfalls sinnvoll ist hier eine direkte Verlinkung zur eigenen Datenschutzerklärung aufzunehmen.

 

Des Weiteren gilt bei der technischen Umsetzung der Grundsatz der Datensparsamkeit. Auch die Lösch- und Aufbewahrungsfristen sollten bereits bei der Programmgestaltung Berücksichtigung finden.

 

Zweck der Datenverarbeitung

Bei der Erfüllung der Informationspflichten muss auch der Zweck der Datenverarbeitung benannt werden. Dieser muss bereits bei der Erhebung der Daten festgelegt werden. Für den Betroffenen bringt dies zwei Vorteile. Zum einen weiß der Betroffene, wofür seine Daten verarbeitet werden (sollen) und zum anderen wird verhindert, dass der Verantwortliche frei über die Daten zu anderen Zwecken bestimmen kann.

 

Im Rahmen eines Vertragsverhältnisses (z.B. bei Arbeits-, Kauf-, Dienst- oder Werkverträgen) kann die Datenverarbeitung grundsätzlich auf Art. 6 Abs. 1 S. 1 lit. b DSGVO als Legitimationsgrundlage gestützt werden. Demnach ist die Datenverarbeitung insbesondere dann zuläassig, wenn es der Zweckbestimmung des Vertragsverhältnisses dient.

 

Die gegenseitigen Pflichten aus dem geschlossenen Vertrag sind hierbei die Zweckbestimmung.

 

Praxisbeispiel: Im Rahmen eines Arbeitsverhältnisses haben Arbeitgeber und Arbeitnehmer verschiedene Rechte und Pflichten. Der Arbeitgeber muss unter anderem verschiedene persönliche Daten seines Arbeitnehmers erhalten, um dessen Vergütung ordnungsgemäß auszahlen zu können. So sind etwa Bankdaten unverzichtbar für die Zahlung der Arbeitsvergütung.

 

Bei einer Änderung des ursprünglichen Zwecks der Datenverarbeitung muss eine neue und gesonderte Legitimationsgrundlage vorliegen bzw. eine Einwilligung eingeholt werden.

 

Achtung: Auch der neue Zweck muss rechtlich legitimiert sein. Die Rechte des Betroffenen dürfen nicht verletzt werden. Der neue Zweck muss außerdem in das Verarbeitunsverzeichnis nach Art. 30 DSGVO aufgenommen werden.

 

Bei Rückfragen stehe ich Ihnen als Rechtsanwältin und externe Datenschutzbeauftragte gerne zur Verfügung.


Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.