Für die Erhebung und Verarbeitung von personenbezogenen Daten gilt ein Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Nutzung nur dann zulässig ist, wenn eine Einwilligung oder mindestens eine andere den Vorschriften entsprechende Ausnahme vorliegt.
Diese Ausnahmen sind:
Beschäftigt man sich mit der ordnungsgemäßen Erhebung personenbezogener Daten, spielt auch der Begriff der Zweckbindung eine Rolle. Demnach dürfen die Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Unternehmen müssen also zu jeder Datenverarbeitung vorab genau definieren, welchem Zweck sie dient. Beispiel: Über einen Onlineshop werden Bestelldaten einschließlich der E-Mail-Adresse generiert. Zweck der Datenverarbeitung wäre hier die Abwicklung der einzelnen Bestellungen, die zur Erfüllung von Verträgen insbesondere ohne explizite Einwilligung des Kunden zulässig ist. Sollen die Daten jedoch später auch zu anderen Zwecken genutzt werden, z. B. zum Versenden von Werbe-Mailings, wäre dazu zuvor wegen der Zweckänderung eine gesonderte Einwilligung der Betroffenen einzuholen.
Die DSGVO hat klare Bedingungen für eine datenschutzkonforme Einwilligung definiert. Eine Einwilligung muss demnach freiwillig erfolgen und die betroffene Person hat ein Widerrufsrecht, worauf sie bereits bei der Einwilligung hingewiesen werden muss. Darüber hinaus müssen Unternehmen das Kopplungsverbot beachten. Das bedeutet, dass die Einwilligung nicht die automatische Einwilligung eines anderen Vertrages, z. B. die Erbringung einer Dienstleistung, darstellen darf.
Nach Artikel 17 der DSGVO ist der Verantwortliche dazu verpflichtet, die Daten einer betroffenen Person unverzüglich zu löschen, wenn einer der folgenden Punkte zutrifft:
Viele Unternehmen müssen geschäftliche Unterlagen z. B. aufgrund von Nachweispflichten über einen bestimmten Zeitraum hinweg speichern. In der Regel unterscheidet man dabei zwischen sechs und zehn Jahren. Diese Frist ist vorrangig! Das bedeutet: auch wenn eine betroffene Person das Recht auf Löschung in Anspruch nehmen möchte, muss dies abgelehnt werden. In diesem Fall tritt das Recht auf Sperrung der personenbezogenen Daten in Kraft. Alle Ausnahmen sind in
Art. 17 Abs. 3 DSGVO definiert. Liegt kein Ausnahmefall vor, müssen die Daten umgehend gelöscht werden.
Sie erreichen uns gerne per Telefon: +49 7531 8101 0 oder
Das cobra Beratungsangebot zum Thema Datenschutz.
Jetzt E-Book kostenlos zum Download für Sie!