Universität Bamberg
Suche öffnen
Sie befinden sich hier:

Datenschutz

  1.  Otto-Friedrich-Universität Bamberg
  2. Datenschutz
  3. Erläuterungen zum Datenschutz
  4. Elementaria

Grundlegende Informationen zum Datenschutz

Verfassungsrechtliche Fundierung des Datenschutzes

Auf bundesdeutscher Ebene hat das Datenschutzrecht seine Grundlage im Recht auf informationelle Selbstbestimmung, das vom Bundesverfassungsgericht als Element des allgemeinen Persönlichkeitsrechts anerkannt worden ist ("Volkszählungsurteil" vom 15.12.1983, BVerfGE 65, 1). Demnach darf der Einzelne “grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten […] bestimmen”, Einschränkungen dieses Rechts bedürfen einer verfassungsgemäßen gesetzlichen Grundlage und die von einer Datenverarbeitung Betroffenen müssen “wissen können, wer was wann und bei welcher Gelegenheit über sie weiß”. 

In der EU-Grundrechtecharta (GRCh) ist mit Art. 8 eine explizite Norm zum Schutz personenbezogener Daten verankert worden, wonach u. a. personenbezogene Daten “nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden [dürfen]” und Alle das Recht haben, “Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken”. 

Menschen und ihre Daten als Gegenstand des Datenschutzrechts

Die Regelungen des Datenschutzes gelten damit nur für personenbezogene Daten, also Daten, die einem konkreten Menschen zugeordnet werden können. Dazu gehören auch pseudonyme Daten, wobei die Personenzuordnung hier nur unter Zuhilfenahme zusätzlicher, separat aufbewahrter Informationen möglich ist. Anonyme Daten, d.h. Daten, bei denen kein Personenbezug herstellbar ist, werden von den datenschutzrechtlichen Regelungen nicht berührt. Nähere Informationen hierzu finden sich auf der Unterseite zum Personenbezug von Daten.

Grundsätze für die Verarbeitung personenbezogener Daten

Die Datenschutz-Grundverordnung (DSGVO) formuliert insgesamt neun Grundsätze, die bei der Verarbeitung von personenbezogenen Daten zu beachten sind:

Rechtmäßigkeit

Jede Verarbeitung von personenbezogenen Daten benötigt eine Rechtsgrundlage. Dies kann bspw. die Erforderlichkeit der Datenverarbeitung zur Erfüllung einer öffentlichen Aufgabe oder eines Vertrags sein oder eine Einwilligung der betroffenen Person in die Verarbeitung ihrer Daten. Nähere Informationen hierzu finden sich weiter unten.

Verarbeitung nach Treu und Glauben

Die Verarbeitung von personenbezogenen Daten darf nur auf „faire“ Art und Weise erfolgen. Beispiele für „unfaire“ Datenverarbeitung wären verborgene Verarbeitungsvorgänge wie z. B. versteckte Videokameras oder Software zum geheimen Ausspionieren oder Überwachen von Nutzenden.

Transparenz

Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden, weshalb die von der Datenverarbeitung Betroffenen hinsichtlich der “W-Fragen" (Wer? Wozu? Was? Wo? Wie lange?) aufgeklärt werden müssen. Der Herstellung von Verarbeitungstransparenz dienen insbesondere die Informationspflichten nach Art. 13 und 14 DSGVO sowie das Auskunftsrecht nach Art. 15 DSGVO.

Zweckbindung

Personenbezogene Daten dürfen allein für festgelegte Zwecke erhoben werden und in keiner nicht mit diesen Zwecken zu vereinbarenden Weise weiterverarbeitet werden.

Datenminimierung

Der Umfang der verarbeiteten Daten muss dem jeweiligen Zweck angemessen und auf das zu dessen Erreichung erforderliche Maß beschränkt sein. Eine Erhebung und Verarbeitung nicht notwendiger Daten ist damit zu vermeiden und mit Daten “sparsam” umzugehen. Werkzeuge der Datenminimierung sind auch Pseudonymisierung und Anonymisierung, also die Entfernung des Personenbezugs von Daten.

Richtigkeit

Personenbezogene Daten müssen inhaltlich korrekt und auf einem aktuellen Stand sein; „falsche“ bzw. veraltete Daten sind zu löschen oder zu berichtigen.

Speicherbegrenzung

Wenn personenbezogene Daten nicht mehr benötigt werden, muss ihre Löschung erfolgen.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen vertraulich behandelt und sicher verarbeitet werden. Insbesondere dürfen Unbefugte keinen Zugang zu den Daten und mithin auch keine Zugriffsmöglichkeit auf die Geräte und Systeme, mit denen diese verarbeitet werden, haben. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen.

Rechenschaftspflicht

Der für die Datenverarbeitung Verantwortliche muss nachweisen können, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO erfolgt. Dazu ist eine entsprechende Dokumentation erforderlich, bspw. hinsichtlich der Erfüllung der Informationspflichten oder der ergriffenen technischen und organisatorischen Maßnahmen.

Erforderlichkeit einer Rechtsgrundlage für die Datenverarbeitung

Im Datenschutzrecht gilt das Prinzip des “präventiven Verbots mit Erlaubnisvorbehalt”. Dies bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten und nur bei Erfüllung einer Erlaubnisvoraussetzung zulässig ist. 

Diese Zulässigkeitsvoraussetzungen sind in Art. 6 Abs. 1 DSGVO niedergelegt. Demnach ist eine Verarbeitung personenbezogener Daten möglich, wenn

  • die betroffene Person ihre Einwilligung dazu gegeben hat (Buchst. a),
  • die Datenverarbeitung im Rahmen eines Vertrags erforderlich ist (Buchst. b),
  • der Datenverarbeiter dazu gesetzlich verpflichtet ist (Buchst. c),
  • die Datenverarbeitung lebenswichtigen Interessen dient (Buchst. d),
  • die Datenverarbeitung zur Erfüllung öffentlicher Aufgaben notwendig ist (Buchst. e),
  • der Datenverarbeiter ein berechtigtes Interesse an der Verarbeitung hat, das die Interessen der betroffenen Person überwiegt (Buchst. f). Letztere Zulässigkeitsvoraussetzung gilt jedoch nur für private Datenverarbeiter wie bspw. Unternehmen und nicht für Behörden in Erfüllung ihrer Aufgaben.