Unsere personenbezogenen Daten werden täglich mehrfach bei der Benutzung des Internets gespeichert und von Unternehmen weiterverarbeitet. Auch wenn es uns manchmal so vorkommt, als hätten wir keine Kontrolle darüber und dass die Unternehmen einfach frei alle möglichen Daten sammeln und verwenden, gibt es in der Datenschutzgrundverordnung Regeln und Einschränkungen dafür. In Artikel 5 der DSGVO beispielsweise ist die Verarbeitung von personenbezogenen Daten geregelt.
Welche wichtigen Grundsätze dabei eingehalten werden müssen und was sie genau bedeuten, erfahrt ihr in diesem Beitrag. Außerdem bietet itsmydata dir die Möglichkeit, zu erfahren, welche Daten von dir verarbeitet werden und wie du Kontrolle über deine Daten bekommen kannst.
Was genau passiert bei der „Verarbeitung“ meiner Daten?
Wichtig ist, dass es sich hier nur um die personenbezogenen Daten handelt, nicht allgemein um alle Daten. Sobald personenbezogene Daten in irgendeiner Form verwendet werden, spricht man von einer Verarbeitung der Daten. Darunter fallen die Organisation und das Ordnen der Daten, die Speicherung, Bereitstellung, Lagerung, Veränderung, Übermittlung
Löschung und Vernichtung. Die Datenschutzgesetze sind grundsätzlich „Verbotsgesetze“, das heißt die Verarbeitung von personenbezogenen Daten ist strikt verboten, außer du erfüllst die Voraussetzungen für die Rechtmäßigkeit der Verarbeitung – sogenannte „Erlaubnistatbestände“. Darunter fällt aber auch z.B. das berechtigte Interesse des Verantwortlichen. Näheres hierzu liest du in unserem gesonderten Beitrag zu Artikel 6 der DSGVO.
Was genau sind personenbezogene Daten?
Wenn über die Daten einer Person – persönliche Daten – gesprochen wird, sind damit personenbezogene Daten gemeint. Dazu zählen beispielsweise Name, Geburtsdatum, Kontaktdaten (Adresse, Telefon, E-Mail-Adresse), Familienstand, Gesundheits- und Fitnesshistorie, Zahlungs- und Bonitätsinformationen, Reisepassnummer, Standort- und Bewegungsdetails sowie die Personalausweisnummer.
Was genau steht in Art. 5 der DSGVO?
Art. 5 der DSGVO gibt für Unternehmen richtungsweisende Leitlinien zur Verarbeitung unserer personenbezogenen Daten vor. Dabei gelten folgende sieben Grundsätze:
1. Grundsatz von Treu und Glauben, Rechtmäßigkeit, Transparenz
Zunächst einmal sind personenbezogene Daten rechtmäßig, transparent und unter Beachtung von Treu und Glauben zu verarbeiten. Was genau bedeutet das? Die Verarbeitung von unseren Daten ist dann rechtmäßig, wenn eine Rechtsgrundlage vorliegt wie zum Beispiel die freiwillige Einwilligung der betroffenen Person zur Verarbeitung oder ein Vertrag. Die Rechtmäßigkeit ist zusätzlich noch einmal in Artikel 6 geregelt. Der Grundsatz der Transparenz besagt, dass alle Informationen und Mitteilungen zur Verarbeitung der personenbezogenen Daten leicht zugänglich und in klarer und einfacher Sprache verfasst sind. Das heißt, die Verarbeitung muss für die betreffende Person nachvollziehbar sein. Außerdem hat der Betroffene das Recht auf Auskunft seiner personenbezogenen Daten unabhängig vom Ort der Verarbeitung.
Das Verständnis von Treu und Glauben ist schwieriger zu greifen. Grundsätzlich wird von dem für die Verarbeitung Verantwortlichen eine gewisse Rücksichtnahme gegenüber der betroffenen Person erwartet. Unfaires bzw. treuwidriges Verhalten wie z.B. Softwares, die Daten ohne Wissen des Computerbenutzers ausspioniert (Spyware), führen zu einem Verstoß gegen die Verarbeitung nach Treu und Glauben und widersprechen zugleich stets dem Grundsatz der Transparenz.
2. Grundsatz der Zweckbindung
Weiterhin dürfen die personenbezogenen Daten nur für festgelegte, eindeutige sowie legitime Zwecke erhoben werden. Die Verarbeitung von Daten unterliegt also einer Zweckbindung. Das betrifft auch die Weiterverarbeitung. Die Weitergabe an Dritte ist ein neuer Zweck und bedarf eines Rechtfertigungsgrundes oder der Einwilligung. Der Zweck muss grundsätzlich schon zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen und außerdem so präzise wie möglich formuliert sein. Allgemeine Begriffe wie für Zwecke der „künftigen Forschung“ oder des „Marketings“ reichen nicht aus, es muss detailliert aufgeführt sein, welche Verarbeitungen unter den jeweiligen Begriff fallen.
3. Grundsatz der Datenminimierung
Außerdem gilt bei der Verarbeitung personenbezogener Daten auch die Datenminimierung. Das bedeutet, dass die erhobenen Daten auf ein Minimum beschränkt sein müssen und dem Zweck angemessen sein. Konkret bezieht sich dieser Grundsatz auf die Datenmenge, den Verarbeitungsumfang, die Speicherdauer und die Zugänglichkeit. Außerdem dürfen aus bereits vorhandenen Daten keine zusätzlichen Informationen abgeleitet werden. Theoretisch könnte man über den Namen eines Nutzers auf das Geschlecht schließen und so gegebenenfalls Werbung personalisieren. Dies ist jedoch nicht erlaubt, wenn der Betroffene der Verarbeitung dieser Daten nicht freiwillig zugestimmt hat.
4. Der Grundsatz der Richtigkeit
Dieser Grundsatz ist vor allem für den Betroffenen wichtig. Hier ist gefordert, dass personenbezogene Daten sachlich richtig und aktuell sind. Der Verantwortliche muss also auch auf die Aktualisierung der Daten achten, wenn es zu einer Veränderung kommt.
5. Der Grundsatz der Speicherbegrenzung
In zeitlicher Hinsicht gilt der Grundsatz zur Speicherbegrenzung. Deine personenbezogenen Daten dürfen nur für den Zeitraum gespeichert werden, für den die entsprechenden personenbezogenen Daten im Hinblick auf den Zweck der Datenverarbeitung benötigt werden. Der Verantwortliche muss hier selbstständig mittels geeigneter Maßnahmen für diese angemessene Speicherbegrenzung sorgen.
6. Grundsätze der Integrität und Vertraulichkeit
Schließlich gelten auch die Grundsätze der Integrität und Vertraulichkeit im Hinblick auf die Datenverarbeitung. Der Betroffene muss darauf vertrauen können, dass seine Daten vertraulich und unversehrt behandelt werden. Dies umfasst auch geeignete technische und organisatorische Maßnahmen, die dafür sorgen, dass die verarbeiteten Daten vor Verlust, unrechtmäßiger Verarbeitung, vor Zerstörung oder Schädigung geschützt werden. Außerdem haben Unbefugte kein Recht, die Daten einzusehen oder weiter zu verarbeiten.
7. Rechenschaftspflicht
Im zweiten Absatz von Art. 5 der DSGVO wird der Verantwortliche zur Rechenschaft über die Einhaltung der Bedingungen verpflichtet. Das bedeutet, dass nachgewiesen werden muss, dass die oben genannten Punkte und die allgemeinen Grundsätze der DSGVO eingehalten werden. Zudem müssen Maßnahmen ergriffen werden, um mögliche Verstöße zu vermeiden.
Wie kann ich herausfinden, welche personenbezogenen Daten von mir verarbeitet werden?
Ein weiterer Artikel in der DSGVO (Artikel 15) verschafft dir das Recht zu erfahren, ob ein Unternehmen persönliche Daten von Dir verarbeitet und welche Informationen das sind. Auch kannst Du erfragen, warum es das tut.
Itsmydata und Kontrolle über deine personenbezogenen Daten
Mit itsmydata kannst Du Dir einen Überblick über alle deine personenbezogenen Daten verschaffen. Hierfür registrierst Du Dich einfach komplett gratis auf dem Portal und kannst anschließend direkt beginnen. Mit Deinem ganz persönlichen Datenkonto kannst Du bei zahlreichen Unternehmen die gespeicherten Daten anfragen und diese zentral abspeichern.
Insgesamt kannst du somit von über 100 Unternehmen eine Selbstauskunft über deine Daten verlangen. Die Selbstauskunft zu Deinen gespeicherten persönlichen Daten ist sehr einfach und schnell angefragt, so dass Du in wenigen Sekunden an die gewünschten Informationen kommst. Alles, was Du dafür tun musst, ist es, Dich auf der Plattform kostenlos zu registrieren: https://portal.itsmydata.de/signup.