Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Erhebung personenbezogener Daten

8. Januar 2019

Der Begriff der „Erhebung“ personenbezogener Daten ist in der DS-GVO nicht näher definiert. In Art. 4 Nr. 2 DS-GVO wird lediglich ausgeführt, dass das Erheben neben anderen Vorgängen wie dem Erfassen, Speichern, Verändern, Übermitteln als Verarbeitung anzusehen ist. Damit unterliegt auch das Erheben von Daten dem Regime der DS-GVO. Denn gemäß Art. 2 DS-GVO bezieht sich der sachliche Anwendungsbereich der DS-GVO auf die „ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.

Definition der Erhebung entscheidend für die Auslösung der Informationspflichten

Dabei ist die Definition des Erhebens von Daten durchaus von Bedeutung. Denn gemäß Art. 13 DS-GVO ist eine betroffene Person zum Zeitpunkt der „Erhebung“ seiner personenbezogenen Daten zu informieren. Ein Verständnis des Begriffs der Erhebung ist also wichtig, um entscheiden zu können ob und wann eine betroffene Person, deren Daten verarbeitet werden, zu informieren ist. Zu den Informationspflichten hatten wir bereits zu einem früheren Zeitpunkt Artikel veröffentlicht.

Häufig wird argumentiert, dass eine Erhebung immer dann vorliegt, wenn die Daten von der betroffenen Person zur Verfügung gestellt werden. Dies hört sich auf den ersten Blick nachvollziehbar an, würde aber zu einigen seltsamen Konstellationen führen. Es müssten beispielsweise auf jede eingehende E-Mail einer betroffenen Person, die nicht bereits zuvor informiert wurde, unverzüglich die gesamten Informationspflichten gemäß Art. 13 DS-GVO erfüllt werden. Denn mit dem Eingang der E-Mail werden die Daten im E-Mail Server gespeichert. Dies würde dann auch für E-Mails oder analog auch für andere Daten gelten, die man gar nicht angefordert hat oder im Zweifelsfall gar nicht haben wollte. Denken wir in diesem Zusammenhang nur an unerwünschte Werbeanrufe oder Spam-Mails. Auch diese Kontaktaufnahmen würden bei strenger Auslegung des Begriffs „Erhebung“ die Informationspflicht auslösen.

Aktives Handeln notwendig

Die bayerische Aufsichtsbehörde (BayLDA) hat zum Thema der Informationspflichten eine interessante Orientierungshilfe veröffentlicht in der sie auch den Begriff der Erhebung definiert und Beispiele nennt. Demnach liegt eine Erhebung nur dann vor, wenn ein „aktives Handeln“ des Verantwortlichen vorliegt; dieser also in irgendeiner Form zu erkennen gegeben hat, dass er diese Daten erhalten möchte. Zur Begründung verweist das BayLDA auf die englische Version der DS-GVO, der als Sprache des Gesetzgebungsprozesses eine besondere Bedeutung zukommen dürfte. Dort wird von „personal data … collected from the data subject“ gesprochen. Es wird hier also von einem aktiven Vorgang des „Sammelns“ ausgegangen. Eine zufällige oder ungewollte Kenntnisnahme wird nach dieser Definition noch keine Erhebung sein. Allerdings führt das BayLDA aus, dass die Definition des „aktiven Handelns“ sehr weit auszulegen ist. Auch wird die Empfehlung ausgesprochen, in allen Zweifelsfällen lieber zu informieren.

Handlungsempfehlungen

Welche konkreten Handlungsempfehlungen können daraus abgeleitet werden? Nach obiger Definition würden folgende Vorgänge unter den Begriff der Erhebung fallen:

  • eingehende Bewerbungsunterlagen aufgrund einer Stellenausschreibung (im Gegensatz zur Initiativbewerbung, siehe nächster Absatz),
  • Ausfüllen eines Formulars, in dem bestimmte Daten konkret abgefragt werden (im Gegensatz zum allgemeinen Kontaktformular, siehe nächster Absatz),
  • Abfragen von Kontaktdaten im Gespräch, zwecks späterer Kontaktaufnahme (beispielsweise zur Zusendung eines Angebots).

Nicht unter den Begriff der Erhebung würden folgende Vorgänge fallen:

  • eingehende Initiativbewerbungen, die sich nicht auf eine konkrete Stellenausschreibung beziehen,
  • Verwendung eines allgemeinen Formulars zur Kontaktaufnahme,
  • Jegliche Form unerwünschter Kontaktaufnahme wie Spam-E-Mails oder telefonische Kaltakquise.

Nachgelagerte Erhebung

Wenn zunächst keine Erhebung vorliegt, im weiteren Verlauf jedoch zusätzliche Daten abgefragt werden, so liegt bezüglich dieser zusätzlich abgefragten Daten natürlich wieder ein aktives Handeln und damit eine Erhebung vor. Fragt man beispielsweise im Rahmen einer unerwünschten telefonischen Kaltakquise weitere Daten ab um den Anrufer anschließend bei der Bundesnetzagentur zu melden so würde die Abfrage dieser Daten wiederum eine Erhebung darstellen.

Haben Sie in Ihrem Unternehmen sichergestellt, dass Sie die betroffenen Personen bei jeder Erhebung personenbezogener Daten gemäß Art. 13 DS-GVO informieren? Kontaktieren Sie uns, wir helfen Ihnen gerne!