Lernmodul 2 von 6
2. Rechtliche Grundlagen
Die DSGVO regelt, wie in der Europäischen Union mit personenbezogenen Daten umgegangen werden darf. Sie gilt immer dann, wenn Daten von Personen verarbeitet werden – also, wenn sie zum Beispiel gesammelt, gespeichert, übermittelt oder gelöscht werden. Das betrifft sowohl digitale Verarbeitungen wie durch Software oder Apps, als auch manuelle, wenn die Daten in geordneter Form vorliegen, zum Beispiel in einer Aktenkartei. Die DSGVO gilt für alle Unternehmen und Organisationen in der EU, aber auch für Firmen außerhalb der EU, wenn sie sich an Menschen in der EU richten – etwa durch den Verkauf von Produkten oder durch das Beobachten ihres Verhaltens im Internet.
Wichtig ist: Es dürfen nur dann personenbezogene Daten verarbeitet werden, wenn dafür eine rechtliche Grundlage besteht. Eine solche Grundlage ist zum Beispiel die Einwilligung der betroffenen Person. Dazu muss man bewusst und freiwillig zustimmen, dass die eigenen Daten verwendet werden dürfen, etwa bei einem Newsletter. Auch eine Vertragserfüllung kann eine Grundlage sein, zum Beispiel bei einer Bestellung im Online-Shop, wo Name und Adresse für den Versand gebraucht werden. In anderen Fällen schreibt das Gesetz die Verarbeitung vor, etwa zur Erfüllung gesetzlicher Pflichten, wie der Aufbewahrung von Rechnungen. Daten dürfen auch verarbeitet werden, um lebenswichtige Interessen zu schützen, zum Beispiel bei einem medizinischen Notfall. Öffentliche Stellen können Daten verarbeiten, wenn sie eine gesetzliche Aufgabe erfüllen. Und Unternehmen dürfen Daten verarbeiten, wenn sie ein berechtigtes Interesse haben – etwa zur Sicherheit durch Videoüberwachung –, allerdings nur, wenn dies nicht die Rechte der betroffenen Personen verletzt.
Ein zentrales Prinzip der DSGVO ist die sogenannte Zweckbindung: Daten dürfen nur für den Zweck verarbeitet werden, für den sie ursprünglich erhoben wurden. Das bedeutet zum Beispiel: Wenn jemand seine E-Mail-Adresse für den Versand einer Rechnung angibt, darf diese nicht einfach für Werbezwecke verwendet werden – außer es wurde ausdrücklich zugestimmt.
Damit verbunden sind Prinzipien der Datenminimierung und Datensparsamkeit: Es sollen nur so viele Daten erhoben und gespeichert werden, wie wirklich notwendig sind. Unternehmen dürfen also nicht „auf Vorrat“ Daten sammeln, sondern müssen genau prüfen, welche Angaben sie tatsächlich brauchen. Wo es möglich ist, sollte auf Daten verzichtet oder auf anonyme bzw. pseudonyme Varianten zurückgegriffen werden. Zum Beispiel kann es ausreichen, statt des Geburtsdatums nur das Alter anzugeben, wenn das für den jeweiligen Zweck genügt.
Zusammengefasst: Die DSGVO schützt die Privatsphäre der Menschen, indem sie klare Regeln aufstellt, wann und wie personenbezogene Daten verarbeitet werden dürfen. Sie fordert nicht nur eine rechtliche Grundlage, sondern auch einen verantwortungsvollen, auf das Nötigste beschränkten Umgang mit diesen Daten.