Grundsätze für die Verarbeitung personenbezogener Daten
Nachdem im ersten Beitrag der Anwendungsbereich und erste Schritteerörtert wurden, geht es nun um die
Grundsätze für die Verarbeitung personenbezogener Daten
Personenbezogenen Daten
..sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele sind: Name, Wohnort, Steuernummer, Religionszugehörigkeit.
Es gibt Grundprinzipien, die dem gelebten Datenschutz zu Grunde liegen. Im Datenschutzrecht gilt das sogenannte Prinzip des ‚Verbotes mit Erlaubnisvorbehalt’. Das heißt wiederum, dass es immer einer Begründung bedarf, wenn (Betroffenen-)Daten erhoben, verarbeitet oder ggfs. weitergeleitet werden. Es gibt nur zwei zulässige Gründe dies zu tun. Entweder es gibt
- eine gesetzliche Grundlage, die regelt, welche Daten von wem, für wen und zu welchen Zweck verarbeitet werden dürfen,
- es liegt eine Einwilligung der betroffenen Person vor.
Eine Einwilligungist jede freiwillige, für einen Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffenen Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Wenn man demnach Daten verarbeiten darf, muss sichergestellt sein, dass dabei insbesondere die Zweckbindung, Richtigkeit und die Erforderlichkeit beachtet werden. Des weiteren muss darüber Rechenschaft abgelegt werden.
Beispiel: Grundsätzlich ist es also verboten, beispielsweise die Verlaufs- oder Krankengeschichte an eine dritte Person weiter zu geben. Eine Ausnahme besteht nur, wenn ein Gesetz die Übermittlung erlaubt – wie zum Beispiele die Abrechnungsdaten an die gesetzliche Krankenkasse. Oder die Patientin hat eingewilligt, eine externe Abrechnungsstelle einzuschalten.
Selbstverständlich müssen die Daten ‚richtig’ sein, das heißt, sie müssen sachlich richtig und erforderlichenfalls auf dem neusten Stand sein. Verantwortliche müssen mit angemessenem Aufwand sicherstellen, dass die Daten (z.B. Kunden, Mitarbeiter, Patienten, Klienten, ..) aktuell sind.
Zu beachten ist dann auch noch, dass die personenbezogenen Daten, die der Zweckerreichung nicht mehr erforderlich sind und für die es keine sonstigen Aufbewahrungsvorschriften mehr gibt, entweder zu löschen oder so zu ändern sind, dass jeglicher Personenbezug wegfällt.
Rechenschaftspflicht
Die Aufsichtsbehörde darf von dem Verantwortlichen verlangen, dass er im Zweifel durch Vorlage einer schriftlichen Dokumentation nachweisen kann,
- welche personenbezogenen Daten er verarbeitet,
- auf welcher Rechtsgrundlage er dies konkret macht,
- für welchen Zweck er die Daten verwendet und
- für wie lange er sie noch speichern möchte.
Diese Verpflichtung trifft alle! Unternehmen, soziale Einrichtungen, Vereine usw.
Dies kann man relativ einfach dadurch erfüllen, indem man ein Verarbeitungsverzeichnis um diese Informationen ergänzt. Wie so ein Verarbeitungsverzeichnis aussehen kann, wir in einem der nächsten Beiträge beschrieben.
Kontakt und weitere Informationen
Uwe Huchler, Chefredakteur von social-software.de
