Der Datenschutz basiert auf dem Grundsatz der informationellen Selbstbestimmung. D. h. jeder Mensch muss selbst entscheiden können, was ein Anderer über ihn wissen darf und wie der Andere dieses Wissen nutzen darf. Daher legt Artikel 8 der Charta der Grundrechte der Europäischen Union fest, dass „jeder Mensch das Recht auf den Schutz sie betreffender Daten hat. Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.“
Dieses Recht ist eng verknüpft mit dem Recht auf freie Entfaltung der Persönlichkeit (Art. 2 GG), das einen Teil der Würde des Menschen darstellt (Art. 1 GG). Kann ein Mensch nicht mehr selbst über seine Daten bestimmen, ist er in seiner freien Entfaltung eingeschränkt und seine Menschenwürde ist angetastet.
Einem Menschen entsteht immer ein Schaden, wenn ihn betreffende Daten
- nicht nach Treu und Glauben,
- ohne seine Einwilligung oder
- eine andere legitime Grundlage verarbeitet werden.
Natürlich ist dieser Schaden nicht immer für die betroffene Person spürbar und manchmal auch sehr abstrakt. Das sollte aber nicht darüber hinwegtäuschen, dass der Schaden da ist. Hierzu ein Beispiel: Eine Frau wird heimlich von Ihrem Nachbarn fotografiert. Im Laufe der Zeit hat sich der Mann eine beachtliche Sammlung an Bildern angesammelt, die er für persönliche Zwecke nutzt. Der Mann mag sich sagen, dass der Frau dadurch kein Schaden entsteht. Was würde die Frau dazu sagen?
Wie jedes Grundrecht, ist auch das Recht auf informationelle Selbstbestimmung und freie Entfaltung der Persönlichkeit nicht uneingeschränkt. Es muss immer im Kontext gesehen und gegen andere Rechte und Pflichten abgewogen werden. Im Grundsatz muss ein Mensch seine Zustimmung zur Verarbeitung seiner Daten geben, da er sonst sein Recht auf informationelle Selbstbestimmung nicht ausüben kann. In der Realität ist das aber nicht immer möglich und auch nicht immer ausdrücklich nötig. Daher besteht die Notwendigkeit die Verarbeitung personenbezogener Daten durch Gesetze zu legitimieren.
Der Grundsatz der Rechtmäßigkeit (Art. 5 Abs. 1 a) DSGVO) zusammen mit dem Grundsatz der Verarbeitung nach Treu und Glauben bildet die Grundlage für den Art. 6 “Rechtmäßigkeit der Verarbeitung”. In diesem Artikel werden die Bedingungen definiert, die eine Verarbeitung personenbezogener Daten zulässig machen. Für jede Verarbeitung personenbezogener Daten ist eine (1) der Bedingungen zu erfüllen.
Einwilligung: Die erste Bedingung stellt auch gleichzeitig die stärkste Erlaubnis dar: Die Einwilligung der betroffenen Person. D. h. die betroffene Person hat ausdrücklich zu verstehen gegeben, dass sie mit der Verarbeitung ihrer Daten einverstanden ist. Die Einwilligung ist deshalb die stärkste Erlaubnis, weil sie dem Grundrecht auf informationelle Selbstbestimmung entspricht. Die Anforderungen an die Wirksamkeit einer Einwilligung sind hoch.
Erfüllung eines Vertrages: Die Verarbeitung personenbezogener Daten wird auch dadurch legitimiert, dass sie für die Erfüllung eines Vertrages notwendig ist, deren Vertragspartner die betroffene Person ist. Dazu gehört z.B. ein Kaufvertrag, ein Arbeitsvertrag, ein Behandlungsvertrag (Arzt) oder ein Beherbergungsvertrag (Hotel).
Rechtliche Verpflichtung: Besteht eine rechtliche Verpflichtung personenbezogene Daten zu verarbeiten, muss keine Einwilligung der betroffenen Person vorliegen. Auch nicht-öffentliche Stellen (z.B. Unternehmen) unterliegen rechtlichen Verpflichtungen personenbezogene Daten zu verarbeiten, z. B. Meldepflicht der Sozialversicherung, Dokumentationspflichten bei Arbeitsunfällen usw. Allerdings erlaubt diese Möglichkeit den Mitgliedsstaaten relativ umfassende Datenverarbeitungen zu legitimieren, solange diese nach Treu und Glauben erfolgen und einem bestimmten Zweck dienen.
Lebenswichtige Interessen: Manchmal ist es nötig Daten eine bestimmte Person betreffend zu verarbeiten um lebenswichtige Interessen zu schützen. Das ist sicherlich ein Ausnahmefall, aber er kommt vor. Z. B. ein medizinischer Notfall, bei dem die betroffene Person keine Einwilligung erteilen kann ob Allergieinformationen verarbeitet und weitergegeben werden dürfen. Der Notfall kann sich auch auf eine andere Person beziehen. So können z. B. Im Notfall Kontaktdaten einer Kontaktperson erfasst werden wenn dadurch lebenswichtige Interessen geschützt werden (z. B. kurzfristiges Beibringen benötigter Medikamente).
Öffentliches Interesse oder öffentliche Gewalt: Von dieser Erlaubnis ist die Verarbeitung personenbezogener Daten von Personen des Öffentlichen Interesses (z. B. Filmstars, Sportler, Politiker) erfasst, solange die Verarbeitung im öffentlichen Interesses erfolgt, d. h. die Verarbeitung dient nicht der Befriedigung der öffentlichen Neugier, sondern steht im Zusammenhang mit einem legitiminen öffentlichen Interesse und steht nicht im Konflikt mit dem Schutzbedarf den die betroffene Person hat. Davon erfasst ist aber auch die Jugendarbeit an Schulen, die Betreuung unbegleiteter minderjähriger Flüchtlinge, die Arbeit einer Mittagsbetreuung an einer OGS usw. Das sind öffentliche Aufgaben, die an nicht-öffentliche Stellen übertragen werden können.
Berechtigtes Interesse: Ein Verantwortlicher hat auch die Möglichkeit personenbezogene Daten zu verarbeiten um eigene berechtigte Interessen oder berechtigte Interessen eines Dritten zu schützen. Diese berechtigten Interessen könne z. B. Betrugsverhinderung, Informationssicherheit oder Direktwerbung sein. Es soll aber nicht der Eindruck entstehen, dass dadurch alles legitimiert werden kann. Berechtigtes Interesse ist ein mit Vorsicht zu genießender Begriff. Soll eine Datenverarbeitung auf Grundlage eines berechtigten Interesses durchgeführt werden, dann sollte auf jeden Fall eine Interessensabwägung mit Unterstützung eines Fachmanns durchgeführt werden.
Die DSGVO bietet uns also eine Auswahl an Vorbehalten unter denen die Verarbeitung personenbezogener Daten auch ohne Einwilligung zulässig ist. Vielfach ist es also gar nicht notwendig von der betroffenen Person eine Einwilligung einzuholen, viel Papier könnte gespart werden und die Leute wären vielfach auch nicht so genervt und gesättigt von dem Thema.
