Begriff und Bedeutung der Datenerhebung
Datenerhebung bezeichnet im rechtlichen Kontext das systematische Erfassen, Sammeln oder Aufzeichnen von personenbezogenen Daten, insbesondere im Rahmen von automatisierten oder nicht-automatisierten Verfahren. Als wesentlicher Bestandteil des Datenschutzrechts ist die Datenerhebung die erste Stufe der Datenverarbeitung und somit Ausgangspunkt zahlreicher rechtlicher Regelungen, die den Umgang mit personenbezogenen Informationen kontrollieren.
Rechtliche Grundlagen der Datenerhebung
Datenschutz-Grundverordnung (DSGVO)
Die zentrale Rechtsgrundlage für die Erhebung personenbezogener Daten innerhalb der Europäischen Union bildet die Verordnung (EU) 2016/679, bekannt als Datenschutz-Grundverordnung (DSGVO). Artikel 4 Nr. 2 DSGVO definiert „Verarbeitung“ als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang, insbesondere das Erheben von Daten. Die rechtlichen Anforderungen an die Datenerhebung sind in verschiedenen Normen festgelegt, insbesondere in Artikel 5 und Artikel 6 DSGVO.
Grundsätze der Datenerhebung nach Artikel 5 DSGVO
Die in Artikel 5 DSGVO normierten Grundsätze wirken sich direkt auf die Erhebung personenbezogener Daten aus:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Die Erhebung muss auf einer legitimen Rechtsgrundlage beruhen, für die betroffene Person nachvollziehbar und transparent erfolgen.
- Zweckbindung
Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.
- Datenminimierung
Die Erhebung ist auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken.
- Richtigkeit
Es ist sicherzustellen, dass nur zutreffende Daten erhoben werden.
- Speicherbegrenzung
Daten dürfen nicht länger als erforderlich aufbewahrt werden.
- Integrität und Vertraulichkeit
Angemessene Sicherheitsmaßnahmen sind bereits bei der Erhebung zu gewährleisten.
Rechtmäßigkeit der Datenerhebung (Artikel 6 DSGVO)
Eine Datenerhebung ist nur rechtmäßig, wenn mindestens eine der in Artikel 6 DSGVO genannten Bedingungen erfüllt ist, z.B.:
- Einwilligung der betroffenen Person,
- Erfüllung eines Vertrags,
- Erfüllung einer rechtlichen Verpflichtung,
- Wahrung lebenswichtiger Interessen,
- Wahrnehmung einer Aufgabe im öffentlichen Interesse,
- Wahrung berechtigter Interessen des Verantwortlichen, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Bundesdatenschutzgesetz (BDSG) und weitere Regelungen
Auf nationaler Ebene wird die DSGVO durch das Bundesdatenschutzgesetz (BDSG) sowie spezielle Datenschutzgesetze (z.B. Sozialgesetzbuch, TMG, TKG) ergänzt. Diese enthalten zusätzliche oder differenzierende Vorschriften für bestimmte Bereiche und Verarbeitungssituationen, etwa im Beschäftigungsverhältnis oder bei öffentlicher Datenerhebung.
Formen der Datenerhebung
Direkte Erhebung bei der betroffenen Person
Grundsätzlich sind personenbezogene Daten direkt bei der betroffenen Person zu erheben (Artikel 13 DSGVO). Dies fördert Transparenz und gewährleistet, dass die betroffene Person informiert wird.
Informationspflichten bei der Datenerhebung
Im Rahmen der direkten Erhebung ist die verantwortliche Stelle verpflichtet, die betroffene Person umfassend zu informieren über:
- die Identität des Verantwortlichen,
- Zwecke und Rechtsgrundlagen der Datenerhebung,
- Empfänger oder Kategorien von Empfängern,
- Speicherdauer,
- Rechte der betroffenen Person,
- das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde.
Indirekte Datenerhebung bei Dritten
Unter bestimmten Umständen erfolgt die Datenerhebung ohne Kenntnisnahme durch die betroffene Person (Artikel 14 DSGVO), beispielsweise bei Ermittlungen, Bonitätsauskünften oder Auftragsverarbeiter-Konstellationen. Auch hier bestehen weitreichende Informationspflichten.
Besondere Kategorien personenbezogener Daten
Sensible Daten (Art. 9 DSGVO)
Die Erhebung sogenannter besonderer Kategorien personenbezogener Daten, wie Gesundheitsdaten, genetischer oder biometrischer Daten, unterliegt strengeren Anforderungen und ist grundsätzlich untersagt, es sei denn, ein Ausnahmetatbestand greift ein.
Daten von Kindern (Art. 8 DSGVO)
Bei Kindern sieht die DSGVO besondere Schutzmaßnahmen vor. Insbesondere die Einholung einer wirksamen Einwilligung eines Erziehungsberechtigten ist Voraussetzung bei Diensten der Informationsgesellschaft.
Technische und organisatorische Maßnahmen bei der Datenerhebung
Gemäß Artikel 25 und 32 DSGVO muss der Verantwortliche bereits bei der Datenerhebung geeignete technische und organisatorische Maßnahmen (sogenanntes „Privacy by Design“ und „Privacy by Default“) treffen, um ein angemessenes Schutzniveau sicherzustellen.
Sanktionen und Rechtsfolgen bei unrechtmäßiger Datenerhebung
Bußgelder
Verstöße gegen die Vorschriften zur Datenerhebung können durch nationale Aufsichtsbehörden mit erheblichen Bußgeldern geahndet werden, die je nach Schwere bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen können.
Schadensersatzansprüche
Nach Artikel 82 DSGVO haben betroffene Personen bei Verstößen gegen datenschutzrechtliche Vorschriften ein Recht auf Schadenersatz, sofern ein materieller oder immaterieller Schaden entstanden ist.
Weitere Sanktionen
Darüber hinaus können die Aufsichtsbehörden Maßnahmen wie Anordnungen zur Unterlassung oder Löschung unrechtmäßig erhobener Daten erlassen.
Internationale Datenerhebung und Datentransfer
Werden personenbezogene Daten außerhalb der Europäischen Union erhoben oder verarbeitet, sind zusätzlich die Vorgaben über internationale Datenübermittlungen (Kapitel V DSGVO) zu beachten. Dazu zählen insbesondere Angemessenheitsbeschlüsse, Standarddatenschutzklauseln sowie weitere geeignete Garantien zum Datenschutz.
Zusammenfassung
Die Datenerhebung ist rechtlich durch ein vielschichtiges Regelwerk geprägt, das sowohl materielle als auch formelle Anforderungen voraussetzt. Die Einhaltung der gesetzlichen Vorgaben ist dabei für alle datenverarbeitenden Stellen von zentraler Bedeutung, um sowohl die Rechte der betroffenen Personen als auch die eigene Rechtssicherheit zu wahren. Die fortlaufende Entwicklung des Datenschutzrechts, insbesondere die zunehmende Digitalisierung, bedingt eine fortwährende Überprüfung und Anpassung der Datenerhebungspraktiken.
Hinweis: Der Inhalt stellt eine allgemeine Übersicht dar und ersetzt keine individuelle Prüfung des Einzelfalls.
Häufig gestellte Fragen
Wann ist eine Datenerhebung rechtlich zulässig?
Die Erhebung personenbezogener Daten ist grundsätzlich nur zulässig, wenn eine gesetzliche Grundlage dies erlaubt. Im europäischen Raum ist die wichtigste Rechtsquelle hierfür die Datenschutz-Grundverordnung (DSGVO). Demnach bedarf es entweder einer ausdrücklichen Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) oder einer anderen rechtlichen Erlaubnisgrundlage, etwa zur Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO), zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) oder zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO), sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Für besondere Kategorien personenbezogener Daten, wie Gesundheitsdaten, gelten gemäß Art. 9 DSGVO noch strengere Anforderungen. Verstöße gegen diese Grundsätze können mit erheblichen Bußgeldern geahndet werden.
Welche Informationspflichten bestehen bei der Datenerhebung?
Bereits zum Zeitpunkt der Datenerhebung müssen gemäß Art. 13 DSGVO betroffene Personen umfassend informiert werden. Dazu zählen die Identität und die Kontaktdaten des Verantwortlichen, der Zweck der Verarbeitung, die Rechtsgrundlage, eventuelle Empfänger der Daten, die Dauer der Speicherung sowie Hinweise auf die Rechte der betroffenen Person (z. B. Auskunftsrecht, Recht auf Löschung, Beschwerderecht bei einer Aufsichtsbehörde). Erfolgt die Datenerhebung nicht direkt bei der betroffenen Person, sind die Verpflichtungen gemäß Art. 14 DSGVO einzuhalten. Die Informationspflichten müssen in klarer, verständlicher Sprache erfolgen.
In welchem Umfang dürfen Daten erhoben werden?
Nach dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) dürfen nur solche Daten erhoben werden, die dem festgelegten Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sind. Das bedeutet, dass Unternehmen und Organisationen stets prüfen müssen, ob und welche Daten für den jeweiligen Zweck tatsächlich erforderlich sind. Darüber hinaus ist eine regelmäßige Überprüfung und ggf. Löschung nicht mehr benötigter Daten gesetzlich gefordert.
Welche Rolle spielt die Einwilligung bei der Datenerhebung?
Eine Einwilligung ist nur dann wirksam, wenn sie freiwillig, informiert, eindeutig und spezifisch erfolgt. Sie muss klar nachvollziehbar dokumentiert werden. Die betroffene Person muss jederzeit in der Lage sein, ihre Einwilligung ohne Angabe von Gründen zu widerrufen. Besondere Anforderungen bestehen bei der Einwilligung von Kindern oder in Arbeitsverhältnissen, da hier eine besondere Schutzbedürftigkeit angenommen wird. In vielen Fällen ist aber eine Einwilligung nicht zwingend notwendig, wenn andere Rechtsgrundlagen greifen.
Welche Dokumentations- und Nachweispflichten bestehen bei der Datenerhebung?
Verantwortliche sind nach Art. 5 Abs. 2 DSGVO („Rechenschaftspflicht“) dazu verpflichtet, die Einhaltung der datenschutzrechtlichen Grundsätze nachweisen zu können. Das bedeutet, dass sämtliche Prozesse der Datenerhebung, der Zweckbindung, der Löschung und etwaiger Einwilligungen nachvollziehbar dokumentiert werden müssen. Häufig erfolgt dies in Form eines sogenannten Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO), das auch der Datenschutzaufsichtsbehörde auf Anfrage vorzulegen ist.
Welche Sanktionen drohen bei unrechtmäßiger Datenerhebung?
Bei Verstößen gegen die Vorschriften zur Datenerhebung sieht die DSGVO empfindliche Strafen vor. Je nach Schwere des Verstoßes können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes eines Unternehmens verhängt werden (Art. 83 DSGVO). Neben der Verhängung von Bußgeldern sind auch Schadensersatzansprüche der betroffenen Personen sowie Rufschädigungen möglich. Die Aufsichtsbehörden können zudem auf die sofortige Unterlassung und Löschung der unrechtmäßig erhobenen Daten drängen.
Was gilt bei der Datenerhebung im Auftragsverhältnis?
Werden Daten durch einen Auftragsverarbeiter im Auftrag des eigentlichen Verantwortlichen erhoben, regelt Art. 28 DSGVO das Verhältnis. Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter ausreichende Garantien bezüglich technischer und organisatorischer Maßnahmen bietet. Es muss ein Auftragsverarbeitungsvertrag abgeschlossen werden, in dem insbesondere Zweck, Umfang und Dauer der Datenerhebung sowie die Rückgabepflichten nach Beendigung des Auftrages klar geregelt sind. Eine Eigenverarbeitung des Auftragsverarbeiters außerhalb der Weisungen des Verantwortlichen ist unzulässig und stellt einen Verstoß dar.
