Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Wiki

Wiki»Legal Lexikon»Datenerhebung

Datenerhebung

Datenerhebung: Begriff, Bedeutung und rechtlicher Kontext

Datenerhebung bezeichnet das Gewinnen von Informationen über Personen, Dinge oder Sachverhalte zu einem bestimmten Zweck. Im Datenschutzkontext geht es vorrangig um das Erfassen personenbezogener Daten, also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Datenerhebung kann offen (etwa durch Formulareingaben) oder verdeckt-passiv (zum Beispiel durch Protokolldaten eines Servers) erfolgen und sowohl analog als auch digital stattfinden.

Rechtlich ist Datenerhebung ein eigenständiger Verarbeitungsschritt innerhalb des weiteren Lebenszyklus von Daten, der typischerweise auch Speicherung, Nutzung, Übermittlung und Löschung umfasst. Maßgeblich ist, dass bereits der erste Zugriff auf personenbezogene Informationen rechtliche Anforderungen auslöst, unabhängig davon, ob die Daten später weiterverarbeitet werden.

Rechtsrahmen und Grundprinzipien

Geltungsbereich und Rollen

Das Datenschutzrecht gilt, wenn personenbezogene Daten verarbeitet werden. Verantwortlich ist die Stelle, die Zweck und Mittel der Datenerhebung festlegt (häufig Unternehmen, Vereine, Behörden). Dienstleister, die im Auftrag Daten erheben oder verarbeiten, gelten als Auftragsverarbeiter und benötigen klare vertragliche Regelungen mit der verantwortlichen Stelle. Betroffene sind die Personen, deren Daten erhoben werden.

Grundprinzipien der Datenerhebung

  • Zweckbindung: Daten dürfen nur für eindeutige, legitime Zwecke erhoben werden.
  • Rechtmäßigkeit: Es muss eine tragfähige Rechtsgrundlage für die Erhebung bestehen.
  • Transparenz: Betroffene sollen nachvollziehen können, welche Daten zu welchem Zweck erhoben werden.
  • Datenminimierung: Es werden nur die Daten erhoben, die für den Zweck erforderlich sind.
  • Richtigkeit: Erhobene Daten sollen sachlich richtig und aktuell sein.
  • Speicherbegrenzung: Daten werden nicht länger aufbewahrt als erforderlich.
  • Integrität und Vertraulichkeit: Erhebung und weitere Verarbeitung erfolgen sicher.
  • Rechenschaft: Verantwortliche müssen die Einhaltung der Vorgaben nachweisen können.

Arten und Methoden der Datenerhebung

Aktive und passive Erhebung

  • Aktiv: Die betroffene Person stellt Informationen bereit (z. B. Anmeldeformular, Bewerbung, Telefonabfrage).
  • Passiv: Daten fallen ohne aktive Mitwirkung an (z. B. Logfiles, Sensor- oder Telemetriedaten, Cookies, Tracking, Videoaufzeichnungen).

Direkte und indirekte Quellen

  • Direkt bei der betroffenen Person: etwa Lebenslauf, Kundenkonto, Supportgespräch.
  • Indirekt über Dritte: z. B. Auskunfteien, öffentliche Register, Geschäftspartner; hierbei gelten besondere Informationspflichten.

Kategorien von Daten

Personenbezogene Daten

Dazu zählen beispielsweise Name, Kontaktdaten, Identifikatoren, Standortdaten, Online-Kennungen oder Merkmale, die Rückschlüsse auf eine Person zulassen.

Besondere Kategorien

Daten über sehr sensible Bereiche (etwa Gesundheit, religiöse Überzeugungen oder biometrische Merkmale) unterliegen erhöhten Schutzanforderungen und strengeren Zulässigkeitsbedingungen.

Pseudonymisierte und anonymisierte Daten

Pseudonymisierte Daten sind durch Ersetzungskennzeichen geschützt, können aber mittels Zusatzinformationen wieder einer Person zugeordnet werden und gelten rechtlich weiterhin als personenbezogen. Anonymisierte Daten lassen keine Personenbezüge mehr zu; die Erhebung und weitere Nutzung unterliegt dann nicht mehr dem Datenschutzrecht, sofern die Anonymität belastbar ist.

Rechtsgrundlagen für die Datenerhebung

Datenerhebung ist nur zulässig, wenn eine geeignete rechtliche Grundlage besteht. Übliche Rechtsgrundlagen sind:

  • Einwilligung: freiwillige, informierte und eindeutige Zustimmung für einen konkreten Zweck; widerrufbar mit Wirkung für die Zukunft.
  • Vertragliche Erforderlichkeit: Erhebung ist notwendig, um einen Vertrag zu erfüllen oder vorvertragliche Maßnahmen durchzuführen.
  • Rechtliche Verpflichtung: Erhebung ist vorgeschrieben, etwa zur Erfüllung gesetzlicher Pflichten.
  • Wahrnehmung von Aufgaben im öffentlichen Interesse: insbesondere bei Behörden und Einrichtungen mit entsprechenden Aufgaben.
  • Berechtigte Interessen: Erhebung dient legitimen Interessen des Verantwortlichen oder Dritter und überwiegt nicht die Interessen oder Rechte betroffener Personen.

Für besondere Kategorien von Daten und für Daten von Kindern gelten zusätzliche Schutzanforderungen.

Transparenz und Informationspflichten

Betroffene Personen sind grundsätzlich über Art, Umfang, Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer, Kontaktstellen, Rechte und die Herkunft der Daten zu informieren. Erfolgt die Erhebung nicht bei der betroffenen Person, bestehen zusätzliche Informationsanforderungen. Informationen sollen klar, verständlich und rechtzeitig bereitgestellt werden; Ausnahmen sind nur eng begrenzt.

Speicherdauer und Löschung

Bereits bei der Erhebung ist zu klären, wie lange die Daten für den Zweck benötigt werden. Nach Zweckerfüllung oder Wegfall der Rechtsgrundlage sind Daten zu löschen oder zu anonymisieren, sofern keine Aufbewahrungspflichten oder überwiegende Gründe entgegenstehen. Konzepte zur Aufbewahrung und Löschung unterstützen die Einhaltung dieser Vorgaben.

Datensicherheit bei der Erhebung

Der Erhebungsvorgang selbst unterliegt Sicherheitsanforderungen. Je nach Risiko sind technische und organisatorische Maßnahmen zu treffen, etwa Zugriffskontrollen, Verschlüsselung, Protokollierung oder Trennung von Datenbeständen. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sind bereits bei der Planung der Erhebungsprozesse zu berücksichtigen.

Profiling und automatisierte Entscheidungen

Werden Daten bei der Erhebung unmittelbar für Bewertungen persönlicher Aspekte genutzt (Profiling) oder führen automatisierte Verfahren zu rechtlich erheblichen Entscheidungen, gelten erhöhte Anforderungen an Transparenz, Rechtsgrundlage, Angemessenheit und Schutzmaßnahmen. Betroffene verfügen über besondere Rechte im Umgang mit solchen Verfahren.

Datenerhebung in besonderen Konstellationen

Beschäftigtendaten

Im Arbeitsumfeld sind Erhebungen nur zulässig, soweit sie für das Beschäftigungsverhältnis erforderlich sind oder eine geeignete Rechtsgrundlage besteht. Besondere Sensibilität gilt für Leistungs- und Verhaltensdaten.

Kinder und Minderjährige

Bei Minderjährigen gelten erhöhte Schutzstandards. Die Wirksamkeit von Einwilligungen und die Anforderungen an eine altersgerechte Information sind besonders zu beachten.

Forschung und Statistik

Für wissenschaftliche oder statistische Zwecke bestehen teils erleichternde Sonderregelungen, die allerdings regelmäßig mit strengen Sicherungen wie Pseudonymisierung und Zweckbindung verknüpft sind.

Videoüberwachung und Standortdaten

Die Erhebung durch optisch-elektronische Systeme oder die Verarbeitung von Bewegungs- und Standortdaten berührt besonders intensiv die Privatsphäre. Erforderlichkeit, Transparenz und Verhältnismäßigkeit stehen hier im Fokus.

Grenzüberschreitende Datenübermittlungen

Werden Daten bei der Erhebung in Staaten außerhalb des europäischen Rechtsraums übertragen oder zugänglich gemacht, sind zusätzliche Anforderungen an den Schutzstandard und geeignete Garantien zu beachten.

Rechte der betroffenen Personen

  • Auskunft: Information darüber, ob und welche Daten erhoben wurden und zu welchen Zwecken.
  • Berichtigung: Korrektur unrichtiger oder unvollständiger Daten.
  • Löschung: Entfernung von Daten, wenn die Voraussetzungen erfüllt sind.
  • Einschränkung der Verarbeitung: vorübergehende Begrenzung der Nutzung von Daten.
  • Widerspruch: Möglichkeit, der Erhebung oder Nutzung zu widersprechen, wenn überwiegende schutzwürdige Gründe vorliegen.
  • Datenübertragbarkeit: Herausgabe in einem gängigen Format, wenn die Voraussetzungen vorliegen.
  • Widerruf von Einwilligungen: mit Wirkung für die Zukunft ohne Nachteile für bereits rechtmäßig erfolgte Verarbeitung.
  • Beschwerde bei Aufsichtsbehörden: Recht, sich an eine zuständige Stelle zu wenden.

Verantwortlichkeit, Dokumentation und Nachweis

Verantwortliche müssen Erhebungsprozesse dokumentieren und ihre Rechtmäßigkeit belegen können. Dazu gehören klare Zwecke, definierte Rechtsgrundlagen, Informationsprozesse, Sicherheitsmaßnahmen, Aufbewahrungskonzepte und Prüfungen besonderer Risiken. Bei erhöhten Risiken kann eine strukturierte Folgenabschätzung erforderlich sein.

Aufsicht, Sanktionen und Haftung

Die Einhaltung der Anforderungen wird von unabhängigen Aufsichtsbehörden überwacht. Bei Verstößen gegen Vorgaben zur Datenerhebung sind Anordnungen, Untersagungen, Geldbußen und Schadensersatzansprüche möglich. Auch Reputationsschäden und Vertrauensverlust können erhebliche Folgen sein.

Abgrenzungen und verwandte Begriffe

  • Datenerhebung ist das erstmalige Gewinnen von Daten.
  • Datenverarbeitung umfasst sämtliche weiteren Schritte wie Speicherung, Nutzung, Analyse oder Übermittlung.
  • Datenweitergabe ist die Offenlegung an Dritte oder der Zugriff Dritter.
  • Datennutzung beschreibt die zweckgebundene Verwendung der bereits erhobenen Daten.
  • Datenlöschung ist die endgültige Entfernung oder Unkenntlichmachung.

Häufig gestellte Fragen (FAQ) zur Datenerhebung

Was bedeutet Datenerhebung im rechtlichen Sinn?

Datenerhebung ist das Erstaufzeichnen oder Erfassen personenbezogener Informationen über eine Person zu einem festgelegten Zweck. Bereits das bloße Sammeln von Daten, unabhängig von ihrer späteren Nutzung, unterliegt den Datenschutzanforderungen.

Wann ist die Datenerhebung zulässig?

Zulässig ist die Erhebung, wenn ein legitimer Zweck besteht und eine geeignete Rechtsgrundlage vorliegt, etwa Einwilligung, vertragliche Erforderlichkeit, gesetzliche Pflicht, öffentliches Interesse oder berechtigte Interessen, die nicht durch die Rechte der betroffenen Person überlagert werden.

Welche Rolle spielt die Einwilligung bei der Datenerhebung?

Die Einwilligung ist eine von mehreren möglichen Rechtsgrundlagen. Sie muss freiwillig, informiert und eindeutig erfolgen und bezieht sich auf konkrete Zwecke. Eine erteilte Einwilligung kann mit Wirkung für die Zukunft widerrufen werden.

Dürfen Daten ohne Wissen der betroffenen Person erhoben werden?

Erhebungen ohne unmittelbare Kenntnis der betroffenen Person sind nur unter engen Voraussetzungen zulässig, etwa wenn eine andere geeignete Rechtsgrundlage greift und Transparenz durch nachgelagerte Informationen gewährleistet wird, soweit keine Ausnahmetatbestände vorliegen.

Welche Informationspflichten bestehen bei der Datenerhebung?

Es sind verständliche Angaben zu Zweck, Arten der Daten, Rechtsgrundlage, Empfängern, Speicherdauer, Rechten der betroffenen Person und Kontaktstellen bereitzustellen. Bei indirekter Erhebung sind zusätzlich Herkunft und Kategorien der Daten offenzulegen.

Wie lange dürfen erhobene Daten gespeichert werden?

Die Speicherdauer richtet sich nach dem Erforderlichkeitsgrundsatz: Daten werden nur so lange aufbewahrt, wie der Zweck dies verlangt oder rechtliche Aufbewahrungspflichten bestehen. Danach sind sie zu löschen oder zu anonymisieren.

Was unterscheidet Anonymisierung von Pseudonymisierung bei der Erhebung?

Pseudonymisierung ersetzt Identifikatoren, lässt aber eine Re-Identifikation über Zusatzinformationen zu; die Daten bleiben personenbezogen. Anonymisierung entfernt den Personenbezug so, dass eine Identifikation nicht mehr möglich ist; dann gelten die Datenschutzvorgaben in der Regel nicht mehr.

Welche Folgen hat eine unzulässige Datenerhebung?

Mögliche Folgen sind behördliche Anordnungen, Geldbußen, Schadensersatzansprüche und Reputationsschäden. Unrechtmäßig erhobene Daten dürfen regelmäßig nicht weiterverarbeitet werden.

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen