ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo

Erhebung personenbezogener Daten

/von

Der Begriff der „Erhebung“ personenbezogener Daten ist in der DSGVO nicht näher definiert. In Art. 4 Nr. 2 DSGVO wird lediglich ausgeführt, dass das Erheben neben anderen Vorgängen wie dem Erfassen, Speichern, Verändern, Übermitteln als Verarbeitung anzusehen ist. Damit unterliegt auch das Erheben von Daten dem Regime der DSGVO. Denn gemäß Art. 2 DSGVO bezieht sich der sachliche Anwendungsbereich der DSGVO auf die „ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.

Definition der Erhebung entscheidend für die Auslösung der Informationspflichten

Dabei ist die Definition des Erhebens von Daten durchaus von Bedeutung. Denn gemäß Art. 13 DSGVO ist eine betroffene Person zum Zeitpunkt der „Erhebung“ ihrer personenbezogenen Daten zu informieren. Ein Verständnis des Begriffs der Erhebung ist also wichtig, um entscheiden zu können ob und wann eine betroffene Person, deren Daten verarbeitet werden, zu informieren ist. Zu den Informationspflichten hatten wir bereits zu einem früheren Zeitpunkt Artikel veröffentlicht.

Häufig wird argumentiert, dass eine Erhebung immer dann vorliegt, wenn die Daten von der betroffenen Person zur Verfügung gestellt werden. Dies hört sich auf den ersten Blick nachvollziehbar an, würde aber zu einigen seltsamen Konstellationen führen. Es müssten beispielsweise auf jede eingehende E-Mail einer betroffenen Person, die nicht bereits zuvor informiert wurde, unverzüglich die gesamten Informationspflichten gemäß Art. 13 DSGVO erfüllt werden. Denn mit dem Eingang der E-Mail werden die Daten im E-Mail Server gespeichert. Dies würde dann auch für E-Mails oder analog auch für andere Daten gelten, die man gar nicht angefordert hat oder im Zweifelsfall gar nicht haben wollte. Denken wir in diesem Zusammenhang nur an unerwünschte Werbeanrufe oder Spam-Mails. Auch diese Kontaktaufnahmen würden bei strenger Auslegung des Begriffs „Erhebung“ die Informationspflicht auslösen.

Aktives Handeln notwendig

Die bayerische Aufsichtsbehörde (BayLDA) hat zum Thema der Informationspflichten eine interessante Orientierungshilfe veröffentlicht in der sie auch den Begriff der Erhebung definiert und Beispiele nennt. Demnach liegt eine  Erhebung nur dann vor, wenn ein „aktives Handeln“ des Verantwortlichen vorliegt; dieser also in irgendeiner Form zu erkennen gegeben hat, dass er diese Daten erhalten möchte. Zur Begründung verweist das BayLDA auf die englische Version der DSGVO, der als Sprache des Gesetzgebungsprozesses eine besondere Bedeutung zukommen dürfte. Dort wird von „personal data … collected from the data subject“ gesprochen. Es wird hier also von einem aktiven Vorgang des „Sammelns“ ausgegangen. Eine zufällige oder ungewollte Kenntnisnahme wird nach dieser Definition noch keine Erhebung sein. Allerdings führt das BayLDA aus, dass die Definition des „aktiven Handelns“ sehr weit auszulegen ist. Auch wird die Empfehlung ausgesprochen, in allen Zweifelsfällen lieber zu informieren.

Handlungsempfehlungen

Welche konkreten Handlungsempfehlungen können daraus abgeleitet werden? Nach obiger Definition würden folgende Vorgänge unter den Begriff der Erhebung fallen:

  • eingehende Bewerbungsunterlagen aufgrund einer Stellenausschreibung (im Gegensatz zur Initiativbewerbung, siehe nächster Absatz),
  • Ausfüllen eines Formulars, in dem bestimmte Daten konkret abgefragt werden (im Gegensatz zum allgemeinen Kontaktformular, siehe nächster Absatz),
  • Abfragen von Kontaktdaten im Gespräch, zwecks späterer Kontaktaufnahme (beispielsweise zur Zusendung eines Angebots).

Nicht unter den Begriff der Erhebung würden folgende Vorgänge fallen:

  • eingehende Initiativbewerbungen, die sich nicht auf eine konkrete Stellenausschreibung beziehen,
  • Verwendung eines allgemeinen Formulars zur Kontaktaufnahme,
  • Jegliche Form unerwünschter Kontaktaufnahme wie Spam-E-Mails oder telefonische Kaltakquise.

Nachgelagerte Erhebung

Wenn zunächst keine Erhebung vorliegt, im weiteren Verlauf jedoch zusätzliche Daten abgefragt werden, so liegt bezüglich dieser zusätzlich abgefragten Daten natürlich wieder ein aktives Handeln und damit eine Erhebung vor. Fragt man beispielsweise im Rahmen einer unerwünschten telefonischen Kaltakquise weitere Daten ab um den Anrufer anschließend bei der Bundesnetzagentur zu melden so würde die Abfrage dieser Daten wiederum eine Erhebung darstellen.

Haben Sie in Ihrem Unternehmen sichergestellt, dass Sie die betroffenen Personen bei jeder Erhebung personenbezogener Daten gem. Art. 13 DSGVO informieren? Kontaktieren Sie uns, wir helfen Ihnen gerne!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
Telemetriedaten microsoft 365 dsk verbotenDSK verbietet (mehr oder weniger) den Einsatz von Microsoft 365
datenlöschung löschen schreddern vernichten 17 dsgvoDIN 66399 gemäße Aktenvernichtung
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenErste Datenschutz-Prüfungen nach DSGVO durch die Aufsichtsbehörden
e-mail verschlüsselung ao bfdi datenschutz schulung sensibilisierung datenschutzhinweiseSensibilisierung der Beschäftigten – Pflicht oder Kür?
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukDatenschutzgrundverordnung erhöht Anforderungen an die Datensicherheit
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersEinwilligung zur Drittlandübermittlung nur ausnahmsweise?