ImpressumDatenschutz
Kategorien
Neueste Beiträge

Einschränkung der Verarbeitung

Einschränkung der Verarbeitung

Betroffene Personen haben die Hoheit an ihren personenbezogenen Daten. Darunter fällt auch das Recht auf Einschränkung der Verarbeitung ihrer personenbezogenen Daten nach Art. 18 DSGVO. Wenn eine betroffene Person Gebrauch von diesem Recht macht, kann dies unterschiedliche Gründe und Folgen zur Verarbeitung ihrer Daten haben. Im Folgenden Beitrag betrachten wir dieses Recht näher.

Gründe für die Einschränkung der Verarbeitung

Art. 18 Abs. 1 DSGVO selbst nennt schon unterschiedliche Gründe für die Einschränkung der Verarbeitung personenbezogener Daten:

1) Die Richtigkeit der personenbezogenen Daten ist zu klären (Art. 18 Abs. 1 lit. a) DSGVO). Es gibt Situationen, in denen die betroffene Person bemerkt, dass Daten von ihr, die beim Verantwortlichen vorhanden sind, inkorrekt sind. Bis die personenbezogenen Daten korrigiert sind, kann die betroffene Person verlangen, dass die Daten nicht darüber hinaus verarbeitet werden als es zur Aufklärung bzw. Berichtigung dieser Daten notwendig ist.

2) Die personenbezogenen Daten werden ohne Rechtsgrundlage verarbeitet, aber die betroffene Person möchte nicht, dass die Daten gelöscht werden (Art. 18 Abs. 1 lit. b) DSGVO). Es kann sein, dass eine betroffene Person für die Veröffentlichung ihres Profilbildes auf der Webseite des Verantwortlichen widerruft. Damit würde die Verarbeitung dieses Bildes für diesen Zweck wegfallen und das Bild wäre zu löschen. Es kann aber wiederum sein, dass sie ihre Einwilligung, die sie für die Verwendung des Bildes für einen anderen Zweck erteilt hat, aber nicht widerruft. Folglich ist die Verarbeitung einzuschränken.

3) Der Verantwortliche benötigt die für einen bestimmten Zweck erhobenen personenbezogenen Daten nicht mehr, die betroffene Person hat allerdings Bedarf an diesen Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 18 Abs. 1 lit. c) DSGVO).

4) Es kann sein, dass ein Verantwortlicher die Verarbeitung von personenbezogenen Daten auf seinem berechtigten Interesse stützt. Eine betroffene Person hat allerdings das Recht, diesem berechtigten Interesse zu widersprechen (Art. 21 Abs. 1 DSGVO). Während das also eine Abwägung des berechtigten Interesses des Verantwortlichen gegen das Interesse der betroffenen Person ungeklärt ist, ist die Verarbeitung der personenbezogenen Daten einzuschränken (Art. 18 Abs. 1 lit. d) DSGVO).

Folge eines Wunsches der Einschränkung der Verarbeitung

Dem Wunsch der betroffenen Person, dass die Verarbeitung eingeschränkt wird, ist natürlich Folge zu leisten. Wie auch schon erwähnt, kann sich die Notwendigkeit zur Einschränkung der Verarbeitung auch aus dem Wegfall eines bestimmten Verarbeitungszweckes oder der Grundlage dafür ergeben. Die maximalste Einschränkung der Verarbeitung besteht darin, dass ein Verantwortlicher personenbezogene Daten nur noch speichern darf, bis sie zu löschen bzw. zu vernichten sind. Wenn es keine Rechtsgrundlage dafür gibt, dürfen die personenbezogenen Daten dann ausschließlich für folgende Zwecke verarbeitet werden (Art. 18 Abs. 2 DSGVO):

1) Die betroffene Person erteilt ihre Einwilligung für die Verarbeitung ihrer Daten über die Speicherung hinaus.

2) Die Verarbeitung der Daten ist notwendig zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen einer natürlichen oder juristischen Person. Hierbei ist übrigens auch der Verantwortliche selbst gemeint, sofern er die personenbezogenen Daten für einen solchen Zweck benötigt und demnach entgegen der Einschränkung verarbeiten muss. Diese Erlaubnis finden wir auch in Art. 9 Abs. 1 lit. f) DSGVO und § 24 Abs. 1 Nr. 2 BDSG.

3) Die personenbezogenen Daten werden zum Schutz der Rechte einer natürlichen oder juristischen Person benötigt.

4) Dem Recht auf die Einschränkung der Verarbeitung von personenbezogenen Daten kann auch ein wichtiges öffentliches Interesse der Union oder eines Mitgliedstaates gegenüberstehen.

Praktische Umsetzung der Verarbeitungseinschränkung

Nachdem wir auf die theoretischen Punkte einer Verarbeitungseinschränkung eingegangen sind, stellt sich eventuell die Frage, wie ein Verantwortlicher dies nun praktisch umsetzen kann. Hier spielen natürlich auch die technischen und die finanziellen Mittel eine wichtige Rolle. Egal wie es ein Verantwortlicher letztendlich umsetzt, so muss er sicherstellen, dass die personenbezogenen Daten nur insoweit verarbeitet werden, wie es nach einer Verarbeitungseinschränkung dieser erlaubt ist. Um dieser Pflicht nachkommen zu können, bieten sich folgende Möglichkeiten an:

1) Natürlich ist zuallererst die Einschränkung der betroffenen Daten umzusetzen. Betrifft es beispielsweise veröffentliche Profilbilder auf einer Webseite, müssen ein Verantwortlicher diese von der Webseite zu löschen. Möglicherweise erlaubt sie aber die weitere Speicherung der Bilder im Backend.

2) Personenbezogenen Daten, deren Verarbeitung nach Art. 18 DSGVO eingeschränkt worden ist, sollten von anderen Daten getrennt sein. Umsetzbar ist dies beispielsweise, in dem ein Verantwortlicher diese auf einer separaten Festplatte, einem separaten Server, einem separaten Laufwerk o. Ä. speichert. Es ist eine „Vermischung“ dieser mit anderen Daten zu vermeiden.

3) Es ist sicherlich auch empfehlenswert, zu unterscheiden, weshalb eine Datenverarbeitung eingeschränkt wurde. Dies auch, um zu vermeiden, dass ein bestimmter Datensatz eventuell gelöscht wird, obwohl dies von beispielsweise der betroffenen Person nicht gewünscht ist. – Zur Erinnerung: Auch die Löschung von personenbezogenen Daten ist eine Verarbeitung nach Art. 4 Nr. 2 DSGVO. Wenn die Daten nicht gelöscht werden sollen, könnte eben dieser Vorgang eine unrechtmäßige Verarbeitung darstellen. –

4) Auch in Programmen und Software ist die Einschränkung zu beachten. Das bedeutet, die Technik muss auch innerhalb einer Software so gestaltet sein, dass bei Notwendigkeit die Verarbeitung von personenbezogenen Daten effektiv technisch eingeschränkt werden kann (siehe Art. 25 Abs. 1 DSGVO). – Mehr zum Thema des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellung finden Sie hier. –

5) Des Weiteren ist darauf zu achten, dass nur bestimmte Mitarbeiter beim Verantwortlichen bzw. eine bestimmte Personengruppe die Einschränkung aufheben kann. Dies ist einerseits auch technisch sicherzustellen, andererseits aber auch in einem Berechtigungskonzept festzuhalten.

Das Berechtigungskonzept haben wir schon angesprochen. Aber auch hier greifen ggf. Informationspflichten. Weiterführend ist auch zu beachten, dass die betroffenen Personen darüber zu informieren sind, wenn die Verarbeitungsbeschränkung aufgehoben wird.

Fazit

Nach unserem Eindruck machen betroffene Personen meist von ihrem Auskunftsrecht gemäß Art. 15 DSGVO Gebrauch, scheinbar weniger von dem Recht, die Verarbeitung ihrer personenbezogenen Daten einzuschränken. Es ist also auch wichtig, dass ein Verantwortlicher Prozesse implementiert, um für solche eventuellen Ereignisse gerüstet zu sein. Nicht fehlen darf natürlich auch die entsprechende Dokumentation etwaiger Richtlinien, Berechtigungsprozesse, Datenschutzinformationen, technischer und organisatorischer Maßnahmen etc.

Falls Sie Unterstützung hierbei benötigen, kontaktieren Sie uns, um ein kostenfreies Erstgespräch zu vereinbaren. Gern erstellen wir für Sie ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.

Logo in weiß - dpc Data Protection Consulting GmbH Cottbus

Die dpc wurde 2018 gegründet, um mit gebündeltem datenschutzrechtlichem und technischem Knowhow Unternehmen und andere Verantwortliche in allen Fragen des Datenschutzrechts zu unterstützen, zu beraten, zu auditieren und externe Datenschutzbeauftragte zu stellen.

Kontakt

dpc Data Protection Consulting GmbH
 Karl-Liebknecht-Str. 33
03046 Cottbus

+49 (0) 355 - 78427884
+49 (0) 355 - 49459824
info@dpc-datenschutz.de
www.dpc-datenschutz.de

Navigation

© Copyright 2018 Data Protection Consulting GmbH | All Rights Reserved | Gestaltung & technische Umsetzung: Werbeagentur DesignSplash