Wann ist ein Abschluss eines AVV nötig?

Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.

Schutz personenbezogener Daten

Wenn man Datenschutz in Deutschland hört, dann denken alle immer erst an die Datenschutz-Grundverordnung (DSGVO). Doch es gibt noch weitere Gesetzt zum Schutz von personenbezogenen Daten.

Kann das Löschen von personenbezogenen Daten per AGB geregelt werden kann? 

Bei einer kostenpflichtigen App werden sensible Gesundheitsdaten verarbeitet. In Folge einer Lösch- anfrage sollen die Daten gelöscht und nicht mehr gesperrt vorgehalten werden. Kann das Löschen per AGB geregelt werden kann? 

Wie werden Löschungsfristen in der DSGVO geregelt?

Art. 17 DSGVO - Recht auf Löschung

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Wann kann ein Antrag auf Löschung gestellt werden?

Um eine Löschung nach Art. 17 DSGVO durchsetzen zu können, muss einer der Gründe des Art. 17 Abs. 1 DSGVO vorliegen. Werden die Daten z.B. im Rahmen einer ärztlichen Behandlung gespeichert, kann nicht willkürlich eine Löschung beantragt werden, da seitens der Ärztekammer eine Aufbewahrungsfrist ärztlicher Aufzeichnungen von mindestens 10 Jahren vorgeschrieben ist,
vgl. § 10 Abs. 3 BO.

Werden sensible Gesundheitsdaten z. B. aber in einer privaten und freiwillig verwendeten Fitness-App gespeichert, kann der Betroffene die Löschung der Daten verlangen.


Ergebnis: Die gesetzliche Grundlage für das Recht auf Löschung ergibt sich aus der DSGVO.
In AGB kann nichts Gegenteiliges geregelt werden.

Würde sich etwas  ändern, wenn die Daten nach der Löschaufforderung anonymisierten gespeichert werden?

Nein, prinzipiell ändert eine Anonymisierung der Daten nichts. Zweck und Rechtsgrundlage müssen ja zum Zeitpunkt der Datenerhebung vorgelegen haben (und andauern).
Mit einer Anonymisierung dürfte sich beides ändern.

Hier stellt sich zudem die Frage, ob eine Anonymisierung von sensiblen Gesundheitsdaten überhaupt möglich wäre, wenn der Personenbezug bereits vorhanden war. Es wäre vermutlich lediglich eine Pseudonymisierung (Art. 4 DSGVO) umsetzbar.

Ausweg: Einwilligung des Betroffenen

Stand: 14.09.2022

Durch die Polizei wurde der dienstliche Laptop eines Mitarbeiters beschlagnahmt. Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Auszug aus der Strafprozessordnung (StPO)


§ 94 Sicherstellung und Beschlagnahme von Gegenständen zu Beweiszwecken

(1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.

(2) Befinden sich die Gegenstände in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme.

(3) …

(4) Die Herausgabe beweglicher Sachen richtet sich nach den §§ 111n und 111o.

Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Fall 1:

Strafverfolgungsbehörde (Polizei oder Staatsanwaltschaft) nimmt die Einsicht vor in Daten, die zu anderen Zwecken vorher erhoben wurdenà zulässig nach § 24 BDSG

§ 24 BDSG Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen

Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder

sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.

Fall 2:

Falls andere Stellen diese personenbezogenen Daten „nutzen“ à dann Vorgehen gemäß den Vorgaben der DSGVO nach „Datenverlust“

Es gibt die Regelung: keine personenbezogenen Daten lokal speichern

Sollte es eine Strafverfolgungshörde sein, die die Daten beschlagnahmt hat, dann wird sie nochmal wiederkommen und den Server zu beschlagnahmen.

Alternativ wird ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.

Laptop ist verschlüsselt (ob Kennwörter rausgegeben wurden, ist nicht bekannt)

Die Polizei wird vielleicht versuchen, den Administrator dazu zu bewegen, im Rahmen einer Zeugenaussage die Kennwörter herauszugeben. Alternativ wird auch hier ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.

VPN wurde abgedreht

Auch hier ist zu erwarten, dass die Staatsanwaltschaft/Polizei nochmal eventuell wegen des Servers wiederkommt.

Empfehlung:

Stand: 18.05.2022