Die 10 Gebote des Datenschutzes

Wer Daten verarbeitet, die andere Personen betreffen, muss die nachfolgenden Grundsätze beachten.

1 - Der Grundsatz der Zulässigkeit

Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn ein ausreichend zulässiger Grund dies rechtfertigt. Wer Ihre Daten verarbeiten möchte, muss außerdem vorher um Ihre Zustimmung bitten; alternativ dazu ist die Datenverarbeitung auch dann möglich, wenn sie unerlässlich ist, um einen Vertrag auszuführen, eine Aufgabe öffentlichen Interesses zu erfüllen, einer gesetzlichen Verpflichtung nachzukommen oder um Ihr eigenes Leben zu schützen. Darüber hinaus können Ihre Daten auch dann verarbeitet werden, wenn ein gerechtfertigtes Interesse an der Datenverarbeitung besteht und die Verarbeitung nur geringfügige Auswirkung auf Ihr Privatleben hat.

Dies ist der erste Prüfstein für die Zulässigkeit einer Datenverarbeitung; hier wird geklärt, unter welchen Umständen Ihre Daten von einem Dritten angefordert und genutzt werden können.

Die nachfolgenden Grundsätze beschreiben die Regeln, die ein solcher Dritter bei der Nutzung Ihrer Daten einhalten muss; sie klären die Art und Weise der Datenverarbeitung.

2 - Der Grundsatz der Zweckbindung

Die Nutzung Ihrer persönlichen Daten (Töne und Bilder inbegriffen) muss sich auf eine oder mehrere Zweckbestimmung beschränken, die vor Beginn der Datenverarbeitung ausdrücklich festgelegt werden müssen.

Ihre Daten dürfen nur in dem Maß erhoben, gespeichert und genutzt werden, wie es zur Erfüllung der festgelegten Zweckbestimmungen notwendig ist.

Die verarbeiteten Daten dürfen nur dann an andere Einrichtungen oder Personen weitergegeben werden, wenn diese die Daten zur Umsetzung gleichartiger Ziele benötigen und sie für Zwecke nutzen, die mit den ursprünglichen Zweckbestimmungen vereinbar sind.

Beispiel:

Nach einem Arbeitsunfall erkundigt sich Ihr Arbeitgeber bei Ihrem Hausarzt über Ihren aktuellen Gesundheitszustand. Um ihn zu beruhigen, gibt die Arzthelferin Auskunft über die Diagnose des Arztes.

Antwort:

Diese Vorgehensweise geht über die festgelegte Zweckbestimmung hinaus, die Grundlage der Datenerhebung durch die Arztpraxis war: der Gewährleistung Ihrer gesundheitlichen Versorgung.

3 - Die Grundsätze der Notwendigkeit und der Verhältnismäßigkeit

Der Grundsatz der Verhältnismäßigkeit bringt mit sich, dass die Verarbeitung sich auf Daten beschränken muss, die in direkter Verbindung zu den am Anfang festgelegten Zweckbestimmung stehen. Diese Daten dürfen für denjenigen, der Ihre Daten verarbeitet, nicht nur nützlich sein, sondern sie müssen notwendig sein. Die Verarbeitung der Daten darf nicht über das verfolgte Ziel hinausgehen.

Beispiel:

Bei einer telefonischen Tischreservierung bittet Sie der Geschäftsführer des Restaurants um Ihre Kreditkartennummer.

Antwort:

Diese Information ist nicht für die verfolgte Zweckbestimmung erforderlich: in diesem Fall die Tischplanung.

4 - Der Grundsatz der sachlichen Richtigkeit der Daten

Da falsche oder unvollständige Informationen unangenehme Konsequenzen für die betroffene Person mit sich bringen können, müssen alle Anstrengungen unternommen werden, damit die verarbeiteten Daten richtig und auf dem neuesten Stand sind. Ist dies nicht der Fall, so müssen die verarbeiteten Daten entweder berichtigt oder gelöscht werden.

Das Gesetz schützt Sie des weiteren auch gegen nachteilhafte Entscheidungen, die durch automatisierte Verfahren getroffen werden und bei denen Sie nicht die Möglichkeit haben, Ihren persönlichen Standpunkt darlegen zu können.

Beispiel:

Sie beantragen bei Ihrer Bank ein persönliches Darlehen für den Kauf von Mobiliar. Nachdem Sie Ihre Unterlagen über Internet eingereicht haben, verweigert Ihre Bank Ihnen den gewünschten Kredit. Es stellt sich heraus, dass der Antrag mit Hilfe eines Computerprogramms berechnet wurde, das sich auf Statistiken und voreingestellte Verhältniszahlen stützt.

Antwort:

Sie haben in diesem Fall das Recht, eine erneute Prüfung Ihrer Unterlagen zu und eine Unterredung mit Ihrem Bankberater zu fordern; hier können Sie dann Ihre Argumente darlegen und beispielsweise geltend machen, dass eine kürzliche Erbschaft Ihre finanzielle Situation verbessert hat. Es wäre u.U. sogar nicht auszuschließen, dass die benutzten Zahlen unzutreffend waren oder dass eine Verwechslung mit einem überschuldeten Namensvetter stattgefunden hat.

5 - Der Grundsatz von Treu und Glauben

Die Erhebung, Speicherung, Nutzung und Übermittlung persönlicher Daten muss nach Treu und Glauben durchgeführt werden und darf nicht ohne Ihr Wissen stattfinden. Außerdem müssen Ihre Daten schnellstmöglich gelöscht oder "anonymisiert" werden. Eine nachträgliche Nutzung Ihrer persönlichen Daten zu anderen Zwecken als den ursprünglich vorgesehenen ist grundsätzlich verboten.

Beispiel:

Ihr Supermarkt bietet Ihnen eine Kundenkarte an, die Sie in den Genuss spezieller Ermäßigungen bei Ihren Einkäufen oder von Preisnachlässen am Jahresende bringt. Bei künftigen Einkäufen wird der Inhalt Ihres Einkaufskorbes erfasst, anhand dessen ein Verbraucherprofil erstellt und verfolgt werden kann.

Antwort:

Geschieht dies ohne Ihr Wissen und sind Sie bei der Beantragung der Kundenkarte nicht darüber in Kenntnis gesetzt worden, so ist der Grundsatz von Treu und Glauben verletzt.

6 - Der Grundsatz der Sicherheit und Vertraulichkeit

Ihre persönlichen Daten müssen auf vertrauliche Art und Weise behandelt werden und an sicheren Orten, in gesicherten Computersystemen und auf sicheren Datenträgern gespeichert werden.

Wer Ihre Daten verarbeitet, ist für die Einhaltung dieses Grundsatzes verantwortlich. Diese Verpflichtung gilt auch im Hinblick auf das persönliche Verhalten von Mitarbeitern und muss bei Verträgen, die mit Auftragsverarbeitern abgeschlossen werden (in der Hauptsache Dienstleister) sowie bei der Wahl der technischen Ausstattung (im Rahmen der IT-Sicherheit) berücksichtigt werden.

Beispiel:

Sie wollen den Mobilfunk-Netzanbieter wechseln, doch nach Prüfung Ihrer Unterlagen werden Sie als Kunde des von Ihnen ausgewählten Anbieters abgelehnt. Der zuständige Kundenberater - ehemaliger Angestellter Ihres vorherigen Anbieters - bezieht sich dabei auf einen früheren Streitfall im Zusammenhang mit einer Telefonrechnung.

Antwort:

Dadurch, dass der vorherige Anbieter seinem Verkaufspersonal Zugriff auf Informationen aus der Rechnungsabteilung erlaubt hat, hat er es versäumt, darauf zu achten, dass die seine Kunden betreffenden persönlichen Daten nur jenen Angestellten zugänglich sind, die sie auch tatsächlich für die Erledigung ihrer Aufgaben benötigen.

Darüber hinaus stellt sich auch die Frage, ob das Personal ausreichend über die Vertraulichkeitspflicht und über die geltenden gesetzlichen Datenschutzbestimmungen in Kenntnis gesetzt wurde. Wie konnte der Verkaufsangestellte Kundendaten des alten Arbeitgebers zu seinem neuen Arbeitgeber mitnehmen? Hat es einen Datendiebstahl gegeben?

Jedenfalls haben in diesem Fall die technischen und organisatorischen Sicherheitsmaßnahmen des Unternehmens versagt, die die Vertraulichkeit der personenbezogenen Daten sicherstellen sollen. Sowohl die Geschäftsleitung (die ihren gesetzlichen Verpflichtungen nicht nachgekommen ist) als auch der unredliche Angestellte können dafür verantwortlich gemacht werden.

7 - Der Grundsatz der Transparenz

Das Gesetz garantiert Ihnen eine eingehende Unterrichtung über Sie betreffende Datenverarbeitungen und sichert Ihnen die Möglichkeit einer persönlichen Überprüfung zu. Wer Sie betreffende Daten verarbeiten möchte, muss Sie darüber in Kenntnis setzen, sobald erste Daten erhoben bzw. an Dritte übermittelt werden sollen.

Sie haben das Recht, Auskunft über die gespeicherten Daten und deren Nutzung angeht. Darüber hinaus haben Sie auch das Recht, die Löschung von Daten zu verlangen, deren Verarbeitung nicht den gesetzlichen Bestimmungen entspricht.

Die Anmeldung von Datenbanken und -verarbeitungen bei der nationalen Kommission trägt zur Transparenz bei. Ein entsprechendes öffentliches Register der Datenverarbeitungen ist auf dieser Seite einsehbar (siehe unten).

Beispiel:

Da Sie unter chronischer Erschöpfung leiden, verschreibt Ihr Arzt eine Blutuntersuchung, um die Gründe der Müdigkeit festzustellen. Die Blutabnahme wird in einem externen Labor vorgenommen, das die Ergebnisse an Ihren Arzt übermittelt. Dabei stellt sich heraus, dass ohne Ihr Wissen ein HIV-Test vorgenommen wurde.

Antwort:

Dies steht im Widerspruch zu den Grundsätzen der Transparenz sowie Treu und Glauben.

8 - Verstärkter Schutz für bestimmte, besonders "empfindliche" Daten

Grundsätzlich dürfen keine Daten verarbeitet werden, die sich auf Ihre Meinungen und Überzeugungen oder auf Ihren Gesundheitszustand (genetische Daten inbegriffen) und Ihr Sexualleben beziehen. Es gibt jedoch bestimmte Ausnahmefälle von diesem Verbot, die vom Gesetz einschränkend aufgelistet werden (siehe Dossier "Gesundheit und empfindliche Daten").

Findet eine solche Datenverarbeitung statt, so muss an die nationale Kommission gemeldet werden; die Verarbeitung genetischer Daten muss sogar ausdrücklich durch die nationale Kommission genehmigt werden.

Beispiel:

Während eines Einstellungsgesprächs stellt der Personalleiter des Unternehmens  Ihnen Fragen zu Ihrer Meinung in Bezug auf die Rentenfinanzierung und die diesbezüglichen Standpunkte der politischen Parteien. Gleichzeitig lässt er durchblicken, dass er über eine Liste der gewerkschaftlich organisierten Arbeitnehmer verfügt.

Antwort:

Das Gesetz verbietet in der Regel die Erhebung solcher Informationen ("empfindliche" Daten).

9 - Strenge Einschränkung von Überwachungen

Bevor Sie überwacht werden dürfen (vor allem durch Videokameras, Computer-Loggings usw.), ist grundsätzlich eine Genehmigung durch die nationale Kommission erforderlich. Die Nutzung der so gesammelten persönlichen Daten ist nur in bestimmten Fällen zulässig, die im Gesetz einschränkend aufgelistet sind. Darunter fällt die Überwachung an öffentlichen Plätzen, im ÖPNV und in Einkaufszentren, ebenso wie die Überwachung am Arbeitsplatz. In letzterem Fall ist zusätzlich die vorherige Unterrichtung des (ggf. vorhandenen) gemischten Betriebsrates  bzw. der Personalvertretung oder des Gewerbeaufsichtsamtes (Inspection du travail et des mines) erforderlich.

Beispiel:

Ihr Unternehmen zeichnet die Telefongespräche der Mitarbeiter auf, ohne dass diese vorher darüber in Kenntnis gesetzt wurden.

Antwort:

Diese Vorgehensweise widerspricht dem Grundsatz der Transparenz. Außerdem muss der Arbeitgeber über eine Genehmigung der nationalen Kommission verfügen; diese hat die Aufgabe, die Zulässigkeit und Verhältnismäßigkeit einer solchen Überwachung zu überprüfen.

10 - Ihre ausdrückliche Einwilligung für die Nutzung Ihrer Daten zu Werbezwecken

Sie können sich zu jedem Zeitpunkt der Nutzung Ihrer persönlichen Daten zu kommerziellen Zwecken widersetzen. Direktmarketing mit Hilfe moderner Kommunikationsmittel (SMS, E-Mail usw.) ist grundsätzlich untersagt, falls Sie nicht Ihre Einwilligung dazu gegeben haben.

Beispiel:

Sie werden mit persönlicher Werbepost überschwemmt. Sie können die betreffenden Firmen auffordern, die Sendung von Werbepost einzustellen.

Es stellt sich heraus, dass der Geschäftsmann Ihre Adresse von Ihrem Sportverein erhalten hat, den er sponsert und der ihm im Gegenzug die persönlichen Angaben aller Vereinsmitglieder übermittelt hat. Der Sportverein hätte seine Mitgliederdatei nicht weitergeben dürfen, wo doch die darin enthaltenen Daten dem Zweck der Vereinsverwaltung und der Organisation von Vereinsaktivitäten dienen sollen.

Antwort:

Die Zweckentfremdung persönlicher Daten stellt eine unrechtmäßige Nutzung dar, für die das Gesetz Strafen vorsieht.

Zum letzten Mal aktualisiert am