Es gibt zahlreiche Situationen, in denen Unternehmen ungefragt personenbezogene Daten erhalten. Doch was genau gehört zu diesen sogenannten aufgedrängten Daten? Ab wann greifen die Vorschriften des Datenschutzrechts? Wie sollten Mitarbeiter mit den aufgedrängten Daten umgehen?
Begriff der aufgedrängten Daten
Um aufgedrängte Daten handelt es sich, wenn ein Unternehmen Daten ohne aktives Zutun erhält oder wenn mehr Informationen an das Unternehmen gesendet werden, als überhaupt angefragt wurden. Folgende Beispiele, die vermutlich in vielen Unternehmen praktisch relevant sind, illustrieren das Vorkommen aufgedrängter Daten:
- Bei Freitextfeldern in Kontaktformularen besteht das Risiko, dass der Absender dort personenbezogene Daten hinzufügt. Da nicht beschränkt wird, welche Informationen dort eingetragen werden können, kommt es unter Umständen zur Übermittlung von nicht angefragten personenbezogenen Daten. Das ist insbesondere bei Arztpraxen und ähnlichen Unternehmen schwierig, wenn etwa medizinische Diagnosen ungefragt übermittelt werden.
- Bei Online-Bewerbungen wird mit dem Lebenslauf ein Foto des Bewerbers übermittelt. In Deutschland ist es rechtlich nicht zulässig, ein Bild im Lebenslauf einer Bewerbung zu fordern. Es steht dem Bewerber also frei ein Bild mitzuschicken. Daher handelt es sich bei diesem Bild streng genommen um eine aufgedrängte Information.
Rechtliche Einordnung der aufgedrängten Daten
Zunächst bleibt festzuhalten, dass es sich selbstverständlich auch bei aufgedrängten Daten um personenbezogene Daten handeln kann. Nicht so klar ist die Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO). Der sachliche Anwendungsbereich nach Art. 2 DSGVO ist in der Regel eröffnet, da die meisten Verarbeitungstätigkeiten zumindest teilweise automatisiert erfolgen.
Einzig bei analogen Unterlagen, etwa in Papierform, kann etwas Anderes gelten, wenn noch keine Einordnung dieser Daten in ein Dateisystem vorgenommen wurde oder geplant ist. Wie sich jedoch gleich zeigen wird, muss keine vertiefte Prüfung dieses Punktes erfolgen.
Es ist nämlich schon fraglich, ob überhaupt eine Verarbeitung der aufgedrängten Informationen im Sinne des Art. 4 Nr. 2 DSGVO vorliegt. Zu denken wäre zumindest an ein Erheben oder ein Erfassen dieser Daten. Allerdings gehen die Aufsichtsbehörden und die vorherrschende Literatur davon aus, dass für das Erheben ein aktives Handeln des Verantwortlichen erforderlich ist. Auch für das Erfassen, wenn ein solches überhaupt vorliegen sollte, ist ein aktives Tun notwendig.
Hiernach zeigt sich bereits, dass beim bloßen Erhalt aufgedrängter Daten keine Verarbeitung personenbezogener Daten vorliegt und der Erhalt zunächst keine datenschutzrechtlichen Folgen auslöst.
Allerdings muss mit den aufgedrängten Daten irgendetwas passieren. In den meisten Fällen wird es daher entweder zu einer Löschung oder einer Speicherung kommen. Beides ist zwar nach Art. 4 Nr. 2 DSGVO eine Verarbeitung. Allerdings wird das Löschen in diesem Fall nicht als zielgerichtete Verarbeitung gewertet. Wenn schon kein Erheben bei aufgedrängten Daten vorliegt, dann kann auch die Löschung keine datenschutzrechtlichen Pflichten begründen. Denkbar ist auch eine Unkenntlichmachung der überflüssigen Informationen, etwa durch Schwärzen, sofern eine Löschung insgesamt nicht zielführend ist. Die reine Kenntnisnahme des ausführenden Mitarbeiters ist hierbei ebenfalls noch kein Verarbeitungsvorgang.
Anders verhält es sich, wenn die Daten gespeichert werden. In diesem Fall muss eine Rechtsgrundlage gefunden werden und es folgen Pflichten, wie die Erfüllung der Informationspflichten nach Art. 13 f. DSGVO.
Praktisches Vorgehen beim Erhalt aufgedrängter Daten
Wie in vielen Bereichen des Datenschutzes ist eine Schulung der Mitarbeiter hinsichtlich des Umgangs mit aufgedrängten Daten unerlässlich, wenn klar ist, dass diese mit solchen in Berührung kommen können. Wissen Beschäftigte nicht, wie sie sich verhalten müssen, werden sie diese Daten vermutlich zunächst speichern, um später darüber zu entscheiden. Das darf jedoch gerade nicht passieren, da in diesem Fall bereits datenschutzrechtliche Pflichten ausgelöst werden. Diese entfallen auch nicht durch eine spätere Löschung. Mitarbeiter sollten also die klare Vorgabe erhalten, dass alle unaufgefordert erhaltenen und nicht benötigten Daten unverzüglich zu löschen sind.
Sollte das nicht erfolgen bzw. der Mitarbeiter diese Entscheidung nicht treffen können oder die Daten gar erwünscht sein, dann gilt es eine Rechtsgrundlage zu finden und die betroffene Person zu informieren. Je nach Daten kann dies ohne großen Mehraufwand möglich sein, etwa, wenn zusätzlich eine Telefonnummer zur Kontaktaufnahme mitgeschickt wird. In diesem Fall ist ggf. auch das bereits vorliegende Informationsschreiben ausreichend, sollte jedoch im Einzelfall noch geprüft werden.
Bei aufgedrängten Daten sprechen im Rahmen der Interessenabwägung auch einige Argumente für die Annahme eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Anders verhält sich dies bei besonders sensiblen Daten gem. Art. 9 Abs. 1 DSGVO. Dort ist in vielen Fällen eine Einwilligung die einzige Möglichkeit, die personenbezogenen Daten rechtmäßig zu verarbeiten, wenn dies überhaupt statthaft ist.
Ein praktisches Beispiel: Wenn ein Bewerber im Bewerbungsgespräch ungefragt über bestehende Krankheiten berichtet, die irrelevant für die Tätigkeit sind, sollte nichts dazu notiert oder anderweitig gespeichert werden. In diesem Fall wäre selbst die Verarbeitung mit Einwilligung mangels Zwecks nicht statthaft.
Erhalt aufgedrängter Daten minimieren
Bevor es überhaupt zur Notwendigkeit des Umgangs mit aufgedrängten Daten kommt, sollte deren Erhalt nach Möglichkeit verhindert werden. Das kann durch verschiedene Wege erreicht werden, etwa durch Folgendes:
- Bei Bewerbungen sollte entweder darauf hingewiesen werden, dass ein Foto nicht erwünscht ist. Alternativ kann das Informationsschreiben für Bewerber so angepasst werden, dass der Erhalt eines Fotos direkt abgedeckt ist. Es sollte allerdings darauf geachtet werden, dass das Foto freiwillig mitgeschickt werden kann und nicht durch die Datenschutzerklärung quasi zur Pflicht erklärt wird.
- Bei Formularen sollte darauf geachtet werden, dass nur erforderliche Felder vorhanden sind. Wird etwa die Telefonnummer nicht benötigt, dann sollte es hierfür auch kein Feld geben. Das wäre im Rahmen des Art. 25 DSGVO bereits nach dem Grundsatz von Privacy by Design erforderlich. Wer ganz genau sein möchte, der weist noch gesondert darauf hin, dass nach Möglichkeit personenbezogene Daten im Freitextfeld zu vermeiden sind.
Fazit: Aufgedrängte Daten sind handhabbar
Aufgedrängte Daten stellen prinzipiell kein Problem dar, solange der erforderliche Umgang mit ihnen allen Mitarbeitern klar ist. Zunächst sollte eine Löschung bzw. Vernichtung angedacht werden. Ist das nicht möglich, dann kann auch eine Unkenntlichmachung in Betracht gezogen werden.
Ist beides nicht umsetzbar oder soll nicht durchgeführt werden, müssen eine Rechtsgrundlage gefunden und die Informationspflichten nach Art. 13 f. DSGVO eingehalten werden. Besser ist es jedoch, bereits im Vorfeld den Erhalt aufgedrängter Daten aktiv zu minimieren.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.