Chefredakteur

Kategorien

    Stichwort des Monats: Einschränkung der Verarbeitung nach DSGVO und Sperrung nach BDSG


    Der Begriff der Einschränkung der Verarbeitung wird anders definiert als der bisherige Begriff der Sperrung.

    Das Sperren personenbezogener Daten ist eine Maßnahme des BDSG, die dazu führt, dass bestimmte personenbezogene Daten im Unternehmen/in der Behörde nicht mehr verarbeitet werden, soweit nicht ein gesetzlicher Ausnahmetatbestand vorliegt (namentlich, wenn die Aufbewahrungspflichten, vor allem der Abgabeordnung und des Handelsrechts, entgegenstehen, § 35 Abs. 3 BDSG ). Die DSGVO kennt den Begriff der Sperrung nur noch in einem Nebensatz. Ansonsten spricht die DSGVO von „Einschränkung der Verarbeitung“ (Art. 4 Nr. 3 DSGVO).

    Begriff

    Der Begriff der Einschränkung der Verarbeitung wird anders definiert als der bisherige Begriff der Sperrung. Einschränkung meint danach, die „Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“. Da hier die Einschränkung mit der Einschränkung erläutert wird, hilft die englische Formulierung etwas besser, die davon spricht, dass die Daten „unavailable to users“ (für Benutzer nicht verfügbar) sein sollen.

    Deutlich wird der Inhalt der Einschränkung vor allem, wenn ihr Zweck berücksichtigt wird. Er besteht darin, dass die personenbezogenen Daten nicht mehr nach den allgemeinen Erlaubnistatbeständen verarbeitet werden dürfen. Die DSGVO sieht ausdrücklich vor, dass der Betroffene diese Einschränkung vom Unternehmen/von der Behörde verlangen kann, wenn (1) die Richtigkeit der

    Daten bestritten wird, (2) die Verarbeitung rechtswidrig ist, doch der Betroffene „nur“ die Sperrung verlangt, (3) nicht der Verantwortliche, wohl aber der Betroffene die Daten noch für die Verfolgung von Rechtsansprüchen benötigt oder (4) der Betroffene Widerspruch gegen die Verarbeitung eingelegt hat und über diesen noch nicht entschieden ist. Auch von sich aus, ohne Verlangen, muss der Verantwortliche die Verarbeitung einschränken, wenn zwar die Speicherung noch zulässig ist, jedoch nicht mehr die weitere Verarbeitung (Art. 5 Abs. 1 Buchst. c/e DSGVO).

    Umsetzung der Rechtsfolge

    Die Einschränkung ist nicht durch bloße überwindbare Kennzeichnung (Einschränkungsvermerk) herbeizuführen. Der Verantwortliche muss vielmehr durch technische und organisatorische Maßnahmen eine weitere Verarbeitung der Daten effektiv unterbinden. Zu solchen Maßnahmen gehören nach DSGVO die Übertragung auf ein anderes Verarbeitungssystem oder die Sperrung für die Nutzer. Natürlich genügt auch die technische Markierung, wenn diese dazu führt, dass die Software den Zugriff nur noch in den Fällen der Ausnahme zulässt.

    Bei Offline-Daten genügt die Kennzeichnung mit einem Aufdruck „Gesperrt“ nicht. Denn damit ist die Verwendung für weitere Zwecke tatsächlich unschwer möglich.

    (Philipp Kramer, Chefredakteur Datenschutz-Berater)

    Der Beitrag stammt aus der aktuellen Ausgabe des Datenschutz-Berater. Hier gelangen Sie zur kompletten Ausgabe.


    Top