Konformer Umgang mit aufgedrängten Daten

Bei aufgedrängten Daten handelt es sich um Daten, die ein Unternehmen ohne aktives Zutun erhält oder wenn mehr Informationen an das Unternehmen gesendet werden, als angefragt wurden. Folgende Beispiele, die in vielen Unternehmen im täglichen Ablauf vorkommen sind:

  • ein Bild im Lebenslauf bei einer Onlinebewerbung
  • Freitextfelder in Kontaktformularen, wo mehr als nur die angefragten Daten eingetragen werden.


Rechtliche Betrachtung der aufgedrängten Daten

Zunächst bleibt festzuhalten, dass es sich selbstverständlich auch bei aufgedrängten Daten um personenbezogene Daten handeln kann. Es ist fraglich, ob überhaupt eine Verarbeitung der aufgedrängten Daten im Sinne des Art. 4 Nr. 2 DSGVO vorliegt. Anzunehmen wäre ein Erheben und Erfassen der betroffene Daten. Doch die Aufsichtsbehörden und die vorherrschende Literatur geht davon aus, dass für das Erheben ein aktives Handeln des Verantwortlichen erforderlich ist. Auch für das Erfassen, wenn ein solches überhaupt vorliegen sollte, ist ein aktives Tun notwendig. Demnach zeigt sich bereits, dass beim bloßen Erhalt aufgedrängter Daten keine Verarbeitung personenbezogener Daten vorliegt. Der Erhalt löst zunächst keine datenschutzrechtlichen Folgen aus.

Doch wie gehen Sie mit den aufgedrängten Daten um?

Wenn diese gespeichert werden sollen, muss eine Rechtsgrundlage gefunden werden, mit welcher die Speicherung gerechtfertigt werden kann. Zusätzlich folgen dann Pflichten wie die Erfüllung der Informationspflicht gem. Art. 13 f. DSGVO. Einfacher ist es die Daten zu löschen oder unkenntlich zu machen. In diesem Fall wird der Vorgang nicht als zielgerichtete Verarbeitung gewertet. In den meisten Fällen wird es daher entweder zu einer Löschung oder einer Unkenntlichmachung kommen.

Praktische Vorgangsweise beim Erhalt aufgedrängter Daten

Mitarbeiter sollten die klare Vorgabe erhalten, dass alle unaufgefordert erhaltenen und nicht benötigten Daten unverzüglich zu löschen sind. Wenn die Daten vorerst gespeichert würden, wäre in diesem Fall bereits eine datenschutzrechtliche Pflicht ausgelöst. Diese entfällt auch nicht durch eine spätere Löschung. Sollte das nicht erfolgen bzw. der Mitarbeiter diese Entscheidung nicht treffen können und die Daten erwünscht sein, dann gilt es eine Rechtsgrundlage zu finden und die betroffene Person zu informieren. Bei besonders sensiblen Daten gem. Art. 9 Abs. 1 DSGVO, ist in vielen Fällen eine Einwilligung die einzige Möglichkeit, die personenbezogenen Daten rechtmäßig zu verarbeiten, wenn dies überhaupt statthaft ist.

Wie kann der Erhalt aufgedrängter Daten minimiert werden?

Nach Möglichkeit sollte im Vorfeld der Erhalt von aufgedrängten Daten minimiert werden. Das kann durch verschiedene Wege erreicht werden. z.B.:

  • Bei Bewerbungen kann darauf hingewiesen werden, dass ein Foto nicht erwünscht ist oder dass, die Informationsschreiben für Bewerber so angepasst werden, dass der Erhalt eines Fotos direkt abgedeckt ist. Es sollte allerdings darauf geachtet werden, dass das Foto freiwillig mitgeschickt werden kann und nicht durch die Datenschutzerklärung quasi zur Pflicht erklärt wird.
  • Bei Formularen sollte darauf geachtet werden, dass nur erforderliche Felder vorhanden sind, oder das darauf hingewiesen wird, dass nach Möglichkeit personenbezogene Daten im Freitextfeld zu vermeiden sind.​​​​​​​


​​​​​​​Fazit: Aufgedrängte Daten sind handhabbar

Solange der Umgang mit den aufgedrängten Daten klar ist, stellen diese generell kein Problem dar. Zunächst sollte eine Löschung bzw. Vernichtung angedacht werden. Ist das nicht möglich, kann auch eine Unkenntlichmachung in Betracht gezogen werden. Ist beides nicht umsetzbar oder soll nicht durchgeführt werden, muss eine Rechtsgrundlage gefunden werden und die Informationspflichten nach Art. 13 f. DSGVO eingehalten werden. Besser ist es jedoch, bereits im Vorfeld den Erhalt aufgedrängter Daten aktiv zu minimieren.

Bei neuen Erkenntnissen und Entwicklungen halten wir Sie weiterhin auf dem Laufenden.