“Aber wir brauchen diese Daten doch!”
An einigen Stellen erlaubt das Gesetz die Erhebung und Verarbeitung von personenbezogenen Daten auch ohne Einwilligung des Betroffenen und sogar gegen seinen Willen. So etwa im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Verhältnisses, § 29 Abs. 1 Nr. 1 BDSG. Wie auch hier, so stehen diese Ausnahmen vom grundsätzlichen Verbot, personenbezogene Daten zu erheben oder zu nutzen, regelmäßig unter dem Vorbehalt der “Erforderlichkeit”. Dieser Begriff wird häufig zu eigenen Gunsten falsch interpretiert. Die Folge dieser Fehleinschätzung ist die Rechtswidrigkeit der fraglichen Aktion. Es drohen Bußgelder, Haftung und andere negative Folgen.
“Erforderlich” ist nicht im Sinne von zweckmäßig, praktisch, hilfreich oder sinnvoll zu verstehen. Erst recht unterliegt dieser Begriff nicht subjektiven Maßstäben, er ist objektiv zu bestimmen. Im Hinblick darauf, dass es sich hierbei stets um eine Ausnahme von einem gesetzlichen Verbot handelt, darf der Begriff auch keinesfalls weit verstanden werden. Vielmehr ist er eng, eben im Sinne einer Ausnahme, zu interpretieren. Die Ausnahme darf nie zur Regel werden.
Ob Daten erforderlich sind, ist von den berechtigten Interessen der Beteiligten abhängig. Auch diese Interessen und ihre Berechtigtheit sind wiederum objektiv zu beurteilen und richten sich nicht etwa nach der subjektiven Einschätzung des an den Daten Interessierten. Die Einschätzung muss objektiv und vernünftig nachvollziehbar sein. Weder zählt ein verschärftes Sicherungsbedürfnis des einen, noch ein übersteigertes Geheimhaltungsinteresse des anderen.
Erforderlichkeit ist nicht gegeben, wenn sich die berechtigten Interessen auch ohne die fraglichen Informationen wahren lassen. Andererseits muss auch keine zwingende Abhängigkeit bestehen; die Daten müssen nicht unverzichtbar sein. Gibt es aber zumutbare Alternativen, sind primär diese zu nutzen. Erst dann, wenn ein Ausweichen oder der Verzicht auf eine Information nicht sinnvoll oder unzumutbar wäre, kann die Erforderlichkeit wieder bejaht werden.
Beispiele:
- Die Adresse eines Kunden ist etwa erforderlich, um eine Bestellung auszuführen, eine Lieferung durchzuführen oder eine Rechnung zu erstellen. Auch kann hier zusätzlich eine Telefonnummer erforderlich sein, wenn vorhersehbar Nachfragen entstehen oder kurzfristig ein Liefertermin vereinbart werden muss.
- Die Angabe einer eMail-Adresse wird erforderlich sein, zum Beispiel in Fällen in denen ein Dienst aus Sicherheitsgründen nur über ein double opt-in Verfahren bereitgestellt wird. Ebenso zur Beantwortung einer elektronisch gestellten Anfrage. Die Abfrage einer Telefonnummern dagegen ist hier kaum gerechtfertigt.
- Eine Bank wird im Rahmen einer Kreditvergabe Informationen über die Bonität des Interessenten einholen dürfen, selbst wenn die Abwicklung des Kreditvertrages auch ohne diese Informationen möglich wäre. Entsprechendes wird für den Vermieter einer Wohnung gelten. Immerhin besteht hier ein erhöhtes Schutzbedürfnis für die Genannten. Für Geschäfte ohne besondere Risiken gilt dies jedoch nicht.
Zu beachten ist zusätzlich, dass einmal zulässig erhobene und verarbeitete Daten weiterhin einer Zweckbindung unterliegen. So darf etwa die für Rückfragen zulässig erfasste Telefonnummer oder eMailAdresse nicht auch für Werbung genutzt werden.
Fazit: “Erforderlich” ist nicht, was bequem oder sinnvoll erscheint, sonden nur, was zur Erreichung eines vom Datenschutz (!) legitimierten Zwecks direkt unterstützend notwendig ist. Die Grenze ist eng zu ziehen.