Datenschutzrecht

DSGVO (k)ein Grund zur Sorge?

Auch einige Zeit nach ihrem Inkrafttreten sorgt die EU-Datenschutz-Grundverordnung (DSGVO, DS-GVO oder EU-DSGVO) weiterhin für Verunsicherung im Umgang mit Daten. Nicht ohne Grund, denn die Veränderungen sind zum Teil gravierend. Schlagzeilen machte u.a. die 50-Millionen-Euro-Rekordstrafe wegen Datenschutzverstößen gegen das Unternehmen Google – eine Strafe, die noch unter der alten Gesetzeslage nicht denkbar war. Aber nicht nur für Unternehmen ergeben sich wichtige Neuerungen durch die DSGVO. Auch Behörden, Vereine und andere Einrichtungen, insbesondere im sozialen Bereich, sind betroffen. Viele Rechtsfragen sind weiterhin offen und die Klärung der Rechtslage durch die Gerichte hat erst begonnen. Die Geschichte einer Kita in Nordrhein-Westfalen, welche sicherheitshalber in von ihr angefertigten Erinnerungsalben die Gesichter der Kinder schwärzte, zeigt beispielhaft, mit welchen Fragen viele Einrichtungen konfrontiert sind: Wann dürfen Daten erhoben und wann müssen sie geschützt werden? Welche Daten sind davon betroffen? Und wie sieht ausreichender Datenschutz überhaupt aus?

In unserer Weiterbildung zum*zur Datenschutzbeauftragten geben wir Antworten auf diese Fragen und erklären die aktuelle Rechtslage zur DSGVO. Durch die besonders praxisnahe Wissensvermittlung anhand vieler Fallbeispiele entwickeln Sie einen sicheren Umgang mit dem Thema Datenschutz.

Die Einführung der DSGVO

Seit dem sog. „Volkszählungsurteil“ des Bundesverfassungsgerichts aus dem Jahre 1983 gibt es in Deutschland ein Recht auf „informationelle Selbstbestimmung“, also ein Grundrecht auf Datenschutz. Dieses Recht war Grundlage für das deutsche Datenschutzrecht, welches bis zum Mai 2018 v. a. in den Datenschutzgesetzen der Länder und des Bundes festgehalten wurde. Mit der Einführung der EU-weiten Datenschutz-Grundverordnung (DSGVO) erfuhr die Rechtslage aber eine Vielzahl wichtiger Veränderungen. Bereits seit 2010 hatte die Europäische Kommission an der Erneuerung des Datenschutzes gearbeitet, um die Verarbeitung personenbezogener Daten durch öffentliche Stellen und private Unternehmen in der EU zu vereinheitlichen. Ziel war es, sowohl den Schutz personenbezogener Daten zu verbessern als auch den freien Datenverkehr im EU-Binnenmarkt zu gewährleisten. Am 14. April 2016 verabschiedete das EU-Parlament schließlich nach langen und kontroversen Diskussionen die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ kurz „Datenschutz-Grundverordnung“ bzw. „General Data Protection Regulation“ (GDPR). Mit einer zweijährigen Umsetzungsfrist wurde die DSGVO dann seit dem 25. Mai 2018 geltendes Recht in der gesamten EU. In Deutschland verdrängt sie damit das alte Bundesdatenschutzgesetz (BDSG-alt) und wird ergänzt durch das neue Bundesdatenschutzgesetz (BDSG-neu), die Datenschutzdurchführungsgesetze der Länder sowie ggf. speziellere Datenverarbeitungsvorschriften.

Gilt die DSGVO auch für mich?

Der Geltungsbereich der neuen Datenschutz-Grundverordnung ist sehr weit gefasst. In Art. 2 Abs. 1 DSGVO wird der sachliche Anwendungsbereich wie folgt bestimmt:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

Damit gilt die DSGVO für öffentliche Stellen und Unternehmen ebenso wie für Vereine und Verbände, soweit sie in irgendeiner Form Daten sammeln und mindestens vorhaben, sie systematisch zu speichern. Dies ist z. B. der Fall, wenn ein Unternehmen die E-Mail-Adressen von Kunden*innen in einer digitalen Liste speichert. Aber auch, wenn ein Verein seine Mitgliederdaten auf Karteikarten in einer Box aufbewahrt. Anders als das frühere Bundesdatenschutzgesetz unterscheidet die DSGVO dabei nicht zwischen der Verarbeitung personenbezogener Daten durch öffentliche und durch nicht-öffentliche Stellen – für alle Verarbeiter*innen von personenbezogenen Daten gilt nun dasselbe Recht. Ebenso wenig findet eine Unterscheidung bei der Datenverarbeitung zwischen Unternehmen (B2B) und solcher zwischen Unternehmen und Privatpersonen (B2C) statt. Somit sind auch Einrichtungen im Bereich der sozialen Arbeit von der neuen Gesetzeslage betroffen.

Sogar Privatpersonen fallen unter den Anwendungsbereich der DSGVO, wenn sie in der oben genannten Weise personenbezogene Daten verarbeiten. Dies gilt allerdings nicht, wenn die Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verwendet werden (Art. 2 Abs. 2 c DSGVO). Wer also seine privaten Urlaubsbilder in ein Fotoalbum einsortiert, muss sich weiterhin nicht um Datenschutz kümmern.

Räumlich finden die Regelungen entsprechend dem sog. „Marktortprinzip“ Anwendung (Art. 3 DSGVO). Das bedeutet, dass nicht nur solche Datenverarbeitung betroffen ist, die in der EU stattfindet bzw. durch dort ansässige Einrichtungen und Personen durchgeführt wird. Die DSGVO gilt darüber hinaus für außereuropäische Unternehmen, die Waren oder Dienstleistungen auf dem EU-Markt anbieten, sogar wenn die eigentliche Datenverarbeitung nicht in der EU durchgeführt wird, und das Verhalten der betroffenen Personen bezogen auf die angebotenen Waren bzw. Dienstleistungen beobachten. Will also ein amerikanisches Unternehmen Daten darüber sammeln, welche Suchbegriffe Personen innerhalb der EU auf ihrer Unternehmenswebsite eingeben, müssen dabei die Vorgaben der DSGVO eingehalten werden.

Welche Daten sind betroffen?

Besondere Relevanz kommt dem Begriff der „personenbezogenen Daten“ zu. Er ist sozusagen das Eingangstor zur Anwendung der Datenschutz-Grundverordnung. Eine entsprechende Definition findet sich in Art. 4 Abs. 1 Nr. 1 DSGVO. Gemeint sind mit „personenbezogenen Daten“ demnach:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Betroffenen sind identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden können, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind.“ (Art. 4 Abs. 1 Nr. 1 DSGVO)

Die Definition ist sehr weit zu verstehen. Darunter fallen also sämtliche Daten, die in irgendeiner Form einer konkreten Person zugeordnet werden oder zugeordnet werden können. Hierzu zählen z. B. Telefonnummern, Anschrift, Kreditkarten- oder Personalnummern, Kontodaten, Kfz-Kennzeichen, Kundennummern oder Fotos.

Zusätzliche Einschränkungen macht die DSGVO des Weiteren für die Verarbeitung besonderer Kategorien personenbezogener Daten in Art. 9:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, bio-metrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“ (Art. 9 Abs. 1 DSGVO)

In diesen wie auch in anderen Fällen sind jedoch Ausnahmen möglich, z. B. durch Einwilligungen oder nationale Sonderregelungen.

Umgang mit Daten unter der DSGVO Was ist zu tun?

Grundsätzlich ist jegliche Verarbeitung personenbezogener Daten verboten, soweit sie nicht aufgrund bestimmter, in Art. 6 DSGVO festgelegter Bedingungen zulässig ist. Hierzu zählen u. a. Einwilligungen in die Datenverarbeitung, Vertragsverpflichtungen oder das öffentliche Interesse. Um auch in diesen Fällen einen adäquaten Datenschutz zu gewährleisten, enthält die DSGVO eine Reihe von starken und teils weitreichenden Instrumenten. Eines davon ist die zwingende Bestellung eines/einer Datenschutzbeauftragten (Art. 37ff DSGVO) u. a. für Einrichtungen, zu deren Kerntätigkeiten die Verarbeitung personenbezogener Daten gehört und mindestens zehn Personen ständig mit dieser Verarbeitung beschäftigt sind. Des Weiteren müssen die „Grundsätze für die Verarbeitung personenbezogener Daten“ (Art. 5 DSGVO) beachtet werden:

  • Rechtmäßigkeit
  • Treu und Glaube
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Aus diesen Grundsätzen sowie aus den Rechten der Betroffenen ergibt sich zudem eine Vielzahl von Dokumentationspflichten. Sie dienen z. T. als Nachweis gegenüber der Datenschutzaufsicht und bei gerichtlichen Kontrollverfahren, bspw. die Dokumentation getroffener technischer Datenschutzmaßnahmen oder die Dokumentation und Meldung von Datenverletzungen. Teilweise zielen die Dokumentationspflichten aber auch auf eine mögliche, nachträgliche Information Betroffener. So müssen etwa Einwilligungen und Auskunftsersuche Betroffener dokumentiert werden. Um den Dokumentationspflichten und Aufgaben gerecht zu werden, ist daher ein entsprechendes Datenschutz-Managementsystem wichtig.

Rechte von Betroffenen

Das Gegenstück zu den Pflichten der Verarbeiter*innen personenbezogener Daten sind die umfangreichen Rechte für Betroffene. Hierzu gehört insbesondere das zentrale Auskunftsrecht der betroffenen Person über beim Verantwortlichen gespeicherte personenbezogene Daten. Es beinhaltet u. a. das Recht auf Auskunft:

  • über Verarbeitungszwecke;
  • über Kategorien personenbezogener Daten, die verarbeitet werden;
  • über Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden, insbesondere Drittländer;
  • über das Beschwerderecht bei der Aufsichtsbehörde sowie
  • über die Herkunft der Daten, soweit diese nicht von der betroffenen Person selbst erhoben wurden.

An das Auskunftsrecht schließen sich bei Bedarf weitere Rechte, etwa auf unverzügliche Berichtigung falscher Daten, auf Löschung sowie auf Einschränkung der Verarbeitung, an. Gegebenenfalls steht den Betroffenen ein Beschwerderecht bei der Aufsichtsbehörde zu.

Strafen

Anders als viele vorausgegangene Datenschutzgesetze innerhalb der EU, z. T. auch in Deutschland, ist das neue Datenschutzrecht kein zahnloser Tiger. Verstöße gegen die DSGVO, z. B. Verletzungen der Datenschutzpflichten, können empfindliche Strafen nach sich ziehen. Abhängig vom konkreten Einzelfall (u. a. Art, Schwere und Dauer, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes usw.) können die Aufsichtsbehörden Bußgelder von bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes erteilen. Inwieweit diese Sanktionen zum Einsatz kommen, wird die zukünftige Rechtsprechung zeigen.