Was ist Datenschutz und wer muss Datenschutzgesetze beachten?
Seit Mai 2018 gilt in der EU ein einheitliches Datenschutzgesetz – die Datenschutz-Grundverordnung (DSGVO). Dieses Gesetz hat zum überwiegenden Teil nationale Regelungen der EU-Staaten abgelöst. Dennoch gelten, wie in Deutschland mit dem Bundesdatenschutzgesetz (BDSG-neu), ergänzend weiterhin nationale Gesetze.
Nicht allein die verschiedenen Gesetzesgrundlagen verunsichern viele Shop- und Plattformbetreiber, die Eigentümer von Webseiten und Unternehmen allgemein. Immer noch wissen Beteiligte nicht genau, welche Aufgaben mit der Einhaltung der Datenschutzgesetze in der Praxis verbunden sind. Dieser Beitrag verschafft Ihnen einen grundsätzlichen Überblick zum Datenschutz, auch in der Abgrenzung zur Datensicherheit.
Die Geschichte des Datenschutzes
Die seit 2018 EU-weit geltende Datenschutz-Grundverordnung orientiert sich in weiten Teilen an bereits bekannten Grundsätzen des Datenschutzes. Diese waren vorher in nationalen Gesetzen der einzelnen Mitgliedstaaten geregelt. Unter anderem greift die Datenschutz-Grundverordnung die Definition der personenbezogenen Daten als wichtigste Basis des Datenschutzes auf.
Damit ist die Datenschutz-Grundverordnung nicht das erste Datenschutzgesetz in Deutschland. Sie stellt eine Besonderheit dar, weil sich alle europäischen Mitgliedstaaten auf sie geeinigt haben.
Datenschutz spielt in der Bundesrepublik Deutschland spätestens seit Anfang der 1980er eine Rolle. Das erste bundesweit geltende Datenschutzgesetz wurde am 27. Januar 1977 verabschiedet. Daneben galten verschiedene Landesdatenschutzgesetze der einzelnen Bundesländer und ergänzende Gesetze in bestimmten Bereichen. Bereits 1970 beschloss das Bundesland Hessen das weltweit erste Datenschutzgesetz.
Schon damals erlangte der Schutz personenbezogener Daten immer mehr Aufmerksamkeit. Es entstanden Institutionen wie Datenschutzbeauftragte, die sich mit der Einhaltung von Datenschutzregelungen im öffentlichen Bereich befassten.
Hintergrund für ein Datenschutzgesetz war die Erkenntnis, dass personenbezogene Daten durch eine fortschreitende maschinelle und später digitale Verarbeitung Gefahren ausgesetzt werden. Daten können verändert werden, verloren gehen oder gegen den Willen des Dateninhabers missbräuchlich genutzt werden.
Mit der zunehmenden Digitalisierung und einer globalen Datenverarbeitung wuchs das Bedürfnis für eine weitergehende Regelung in einem umfassenderen Datenschutzgesetz. Dies war die wesentliche Motivation für die Datenschutz-Grundverordnung auf EU-Ebene als erstes EU-weit geltendes Datenschutzgesetz.
Die Definition von Datenschutz
Personenbezogene Daten sind ein schützens- und begehrenswertes Gut. Dies wird im Zeitalter von Social Media und der digitalen Verarbeitung von Daten noch deutlicher. Wer über personenbezogene Daten verfügt, kann gezielt werben und Menschen unter Umständen manipulieren. Ebenso definieren diese Daten ganze Personenidentitäten.
Aus den Informationen der personenbezogenen Daten lassen sich soziale und andere Profile erstellen. Sie erlauben ungeregelt, durch die weite Verbreitung digitaler Geräte und Medien, eine Kontrolle von Menschen bis in die intimsten Bereiche. Werden diese Daten nicht durch ein wirkungsvolles Datenschutzgesetz geschützt, öffnen sich viele Möglichkeiten zum Missbrauch der persönlichen Daten. Ein wesentlicher Aspekt ist dabei der Schutz personenbezogener Daten vor intransparenten Verarbeitungsvorgängen im Ausland.
Datenschutz ist darauf ausgerichtet, personenbezogene Daten vor missbräuchlicher Verarbeitung zu schützen. Ein Datenschutzgesetz stellt einen rechtlichen Rahmen zur Verfügung, in dem sich datenerhebende und datenverarbeitende Unternehmen bewegen müssen. Ebenso stellt ein Datenschutzgesetz Definitionen bereit, die Datenverarbeitungsvorgänge und die Datenschutzorganisation in Unternehmen näher beschreiben.
Personenbezogene Daten gehören dem Dateninhaber. Datenschutz ist deshalb eng an das aus dem Grundgesetz abgeleitete Recht zur informationellen Selbstbestimmung gebunden.
Das Recht auf informationelle Selbstbestimmung
Informationelle Selbstbestimmung ist nach Ansicht des Bundesverfassungsgerichts das Datenschutz-Grundrecht. Auf der Basis des allgemeinen Persönlichkeitsrechts in Art. 2 Abs. 1 Grundgesetz und Art. 1 Abs. 1 Grundgesetz ist es ein Ausfluss des allgemeinen Persönlichkeitsrechts.
Geschaffen wurde das Recht auf informationelle Selbstbestimmung vor dem Hintergrund, dass moderne Möglichkeiten der Datenverarbeitung die freie Entfaltung und Selbstbestimmung von Menschen zunehmend gefährden könnten.
Auf den Punkt gebracht bedeutet informationelle Selbstbestimmung: Jeder Mensch darf grundsätzlich selbst darüber entscheiden, wem er personenbezogene Daten offenlegt und wie diese verwendet werden dürfen. Davon ausgehend knüpft das Datenschutz-Grundrecht die Verarbeitung von personenbezogenen Daten grundsätzlich an die Einwilligung des Dateninhabers.
Ebenso folgt aus dem Grundrechtscharakter der informationellen Selbstbestimmung, dass nicht durch Einwilligung gedeckte Eingriffe in dieses Recht eine gesetzliche Grundlage haben müssen.
Von diesen beiden grundsätzlichen Prinzipien der Einwilligung und der gesetzlichen Grundlagen leiten sich die Regelungen in jedem aktuellen Datenschutzgesetz, wie der Datenschutz-Grundverordnung, ab.
Was sind personenbezogene Daten?
In jedem derzeit geltenden Datenschutzgesetz stehen die personenbezogenen Daten im Fokus. Deshalb ist die Definition für diese von großer Bedeutung:
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar ist eine Person, wenn man direkt oder indirekt, zum Beispiel über eine Zuordnung mit einem Namen, einer Kennnummer, über Standortdaten oder andere besondere Merkmale auf die Person schließen kann.
Wichtig ist, dass personenbezogene Daten nicht zwingend sensible Daten sein müssen. Das Datenschutzgesetz schützt zunächst sämtliche personenbezogenen Daten. Allerdings werden die Anforderungen an die Verarbeitung sensibler Daten teilweise nochmals besonders qualifiziert.
Sensible personenbezogene Daten sind unter anderem solche, die eine rassische/ethnische Herkunft, eine politische Meinung sowie weltanschauliche oder religiöse Überzeugungen erkennen lassen. Auch Informationen zu einer Gewerkschaftszugehörigkeit, Gesundheitsdaten oder Daten zur sexuellen Orientierung einer Person gelten als sensibel.
Die gesetzlichen Grundlagen zum Datenschutz
Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG-neu) sind die gesetzlichen Eckpfeiler des Datenschutzes in Deutschland. Ein weiteres, wichtiges Nebengesetz ist die JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz. Die DSGVO gilt auch in Liechtenstein, Norwegen und Island.
Sie trifft Regelungen für Datenverarbeitungen außerhalb der EU und hat deshalb einen weiten Anwendungsbereich. Außerdem enthält die Verordnung Öffnungsklauseln für ergänzende nationale Regelungen. Das BDSG-neu ergänzt hier die verpflichtend in allen EU-Staaten geltende DSGVO.
Grundsätzlich gelten in Deutschland beide Gesetzeswerke – Datenschutz-Grundverordnung und BDSG neu.
Die Datenschutz-Grundverordnung DSGVO und ihr Aufbau
Interessant an der Datenschutz-Grundverordnung ist, dass sie direkt in den EU-Staaten gilt. Häufig werden in der Europäischen Union sogenannte Richtlinien beschlossen, die in den einzelnen Staaten noch in nationales Recht umgesetzt werden müssen. Das ist bei der Datenschutz-Grundverordnung grundsätzlich anders. Sie gilt seit Mai 2018 direkt.
Das Gesetzeswerk umfasst 99 Artikel in elf Kapiteln. Daraus folgt diese Gliederung:
- Kapitel 1 Allgemeine Bestimmungen (Gegenstand und Ziele, sachlicher und räumlicher Anwendungsbereich, Begriffsbestimmungen)
- Kapitel 2 Grundsätze und Rechtmäßigkeit (Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Bedingungen für die Einwilligung, Verarbeitung besonderer Kategorien personenbezogener Daten)
- Kapitel 3 Rechte der betroffenen Person (Transparenz und Modalitäten, Informationspflichten des Verantwortlichen und Auskunftsrecht der betroffenen Person zu personenbezogenen Daten, Berichtigung und Löschung, das Recht auf Vergessenwerden, Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall, einschließlich Profiling und Beschränkungen)
- Kapitel 4 Verantwortlicher und Auftragsverarbeiter (Allgemeine Pflichten, Sicherheit personenbezogener Daten, Datenschutz-Folgenabschätzung und vorherige Konsultation, Datenschutzbeauftragter, Verhaltensregeln und Zertifizierung)
- Kapitel 5 Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
- Kapitel 6 Unabhängige Aufsichtsbehörden
- Kapitel 7 Zusammenarbeit und Kohärenz, Europäischer Datenschutzausschuss
- Kapitel 8 Rechtsbehelfe, Haftung und Sanktionen
- Kapitel 9 (Vorschriften für besondere Verarbeitungssituationen)
- Kapitel 10 Delegierte Rechtsakte und Durchführungsrechtsakte
- Kapitel 11 Schlussbestimmungen
Das Bundesdatenschutzgesetz (BDSG-neu)
Das BDSG-neu ist der Nachfolger des Bundesdatenschutzgesetzes. Es stellt ein weiteres Datenschutzgesetz in Deutschland dar. Hier geht es insbesondere um die Datenverarbeitung öffentlicher Träger. Zudem ergänzen die Regelungen im Bundesdatenschutzgesetz die Vorschriften in der DSGVO auch für Privatunternehmen.
Dabei geht die Datenschutz-Grundverordnung diesem nationalen Datenschutzgesetz regelmäßig vor. Deshalb greifen Vorschriften im BDSG-neu dort, wo die DSGVO Öffnungsklauseln hat und keine abschließenden Regelungen getroffen worden sind. Damit konkretisiert und spezifiziert das BDSG-neu teilweise die Vorgaben in der DSGVO.
Beispielsweise trifft das BDSG-neu konkrete Regelungen zur Umsetzung des Datenschutzes im Beschäftigungsverhältnis. Auch finden Sie in diesem nationalen Gesetzeswerk spezifische Regelungen zur Stellung des Datenschutzbeauftragten.
Bei der Arbeit im Datenschutz sollten Sie stets das Zusammenspiel zwischen Datenschutz-Grundverordnung und BDSG-neu beachten. Das Bundesdatenschutzgesetz steht nicht für sich allein. Es stellt weitere Konkretisierungen bei der Umsetzung der Regelungen in der DSGVO bereit.
Grundsatzfragen im Datenschutz und Datenschutzgesetz
In der DSGVO und im Bundesdatenschutzgesetz fußen die jeweiligen Bestimmungen auf verschiedenen grundsätzlichen Prinzipien des Datenschutzes. Diese sind unter anderem:
- Daten müssen transparent und nach dem Grundsatz von Treu und Glauben verarbeitet werden.
- Die Datenverarbeitung ist nur rechtmäßig, wenn Daten für eindeutige, festgelegte und legitime Zwecke erhoben und verarbeitet werden.
- Zwischen Datenerhebung und -verarbeitung besteht ein bestimmtes Verhältnis. Die Verarbeitung muss mit den festgelegten Zwecken vereinbar sein.
- Richtigkeit der Datenverarbeitung steht für das Prinzip, dass erhobene Daten richtig und auf dem neuesten Stand sein müssen.
- Für bestimmte Prozesse im Umgang mit personenbezogenen Daten ist eine Einwilligung der Dateninhaber erforderlich.
- Für die Datenerhebung bestimmter Daten besteht grundsätzlich ein Erlaubnisvorbehalt.
- Es gilt der Grundsatz der Speicherbegrenzung. Personenbezogene Daten dürfen nur solange gespeichert werden, wie es für den Verarbeitungszweck notwendig ist.
- Wer Daten erhebt und verarbeitet, ist rechenschaftspflichtig. Hier gilt eine Beweislastumkehr. Die datenverarbeitende Stelle muss nachweisen, dass sie die Grundsätze und Bestimmungen des Datenschutzes einhält.
Die auf den ersten Blick abstrakten Prinzipien werden durch die Regelungen in der DSGVO und im Bundesdatenschutzgesetz konkretisiert.
Datenschutz-Grundverordnung nicht nur als rechtlicher Rahmen
Die Einhaltung der Vorgaben im Datenschutzgesetz erfordern bestimmte organisatorische und technische Maßnahmen. Auch diese finden Niederschlag in der Datenschutz-Grundverordnung. Hier bestehen Berührungspunkte zur Datensicherheit und IT-Sicherheit. Im Bereich der Datenschutz-Folgeabschätzung kommt dem technischen Umfeld im Datenschutz eine besondere Bedeutung zu.
Unternehmen müssen sich an aktuellen Möglichkeiten orientieren, die bei der IT-Sicherheit und Datensicherheit zur Verfügung stehen. Auch daraus folgt, dass Datenschutz im Sinne der Datenschutz-Grundverordnung und des BDSG-neu niemals vollständig abgeschlossen ist.
Es handelt sich um eine dauerhafte Aufgabe für Unternehmen, an die immer wieder aktualisierte (technische) Maßstäbe gesetzt werden. Deshalb müssen sich Unternehmen dauerhaft mit dem Datenschutz und dem Datenschutzgesetz auseinandersetzen.
Wer darf wann Daten verarbeiten?
Diese praktische Kernfrage steht im Mittelpunkt, wenn Sie sich in Ihrem Unternehmen mit dem Thema Datenschutz befassen. Grundsätzlich lautet die Antwort:
Sie dürfen personenbezogene Daten verarbeiten, wenn die Verarbeitung rechtmäßig ist. Rechtmäßig ist die Verarbeitung, wenn bestimmte berechtigende Vorschriften zu Ihren Gunsten greifen:
- Eine Datenverarbeitung ist dann rechtmäßig, wenn für einen bestimmten Fall eine gesetzliche Grundlage existiert. Ein Anwendungsbeispiel ist Art. 88 DSGVO, § 26 BDSG-neu für die Datenerhebung in Arbeitsverhältnissen. In der DSGVO finden sich weitere Grundlagen, etwa zur Datenerhebung bei der Durchführung eines Vertrages oder bei lebenswichtigen Interessen des Betroffenen.
- Ebenso erlaubt die Datenschutz-Grundverordnung die Datenverarbeitung zur Wahrung berechtigter Interessen eines Verantwortlichen oder Dritten.
- Erteilt der Dateninhaber die Einwilligung zur Datenverarbeitung, gilt diese ebenfalls als rechtmäßig.
Grundsätzliches zur erlaubten und damit rechtmäßigen Datenverarbeitung regelt Art. 6 DSGV.
Was ist eine Einwilligung zur Datenverarbeitung?
Die gesetzliche Regelung zur Einwilligung finden Sie in Art. 7 DSGVO. Allgemein lässt sich die Einwilligung im Datenschutzgesetz wie folgt definieren:
Mit der Einwilligung verfügt der Dateninhaber über seine personenbezogenen Daten. Je nach Ausgestaltung erteilt er seine Einwilligung in die Erhebung, Verarbeitung und Nutzung seiner Daten. Er kann seine Einwilligung jederzeit widerrufen.
Wichtig ist eine Einwilligungserklärung, beispielsweise bei Direktwerbung von Unternehmen an ihre Kunden.
Welche Aufgaben hat ein Datenschutzbeauftragter in Unternehmen?
Die Datenschutz-Grundverordnung sieht als maßgebliches Datenschutzgesetz für bestimmte Konstellationen in Unternehmen die Benennung eines Datenschutzbeauftragten zwingend vor. Das BDSG-neu ergänzt diese Vorgaben um weitere Fälle.
Wann muss ein Datenschutzbeauftragter benannt werden?
Der unternehmerische Datenschutzbeauftragte ist an der Selbstkontrolle der Organisation bei der Einhaltung von Datenschutzgesetzen beteiligt. Er überwacht und berät im Bereich Datenschutz. Hierbei ist er auch Ansprechpartner für Behörden und andere Beteiligte im Datenschutzgesetz. Grundsätzlich ist er bei der Erfüllung seiner Aufgaben weisungsfrei.
Das Unternehmen hat zwei verschiedene Möglichkeiten, einen Datenschutzbeauftragten auszuwählen:
- Es kann sich für einen internen Mitarbeiter entscheiden, der ausgebildet ist. Hier sorgen Unternehmen für Ausbildung und Weiterbildung. Die Benennung zum Datenschutzbeauftragten führt zu einem speziellen Kündigungsschutz, vergleichbar mit Betriebsratsmitgliedern. Herausforderungen für die interne Benennung eines Datenschutzbeauftragten können die enge Bindung des Mitarbeiters an das Unternehmen und eine vielleicht fehlende Akzeptanz seiner Expertise im Unternehmen sein.
- Das Unternehmen kann einen externen Dienstleister als Datenschutzbeauftragten benennen. Hier sorgt der Experte selbst für seine ständige Weiterbildung und Kompetenz. Er wird im Rahmen eines Dienstvertrages auf selbstständiger Basis für das Unternehmen tätig sein. Diese Alternative kann vorteilhaft sein, weil der Datenschutzbeauftragte in jedem Fall unabhängig ist und bei Differenzen der Dienstleistungsvertrag leichter gekündigt werden kann als ein Arbeitsvertrag.
Die DSGVO regelt in Art. 37, wann ein Datenschutzbeauftragter benannt werden muss.
Unter anderem ist das der Fall, wenn:
- eine öffentliche Stelle Datenverarbeitung durchführt
- die Kerntätigkeit eines Unternehmens in einer umfangreichen, regelmäßigen oder systematischen Überwachung von Personen liegt
- die Kerntätigkeit eines Unternehmens die Verarbeitung von Daten der Kategorie nach Art. 9 DSGVO umfasst, etwa bei Gesundheitsdaten
Das BDSG-neu ergänzt diese Vorschriften in der Datenschutz-Grundverordnung mit weiteren Vorgaben:
- Ist in einem Unternehmen oder einem Verein ständig eine gewisse Anzahl von Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt, ist ein Datenschutzbeauftragter zu benennen. Derzeit liegt die Zahl bei 20 Mitarbeitern.
- Unterliegen in einem Unternehmen Verarbeitungsvorgänge von personenbezogenen Daten einer Datenschutz-Folgeabschätzung, muss ein Datenschutzbeauftragter benannt werden.
- Besteht der Geschäftszweck eines Unternehmens in der Übermittlung von personenbezogenen Daten oder es handelt sich um Marktforschung, besteht ebenfalls eine Benennungspflicht für Datenschutzbeauftragte.
Was ist eine Datenschutz-Folgeabschätzung?
Manche Prozesse bei der Erhebung und Verarbeitung von personenbezogenen Daten stehen für spezielle Risiken im Bereich der Datenintegrität. Die Datenschutz-Grundverordnung nimmt erhöhte Risiken etwa an, wenn bestimmte sensible Daten verarbeitet werden oder ein besonders intensives Profiling bei der Bewertung von personenbezogenen Daten erfolgt.
Deshalb verpflichtet die Datenschutz-Grundverordnung als maßgebliches Datenschutzgesetz betroffene Unternehmen hier zu einer Datenschutz-Folgeabschätzung. Dabei handelt es sich um eine umfassende Vorabprüfung der eigenen Datenerhebungs- und -verarbeitungsprozesse. Das Unternehmen schätzt die eigene Tätigkeit datenschutzrechtlich in einem Gutachten ein und beschreibt auch die technischen Maßnahmen, um das Risiko zu begrenzen.
Verstöße gegen Datenschutzgesetze und die rechtlichen Folgen
Die Datenschutz-Grundverordnung hat als EU-weit geltende Regelung hohe Bußgelder für Unternehmen als Sanktionen bei Datenschutz-Verstößen eingeführt. Es drohen bis zu 20 Millionen Bußgeld, respektive 4% des weltweit erzielten Umsatzes im Vorjahr.
Natürlichen Personen drohen im Zusammenhang mit bestimmten Verstößen gegen die Datenschutz-Grundverordnung/das Bundesdatenschutzgesetz Geldstrafen und Freiheitsstrafen. Hier sind insbesondere Verstöße bei einer wissentlichen und unrechtmäßigen Übermittlung von personenbezogenen Daten an Dritte zu nennen.
Der Bußgeldrahmen wird dabei bei gravierenden Datenschutzverstößen von den Behörden in der Praxis genutzt. Die Deutsche Wohnen SE wurde etwa zu einem Bußgeld von über 14 Millionen EUR herangezogen.
Was ist Datensicherheit?
Die Begriffe Datensicherheit und Datenschutz entsprechen sich nicht. Dennoch befasst sich ein Datenschutzgesetz an manchen Stellen auch mit der Datensicherheit.
Während der Datenschutz mit der Datenschutz-Grundverordnung auf den Schutz personenbezogener Daten abzielt, befasst sich die Datensicherheit mit der Frage, wie Daten allgemein und primär technisch vor unbefugtem Zugriff geschützt werden können.
Daraus folgt, dass der Datenschutz sich bestimmter Instrumente der Datensicherheit und IT-Sicherheit bedient. Beide Bereiche sind deshalb für Unternehmen maßgeblich. Datensicherheit spielt bei der organisatorischen und technischen Abwicklung der Vorgaben in der Datenschutz-Grundverordnung eine maßgebliche Rolle.
Fazit: Die Bedeutung von Datenschutz
Datenschutz wird im unternehmerischen Bereich immer wichtiger. Seine Bedeutung steigt weiter, weil in zunehmendem Maße personenbezogene Daten über die Digitalisierung in Unternehmen erhoben und verarbeitet werden. Diese Tendenz zur Datenvielfalt hat noch lange nicht ihren Höhepunkt überschritten.
Es ist daher für Unternehmen wichtig, die Datenschutz-Grundverordnung als maßgebliches Datenschutzgesetz zu kennen und den dortigen Bestimmungen zu folgen.
Ebenso ist auch das Bundesdatenschutzgesetz als ergänzende nationale Gesetzgebung ein essenzielles Datenschutzgesetz. Beim Thema Datenschutz geht es nicht nur darum, teilweise existenzgefährdende Bußgelder zu vermeiden. Ebenso ist die Einhaltung von Datenschutzgesetzen zunehmend ein Wettbewerbsfaktor.
Wer den Datenschutz und die Datenschutz-Grundverordnung als Datenschutzgesetz ernst nimmt, kümmert sich auch um Datensicherheit. Dieser Schutz ist nicht nur für das eigene Unternehmen essenziell. Geschäftspartner wählen zunehmend Unternehmen für Kooperationen aus, die sich datenschutzkonform verhalten und IT-Sicherheit nicht nur als lästige Pflicht betrachten. Auch Endkunden haben immer öfter ein Bewusstsein dafür, welche Unternehmen gesetzeskonform mit ihren Daten umgehen.
Unternehmen können sich deshalb Verstöße gegen das Datenschutzgesetz unter verschiedenen Gesichtspunkten nicht leisten. Hier sind professionelle Partner und Dienstleister eine wichtige Unterstützung. Sie kennen jedes Datenschutzgesetz und wissen, was für die Datenschutzkonformität im Alltag notwendig ist.
Bereit mit uns zu sprechen? Wir sind von Montag bis Freitag für Sie erreichbar!
+320.000
Stunden an Expertise
+40
Teammitglieder