Datenschutzrecht | Vorsicht im Umgang mit personenbezogenen Daten

Rechtsgrundlagen

Seit 25.05.2018 ist der Datenschutz unionsweit durch die Datenschutz-Grundverordnung (DSGVO) sowie ergänzend durch das neue, ebenfalls am 25.05.2018 in Kraft getretene Bundesdatenschutzgesetz (BDSG) geregelt.

Gesetzgeberische Ziele:

  • Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) sollen geschützt werden
  • der freie Verkehr personenbezogener Daten soll ermöglicht werden (vgl. Art. 1 Abs. 3 DSGVO).
  • Mehr Compliance innerhalb der Unternehmen
  • Vereinheitlichung der Rechtsanwendung
  • Anpassung des Datenschutzes an den technologischen Fortschritt.

Art. 5 DSGVO statuiert 6 wesentliche Grundsätze:

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  2. Zweckbindung
  3. Datenminimierung
  4. Richtigkeit
  5. Speicherbegrenzung
  6. Integrität und Vertraulichkeit.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Rechtmäßig bedeutet, dass jede Datenverarbeitung eine Rechtsgrundlage (Art. 6 DSGVO) benötigt. Das kann eine Einwilligung sein, oder beispielsweise auch das berechtigte Interesse des Verarbeiters.

Nach Treu und Glauben ist ein unscharfer Begriff. Gemeint ist, dass die Datenverarbeitung nicht zu Nachteilen führen darf, die dem „Kräftegleichgewicht“ zwischen der betroffenen Person und dem Verantwortlichen widerspricht

Transparenz heißt, dass heimliche Datenverarbeitungen ausgeschlossen sind. Sie müssen die betroffene Person stattdessen vorher und umfassend über die Verarbeitung der auf sie bezogenen Daten zu informieren.

Zweckbindung

Jeder Datenverarbeitungsvorgang muss einem bestimmten festgelegten und legitimen Zweck dienen, der von den Erlaubnistatbeständen in Art. 6 DSGVO umfasst wird.

Datenminimierung

Die DSGVO schreibt vor, dass die Daten auf das notwendige Maß beschränkt werden, so dass Sie den mit der Verarbeitung verfolgten Zweck gerade noch erreichen.

Richtigkeit der Daten

Die personenbezogenen Daten, die Sie verarbeiten, müssen sachlich richtig sein. Ist das nicht der Fall, hat die betroffene Person einen Anspruch auf Berichtigung der Daten.

Speicherbegrenzung

Eine Datenverarbeitung ist nur innerhalb bestimmter zeitlicher Grenzen möglich, nämlich so lange, wie es für die Verarbeitungszwecke erforderlich ist.

Integrität und Vertraulichkeit

Sie müssen unbefugte oder unrechtmäßige Verarbeitungen, unbeabsichtigten Verlust, Zerstörung oder Beschädigung von personenbezogenen Daten verhindern. Hierzu müssen Sie geeignete Schutzmaßnahmen technischer und organisatorischer Art (TOM) treffen.

Begriff der personenbezogenen Daten

Beispiel:

Nach Ansicht des EuGH gehört auch die IP-Adresse zu den personenbezogenen Daten, denn der Verantwortliche kann mit rechtlichen Mitteln (Antrag auf Auskunft) die dahin-terstehenden Kontaktdaten herausfinden.

Die geltenden Datenschutzbestimmungen müssen sie nur für personenbezogene Daten beachten. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Danach liegen  personenbezogene Daten auch dann vor, wenn der Verwender über die notwendigen (rechtlichen oder tatsächlichen) Mittel verfügt, um eine Person zu identifizieren, auch wenn dies einen erheblichen Aufwand erfordert.

Anwendungsbereich der DSGVO

Wir unterscheiden immer zwischen dem sachlichen, räumlichen und persönlichen Anwendungsbereich.

Sachlicher Anwendungsbereich

Nach Art. 2 Abs. 1 DSGVO gilt die Verordnung „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

Beispiel:

Jemand führt ein Adressbuch mit Adressen seiner Freunde oder Fußballkumpels.

Unter ganz oder teilweise automatisierter Verarbeitung personenbezogener Daten versteht man auch bereits die Zuhilfenahme eines Computers zur Verwaltung von Adressen, E-Mails etc. Aber auch eine nicht automatisierte Verarbeitung kann zur Anwendung der DSGVO führen, wenn die Daten in einem Dateisystem („Karteikasten“) gespeichert sind oder gespeichert werden sollen. Nicht unter die DSGVO fällt praktisch nur der gesamte analoge, unsystematische Bereich (Beispiel: Jemand schreibt eine Telefonnummer auf einen Zettel, der nicht in ein Adressbuch oder einen Karteikasten eingeordnet werden soll).

Ebenfalls nicht unter die DSGVO fällt der persönliche oder familiäre Bereich („Haushaltsausnahme“).

Räumlicher Anwendungsbereich

Beispiel:

US-amerikanischer Onlineshop, der Waren in seinem Onlineshop unter einer deutschsprachigen Seite anbietet oder eine kanadische Videoüberwachungsfirma.

Nach Art. 3 Abs. 1 DSGVO gilt die Verordnung nicht nur für Datenverarbeiter innerhalb der Europäischen Union, sondern auch für solche außerhalb der Union, die Waren oder Dienstleistungen in der EU anbieten oder die das Verhalten von Personen innerhalb der Union beobachten.

Persönlicher Anwendungsbereich

Die DSGVO verpflichtet jeglichen Verarbeiter personenbezogener Daten, egal, ob es eine natürliche oder juristische Person ist. Es gibt also keinen speziellen „persönlichen Anwendungsbereich“.

Rechtmäßigkeit der Datenverarbeitung

Ganz klar: Jede Verarbeitung personenbezogener Daten muss rechtmäßig sein. Es gilt das „Verbot mit Erlaubnistatbestand“ (Art. 6 EU-DSGVO). Als Erlaubnis zählt entweder eine Einwilligung nach Art. 6 I a DSGVO oder eine gesetzliche Erlaubnis nach Art. 6 I b – f DSGVO.

Einwilligung (Art. 6 Abs. 1 a DSGVO)

Die Verarbeitung personenbezogener Daten (also das Erheben, Speichern, Nutzen, Weiter-geben etc.) ist dann erlaubt, wenn der Betroffene in die Verarbeitung einwilligt. Eine Einwilli-gung unterliegt aber strengen Voraussetzungen und muss

  • freiwillig
  • informiert
  • durch eine eindeutige Handlung

erteilt werden.

Zudem ist die Einwilligung jederzeit widerruflich (im Gegensatz zu der Einwilligung zur Verwendung eines Bildnisses, s.o.), worauf Sie den Betroffenen auch explizit hinweisen müssen.

Dies macht eine Einwilligung zu einer sehr schlechten Rechtsgrundlage, weil man sich darauf nicht verlassen kann. Zum Glück kennt die DSGVO noch weitere – gesetzliche – Erlaubnistatbestände.

Erfordernis zur Erfüllung eines Vertrags (Art. 6 Abs. 1 b DSGVO)

Das Gesetz erlaubt die Verarbeitung personenbezogener Daten, wenn es notwendig ist, damit der Verantwortliche eine vertragliche Pflicht erfüllen kann oder damit ein Vertrag überhaupt zustande kommen kann.
Beispiel: Der Vermieter darf die Kontakt- und Zahlungsdaten des Mieters erheben und speichern. Umgekehrt darf der Mieter die Kontakt- und Kontodaten des Vermieters speichern.

Erforderlichkeit zur Erfüllung einer Rechtspflicht (Art. 6 Abs. 1 c DSGVO)

Ohne Einwilligung darf ein Verantwortlicher personenbezogene Daten auch dann verarbeiten, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Der Begriff der rechtlichen Verpflichtung meint nicht Verpflichtungen aus Rechtsgeschäften (dafür dient ja schon die zuvor genannte Rechtsgrundlage), sondern ausschließlich Verpflichtungen durch oder aufgrund von Rechtsvorschriften.

Beispiele:

  • Der Arbeitgeber teilt der zuständigen Kontrollbehörde personenbezogene Daten des Arbeitnehmers mit, damit diese die gesetzlich vorgeschriebenen Arbeitsbedingungen überprüfen kann.
  • Zu den „klassischen“ rechtlichen Verpflichtungen gehören auch die gesetzlichen Auf-zeichnungs- und Aufbewahrungspflichten im Handels-, Gewerbe-, Steuer- und Sozial-recht (beispielsweise muss ein Unternehmer Rechnungen 10 Jahre lang aufbewahren).

Wahrung lebenswichtiger Interessen (Art. 6 Abs. 1 d DSGVO)

Ohne Einwilligung dürfen personenbezogene Daten auch dann verarbeitet werden, wenn dies zur Wahrung lebenswichtiger Interessen der betroffenen Person dient.

Beispiel: Schutz der Person vor gefährlichen Krankheiten und Infektionen, Epidemien, humanitäre Notfälle und Katastrophen.

Öffentliches Interesse (Art. 6 Abs. 1 e DSGVO)

Ohne Einwilligung dürfen personenbezogene Daten ferner verarbeitet werden, wenn dies einer im öffentlichen Interesse liegenden Aufgabe und der Ausübung öffentlicher Gewalt dient.
Beispiele:
• Schuldnerverzeichnisse und Informationsdienste über die Zahlungsfähigkeit und Kreditwürdigkeit
• Videoüberwachung von öffentlichen Plätzen und Einrichtungen
• staatliche Verkehrsüberwachung mithilfe von Videoüberwachung.

Wahrung berechtigter Interessen (Art. 6 Abs. 1 f DSGVO)

Eine der wichtigsten Rechtsgrundlagen ist die Wahrung berechtigter Interessen.

Art. 6 Abs. 1 f DSGVO erlaubt die Datenverarbeitung, wenn nach Abwägung der gegenseitigen Interessen die Interessen des Verarbeitenden die Interessen des Betroffenen überwiegen. Problematisch ist, dass aufgrund der offenen Formulierung erhebliche Rechtsunsicherheit dahingehend herrscht, wann wessen Interessen überwiegen.

Zu den berechtigten Interessen des Verarbeitenden zählen nicht nur rechtliche Interessen, sondern auch tatsächliche, wirtschaftliche oder ideelle Interessen.

Doch je missbrauchsanfälliger Daten sind (Beispiel: Kontodaten) oder je offensichtlicher der Betroffene keinen Außenkontakt wünscht, desto höheres Gewicht kommt den Betroffenen-Interessen zu. Im Rahmen der gewerblichen Tätigkeit eines Betroffenen sind seine Interessen zunächst weniger schutzwürdig. Denn gewerbliche Personen müssen eine Vielzahl personenbezogener Daten ohnehin offenlegen, damit sie am Markt teilnehmen können.

Besonderes gilt bei Kindern als betroffene Person: nach Art. 6 Abs. 1 f a. E. DSGVO ist regelmäßig von einer überwiegenden Schutzbedürftigkeit der Interessen von Kindern auszugehen. Als Kind zählt dabei – anders als im deutschen Zivilrecht – jede natürliche Person, die entsprechend ihres Alters noch besonders schutzbedürftig ist (regelmäßig bis zur Vollendung des 16. Lebensjahres).
Beispiele:

  • Log-Dateien einer Website
  • Speicherung von Mails, die von Interessenten empfangen wurden
  • Speicherung der Daten eines Wohnungssuchenden.

Etwas Besonderes gilt bei Art. 6 Abs. 1 f DSGVO (Wahrung berechtigter Interessen des Verarbeiters): während die anderen zuvor genannten gesetzlichen Erlaubnistatbestände keine Widerspruchsmöglichkeit des Betroffenen vorsehen (denn die Verarbeitung ist ja von Gesetzes wegen erlaubt), hat die betroffene Person hier ein Widerspruchsrecht. Hat sie widersprochen, überwiegt in der Regel ihr Interesse und die Datenverarbeitung wird dann rechtswidrig, es sei denn, es bestehen „zwingende schutzwürdige Gründe“ für die Verarbeitung, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

Technisch-organisatorische Maßnahmen (TOMs)

Art. 5 Abs. 1 f und Art. 32 DSGVO schreiben vor, dass die Datensicherheit durch TOMs sichergestellt werden muss. Maßgeblich ist dabei das Risiko der Verarbeitung. Es gilt:

Risiko = Eintrittswahrscheinlichkeit * Auswirkung

Mindestmaßnahmen nach Art. 32 Abs. 1 DSGVO:

  • Verschlüsselung / Pseudonymisierung
  • Systemsicherheit / Wiederherstellbarkeit
  • Überprüfung / Evaluierung der TOM
  • „Zertifizierungsstellen“ (Art. 42 DSGVO)
  • Verhaltensregeln (Art. 40 DSGVO)  relevant für Bußgeld (Art. 83 Abs. 2 j)
  • Speziell Auftragsverarbeiter:
    • Zugriffsbeschränkung
    • Need-to-know-Prinzip (Art. 32 IV)

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Ergänzend zu den TOMs gemäß Art. 32 DSGVO schreibt Art. 25 DSGVO vor, dass Datenschutz auch durch datenschutzfreundliche Voreinstellungen gewährleistet werden muss (Beispiel: Eine Checkbox darf nicht vorausgewählt sein; Pflichtfelder beim Ausfüllen von Kontaktformularen auf das Notwendige begrenzen).

Auftragsverarbeitung

Nicht immer kann der Verantwortliche seine Ziele alleine erreichen. Häufig bedient sich ein Unternehmer eines Dritten, beispielsweise eines Spediteurs, Beraters, Dienstleisters. Hierzu darf und muss der Unternehmer personenbezogene Daten auch einem Dritten weitergeben. Rechtsgrundlage ist eine der zuvor genannten Rechtsgrundlagen, meist Art. 6 Abs. 1 f DSGVO.

Es würde allerdings gegen das Grundprinzip des Datenschutzes widersprechen, wäre der Dritte nicht ebenfalls – im gleichen Maß wie der Verantwortliche – verpflichtet, die Interessen des Betroffenen zu wahren.

Hierbei ist zu unterscheiden:

Echte Auftragsverarbeitung

Verarbeitet der Dritte die personenbezogenen Daten weisungsabhängig und steht die Datenverarbeitung im Vordergrund (Beispiel: Hosting, Auslagerung von Servern), liegt eine sogenannte Auftragsbearbeitung vor. Hierzu schreibt Art. 28 DSGVO vor, dass der Verantwortliche mit dem Auftragsverarbeiter einen Vertrag schließen muss, der den Auftragsverarbeiter dazu verpflichtet, alle wichtigen datenschutzrechtlichen Pflichten ebenso einzuhalten wie der Verpflichtete.

Verstößt der Auftragsverarbeiter gegen diese Pflichten, ist er selbst verantwortlich und bußgeldpflichtig.

Voraussetzungen der Auftragsverarbeitung:

  • Auftragsverarbeiter muss Verantwortlichem gegenüber geeignete TOM (technische/organisatorische Maßnahmen) garantieren
  • Schriftlicher / elektronischer Vertrag (Muster!)
  • Verarbeitungsverzeichnis
  • Meldung von Datenpannen
  • Auftragsverarbeiter ist selbst bußgeldpflichtig (gravierende Neuerung!)

Funktionsübertragung

Bearbeitet der Dritte seinen Auftrag dagegen mit seiner eigenen Sachkunde und ist er nicht oder nur wenig weisungsabhängig, ist er nicht Auftragsverarbeiter, sondern selbst Verantwortlicher.

Beispiele:

  • Spedition
  • Steuerberater oder Rechtsanwälte
  • Handwerker.

Da diese selbst Verantwortliche sind, müssen sie ohnehin alle datenschutzrechtlichen Pflichten einhalten. Es bedarf dann keines Vertrags über Auftragsverarbeitung mehr.

Datenschutzhinweise

Nach Art. 4 DSGVO müssen Sie die jeweils betroffene Person immer vor der Verarbeitung ihrer sie betreffenden Daten hinweisen.

Beispiel:

[…] I. Rechte des Betroffenen
Der Betroffene hat u.a. folgende Rechte:
• Auskunft
• Berichtigung und Löschung
• Einschränkung der Verarbeitung
• Widerspruch gegen die Verarbeitung auf Grdl. von Art. 6 I 1 f) DSGVO.

Wichtig ist vor allem das Recht auf Auskunft und Löschung. Der Betroffene kann jederzeit von jedem Verantwortlichen oder Auftragsverarbeiter Auskunft über die über ihn gespeicherten personenbezogenen Daten verlangen. Wenn der Verantwortliche kein Recht mehr hat, die personenbezogenen Daten zu verarbeiten, kann der Betroffene die umgehende Löschung der Daten verlangen (wobei der Verantwortliche ohnehin zur sofortigen Löschung verpflichtet ist).

Verarbeitungsverzeichnis

Nach Art. 30 DSGVO muss jedes Unternehmen, das mindestens 250 Mitarbeiter beschäftigt und darüber hinaus jeder, der „nicht nur gelegentlich“ automatisiert personenbezo-gene Daten verarbeitet (beispielsweise mithilfe eines Computers), ein sogenanntes Verar-beitungsverzeichnis führen (also praktisch jeder!).

Es enthält:

  • Namen und Kontaktdaten des Verantwortlichen u. Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Kategorien von betroffenen Personen und personenbezogenen Daten
  • Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden/werden (auch in Drittländern)
  • Übermittlung von Daten an ein Drittland oder an eine internationale Organisation
  • vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
  • allgemeine Beschreibung der TOM.

Bußgelder und Sanktionen

Maximale Geldbuße gemäß Art. 83 DSGVO: Bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, was zu einer höheren Geldbuße führt.


Seite erstellt von Dr. Max Greger am 23. Dezember 2021 (zuletzt aktualisiert: 23. Dezember 2021)