Inhalt dieser Seite
- 1 Rechtsgrundlagen
- 2 Begriff der personenbezogenen Daten
- 3 Anwendungsbereich der DSGVO
- 4 Rechtmäßigkeit der Datenverarbeitung
- 4.1 Einwilligung (Art. 6 Abs. 1 a DSGVO)
- 4.2 Erfordernis zur Erfüllung eines Vertrags (Art. 6 Abs. 1 b DSGVO)
- 4.3 Erforderlichkeit zur Erfüllung einer Rechtspflicht (Art. 6 Abs. 1 c DSGVO)
- 4.4 Wahrung lebenswichtiger Interessen (Art. 6 Abs. 1 d DSGVO)
- 4.5 Öffentliches Interesse (Art. 6 Abs. 1 e DSGVO)
- 4.6 Wahrung berechtigter Interessen (Art. 6 Abs. 1 f DSGVO)
- 5 Technisch-organisatorische Maßnahmen (TOMs)
- 6 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
- 7 Auftragsverarbeitung
- 8 Datenschutzhinweise
- 9 Verarbeitungsverzeichnis
- 10 Bußgelder und Sanktionen
Rechtsgrundlagen
Seit 25.05.2018 ist der Datenschutz unionsweit durch die Datenschutz-Grundverordnung (DSGVO) sowie ergänzend durch das neue, ebenfalls am 25.05.2018 in Kraft getretene Bundesdatenschutzgesetz (BDSG) geregelt.
Gesetzgeberische Ziele:
- Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) sollen geschützt werden
- der freie Verkehr personenbezogener Daten soll ermöglicht werden (vgl. Art. 1 Abs. 3 DSGVO).
- Mehr Compliance innerhalb der Unternehmen
- Vereinheitlichung der Rechtsanwendung
- Anpassung des Datenschutzes an den technologischen Fortschritt.
Art. 5 DSGVO statuiert 6 wesentliche Grundsätze:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit.
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Rechtmäßig bedeutet, dass jede Datenverarbeitung eine Rechtsgrundlage (Art. 6 DSGVO) benötigt. Das kann eine Einwilligung sein, oder beispielsweise auch das berechtigte Interesse des Verarbeiters.
Nach Treu und Glauben ist ein unscharfer Begriff. Gemeint ist, dass die Datenverarbeitung nicht zu Nachteilen führen darf, die dem „Kräftegleichgewicht“ zwischen der betroffenen Person und dem Verantwortlichen widerspricht
Transparenz heißt, dass heimliche Datenverarbeitungen ausgeschlossen sind. Sie müssen die betroffene Person stattdessen vorher und umfassend über die Verarbeitung der auf sie bezogenen Daten zu informieren.
Zweckbindung
Jeder Datenverarbeitungsvorgang muss einem bestimmten festgelegten und legitimen Zweck dienen, der von den Erlaubnistatbeständen in Art. 6 DSGVO umfasst wird.
Datenminimierung
Die DSGVO schreibt vor, dass die Daten auf das notwendige Maß beschränkt werden, so dass Sie den mit der Verarbeitung verfolgten Zweck gerade noch erreichen.
Richtigkeit der Daten
Die personenbezogenen Daten, die Sie verarbeiten, müssen sachlich richtig sein. Ist das nicht der Fall, hat die betroffene Person einen Anspruch auf Berichtigung der Daten.
Speicherbegrenzung
Eine Datenverarbeitung ist nur innerhalb bestimmter zeitlicher Grenzen möglich, nämlich so lange, wie es für die Verarbeitungszwecke erforderlich ist.
Integrität und Vertraulichkeit
Sie müssen unbefugte oder unrechtmäßige Verarbeitungen, unbeabsichtigten Verlust, Zerstörung oder Beschädigung von personenbezogenen Daten verhindern. Hierzu müssen Sie geeignete Schutzmaßnahmen technischer und organisatorischer Art (TOM) treffen.
Begriff der personenbezogenen Daten
Nach Ansicht des EuGH gehört auch die IP-Adresse zu den personenbezogenen Daten, denn der Verantwortliche kann mit rechtlichen Mitteln (Antrag auf Auskunft) die dahin-terstehenden Kontaktdaten herausfinden.
Anwendungsbereich der DSGVO
Wir unterscheiden immer zwischen dem sachlichen, räumlichen und persönlichen Anwendungsbereich.
Sachlicher Anwendungsbereich
Nach Art. 2 Abs. 1 DSGVO gilt die Verordnung „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
Jemand führt ein Adressbuch mit Adressen seiner Freunde oder Fußballkumpels.
Ebenfalls nicht unter die DSGVO fällt der persönliche oder familiäre Bereich („Haushaltsausnahme“).
Räumlicher Anwendungsbereich
US-amerikanischer Onlineshop, der Waren in seinem Onlineshop unter einer deutschsprachigen Seite anbietet oder eine kanadische Videoüberwachungsfirma.
Persönlicher Anwendungsbereich
Die DSGVO verpflichtet jeglichen Verarbeiter personenbezogener Daten, egal, ob es eine natürliche oder juristische Person ist. Es gibt also keinen speziellen „persönlichen Anwendungsbereich“.
Rechtmäßigkeit der Datenverarbeitung
Ganz klar: Jede Verarbeitung personenbezogener Daten muss rechtmäßig sein. Es gilt das „Verbot mit Erlaubnistatbestand“ (Art. 6 EU-DSGVO). Als Erlaubnis zählt entweder eine Einwilligung nach Art. 6 I a DSGVO oder eine gesetzliche Erlaubnis nach Art. 6 I b – f DSGVO.
Einwilligung (Art. 6 Abs. 1 a DSGVO)
Die Verarbeitung personenbezogener Daten (also das Erheben, Speichern, Nutzen, Weiter-geben etc.) ist dann erlaubt, wenn der Betroffene in die Verarbeitung einwilligt. Eine Einwilli-gung unterliegt aber strengen Voraussetzungen und muss
- freiwillig
- informiert
- durch eine eindeutige Handlung
erteilt werden.
Zudem ist die Einwilligung jederzeit widerruflich (im Gegensatz zu der Einwilligung zur Verwendung eines Bildnisses, s.o.), worauf Sie den Betroffenen auch explizit hinweisen müssen.
Dies macht eine Einwilligung zu einer sehr schlechten Rechtsgrundlage, weil man sich darauf nicht verlassen kann. Zum Glück kennt die DSGVO noch weitere – gesetzliche – Erlaubnistatbestände.
Erfordernis zur Erfüllung eines Vertrags (Art. 6 Abs. 1 b DSGVO)
Das Gesetz erlaubt die Verarbeitung personenbezogener Daten, wenn es notwendig ist, damit der Verantwortliche eine vertragliche Pflicht erfüllen kann oder damit ein Vertrag überhaupt zustande kommen kann.
Beispiel: Der Vermieter darf die Kontakt- und Zahlungsdaten des Mieters erheben und speichern. Umgekehrt darf der Mieter die Kontakt- und Kontodaten des Vermieters speichern.
Erforderlichkeit zur Erfüllung einer Rechtspflicht (Art. 6 Abs. 1 c DSGVO)
Ohne Einwilligung darf ein Verantwortlicher personenbezogene Daten auch dann verarbeiten, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Der Begriff der rechtlichen Verpflichtung meint nicht Verpflichtungen aus Rechtsgeschäften (dafür dient ja schon die zuvor genannte Rechtsgrundlage), sondern ausschließlich Verpflichtungen durch oder aufgrund von Rechtsvorschriften.
- Der Arbeitgeber teilt der zuständigen Kontrollbehörde personenbezogene Daten des Arbeitnehmers mit, damit diese die gesetzlich vorgeschriebenen Arbeitsbedingungen überprüfen kann.
- Zu den „klassischen“ rechtlichen Verpflichtungen gehören auch die gesetzlichen Auf-zeichnungs- und Aufbewahrungspflichten im Handels-, Gewerbe-, Steuer- und Sozial-recht (beispielsweise muss ein Unternehmer Rechnungen 10 Jahre lang aufbewahren).
Wahrung lebenswichtiger Interessen (Art. 6 Abs. 1 d DSGVO)
Ohne Einwilligung dürfen personenbezogene Daten auch dann verarbeitet werden, wenn dies zur Wahrung lebenswichtiger Interessen der betroffenen Person dient.
Beispiel: Schutz der Person vor gefährlichen Krankheiten und Infektionen, Epidemien, humanitäre Notfälle und Katastrophen.
Öffentliches Interesse (Art. 6 Abs. 1 e DSGVO)
Ohne Einwilligung dürfen personenbezogene Daten ferner verarbeitet werden, wenn dies einer im öffentlichen Interesse liegenden Aufgabe und der Ausübung öffentlicher Gewalt dient.
Beispiele:
• Schuldnerverzeichnisse und Informationsdienste über die Zahlungsfähigkeit und Kreditwürdigkeit
• Videoüberwachung von öffentlichen Plätzen und Einrichtungen
• staatliche Verkehrsüberwachung mithilfe von Videoüberwachung.
Wahrung berechtigter Interessen (Art. 6 Abs. 1 f DSGVO)
Eine der wichtigsten Rechtsgrundlagen ist die Wahrung berechtigter Interessen.
Art. 6 Abs. 1 f DSGVO erlaubt die Datenverarbeitung, wenn nach Abwägung der gegenseitigen Interessen die Interessen des Verarbeitenden die Interessen des Betroffenen überwiegen. Problematisch ist, dass aufgrund der offenen Formulierung erhebliche Rechtsunsicherheit dahingehend herrscht, wann wessen Interessen überwiegen.
Zu den berechtigten Interessen des Verarbeitenden zählen nicht nur rechtliche Interessen, sondern auch tatsächliche, wirtschaftliche oder ideelle Interessen.
Doch je missbrauchsanfälliger Daten sind (Beispiel: Kontodaten) oder je offensichtlicher der Betroffene keinen Außenkontakt wünscht, desto höheres Gewicht kommt den Betroffenen-Interessen zu. Im Rahmen der gewerblichen Tätigkeit eines Betroffenen sind seine Interessen zunächst weniger schutzwürdig. Denn gewerbliche Personen müssen eine Vielzahl personenbezogener Daten ohnehin offenlegen, damit sie am Markt teilnehmen können.
- Log-Dateien einer Website
- Speicherung von Mails, die von Interessenten empfangen wurden
- Speicherung der Daten eines Wohnungssuchenden.
Etwas Besonderes gilt bei Art. 6 Abs. 1 f DSGVO (Wahrung berechtigter Interessen des Verarbeiters): während die anderen zuvor genannten gesetzlichen Erlaubnistatbestände keine Widerspruchsmöglichkeit des Betroffenen vorsehen (denn die Verarbeitung ist ja von Gesetzes wegen erlaubt), hat die betroffene Person hier ein Widerspruchsrecht. Hat sie widersprochen, überwiegt in der Regel ihr Interesse und die Datenverarbeitung wird dann rechtswidrig, es sei denn, es bestehen „zwingende schutzwürdige Gründe“ für die Verarbeitung, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.
Technisch-organisatorische Maßnahmen (TOMs)
Art. 5 Abs. 1 f und Art. 32 DSGVO schreiben vor, dass die Datensicherheit durch TOMs sichergestellt werden muss. Maßgeblich ist dabei das Risiko der Verarbeitung. Es gilt:
Mindestmaßnahmen nach Art. 32 Abs. 1 DSGVO:
- Verschlüsselung / Pseudonymisierung
- Systemsicherheit / Wiederherstellbarkeit
- Überprüfung / Evaluierung der TOM
- „Zertifizierungsstellen“ (Art. 42 DSGVO)
- Verhaltensregeln (Art. 40 DSGVO) relevant für Bußgeld (Art. 83 Abs. 2 j)
- Speziell Auftragsverarbeiter:
- Zugriffsbeschränkung
- Need-to-know-Prinzip (Art. 32 IV)
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Ergänzend zu den TOMs gemäß Art. 32 DSGVO schreibt Art. 25 DSGVO vor, dass Datenschutz auch durch datenschutzfreundliche Voreinstellungen gewährleistet werden muss (Beispiel: Eine Checkbox darf nicht vorausgewählt sein; Pflichtfelder beim Ausfüllen von Kontaktformularen auf das Notwendige begrenzen).
Auftragsverarbeitung
Nicht immer kann der Verantwortliche seine Ziele alleine erreichen. Häufig bedient sich ein Unternehmer eines Dritten, beispielsweise eines Spediteurs, Beraters, Dienstleisters. Hierzu darf und muss der Unternehmer personenbezogene Daten auch einem Dritten weitergeben. Rechtsgrundlage ist eine der zuvor genannten Rechtsgrundlagen, meist Art. 6 Abs. 1 f DSGVO.
Es würde allerdings gegen das Grundprinzip des Datenschutzes widersprechen, wäre der Dritte nicht ebenfalls – im gleichen Maß wie der Verantwortliche – verpflichtet, die Interessen des Betroffenen zu wahren.
Hierbei ist zu unterscheiden:
Echte Auftragsverarbeitung
Verarbeitet der Dritte die personenbezogenen Daten weisungsabhängig und steht die Datenverarbeitung im Vordergrund (Beispiel: Hosting, Auslagerung von Servern), liegt eine sogenannte Auftragsbearbeitung vor. Hierzu schreibt Art. 28 DSGVO vor, dass der Verantwortliche mit dem Auftragsverarbeiter einen Vertrag schließen muss, der den Auftragsverarbeiter dazu verpflichtet, alle wichtigen datenschutzrechtlichen Pflichten ebenso einzuhalten wie der Verpflichtete.
Verstößt der Auftragsverarbeiter gegen diese Pflichten, ist er selbst verantwortlich und bußgeldpflichtig.
Funktionsübertragung
Bearbeitet der Dritte seinen Auftrag dagegen mit seiner eigenen Sachkunde und ist er nicht oder nur wenig weisungsabhängig, ist er nicht Auftragsverarbeiter, sondern selbst Verantwortlicher.
Beispiele:
- Spedition
- Steuerberater oder Rechtsanwälte
- Handwerker.
Da diese selbst Verantwortliche sind, müssen sie ohnehin alle datenschutzrechtlichen Pflichten einhalten. Es bedarf dann keines Vertrags über Auftragsverarbeitung mehr.
Datenschutzhinweise
Nach Art. 4 DSGVO müssen Sie die jeweils betroffene Person immer vor der Verarbeitung ihrer sie betreffenden Daten hinweisen.
Wichtig ist vor allem das Recht auf Auskunft und Löschung. Der Betroffene kann jederzeit von jedem Verantwortlichen oder Auftragsverarbeiter Auskunft über die über ihn gespeicherten personenbezogenen Daten verlangen. Wenn der Verantwortliche kein Recht mehr hat, die personenbezogenen Daten zu verarbeiten, kann der Betroffene die umgehende Löschung der Daten verlangen (wobei der Verantwortliche ohnehin zur sofortigen Löschung verpflichtet ist). Nach Art. 30 DSGVO muss jedes Unternehmen, das mindestens 250 Mitarbeiter beschäftigt und darüber hinaus jeder, der „nicht nur gelegentlich“ automatisiert personenbezo-gene Daten verarbeitet (beispielsweise mithilfe eines Computers), ein sogenanntes Verar-beitungsverzeichnis führen (also praktisch jeder!). Es enthält: Maximale Geldbuße gemäß Art. 83 DSGVO: Bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, was zu einer höheren Geldbuße führt.[…]
I. Rechte des Betroffenen
Der Betroffene hat u.a. folgende Rechte:
• Auskunft
• Berichtigung und Löschung
• Einschränkung der Verarbeitung
• Widerspruch gegen die Verarbeitung auf Grdl. von Art. 6 I 1 f) DSGVO.Verarbeitungsverzeichnis
Bußgelder und Sanktionen