Die Thematik „Datenschutzrecht“ ist seit langem – u.a. auch wegen spektakulärer Fälle wie beispielsweise die Überwachung von Mitarbeitern mit Kameras – medienpräsent, das Erfordernis einer Datenschutzerklärung bei Leistungsangeboten über das Internet zwischenzeitlich wohl bekannt. Dennoch ist den Wenigsten klar, was Datenschutz bedeutet und unter welchen Voraussetzungen man sich datenschutzrechtlich konform verhält.
Sie sind der Meinung sich rechtskonform zu verhalten? Dann haben Sie beispielsweise
alle Mitarbeiter Ihres Unternehmens auf Vertraulichkeit verpflichtet?
Ihren Webshop mit einem individuell angepassten Datenschutzhinweis versehen?
mit allen Dienstleistern, die weisungsgebunden Kundendaten für Sie verarbeiten, einen Auftragsdatenverarbeitungsvertrag geschlossen?
geregelt, ob Mitarbeiter über Ihre Server privat surfen dürfen?
sich vergewissert, dass Ihr Cloud-Anbieter europäisches Datenschutzrecht beachtet?
Soweit Sie eine Frage mit „Nein“ beantworten, setzen Sie sich dem Risiko aus gegen geltendes Datenschutzrecht zu verstoßen.
Inhalt und Zielsetzung des Datenschutzrechts
Entgegen des Wortlautes des Begriffes „Datenschutzrecht“ dient das Datenschutzrecht keineswegs dem Schutz von Daten (Informationen) selbst, sondern vielmehr dem Schutz von natürlichen Personen (also nicht Unternehmen), über die Daten erhoben werden. Das Datenschutzrecht ist damit Ausdruck des grundrechtlich geschützten Rechts auf informationelle Selbstbestimmung. Das Bundesverfassungsgericht hatte im Rahmen des sog. Volkszählungsurteils vom 15.12.1983 das Recht auf informationelle Selbstbestimmung als Ausfluss des allgemeinen Persönlichkeitsrecht gemäß Artikel 2 Abs. 1 GG (allgemeine Handlungsfreiheit) i. V. m. Artikel 1 Abs. 1 GG (Menschenwürde) etabliert. Wörtlich heißt es in dem Urteil:
„Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Einschränkungen dieses Rechts auf „informationelle Selbstbestimmung“ sind nur im überwiegenden Allgemeininteresse zulässig.“
Mit dem Volkszählungsurteil war der Grundstein gelegt, dass jeder Einzelne gegen die unbeschränkte Erhebung, Speicherung und Weitergabe seiner Daten geschützt ist und Einschränkungen nur im überwiegenden Allgemeininteresse (also auf gesetzlicher Grundlage) zulässig sind. Dies gilt im Übrigen für alle personenbezogenen Daten.
Definition der Begrifflichkeit „personenbezogene Daten“
Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person, also Daten die Rückschlüsse über eine Person zulassen. Einzelangaben über Personen sind beispielsweise:
Die technische Form der Datenerhebung ist dabei gleichgültig. Auch Videoaufnahmen, Filme, Fotos und Tonbandaufnahmen können personenbezogene Daten enthalten.
Können die Einzelangaben zu einer bestimmten Person in Bezug gebracht werden und kann diese dann unmittelbar oder mittels Zusatzwissens darüber identifiziert werden, liegen die vorgenannten Voraussetzungen vor und es handelt sich um geschützte personenbezogene Daten.
Wann dürfen Sie personenbezogene Daten verarbeiten?
Personenbezogene Daten dürfen nur erhoben, gespeichert, verarbeitet, verändert oder übermittelt oder in sonstiger Weise genutzt werden, wenn dies durch Gesetz erlaubt ist oder wenn die betroffene Person ausdrücklich eingewilligt hat.
Bei der Frage, welche Gesetze hier einschlägig sind, muss danach unterschieden werden, wer die Daten erhebt. Öffentliche Stellen des Bundes oder private Stellen dürfen Daten erheben, wenn das Bundesdatenschutzgesetz oder Spezialgesetze dies erlauben.
Für private Stellen, Unternehmen, und Privatpersonen, die nicht nur zu familiären oder privaten Zwecken Daten erheben oder nutzen, sind in der Regel die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz (neu) einschlägig. Es gibt allerdings auch hier Spezialgesetze, die die Datenverarbeitung im Kontext mit bestimmten Sachverhalten erlauben (bspw. § 11a Geldwäschegesetz (GwG)). Zudem müssen Telediensteanbieter bei der Verarbeitung personenbezogener Daten ihrer Kunden die besonderen Vorschriften Telekommunikations-Digitale-Dienste Gesetz (TDDDG) beachten. Die DSGVO erlaubt die Nutzung von Daten u.a., wenn ein Rechtfertigungsgrund im Sinne Art. 6 Abs. 1 DSGVO vorliegt.
Die Rechtsfolgen bei einem Datenschutzverstoß
In der Praxis stellt sich häufig heraus, dass Unternehmen das Thema „Datenschutz“ noch immer sehr großzügig handhaben. Große internationale Unternehmen wie Google, Facebook etc. liegen im Dauerstreit mit Datenschutzbehörden. Dennoch sollte jedem, der personenbezogene Daten erhebt, speichert oder nutzt, klar sein, dass die DSGVO seit 25.05.2018 schmerzhafte Sanktionen und hohe Bußgelder bei Verstößen vorsieht.
Die Betroffenenrechte
Das Bundesdatenschutzgesetz räumt Betroffenen, deren Daten zu Unrecht erhoben wurden
das Recht auf Auskunft
das Recht auf Berichtigung falscher Daten
das Recht auf Löschung der erhobenen Daten
das Recht auf Einschränkung der Bearbeitung
Recht auf Unterrichtung
das Recht auf Datenexport
das Recht auf Widerspruch
das Recht auf Widerruf einer Einwilligung
das Recht auf Beschwerde bei einer Datenschutzbehörde ein.
Der Geltungsbereich der DSGVO
Die EU-Datenschutz-Grundverordnung (EU-DSVO) ist eine Verordnung der Europäischen Union. Diese ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG (Datenschutzrichtlinie), die Basis des Bundesdatenschutzgesetzes (alte Fassung) ist und soll eine Vereinheitlichung in der EU schaffen. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste, gilt die Datenschutz-Grundverordnung ohne Umsetzungsakt seit 25.05.2018 unmittelbar in allen EU-Mitgliedsstaaten. Neben der DSGVO
Das Inkfrafttreten der Datenschutz-Grundverordnung
Seit dem 25.05.2018 gilt die DSGVO unmittelbar in allen EU-Mitgliedsstaaten. Die Verordnung soll das Datenschutzrecht vereinheitlichen. Ergänzend gilt in Deutschland das neue Bundesdatenschutzgesetz. Dieses ergänzt und konkretisiert die DSGVO im Rahmen einer nationalen Regelung.
Wie wichtig die Beachtung von Datenschutzrechten seit Inkrafttreten der Datenschutz-Grundverordnung ist, machen die enthaltenen Sanktionen deutlich. Die Vorschriften zu Sanktionen sind in Artikel 83 ff. DSGVO zu finden. Die maximale Geldbuße bei Verstößen beträgt 20 Millionen Euro oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr.
Unser Angebot im Bereich Datenschutzrecht:
Beratung zu allgemeinen datenschutzrechtlichen Problemen
Erstellung von Auftragsverarbeitungsverträgen
Datenschutzrechtliche Problemstellungen beim Einsatz von KI
Beratung im Problemfeld „Datenschutz im Arbeitsverhältnis“
Vertretung bei rechtswidriger Verwendung von Daten
Erstellung von Datenschutzerklärungen
Geltendmachung von Unterlassungsansprüche im Hinblick auf SPAM-Emails
Beratung zum Umgang mit Nutzerdaten auf Ihrer Internetpräsenz
Beratung zur Nutzung von Clouds
Beratung bei geplanten Marketing-Aktionen, Newsletterversand, etc.
Beratung im Hinblick auf Fragen zum digitalen Nachlass