IT-Recht

Datenschutzrecht

Die Thematik „Datenschutzrecht“ ist seit langem – u.a. auch wegen spektakulärer Fälle wie beispielsweise die Überwachung von Mitarbeitern mit Kameras – medienpräsent, das Erfordernis einer Datenschutzerklärung bei Leistungsangeboten über das Internet zwischenzeitlich wohl bekannt. Dennoch ist den Wenigsten klar, was Datenschutz bedeutet und unter welchen Voraussetzungen er sich datenschutzrechtlich konform verhält.

Sie sind der Meinung sich rechtskonform zu verhalten? Dann haben Sie beispielsweise

  • alle Mitarbeiter Ihres Unternehmens auf das Datengeheimnis verpflichtet?
  • Ihren Webshop mit einer individuell angepassten Datenschutzerklärung versehen?
  • mit allen externen Dienstleister, die mit Daten Ihrer Kunden in Kontakt kommen, einen Auftragsdatenverarbeitungsvertrag geschlossen?
  • geregelt, ob Mitarbeiter über Ihre Server privat surfen dürfen?
  • sich vergewissert, dass Ihr Cloud-Anbieter europäisches Datenschutzrecht beachtet?

Soweit Sie eine Frage mit „Nein“ beantworten, setzen Sie sich dem Risiko aus gegen geltendes Datenschutzrecht zu verstoßen.

Was ist Datenschutzrecht?

Entgegen des Wortlautes des Begriffes „Datenschutzrecht“ dient das Datenschutzrecht keineswegs dem Schutz von Daten (Informationen) selbst, sondern vielmehr dem Schutz von natürlichen Personen (also nicht Unternehmen), über die Daten erhoben werden. Das Datenschutzrecht ist damit Ausdruck des grundrechtlich geschützten Rechts auf informationelle Selbstbestimmung. Das Bundesverfassungsgericht hatte im Rahmen des sog. Volkszählungsurteils vom 15.12.1983 das Recht auf informationelle Selbstbestimmung als Ausfluss des allgemeinen Persönlichkeitsrecht gemäß Artikel 2 Abs. 1 GG (allgemeine Handlungsfreiheit) i. V. m. Artikel 1 Abs. 1 GG (Menschenwürde) etabliert. Wörtlich heißt es in dem Urteil:

Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Einschränkungen dieses Rechts auf „informationelle Selbstbestimmung“ sind nur im überwiegenden Allgemeininteresse zulässig.

Mit dem Volkszählungsurteil war der Grundstein gelegt, dass jeder Einzelne gegen die unbeschränkte Erhebung, Speicherung und Weitergabe seiner Daten geschützt ist und Einschränkungen nur im überwiegenden Allgemeininteresse (also auf gesetzlicher Grundlage) zulässig sind. Dies gilt im Übrigen für alle personenbezogenen Daten.

Was sind „personenbezogene Daten“?

Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person, also Daten die Rückschlüsse über eine Person zulassen. Einzelangaben über Personen sind beispielsweise:

Namen, Anschriften, Alter, Familienstand, Telefonnummer, E-Mailadressen, Kontodaten, Kfz-Kennzeichen, Personalausweisnummer, Sozialausweisnummer, Vorstrafen, Krankendaten, Zeugnisse, Kundendaten, Mitarbeiterdaten etc.

Die technische Form der Datenerhebung ist dabei gleichgültig. Auch Videoaufnahmen, Filme, Fotos und Tonbandaufnahmen können personenbezogene Daten enthalten.
Können die Einzelangaben zu einer bestimmten Person in Bezug gebracht werden und kann diese dann unmittelbar oder mittels Zusatzwissens darüber identifiziert werden, liegen die vorgenannten Voraussetzungen vor und es handelt sich um geschützte personenbezogene Daten.

Wann dürfen Sie personenbezogene Daten verarbeiten?

Personenbezogene Daten dürfen nur erhoben, gespeichert, verarbeitet, verändert oder übermittelt oder in sonstiger Weise genutzt werden, wenn dies

durch Gesetz erlaubt ist oder wenn die betroffene Person ausdrücklich eingewilligt hat.

Bei der Frage, welche Gesetze hier einschlägig sind, muss danach unterschieden werden, wer die Daten erhebt. Öffentliche Stellen des Bundes oder private Stellen dürfen Daten erheben, wenn das Bundesdatenschutzgesetz oder Spezialgesetze dies erlauben.

Für private Stellen, Unternehmen, und Privatpersonen, die nicht nur zu familiären oder privaten Zwecken Daten erheben oder nutzen, sind die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz (neu) einschlägig. Zudem müssen Telediensteanbieter bei der Verarbeitung personenbezogener Daten ihrer Kunden die besonderen Vorschriften des Telemediengesetzes (TMG) beachten. Die DSGVO erlaubt  die Nutzung von Daten, wenn ein Rechtfertigungsgrund im Sinne Art. 6 Abs. 1 DSGVO vorliegt.

Welche Rechtsfolgen ergeben sich, wenn Sie gegen Datenschutzrecht verstoßen?

In der Praxis stellt sich häufig heraus, dass Unternehmen das Thema „Datenschutz“ noch immer sehr großzügig handhaben. Große internationale Unternehmen wie Google, Facebook etc. liegen im Dauerstreit mit Datenschutzbehörden. Dennoch sollte jedem, der personenbezogene Daten erhebt, speichert oder nutzt, klar sein, dass die DSGVO seit 25.05.2018 schmerzhafte Sanktionen und hohe Bußgelder bei Verstößen vorsieht.

Welche Rechte stehen mir als Betroffener zu?
Das Bundesdatenschutzgesetz räumt Betroffenen, deren Daten zu Unrecht erhoben wurden

  • das Recht auf Auskunft
  • das Recht auf Berichtigung falscher Daten
  • das Recht auf Löschung der erhobenen Daten
  • das Recht auf Einschränkung der Bearbeitung
  • Recht auf Unterrichtung
  • das Recht auf Datenexport
  • das Recht auf Widerspruch
  • das Recht auf Widerruf einer Einwilligung
  • das Recht auf Beschwerde bei einer Datenschutzbehörde ein.

 

Was hat sich durch die DSGVO geändert?

Das alte Bundesdatenschutzgesetz  ist mit der EU-Datenschutz-Grundverordnung entfallen. Die EU-Datenschutz-Grundverordnung (EU-DSVO) ist eine Verordnung der Europäischen Union. Diese ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG (Datenschutzrichtlinie), die Basis des Bundesdatenschutzgesetzes ist und soll eine Vereinheitlichung in der EU schaffen. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste, gilt die Datenschutz-Grundverordnung ohne Umsetzungsakt seit 25.05.2018 unmittelbar in allen EU-Mitgliedsstaaten.

Wie ist der Stand im Hinblick auf die Datenschutz-Grundverordnung?

Seit dem 25.05.2018 gilt die DSGVO unmittelbar in allen EU-Mitgliedsstaaten. Die Verordnung soll das Datenschutzrecht vereinheitlichen. Ergänzend gilt in Deutschland das neue Bundesdatenschutzgesetz.

Wie wichtig die Beachtung von Datenschutzrechten seit Inkrafttreten der Datenschutz-Grundverordnung ist, machen die enthaltenen Sanktionen deutlich. Die Vorschriften zu Sanktionen sind in Artikel 83 ff. DSGVO zu finden. Die maximale Geldbuße bei Verstößen beträgt 20 Millionen Euro oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr.

Unser Angebot im Bereich Datenschutzrecht:

  • Bestellung als externer Datenschutzbeauftragter
  • Beratung zu allgemeinen datenschutzrechtlichen Problemen
  • Erstellung von Auftragsverarbeitungsverträgen
  • Beratung zur Auftragsdatenverarbeitung
  • Beratung im Problemfeld „Datenschutz im Arbeitsverhältnis“
  • Vertretung bei rechtswidriger Verwendung von Daten
  • Erstellung von Datenschutzerklärungen
  • Geltendmachung von Unterlassungsansprüche im Hinblick auf SPAM-Emails
  • Beratung zum Umgang mit Nutzerdaten auf Ihrer Internetpräsenz
  • Beratung zur Nutzung von Clouds
  • Beratung bei geplanten Marketing-Aktionen, Newsletterversand, etc.
  • Beratung im Hinblick auf Fragen zum digitalen Nachlass