Begriff und Definition der „Daten, persönliche“
Als „Daten, persönliche“ werden im rechtlichen Kontext alle Informationen angesehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die maßgebliche Definition findet sich im europäischen Datenschutzrecht, insbesondere in der Datenschutz-Grundverordnung (DSGVO). Demnach sind persönliche Daten solche Informationen, durch die eine Einzelperson entweder direkt oder indirekt identifiziert werden kann. Hierzu zählen Namen, Anschriften, Kennnummern, Standortdaten und Online-Kennungen ebenso wie besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Begriffsabgrenzung
Persönliche Daten sind gegenüber anonymisierten und pseudonymisierten Daten abzugrenzen: Während bei anonymisierten Daten keine Identifizierung der betroffenen Person mehr möglich ist, bleibt bei pseudonymisierten Daten eine Zuordnung mittels Zusatzinformationen grundsätzlich möglich.
Rechtsgrundlagen zum Schutz persönlicher Daten
Europäische Datenschutz-Grundverordnung (DSGVO)
Der Schutz persönlicher Daten basiert europaweit im Wesentlichen auf der Datenschutz-Grundverordnung (DSGVO). Gemäß Art. 4 Nr. 1 DSGVO umfassen personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Die DSGVO regelt den Umgang, die Verarbeitung und den Schutz persönlicher Daten einheitlich für alle Mitgliedstaaten der Europäischen Union.
Wesentliche Grundprinzipien der DSGVO
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Persönliche Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Art. 5 Abs. 1 lit. a DSGVO).
- Zweckbindung
Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden (Art. 5 Abs. 1 lit. b DSGVO).
- Datenminimierung
Die Verarbeitung muss auf das für die Zwecke notwendige Maß beschränkt werden.
- Richtigkeit
Die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein.
- Speicherbegrenzung
Die Speicherung darf nur so lange erfolgen, wie es für die jeweiligen Zwecke erforderlich ist.
- Integrität und Vertraulichkeit
Die Daten müssen durch geeignete technische und organisatorische Maßnahmen gesichert werden.
Bundesdatenschutzgesetz (BDSG)
Das Bundesdatenschutzgesetz (BDSG) ergänzt und konkretisiert die Vorgaben der DSGVO auf nationaler Ebene für Deutschland. Es enthält insbesondere Bestimmungen für den öffentlichen Bereich und spezielle Vorgaben, etwa für Arbeitsverhältnisse oder bei der Videoüberwachung öffentlich zugänglicher Räume.
Kategorien und Beispiele persönlicher Daten
Allgemeine persönliche Daten
Zu den allgemeinen persönlichen Daten zählen unter anderem:
- Name
- Adresse
- Geburtsdatum
- Telefonnummer
- E-Mail-Adresse
Besondere Kategorien personenbezogener Daten
Gemäß Art. 9 DSGVO sind besondere Kategorien, sogenannte „sensible Daten“, besonders schutzwürdig. Hierzu gehören Daten über:
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- genetische Daten
- biometrische Daten zur eindeutigen Identifizierung
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung
Die Verarbeitung dieser Daten ist grundsätzlich verboten, Ausnahmen bestehen nur bei Vorliegen spezifischer Voraussetzungen wie einer ausdrücklichen Einwilligung der betroffenen Person.
Pseudonymisierte und anonymisierte Daten
Pseudonymisierte Daten sind so verarbeitet, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Die zusätzliche Information muss dabei gesondert aufbewahrt und technisch und organisatorisch geschützt sein.
Anonymisierte Daten dagegen gelten nicht mehr als persönliche Daten, da die betroffene Person nicht mehr identifiziert werden kann.
Rechtmäßigkeit der Verarbeitung persönlicher Daten
Einwilligung als zentrale Rechtsgrundlage
Die Einwilligung der betroffenen Person bildet eine wesentliche Grundlage für die Verarbeitung persönlicher Daten. Die Einwilligung muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen (Art. 6 Abs. 1 lit. a DSGVO).
Weitere Rechtsgrundlagen
Neben der Einwilligung sieht die DSGVO weitere Rechtsgrundlagen für die Verarbeitung persönlicher Daten vor:
- Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
- Erfüllung einer rechtlichen Verpflichtung
- Schutz lebenswichtiger Interessen
- Wahrnehmung von Aufgaben im öffentlichen Interesse
- Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen
Rechte betroffener Personen
Auskunftsrecht
Betroffene haben nach Art. 15 DSGVO das Recht, Auskunft über die zu ihrer Person gespeicherten Daten und deren Verarbeitung zu verlangen.
Recht auf Berichtigung und Löschung
Unrichtige oder unvollständige Daten dürfen berichtigt werden (Art. 16 DSGVO). Darüber hinaus besteht ein Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO), wenn beispielsweise die Speicherung nicht mehr notwendig ist oder die Einwilligung widerrufen wurde.
Recht auf Einschränkung der Verarbeitung
Unter bestimmten Bedingungen kann die betroffene Person die Einschränkung der Verarbeitung ihrer persönlichen Daten verlangen (Art. 18 DSGVO).
Recht auf Datenübertragbarkeit
Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO ermöglicht es, die eigenen persönlichen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und zu einem anderen Verantwortlichen zu übertragen.
Widerspruchsrecht
Betroffene können die Verarbeitung ihrer persönlichen Daten jederzeit aus Gründen, die sich aus ihrer besonderen Situation ergeben, widersprechen (Art. 21 DSGVO).
Pflichten Verantwortlicher und Auftragsverarbeiter
Technische und organisatorische Maßnahmen
Verantwortliche und Auftragsverarbeiter sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um den Schutz persönlicher Daten zu gewährleisten, etwa durch Verschlüsselung, Zugriffsbeschränkungen und Pseudonymisierung.
Datenschutz-Folgenabschätzung
Bei Verarbeitungsvorgängen mit hohem Risiko für die Rechte und Freiheiten von Personen ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich.
Meldepflichten bei Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes persönlicher Daten besteht eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde und ggf. gegenüber den betroffenen Personen (Art. 33 und 34 DSGVO).
Sanktionen und Rechtsdurchsetzung
Verstöße gegen die Vorschriften zum Schutz persönlicher Daten können mit empfindlichen Bußgeldern geahndet werden. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens vor, wobei der höhere Betrag maßgeblich ist.
Betroffene Personen haben weiter die Möglichkeit, Verstöße bei der zuständigen Datenschutzaufsichtsbehörde zu melden oder zivilrechtliche Ansprüche auf Unterlassung, Löschung oder Schadensersatz geltend zu machen.
Internationale Datenübermittlungen
Die Übermittlung persönlicher Daten in Staaten außerhalb des Europäischen Wirtschaftsraums ist nur unter bestimmten Voraussetzungen zulässig. Hierzu zählen ein angemessenes Datenschutzniveau im Empfängerland, Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) oder ausdrückliche Einwilligungen der betroffenen Personen.
Zusammenfassung
Der Begriff „Daten, persönliche“ bezeichnet jegliche Information, die einer natürlichen Person zugeordnet werden kann. Ihr Schutz ist durch umfangreiche europäische und nationale gesetzliche Bestimmungen geregelt, welche hohe Anforderungen an Rechtmäßigkeit, Verarbeitung und Sicherheit stellen. Rechte betroffener Personen und Pflichten der datenverarbeitenden Stellen sind gleichermaßen umfassend geregelt, sodass ein angemessener Schutz der Privatsphäre und der Persönlichkeitsrechte gewährleistet werden soll. Verstöße können zu erheblichen Sanktionen führen.
Häufig gestellte Fragen
Wann dürfen personenbezogene Daten rechtmäßig erhoben und verarbeitet werden?
Personenbezogene Daten dürfen nach der Datenschutz-Grundverordnung (DSGVO) grundsätzlich nur dann erhoben und verarbeitet werden, wenn eine Rechtsgrundlage vorliegt. Die wichtigste Grundlage ist die Einwilligung der betroffenen Person, die freiwillig, informiert und unmissverständlich erteilt werden muss. Daneben ist eine Verarbeitung zulässig, wenn sie zur Erfüllung eines Vertrags, zur Durchführung vorvertraglicher Maßnahmen, zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder zur Wahrung berechtigter Interessen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Außerdem sind Verarbeitungen zur Wahrung lebenswichtiger Interessen oder zur Wahrnehmung von Aufgaben im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt zulässig. Jede Datenerhebung und -verarbeitung muss zudem dem Grundsatz der Zweckbindung, der Datenminimierung und der Transparenz entsprechen. Unternehmen und Organisationen sind verpflichtet, Nachweise über die Rechtsgrundlage der Datenverarbeitung zu erbringen und die betroffenen Personen über ihre Rechte und die Zwecke der Datenerhebung umfassend zu informieren.
Welche Informationspflichten treffen datenverarbeitende Stellen gegenüber betroffenen Personen?
Datenverarbeitende Stellen, sogenannte Verantwortliche, unterliegen nach Art. 13 und 14 DSGVO umfassenden Informationspflichten. Schon bei der Erhebung personenbezogener Daten müssen betroffene Personen klar und verständlich über verschiedene Aspekte informiert werden. Dazu zählen unter anderem der Name und die Kontaktdaten des Verantwortlichen, gegebenenfalls des Datenschutzbeauftragten, die Zwecke der Datenverarbeitung, die jeweilige Rechtsgrundlage, die Dauer der Speicherung, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling sowie die Kategorien der verarbeiteten Daten und eventuelle Empfänger oder Kategorien von Empfängern der Daten. Werden die Daten nicht direkt bei der betroffenen Person erhoben, sind zusätzlich die Quelle der Daten und die jeweiligen Datenkategorien anzugeben. Die Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form bereitgestellt werden.
Welche Rechte haben betroffene Personen hinsichtlich ihrer persönlichen Daten?
Betroffene Personen haben nach der DSGVO eine Reihe von Rechten. Dazu gehören das Recht auf Auskunft über die verarbeiteten personenbezogenen Daten (Art. 15 DSGVO), das Recht auf Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO), das Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO), sowie das Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO). In bestimmten Fällen kann außerdem das Recht auf Widerruf einer Einwilligung und das Recht auf Nichtunterworfenwerden einer ausschließlich automatisierten Entscheidung, einschließlich Profiling, geltend gemacht werden. Die Wahrnehmung dieser Rechte muss für die betroffene Person einfach möglich sein, und der Verantwortliche ist verpflichtet, Anfragen unverzüglich, spätestens jedoch innerhalb eines Monats, zu beantworten.
Welche Pflichten bestehen im Falle einer Datenschutzverletzung?
Kommt es zu einer Datenschutzverletzung, besteht nach Art. 33 und 34 DSGVO eine Meldepflicht für den Verantwortlichen. Dieser muss die Verletzung personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm diese bekannt wurde, der zuständigen Datenschutzaufsichtsbehörde melden, sofern ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Die Meldung muss Art und Umfang der Verletzung, die betroffenen Datenkategorien, die Anzahl der betroffenen Personen, etwaige Folgen sowie die bereits ergriffenen oder geplanten Maßnahmen beschreiben. Liegt zudem ein hohes Risiko für die betroffenen Personen vor, müssen diese ebenfalls unverzüglich über die Verletzung informiert werden, damit sie geeignete Vorsichtsmaßnahmen treffen können.
Wie lange dürfen personenbezogene Daten gespeichert werden?
Die Speicherdauer personenbezogener Daten ist im europäischen Datenschutzrecht eng an den Zweck der Verarbeitung gebunden. Daten dürfen nur so lange gespeichert werden, wie es zur Erreichung des rechtmäßigen Verarbeitungszweckes erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO). Für spezielle Datenarten oder in bestimmten Branchen können gesetzliche Aufbewahrungspflichten (z. B. steuer- oder handelsrechtliche Vorschriften) eine längere Speicherung erforderlich machen. Nach Wegfall des Verarbeitungszwecks oder Ablauf gesetzlicher Fristen müssen die Daten unverzüglich gelöscht oder anonymisiert werden. Verantwortliche müssen außerdem regelmäßig überprüfen, ob die Speicherung noch gerechtfertigt ist, und geeignete Löschkonzepte implementieren.
Wer haftet bei einem Verstoß gegen Datenschutzvorschriften?
Für Verstöße gegen die DSGVO haftet grundsätzlich der Verantwortliche, also die natürliche oder juristische Person, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Bei Auftragsverarbeitern (Unternehmen, die im Auftrag des Verantwortlichen Daten verarbeiten) besteht eine Mitverantwortung, die durch einen schriftlichen Vertrag geregelt sein muss. Kommt es zu einem Datenschutzverstoß, können betroffene Personen Schadensersatzansprüche nach Art. 82 DSGVO geltend machen. Zusätzlich können die zuständigen Datenschutzaufsichtsbehörden Bußgelder verhängen, die sich nach Schwere und Dauer des Verstoßes, dem Grad des Verschuldens und der Zusammenarbeit mit der Behörde bemessen. In schwerwiegenden Fällen sind Geldbußen bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes des Unternehmens möglich.
Unter welchen Bedingungen ist die Übermittlung personenbezogener Daten in Drittländer zulässig?
Die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) ist nach Art. 44 ff. DSGVO nur unter bestimmten Bedingungen gestattet. Zulässig ist sie, wenn die Europäische Kommission festgestellt hat, dass das betreffende Drittland ein angemessenes Datenschutzniveau gewährleistet (sogenannter Angemessenheitsbeschluss). Liegt kein solcher Beschluss vor, können geeignete Garantien, wie Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) oder spezielle Ausnahmen (z. B. ausdrückliche Einwilligung der betroffenen Person, Erforderlichkeit zur Vertragserfüllung) die Übermittlung rechtfertigen. Verantwortliche müssen zudem darauf achten, dass das Schutzniveau für personenbezogene Daten auch im Drittland eingehalten wird und betroffene Personen ihre Rechte weiterhin durchsetzen können.
