Definition und Begriffsentwicklung: Datenschutz
Datenschutz bezeichnet den Schutz des Einzelnen vor einer Beeinträchtigung seines Persönlichkeitsrechts durch den Umgang mit personenbezogenen Daten. Ziel des Datenschutzes ist es, das Recht auf informationelle Selbstbestimmung zu gewährleisten. Personenbezogene Daten sind nach Artikel 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Begriff wie auch das Schutzkonzept entwickelte sich seit den 1970er Jahren vor dem Hintergrund zunehmender digitaler Datenverarbeitung und wurde kontinuierlich weiterentwickelt.
Rechtliche Grundlagen
Europäische Union
Datenschutz-Grundverordnung (DSGVO)
Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ist seit dem 25. Mai 2018 die zentrale Rechtsgrundlage für den Datenschutz innerhalb der Europäischen Union. Sie regelt die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter sowohl innerhalb der EU als auch – unter bestimmten Voraussetzungen – außerhalb der Union, sofern Daten von in der EU ansässigen Personen verarbeitet werden.
Die DSGVO basiert auf den Prinzipien der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht (Artikel 5 DSGVO). Sie räumt den betroffenen Personen eine Reihe von Rechten ein, wie das Auskunftsrecht, das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.
Weitere europäische Normen
Ergänzt wird die DSGVO durch die Richtlinie (EU) 2016/680 über den Datenschutz bei Polizei und Justiz sowie die sogenannte ePrivacy-Richtlinie 2002/58/EG, die den Datenschutz im Bereich elektronischer Kommunikation regelt.
Deutschland
Bundesdatenschutzgesetz (BDSG)
Das Bundesdatenschutzgesetz ergänzt und konkretisiert die Vorgaben der DSGVO im nationalen Recht. Es regelt insbesondere die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes, private Unternehmen und bestimmte Aspekte der Beschäftigtendatenverarbeitung (§ 26 BDSG).
Landesdatenschutzgesetze
Auf Landesebene existieren spezifische Datenschutzgesetze für die Behörden der Bundesländer, welche die Regelungen des BDSG und der DSGVO für den jeweiligen Anwendungsbereich präzisieren.
Internationale Regelungen
Auch außerhalb Europas gibt es einschlägige Datenschutzgesetze, unter anderem der California Consumer Privacy Act (CCPA) in den USA oder der Personal Information Protection and Electronic Documents Act (PIPEDA) in Kanada. Viele Drittstaaten orientieren sich an den Vorgaben der DSGVO, um einen gleichwertigen Datenschutz für den internationalen Datenverkehr sicherzustellen.
Prinzipien des Datenschutzrechts
Rechtmäßigkeit der Datenverarbeitung
Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine der in Artikel 6 DSGVO genannten Rechtsgrundlagen vorliegt. Diese umfassen insbesondere die Einwilligung der betroffenen Person, die Verarbeitung zur Erfüllung eines Vertrags, rechtliche Verpflichtungen, lebenswichtige Interessen, öffentliche Aufgaben und berechtigte Interessen des Verantwortlichen oder Dritter.
Transparenz und Informationspflichten
Die betroffenen Personen müssen klar, verständlich und in leicht zugänglicher Form darüber informiert werden, welche Daten zu welchem Zweck und auf welcher Grundlage verarbeitet werden (Artikel 13 und 14 DSGVO). Die Informationspflicht besteht bereits zum Zeitpunkt der Datenerhebung und gilt für Verantwortliche und Auftragsverarbeiter.
Zweckbindung und Datenminimierung
Die Erhebung und Verarbeitung von Daten ist auf den jeweils festgelegten und legitimen Zweck beschränkt. Datensparsamkeit und die Beschränkung auf das für den Zweck notwendige Maß sind zwingende Vorgaben.
Speicherbegrenzung, Integrität und Vertraulichkeit
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist. Darüber hinaus ist die Datensicherheit durch angemessene technische und organisatorische Maßnahmen zu gewährleisten.
Rechte der Betroffenen
Auskunftsrecht
Jede betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, besteht ein Anspruch auf Auskunft über diese Daten (Artikel 15 DSGVO).
Recht auf Berichtigung und Löschung
Betroffene können die Berichtigung unrichtiger und die Vervollständigung unvollständiger Daten verlangen (Artikel 16 DSGVO). Zudem besteht unter bestimmten Voraussetzungen ein Recht auf Löschung („Recht auf Vergessenwerden“, Artikel 17 DSGVO).
Recht auf Einschränkung der Verarbeitung
In bestimmten Konstellationen, beispielsweise bei strittiger Richtigkeit der Daten oder unrechtmäßiger Verarbeitung, kann die Einschränkung der Verarbeitung verlangt werden (Artikel 18 DSGVO).
Widerspruchsrecht und Recht auf Datenübertragbarkeit
Betroffene können der Verarbeitung ihrer Daten aus besonderen Gründen widersprechen (Artikel 21 DSGVO). Zudem steht ihnen das Recht zu, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übertragen (Artikel 20 DSGVO).
Pflichten der Verantwortlichen und Auftragsverarbeiter
Datenschutz-Folgenabschätzung
Vor Einführung neuer Verarbeitungstätigkeiten mit hohem Risiko für die Betroffenen ist eine Datenschutz-Folgenabschätzung gem. Artikel 35 DSGVO durchzuführen.
Technische und organisatorische Maßnahmen (TOM)
Es sind geeignete Maßnahmen zu treffen, um ein angemessenes Schutzniveau der Daten zu gewährleisten. Dazu gehören beispielsweise Verschlüsselung, Zugangsbeschränkungen und regelmäßige Kontrollen.
Meldepflichten bei Datenschutzverletzungen
Verantwortliche müssen im Fall einer Verletzung des Schutzes personenbezogener Daten die zuständige Aufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden, informieren (Artikel 33 DSGVO).
Auftragsverarbeitung
Die Verarbeitung personenbezogener Daten durch Dritte im Auftrag des Verantwortlichen bedarf eines Vertrages zur Auftragsverarbeitung, der klare Regelungen zur Datenverarbeitung und den Schutzmaßnahmen beinhaltet (Artikel 28 DSGVO).
Aufsicht und Sanktionen
Datenschutzaufsichtsbehörden
Für die Umsetzung und Einhaltung des Datenschutzrechts sind in Deutschland und Europa unabhängige Datenschutzaufsichtsbehörden zuständig. Sie überwachen die Einhaltung der Vorschriften und können Kontrollbefugnisse ausüben.
Bußgelder und Sanktionen
Verstöße gegen datenschutzrechtliche Vorgaben können erhebliche Bußgelder nach sich ziehen. Die DSGVO sieht Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor (Artikel 83 DSGVO).
Verhältnis zu weiteren Rechten
Datenschutz steht in enger Beziehung zu weiteren Grundrechten, insbesondere zum Recht auf freie Meinungsäußerung, Pressefreiheit und dem Schutz vertraulicher Kommunikation. Im Einzelfall ist eine Abwägung zwischen den betroffenen Rechtsgütern vorzunehmen.
Datenschutz in ausgewählten Sektoren
Beschäftigtendatenschutz
Im Beschäftigungsverhältnis gelten spezielle Regelungen, insbesondere zur Verarbeitung von Mitarbeiterdaten, Videoüberwachung am Arbeitsplatz und zum Umgang mit Bewerberdaten (§ 26 BDSG).
Datenschutz im Gesundheitswesen
Hier kommt dem Schutz besonderer Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO besondere Bedeutung zu. Patientenakten, Diagnosedaten und genetische Informationen unterliegen erhöhten Schutzanforderungen.
Datenschutz im Internet und bei Cloud-Diensten
Die Verarbeitung personenbezogener Daten über Webseiten, soziale Netzwerke oder Cloud-Dienste unterliegt ebenfalls den strengen Anforderungen der DSGVO. Dabei gewinnen technische Maßnahmen wie Pseudonymisierung und Verschlüsselung an Bedeutung.
Datenschutz und Technik
Der Einsatz von Privacy-by-Design und Privacy-by-Default ist verpflichtend. Datenschutzfreundliche Voreinstellungen sowie die Integration von Datenschutzmaßnahmen in der Entwicklung von IT-Systemen sind zentrale Schutzmechanismen.
Zukunft des Datenschutzes
Datenschutzrecht bleibt dynamisch und unterliegt kontinuierlichen Anpassungen, unter anderem durch neue technologische Entwicklungen und Gesetzgebungsverfahren auf nationaler und internationaler Ebene. Aktuelle Diskurse betreffen insbesondere Künstliche Intelligenz, Big Data, grenzüberschreitende Datenübermittlungen und eine stärkere Harmonisierung der Regelungen weltweit.
Der Datenschutz ist ein zentrales Rechtsgebiet zum Schutz der Privatsphäre und der Grundrechte des Einzelnen im digitalen Zeitalter. Er stellt ein komplexes Zusammenspiel von technischen, organisatorischen und rechtlichen Vorgaben dar und unterliegt einem steten Wandel angesichts neuer technischer und gesellschaftlicher Entwicklungen.
Häufig gestellte Fragen
Wann ist die Verarbeitung personenbezogener Daten nach der DSGVO rechtmäßig?
Die Verarbeitung personenbezogener Daten ist nach der Datenschutz-Grundverordnung (DSGVO) grundsätzlich untersagt, sofern sie nicht auf eine der in Art. 6 DSGVO genannten Rechtsgrundlagen gestützt werden kann. Diese Rechtsgrundlagen sind abschließend aufgelistet und umfassen insbesondere die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags, die Erfüllung einer rechtlichen Verpflichtung, den Schutz lebenswichtiger Interessen, die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Die Auswahl der angemessenen Rechtsgrundlage erfordert immer eine sorgfältige Prüfung des jeweiligen Verwendungszwecks der Daten und der konkreten Umstände der Verarbeitung. Eine Verarbeitung ohne entsprechende Rechtsgrundlage stellt einen Verstoß gegen die DSGVO dar und kann weitreichende aufsichts- und haftungsrechtliche Konsequenzen nach sich ziehen, einschließlich Bußgeldern und Unterlassungsansprüchen.
Wer ist für die Einhaltung des Datenschutzes in einem Unternehmen verantwortlich?
Verantwortlich für die Einhaltung der datenschutzrechtlichen Vorschriften ist gemäß Art. 4 Nr. 7 DSGVO der sogenannte „Verantwortliche“. Hierbei handelt es sich um die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Im unternehmerischen Kontext ist dies in der Regel die Geschäftsleitung bzw. das Management des Unternehmens. Dieses trägt Sorge dafür, dass alle datenschutzrechtlich relevanten Abläufe im Unternehmen den gesetzlichen Anforderungen entsprechen und gegebenenfalls ein Datenschutzmanagementsystem etabliert wird. In bestimmten Fällen ist zudem die Benennung eines betrieblichen Datenschutzbeauftragten gemäß Art. 37 DSGVO verpflichtend, dessen Aufgabe es unter anderem ist, auf die Einhaltung des Datenschutzrechts hinzuwirken und als Anlaufstelle für betroffene Personen und Aufsichtsbehörden zu fungieren. Die letztendliche Verantwortung verbleibt jedoch stets bei der Unternehmensleitung.
Unter welchen Voraussetzungen muss ein Datenschutzbeauftragter bestellt werden?
Nach Art. 37 DSGVO in Verbindung mit § 38 BDSG-neu ist ein Datenschutzbeauftragter verpflichtend zu benennen, wenn in dem Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von dieser Zahlenvorgabe besteht außerdem eine Benennungspflicht, wenn spezielle Verarbeitungstätigkeiten durchgeführt werden, bei denen aufgrund der Art, des Umfangs und/oder des Zwecks eine umfangreiche regelmäßige und systematische Überwachung erforderlich ist oder wenn sensible Datenarten gemäß Art. 9 DSGVO (besondere Kategorien personenbezogener Daten, z.B. Gesundheitsdaten) verarbeitet werden. Der Datenschutzbeauftragte kann sowohl ein interner Mitarbeiter als auch ein externer Dienstleister sein, muss jedoch für die Aufgabe hinreichend qualifiziert und in seiner Tätigkeit weisungsfrei sein. Vor der Benennung ist die zuständige Aufsichtsbehörde zu informieren, und die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht werden.
Welche Informationspflichten bestehen gegenüber betroffenen Personen?
Die Verantwortlichen sind nach Art. 13 und Art. 14 DSGVO verpflichtet, betroffene Personen transparent über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Diese Informationspflicht erstreckt sich insbesondere auf die Identität und die Kontaktdaten des Verantwortlichen, die Zwecke und Rechtsgrundlagen der Datenverarbeitung, die Kategorien der verarbeiteten Daten, die Empfänger oder Kategorien von Empfängern, die Übermittlung in Drittländer, die Dauer der Speicherung, die Rechte der Betroffenen (wie Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit), das Bestehen einer automatisierten Entscheidungsfindung sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Die Informationen müssen in einer klaren, verständlichen und leicht zugänglichen Form zur Verfügung gestellt werden; dies erfolgt regelmäßig in Form von Datenschutzerklärungen, beispielsweise auf Webseiten, in Verträgen oder per separatem Informationsblatt.
Welche Rechte haben betroffene Personen nach der DSGVO?
Betroffene Personen haben gemäß Artt. 12 bis 22 DSGVO umfangreiche Rechte in Bezug auf ihre personenbezogenen Daten. Zu diesen gehören insbesondere das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO), das Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) und das Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO). Unter bestimmten Voraussetzungen haben betroffene Personen zudem das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden (Art. 22 DSGVO). Die Geltendmachung dieser Rechte ist für die betroffene Person in der Regel kostenlos, und der Verantwortliche ist verpflichtet, auf entsprechende Anfragen unverzüglich, spätestens jedoch innerhalb eines Monats, zu reagieren. Diese Frist kann nur in Ausnahmefällen um weitere zwei Monate verlängert werden, wobei die betroffene Person hierüber zu informieren ist.
Welche Pflichten bestehen bei der Auftragsverarbeitung?
Gemäß Art. 28 DSGVO ist eine Auftragsverarbeitung (AV) dann gegeben, wenn ein Verantwortlicher die Verarbeitung personenbezogener Daten vollständig oder teilweise an einen Dienstleister (Auftragsverarbeiter) auslagert. Hier besteht die rechtliche Verpflichtung, vor Beginn der Verarbeitung einen schriftlichen oder elektronischen Vertrag zur Auftragsverarbeitung abzuschließen, der spezifische Mindestinhalte vorschreibt; u.a. müssen Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Dauer der Verarbeitung sowie die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters geregelt werden. Der Verantwortliche bleibt dabei für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und muss sich davon überzeugen, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zum Datenschutz getroffen hat. Zudem ist eine regelmäßige Kontrolle des Auftragsverarbeiters vorgesehen, die dokumentiert werden sollte. Verstößt der Auftragsverarbeiter gegen die datenschutzrechtlichen Vorgaben, haftet der Verantwortliche gegenüber den betroffenen Personen auch für dessen Fehler.
