Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Attorneys
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Wiki

Wiki»Legal Lexikon»Datenschutzrecht»Datenschutz

Datenschutz

Begriff und Ziel des Datenschutzes

Datenschutz bezeichnet den rechtlichen Rahmen zum Schutz von Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Ziel ist es, die Privatsphäre zu wahren, missbräuchliche Datenverarbeitungen zu verhindern und einen fairen, transparenten Umgang mit Daten sicherzustellen. Datenschutz schafft damit ein Gleichgewicht zwischen individuellen Freiheitsrechten und berechtigten Informationsinteressen von Wirtschaft, Verwaltung und Gesellschaft.

Was bedeutet Datenschutz?

Im Mittelpunkt stehen personenbezogene Daten, also Informationen, die einer Person direkt oder indirekt zugeordnet werden können, etwa Name, Kontaktdaten, Identifikationsmerkmale, Online-Kennungen oder Merkmale, die eine Person beschreiben. Der Begriff umfasst jede Form der Verarbeitung, zum Beispiel Erhebung, Speicherung, Nutzung, Übermittlung oder Löschung. Datenschutz unterscheidet zwischen anonymisierten Daten, die keinen Personenbezug mehr aufweisen, und pseudonymisierten Daten, bei denen der Bezug nur mit zusätzlichen Informationen wiederhergestellt werden kann.

Schutzzwecke und Grundprinzipien

Datenschutz beruht auf anerkannten Grundprinzipien, die alle Verarbeitungen prägen:

  • Rechtmäßigkeit und Fairness: Datenverarbeitungen benötigen eine rechtliche Grundlage und müssen in fairer Weise erfolgen.
  • Transparenz: Betroffene sollen nachvollziehen können, welche Daten zu welchen Zwecken verarbeitet werden.
  • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.
  • Datenminimierung: Es sollen nur so viele Daten verarbeitet werden, wie für den Zweck erforderlich.
  • Richtigkeit: Daten müssen sachlich richtig und aktuell sein.
  • Speicherbegrenzung: Daten werden nur so lange gespeichert, wie es für den Zweck erforderlich ist.
  • Integrität und Vertraulichkeit: Daten sind vor unbefugtem Zugriff und Verlust zu schützen.
  • Rechenschaft: Verantwortliche müssen die Einhaltung der Grundsätze nachweisen können.

Anwendungsbereich und Akteure

Personenbezogene Daten und besondere Kategorien

Neben allgemeinen personenbezogenen Daten kennt das Recht besondere Kategorien, etwa Angaben zur Herkunft, politischen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben oder biometrische Daten. Deren Verarbeitung unterliegt erhöhten Anforderungen, da ein Missbrauch erhebliche Nachteile für Betroffene verursachen kann.

Verantwortliche und Auftragsverarbeiter

Verantwortlicher ist die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Auftragsverarbeiter verarbeitet Daten im Auftrag des Verantwortlichen und nach dessen dokumentierten Weisungen. Zwischen beiden sind vertragliche und organisatorische Vorkehrungen vorgesehen, um die Pflichtenverteilung, Sicherheit und Kontrolle zu regeln. Mehrere Stellen können gemeinsam verantwortlich sein, wenn sie Zwecke und Mittel zusammen festlegen.

Betroffene Personen

Betroffene sind die Personen, deren Daten verarbeitet werden. Sie haben umfassende Informations- und Kontrollrechte. Die Ausübung dieser Rechte setzt transparente Informationen und nachvollziehbare Prozesse voraus.

Rechtliche Grundlagen der Verarbeitung

Eine Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine anerkannte Rechtsgrundlage vorliegt. Typische Rechtsgrundlagen sind:

Einwilligung

Die freiwillige, informierte und eindeutige Zustimmung einer Person zur Verarbeitung für bestimmte Zwecke. Sie kann widerrufen werden, wirkt jedoch nicht rückwirkend auf bereits erfolgte rechtmäßige Verarbeitungen.

Vertragserfüllung

Die Verarbeitung ist erforderlich, um einen Vertrag mit der betroffenen Person zu erfüllen oder vorvertragliche Maßnahmen durchzuführen, die auf deren Anfrage beruhen.

Gesetzliche Pflichten und öffentliche Aufgaben

Verarbeitungen können vorgeschrieben sein, etwa zur Erfüllung rechtlicher Verpflichtungen oder zur Wahrnehmung Aufgaben im öffentlichen Interesse.

Berechtigte Interessen

Eine Verarbeitung kann auf überwiegenden berechtigten Interessen des Verantwortlichen oder Dritter beruhen, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen. Eine sorgfältige Abwägung ist erforderlich.

Schutz lebenswichtiger Interessen

In Ausnahmesituationen kann die Verarbeitung zum Schutz lebenswichtiger Interessen einer Person erforderlich sein.

Rechte betroffener Personen

Auskunft, Berichtigung, Löschung

Betroffene können Auskunft darüber verlangen, ob und welche Daten verarbeitet werden. Sie können unrichtige Daten berichtigen lassen und unter bestimmten Voraussetzungen die Löschung verlangen, insbesondere wenn der Verarbeitungszweck entfällt oder keine Rechtsgrundlage mehr besteht.

Einschränkung, Widerspruch, Übertragbarkeit

Es bestehen Ansprüche auf Einschränkung der Verarbeitung, auf Widerspruch gegen bestimmte Verarbeitungen sowie auf Übertragbarkeit der Daten in einem gängigen, maschinenlesbaren Format, soweit die Verarbeitung darauf ausgerichtet ist.

Automatisierte Entscheidungen und Profiling

Bei Entscheidungen, die ausschließlich automatisiert erfolgen und rechtliche Wirkungen entfalten oder Betroffene erheblich beeinträchtigen, gelten besondere Schutzmechanismen. Es bestehen Rechte auf menschliche Überprüfung und auf Darlegung der maßgeblichen Logik in verständlicher Form.

Verantwortlichkeiten und Nachweispflichten

Datenschutz durch Technikgestaltung und Voreinstellungen

Datenschutzanforderungen sind bereits bei Planung und Entwicklung von Verfahren und Systemen zu berücksichtigen. Voreinstellungen sollen grundsätzlich auf ein hohes Schutzniveau ausgerichtet sein.

Verzeichnis von Verarbeitungstätigkeiten

Verantwortliche und Auftragsverarbeiter halten dokumentiert fest, welche Verarbeitungstätigkeiten stattfinden, zu welchen Zwecken, mit welchen Kategorien von Daten und Empfängern sowie mit welchen Schutzmaßnahmen.

Datenschutz-Folgenabschätzung

Bei voraussichtlich hohem Risiko für Rechte und Freiheiten von Personen ist eine strukturierte Bewertung der Auswirkungen vorgesehen. Diese dient der Identifikation von Risiken und geeigneten Schutzmaßnahmen.

Meldung von Verletzungen des Schutzes personenbezogener Daten

Verletzungen des Schutzes personenbezogener Daten sind gegenüber der zuständigen Aufsichtsbehörde grundsätzlich zeitnah zu melden. Betroffene Personen sind zu informieren, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

Rolle der Aufsichtsbehörden und Sanktionen

Unabhängige Aufsichtsbehörden überwachen die Einhaltung der Datenschutzvorgaben, beraten, bearbeiten Beschwerden und können Untersuchungen einleiten. Bei Verstößen kommen abgestufte Maßnahmen in Betracht, darunter Anordnungen und Geldsanktionen, ausgerichtet an Schwere und Dauer eines Verstoßes.

Datenübermittlungen und internationaler Kontext

Europäischer Wirtschaftsraum

Innerhalb des Europäischen Wirtschaftsraums erfolgt der Datenverkehr auf einheitlicher Grundlage. Ein hohes und kohärentes Schutzniveau soll dadurch gewährleistet werden.

Drittstaatentransfers und geeignete Garantien

Bei Übermittlungen in Staaten außerhalb dieses Raums sind zusätzliche Bedingungen zu beachten. Die Zulässigkeit kann sich etwa aus Angemessenheitsentscheidungen, vertraglichen Garantien oder anderen Sicherungsmechanismen ergeben. Maßgeblich ist, ob insgesamt ein Schutzniveau erreicht wird, das den europäischen Anforderungen entspricht.

Branchenspezifische Besonderheiten

Beschäftigtendaten

Im Arbeitsverhältnis gelten besondere Regeln, die Interessen von Beschäftigten und Arbeitgebern abwägen. Erforderlichkeit, Transparenz und Verhältnismäßigkeit sind zentrale Maßstäbe.

Gesundheitsdaten

Gesundheitsdaten gehören zu den besonders schützenswerten Kategorien. Die Verarbeitung setzt regelmäßig erhöhte Schutzvorkehrungen und eine spezifische rechtliche Grundlage voraus.

Kinder und Minderjährige

Zulässigkeit und Transparenzanforderungen berücksichtigen das besondere Schutzbedürfnis Minderjähriger. Einwilligungen können zusätzlichen formalen Anforderungen unterliegen.

Telemedien und Endgeräteinformationen

Für das Speichern von oder den Zugriff auf Informationen auf Endgeräten, etwa bei Cookies oder ähnlichen Technologien, gelten ergänzende Regelungen. Maßgeblich sind Transparenz, Zweckbindung und eine geeignete rechtliche Grundlage.

Verhältnis zu anderen Grundrechten

Informationsfreiheit, Meinungsfreiheit, wirtschaftliche Interessen

Datenschutz steht nicht isoliert, sondern im Verhältnis zu anderen Grundfreiheiten. Informations- und Meinungsfreiheit sowie wirtschaftliche Betätigungsfreiheit werden in Ausgleich gebracht mit dem Schutz der Privatsphäre.

Abwägung und Verhältnismäßigkeit

Konfliktlagen werden durch Abwägung gelöst. Verarbeitungen müssen geeignet, erforderlich und verhältnismäßig sein. Dies betrifft insbesondere Veröffentlichungen, Forschung, Statistik, Sicherheitsinteressen und betriebliche Zwecke.

Häufig gestellte Fragen zum Datenschutz

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen direkte Angaben wie Name und Adresse sowie indirekte Merkmale wie Online-Kennungen, Nutzer-IDs oder Merkmalskombinationen, die eine Person erkennbar machen.

Wann ist eine Verarbeitung personenbezogener Daten zulässig?

Eine Verarbeitung ist zulässig, wenn eine anerkannte Rechtsgrundlage vorliegt. Typische Grundlagen sind Einwilligung, Erforderlichkeit zur Vertragserfüllung, gesetzliche Pflichten, Aufgaben im öffentlichen Interesse, Schutz lebenswichtiger Interessen oder überwiegende berechtigte Interessen nach Abwägung.

Welche Rechte habe ich als betroffene Person?

Betroffene Personen haben insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen bestimmte Verarbeitungen, Datenübertragbarkeit sowie Schutz vor ausschließlich automatisierten Entscheidungen mit erheblichen Auswirkungen.

Wer ist Verantwortlicher und wer Auftragsverarbeiter?

Verantwortlicher ist die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Auftragsverarbeiter verarbeitet Daten im Auftrag des Verantwortlichen auf Grundlage dokumentierter Vorgaben. In bestimmten Konstellationen können mehrere Stellen gemeinsam verantwortlich sein.

Was bedeutet Einwilligung im Datenschutz?

Einwilligung ist die freiwillige, informierte und eindeutige Zustimmung zu einer bestimmten Verarbeitung. Sie muss transparent sein und kann für die Zukunft widerrufen werden. Ohne passende Einwilligung oder andere Rechtsgrundlage ist eine Verarbeitung unzulässig.

Wie werden Daten in Länder außerhalb der EU übertragen?

Übermittlungen in Drittstaaten setzen zusätzliche Garantien voraus. Zulässigkeit kann sich aus einer Angemessenheitsentscheidung, vertraglichen Sicherungsmechanismen oder vergleichbaren Schutzvorkehrungen ergeben, die ein angemessenes Gesamtschutzniveau gewährleisten.

Was passiert bei einer Datenpanne?

Bei einer Verletzung des Schutzes personenbezogener Daten besteht eine Pflicht zur zeitnahen Meldung an die zuständige Aufsichtsbehörde. Wenn ein hohes Risiko für Betroffene besteht, sind diese zusätzlich zu informieren, damit Auswirkungen begrenzt werden können.

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen