Datenschutzrecht in Deutschland: Eine Übersicht

Hier bieten wir eine fundierte Übersicht über die rechtlichen Grundlagen des Datenschutzes in Deutschland. Erfahren Sie, welche Unternehmen und Behörden von den gesetzlichen Regelungen betroffen sind, welche Pflichten sie erfüllen müssen und welche Konsequenzen bei Nichtbeachtung drohen. Nutzen Sie außerdem die Chance, mehr über die Möglichkeit der Auslagerung datenschutzrechtlicher Pflichten zu erfahren, um DSGVO-Konformität in Ihrem Unternehmen sicherzustellen.

Was ist der Unterschied zwischen DSGVO und BDSG?

Das Datenschutzrecht in Deutschland ist ein komplexes Rechtsgebiet, das sowohl nationale als auch europäische Regulierungen umfasst. Seit dem 25. Mai 2018 ist die DSGVO das zentrale Datenschutzgesetz in der gesamten Europäischen Union, einschließlich Deutschland. Als Verordnung der EU entfaltet sie unmittelbare Rechtswirkung im europäischen Raum. Die DSGVO dient dazu, den durch die Grundrechtecharta der Europäischen Union (EU) gewährleisteten Schutz personenbezogener Daten umzusetzen (Art. 8 EU-Grundrechtecharta), welcher sich auch im Grundgesetz im Recht auf informelle Selbstbestimmung (Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG) wiederfindet.  

Die DSGVO wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze ergänzt. Das BDSG regelt den Datenschutz für Bereiche, die nicht von der DSGVO erfasst sind und die spezifischen Ausnahmen, die die DSGVO den Mitgliedstaaten überlässt. Gleichzeitig darf das BDSG keine der DSGVO widersprechenden Regelungen enthalten. Diese hat im Zweifel als EU-Verordnung Vorrang vor dem nationalen Recht. Für einige Bereiche greifen weitere Bestimmungen wie z. B. im Gesundheitsdatenschutz, wenn es um die Verarbeitung von (besonders sensiblen) Patientendaten im Gesundheitswesen geht, oder im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das spezifische Aspekte des Online-Datenschutzes regelt. 

Was ist in der DSGVO und dem BDSG geregelt?

Durch die fortlaufende Digitalisierung wird der Schutz persönlicher Daten immer wichtiger. Einen starken Rahmen hierfür bilden die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sowie in Ergänzung das nationale Bundesdatenschutzgesetz (BDSG). Die DSGVO harmonisiert das Datenschutzrechts im europäischen Raum und ersetzt damit viele nationale Regelwerke, bzw. gleicht diese aneinander an. Ziel ist neben der Schaffung eines einheitlichen, transparenten Regelwerks, die Stärkung der Rechte der individuell Betroffenen, wenn mit ihren personenbezogenen Daten gearbeitet wird. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 DSGVO). 

Bei der DSGVO handelt es sich um ein Verbotsgesetz mit Erlaubnisvorbehalt. Das bedeutet, dass das Verarbeiten personenbezogener Daten grundsätzlich verboten ist und es einer ausdrücklichen Erlaubnisnorm bedarf (vgl. Art. 6 Abs. 1 DSGVO). Bei diesen Normen handelt es sich vorwiegend um den Tatbestand der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder das Vorliegen eines gesetzlichen Erfordernisses wie etwa die Erfüllung eines Vertrages oder einer anderen rechtlichen Verpflichtung. Nur wenn dies vorliegt – was im Geschäftsverkehr jedoch regelmäßig der Fall ist – dürfen also diese Daten überhaupt verarbeitet werden. 

Weiterhin werden die Prinzipien der Datenverarbeitung (Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht) etabliert, an die sich alle Akteure zu halten haben. 

Außerdem werden die Rechte der betroffenen Personen gestärkt, indem ein Katalog aus Betroffenenrechten eingeführt wird: Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen Datenverarbeitung. 

Für wen gilt die DSGVO?

Generell gilt, dass jede Einrichtung oder Person, die personenbezogene Daten verarbeitet, unter das Datenschutzgesetz fallen kann und entsprechende Verpflichtungen zu erfüllen hat. „Verarbeitung“ meint hier „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ (Art. 4 Nr. 2 DSGVO), ist also sehr weit gefasst. 

Unternehmen und Organisationen jeder Größe, die personenbezogene Daten verarbeiten – einschließlich Einzelunternehmer und Freiberufler – fallen darunter. Ebenso sind öffentliche Stellen und Institutionen Verpflichtete mit Ausnahme bestimmter Sicherheits- und Justizbehörden. Das Datenschutzrecht schützt Individuen vor dem Missbrauch ihrer persönlichen Daten, daher sind auch sie Adressaten des Gesetzes. Den Bürgern stehen in ihrer Rolle als Dateninhaber bestimmte sog. „Betroffenenrechte“ zu, die sie gegenüber den datenverarbeitenden Akteuren ausüben können. 

Vom Versandhändler, über Betreiber von Apps und anderen Online-Diensten bis hin zu Krankenhäusern und den meisten Behörden, sie alle sind den Datenschutzbestimmungen der DSGVO unterworfen. 

Wann ist die DSGVO nicht anzuwenden?

Die Datenschutz-Grundverordnung (DSGVO) ist nicht anzuwenden in folgenden Fällen:

  1. Privatnutzung:
    • Datenverarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
  2. Behördentätigkeit im Zusammenhang mit Straftaten:
    • Verarbeitung von personenbezogenen Daten durch Behörden zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von Straftaten oder zur Strafvollstreckung.
  3. Unionsrecht nicht anwendbar:
    • Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen.
  4. Nationale Sicherheit und Verteidigung:
    • u.a. Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen (Gemeinsame Außen- und Sicherheitspolitik).

Diese Ausnahmen sind in den Artikeln 2 und 23 der DSGVO sowie in spezifischen nationalen Regelungen beschrieben.

Welche Pflichten treffen Unternehmen und Behörden?

Unternehmen und öffentliche Stellen, die personenbezogene Daten verarbeiten, unterliegen nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) in Deutschland diverser Pflichten. Sie lassen sich in organisatorische, technische und rechtliche Maßnahmen unterteilen. 

Die wichtigsten Pflichten aus der DSGVO umfassen zusammengefasst: 

  • Einhaltung der Datenschutzprinzipien (Art. 5 Abs. 1 DSGVO): Dazu gehören Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität sowie Vertraulichkeit. 
  • Nachweis der Einhaltung der Grundsätze der Verarbeitung (Art. 5 Abs. 2 DSGVO): Die Verantwortlichkeit liegt beim Datenverarbeiter, der die Einhaltung dieser Grundsätze nachweisen muss (Rechenschaftspflicht). 
  • Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO): Die Rechtmäßigkeit der Verarbeitung muss durch einen der in Art. 6 genannten Gründe, wie z.B. eine vertragliche Verpflichtung oder die Einwilligung, gewährleistet sein. 
  • Informationspflichten (Art. 13, 14 (DSGVO): Bei der Erhebung personenbezogener Daten ist die betroffene Person über die Verarbeitung in Kenntnis zu setzen. 
  • Einhaltung der Betroffenenrechte (Art 15 ff DSGVO): siehe nächste Frage 
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO): Datenschutz muss bereits bei der Entwicklung von Systemen („Privacy by Design“) sowie durch datenschutzfreundliche Standards (“Privacy by Default”) berücksichtigt werden. 
  • Benachrichtigung der Aufsichtsbehörde bei Datenschutzverletzungen (Art. 33 DSGVO): Unternehmen müssen Datenschutzverletzungen in der Regel binnen 72 Stunden melden. 
  • Benachrichtigung der betroffenen Person bei Datenschutzverletzungen (Art. 34 DSGVO): In bestimmten Fällen müssen auch die Betroffenen selbst informiert werden. 
  • Bestellung eines Datenschutzbeauftragten (DSB) (Art. 37 DSGVO): Bestimmte Organisationen sind verpflichtet, einen Datenschutzbeauftragten zu benennen. Insbesondere trifft dies Akteure, die Daten automatisiert und in großer Anzahl verarbeiten. Der DSB ist der zentrale Ansprechpartner einer Organisation in allen Fragen des Datenschutzes. 
  • Durchführung einer Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko (Art. 35 DSGVO): Für Verarbeitungsvorgänge mit hohem Datenschutzrisiko ist eine DSFA erforderlich, die u.a. eine Risikoanalyse beinhaltet. 
  • Zusammenarbeit mit der Aufsichtsbehörde (Art. 31 DSGVO): Verantwortliche und Auftragsverarbeiter müssen auf Anfrage Informationen über ihre Verarbeitungstätigkeiten zur Verfügung stellen. 
  • Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO): Verantwortliche und eventuelle Auftragsverarbeiter sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die unter ihre Verantwortung fallen. 

Das BDSG enthält ergänzende Vorschriften zu den DSGVO-Pflichten, insbesondere für die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes und für die Verarbeitung zu Beschäftigungszwecken. Es regelt zudem spezifische Aspekte wie die Bestellung von Datenschutzbeauftragten in bestimmten Fällen und bietet Rahmenvorschriften für die Videoüberwachung und den Datenschutz im Rahmen der betrieblichen Mitbestimmung. 

Was sind die Betroffenenrechte?

Die Betroffenenrechte beziehen sich auf die Rechte von Personen, deren personenbezogene Daten erhoben und verarbeitet werden. Sie sollen sicherstellen, dass Individuen die Kontrolle über ihre Daten behalten und ihre Privatsphäre geschützt wird. Um diese Rechte ausüben zu können, besteht seitens der Verpflichteten eine Informationspflicht bei Erhebung von personenbezogenen Daten gegenüber den Betroffenen (vgl. Art. 13 DSGVO). Die wichtigsten Rechte der betroffenen Personen lauten: 

  • Auskunftsrecht (Art. 15 DSGVO): Betroffene haben das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben sie ein Recht auf Auskunft über diese Daten. 
  • Recht auf Berichtigung (Art. 16 DSGVO): Betroffene haben das Recht, die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. 
  • Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO): Betroffene können das Löschen ihrer personenbezogenen Daten unter bestimmten Bedingungen verlangen. 
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Umständen haben Betroffene das Recht, die Einschränkung der Verarbeitung ihrer Daten zu verlangen. 
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Betroffene haben das Recht, ihre Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln. 
  • Widerspruchsrecht (Art. 21 DSGVO): Betroffene haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen. 
  • Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung (Art. 7 Abs. 3 DSGVO): Betroffene haben das Recht, ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten jederzeit zu widerrufen. 
  • Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden (sog. Profiling) (Art. 22 DSGVO): Betroffene haben das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung basiert und ihnen gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt. Ausnahmen bestehen im Versicherungswesen. 

Welche Konsequenzen drohen bei Nichtbeachtung des Datenschutzes?

Verstöße gegen den Datenschutz reichen von erheblichen Bußgeldern, die bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes ausmachen können (vgl. Art. 83 Abs. 5 DSGVO) bis hin zu Schadensersatzansprüchen der Betroffenen reichen (vgl. Art 82 Abs. 1 DSGVO). Die genaue Höhe eines Bußgeldes hängt von verschiedenen Faktoren ab, wie zum Beispiel der Art des Verstoßes und der Schwere der Datenschutzverletzung. Gegen Bundesbehörden können Geldbußen nur dann verhängt werden, wenn diese als Wettbewerbsunternehmen wirtschaftlich tätig sind. 

Neben den finanziellen und rechtlichen Folgen gibt es auch potenzielle Schäden für die Reputation eines Unternehmens. In einigen Fällen können Datenschutzverstöße auch strafrechtliche Konsequenzen haben. 

Die Rechtsstellung der Aufsichtsbehörden wurde außerdem gestärkt, sodass sie nicht mehr auf die oft folgenlose Beanstandung beschränkt sind. Aufsichtsbehörden können durch Warnungen, Verwarnungen, Anordnungen und Untersagungen für die Herstellung datenschutzgerechter Zustände sorgen. In einigen Fällen können Datenschutzaufsichtsbehörden Unternehmen die weitere Verarbeitung bestimmter Daten untersagen, bis die Einhaltung der Vorschriften sichergestellt ist. Dies kann die Geschäftstätigkeit beeinträchtigen. 

Können die Pflichten auch ausgelagert werden?

Die Einhaltung der verschiedenen Vorschriften soll sicherstellen, dass der Datenschutz einheitlich hohen Standards unterliegt und Daten nicht missbräuchlich verwendet werden. Für Unternehmen bedeuten die Vorschriften aber vor allem auch einen finanziellen wie personellen Mehraufwand. Allerdings müssen Unternehmen ihren Pflichten nicht zwangsläufig eigenhändig nachkommen.

Eine Auslagerung der Pflichten ist beispielsweise sowohl nach der DSGVO (vgl. Art. 28) als auch im BDSG (vgl. §62) vorgesehen. Bei der Auftragsverarbeitung übernimmt ein externer Dienstleister die Verarbeitung personenbezogener Daten im Auftrag des Unternehmens. Der Auftragsverarbeiter ist dabei an die Weisungen des Unternehmens gebunden und darf die Daten nicht für eigene Zwecke verwenden. Ein Vertrag stellt sicher, dass für ihn die gleichen Verpflichtungen gelten wie für den Verantwortlichen. Die Regelungen folgen dem Kernprinzip, dass trotz der Auslagerung bestimmter Verarbeitungstätigkeiten die Verantwortung für den Datenschutz beim datenverarbeitenden Unternehmen (dem Verantwortlichen) verbleibt. Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter sich an die Datenschutzvorschriften hält und die Sicherheit der Daten gewährleistet ist. 

Wichtig ist, dass nach den grundlegenden Prinzipien der DSGVO die letztliche Verantwortung und Haftung für den Datenschutz bei der jeweils verantwortlichen Organisation verbleibt. Dazu gehört auch die Entscheidungsgewalt für das Treffen von geeigneten Maßnahmen und deren Durchsetzung. 

Angesichts der Komplexität und der ständigen Weiterentwicklung des Datenschutzrechts entscheiden sich immer mehr Unternehmen dafür, ihre Datenschutzaufgaben an spezialisierte Rechtsdienstleister auszulagern. Rechtsdienstleister wie eagle lsp haben umfangreiches Fachwissen und verfügen über Erfahrung in der praktischen Umsetzung des Datenschutzrechts. Dadurch können nicht nur die Risiken von Datenpannen und Rechtsverstößen minimiert, sondern auch interne Ressourcen entlastet werden. Unternehmen können sich auf ihre Kerngeschäfte konzentrieren, während Experten sich um den Datenschutz kümmern. 

Zu unseren Leistungen gehören die Erstellung eines Datenschutzkonzepts, die Erstellung und Prüfung der Datenschutzerklärung, die beratende Begleitung von Datenschutz-Folgenabschätzungen und die Begutachtung komplexer Fragestellungen bezüglich des Datenschutzes. Außerdem stellen wir Ihren externen Datenschutzschutzbeauftragten (DSB). Beispielsweise durch die Auslagerung des Datenschutzbeauftragten (vgl. Art. 37 DSGVO) lagert ein Unternehmen schon des Großteils seiner organisatorischen und administrativen Pflichten aus: Der externe DSB ist dann für die Einhaltung der Datenschutzvorschriften im Unternehmen – insb. Unterrichtung und Beratung der Unternehmensleitung, Überwachung der Einhaltung von datenschutzrechtlichen Vorgaben im Unternehmen, Beratung zu Datenschutz-Folgeabschätzungen (DSFA) nach der DSGVO, Ansprechpartner für und Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für Betroffene – zuständig, sodass sich der Auftraggeber hier um nichts weiter kümmern muss. 

Das klingt interessant? Dann sollten wir sprechen!