Das Datenschutzrecht in Deutschland ist ein komplexes Rechtsgebiet, das sowohl nationale als auch europäische Regulierungen umfasst. Seit dem 25. Mai 2018 ist die DSGVO das zentrale Datenschutzgesetz in der gesamten Europäischen Union, einschließlich Deutschland. Als Verordnung der EU entfaltet sie unmittelbare Rechtswirkung im europäischen Raum. Die DSGVO dient dazu, den durch die Grundrechtecharta der Europäischen Union (EU) gewährleisteten Schutz personenbezogener Daten umzusetzen (Art. 8 EU-Grundrechtecharta), welcher sich auch im Grundgesetz im Recht auf informelle Selbstbestimmung (Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG) wiederfindet.
Die DSGVO wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze ergänzt. Das BDSG regelt den Datenschutz für Bereiche, die nicht von der DSGVO erfasst sind und die spezifischen Ausnahmen, die die DSGVO den Mitgliedstaaten überlässt. Gleichzeitig darf das BDSG keine der DSGVO widersprechenden Regelungen enthalten. Diese hat im Zweifel als EU-Verordnung Vorrang vor dem nationalen Recht. Für einige Bereiche greifen weitere Bestimmungen wie z. B. im Gesundheitsdatenschutz, wenn es um die Verarbeitung von (besonders sensiblen) Patientendaten im Gesundheitswesen geht, oder im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das spezifische Aspekte des Online-Datenschutzes regelt.
Durch die fortlaufende Digitalisierung wird der Schutz persönlicher Daten immer wichtiger. Einen starken Rahmen hierfür bilden die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sowie in Ergänzung das nationale Bundesdatenschutzgesetz (BDSG). Die DSGVO harmonisiert das Datenschutzrechts im europäischen Raum und ersetzt damit viele nationale Regelwerke, bzw. gleicht diese aneinander an. Ziel ist neben der Schaffung eines einheitlichen, transparenten Regelwerks, die Stärkung der Rechte der individuell Betroffenen, wenn mit ihren personenbezogenen Daten gearbeitet wird. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 DSGVO).
Bei der DSGVO handelt es sich um ein Verbotsgesetz mit Erlaubnisvorbehalt. Das bedeutet, dass das Verarbeiten personenbezogener Daten grundsätzlich verboten ist und es einer ausdrücklichen Erlaubnisnorm bedarf (vgl. Art. 6 Abs. 1 DSGVO). Bei diesen Normen handelt es sich vorwiegend um den Tatbestand der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder das Vorliegen eines gesetzlichen Erfordernisses wie etwa die Erfüllung eines Vertrages oder einer anderen rechtlichen Verpflichtung. Nur wenn dies vorliegt – was im Geschäftsverkehr jedoch regelmäßig der Fall ist – dürfen also diese Daten überhaupt verarbeitet werden.
Weiterhin werden die Prinzipien der Datenverarbeitung (Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht) etabliert, an die sich alle Akteure zu halten haben.
Außerdem werden die Rechte der betroffenen Personen gestärkt, indem ein Katalog aus Betroffenenrechten eingeführt wird: Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen Datenverarbeitung.
Generell gilt, dass jede Einrichtung oder Person, die personenbezogene Daten verarbeitet, unter das Datenschutzgesetz fallen kann und entsprechende Verpflichtungen zu erfüllen hat. „Verarbeitung“ meint hier „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ (Art. 4 Nr. 2 DSGVO), ist also sehr weit gefasst.
Unternehmen und Organisationen jeder Größe, die personenbezogene Daten verarbeiten – einschließlich Einzelunternehmer und Freiberufler – fallen darunter. Ebenso sind öffentliche Stellen und Institutionen Verpflichtete mit Ausnahme bestimmter Sicherheits- und Justizbehörden. Das Datenschutzrecht schützt Individuen vor dem Missbrauch ihrer persönlichen Daten, daher sind auch sie Adressaten des Gesetzes. Den Bürgern stehen in ihrer Rolle als Dateninhaber bestimmte sog. „Betroffenenrechte“ zu, die sie gegenüber den datenverarbeitenden Akteuren ausüben können.
Vom Versandhändler, über Betreiber von Apps und anderen Online-Diensten bis hin zu Krankenhäusern und den meisten Behörden, sie alle sind den Datenschutzbestimmungen der DSGVO unterworfen.
Die Datenschutz-Grundverordnung (DSGVO) ist nicht anzuwenden in folgenden Fällen:
Diese Ausnahmen sind in den Artikeln 2 und 23 der DSGVO sowie in spezifischen nationalen Regelungen beschrieben.
Unternehmen und öffentliche Stellen, die personenbezogene Daten verarbeiten, unterliegen nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) in Deutschland diverser Pflichten. Sie lassen sich in organisatorische, technische und rechtliche Maßnahmen unterteilen.
Die wichtigsten Pflichten aus der DSGVO umfassen zusammengefasst:
Das BDSG enthält ergänzende Vorschriften zu den DSGVO-Pflichten, insbesondere für die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes und für die Verarbeitung zu Beschäftigungszwecken. Es regelt zudem spezifische Aspekte wie die Bestellung von Datenschutzbeauftragten in bestimmten Fällen und bietet Rahmenvorschriften für die Videoüberwachung und den Datenschutz im Rahmen der betrieblichen Mitbestimmung.
Die Betroffenenrechte beziehen sich auf die Rechte von Personen, deren personenbezogene Daten erhoben und verarbeitet werden. Sie sollen sicherstellen, dass Individuen die Kontrolle über ihre Daten behalten und ihre Privatsphäre geschützt wird. Um diese Rechte ausüben zu können, besteht seitens der Verpflichteten eine Informationspflicht bei Erhebung von personenbezogenen Daten gegenüber den Betroffenen (vgl. Art. 13 DSGVO). Die wichtigsten Rechte der betroffenen Personen lauten:
Verstöße gegen den Datenschutz reichen von erheblichen Bußgeldern, die bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes ausmachen können (vgl. Art. 83 Abs. 5 DSGVO) bis hin zu Schadensersatzansprüchen der Betroffenen reichen (vgl. Art 82 Abs. 1 DSGVO). Die genaue Höhe eines Bußgeldes hängt von verschiedenen Faktoren ab, wie zum Beispiel der Art des Verstoßes und der Schwere der Datenschutzverletzung. Gegen Bundesbehörden können Geldbußen nur dann verhängt werden, wenn diese als Wettbewerbsunternehmen wirtschaftlich tätig sind.
Neben den finanziellen und rechtlichen Folgen gibt es auch potenzielle Schäden für die Reputation eines Unternehmens. In einigen Fällen können Datenschutzverstöße auch strafrechtliche Konsequenzen haben.
Die Rechtsstellung der Aufsichtsbehörden wurde außerdem gestärkt, sodass sie nicht mehr auf die oft folgenlose Beanstandung beschränkt sind. Aufsichtsbehörden können durch Warnungen, Verwarnungen, Anordnungen und Untersagungen für die Herstellung datenschutzgerechter Zustände sorgen. In einigen Fällen können Datenschutzaufsichtsbehörden Unternehmen die weitere Verarbeitung bestimmter Daten untersagen, bis die Einhaltung der Vorschriften sichergestellt ist. Dies kann die Geschäftstätigkeit beeinträchtigen.
Die Einhaltung der verschiedenen Vorschriften soll sicherstellen, dass der Datenschutz einheitlich hohen Standards unterliegt und Daten nicht missbräuchlich verwendet werden. Für Unternehmen bedeuten die Vorschriften aber vor allem auch einen finanziellen wie personellen Mehraufwand. Allerdings müssen Unternehmen ihren Pflichten nicht zwangsläufig eigenhändig nachkommen.
Eine Auslagerung der Pflichten ist beispielsweise sowohl nach der DSGVO (vgl. Art. 28) als auch im BDSG (vgl. §62) vorgesehen. Bei der Auftragsverarbeitung übernimmt ein externer Dienstleister die Verarbeitung personenbezogener Daten im Auftrag des Unternehmens. Der Auftragsverarbeiter ist dabei an die Weisungen des Unternehmens gebunden und darf die Daten nicht für eigene Zwecke verwenden. Ein Vertrag stellt sicher, dass für ihn die gleichen Verpflichtungen gelten wie für den Verantwortlichen. Die Regelungen folgen dem Kernprinzip, dass trotz der Auslagerung bestimmter Verarbeitungstätigkeiten die Verantwortung für den Datenschutz beim datenverarbeitenden Unternehmen (dem Verantwortlichen) verbleibt. Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter sich an die Datenschutzvorschriften hält und die Sicherheit der Daten gewährleistet ist.
Wichtig ist, dass nach den grundlegenden Prinzipien der DSGVO die letztliche Verantwortung und Haftung für den Datenschutz bei der jeweils verantwortlichen Organisation verbleibt. Dazu gehört auch die Entscheidungsgewalt für das Treffen von geeigneten Maßnahmen und deren Durchsetzung.
Angesichts der Komplexität und der ständigen Weiterentwicklung des Datenschutzrechts entscheiden sich immer mehr Unternehmen dafür, ihre Datenschutzaufgaben an spezialisierte Rechtsdienstleister auszulagern. Rechtsdienstleister wie eagle lsp haben umfangreiches Fachwissen und verfügen über Erfahrung in der praktischen Umsetzung des Datenschutzrechts. Dadurch können nicht nur die Risiken von Datenpannen und Rechtsverstößen minimiert, sondern auch interne Ressourcen entlastet werden. Unternehmen können sich auf ihre Kerngeschäfte konzentrieren, während Experten sich um den Datenschutz kümmern.
Zu unseren Leistungen gehören die Erstellung eines Datenschutzkonzepts, die Erstellung und Prüfung der Datenschutzerklärung, die beratende Begleitung von Datenschutz-Folgenabschätzungen und die Begutachtung komplexer Fragestellungen bezüglich des Datenschutzes. Außerdem stellen wir Ihren externen Datenschutzschutzbeauftragten (DSB). Beispielsweise durch die Auslagerung des Datenschutzbeauftragten (vgl. Art. 37 DSGVO) lagert ein Unternehmen schon des Großteils seiner organisatorischen und administrativen Pflichten aus: Der externe DSB ist dann für die Einhaltung der Datenschutzvorschriften im Unternehmen – insb. Unterrichtung und Beratung der Unternehmensleitung, Überwachung der Einhaltung von datenschutzrechtlichen Vorgaben im Unternehmen, Beratung zu Datenschutz-Folgeabschätzungen (DSFA) nach der DSGVO, Ansprechpartner für und Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für Betroffene – zuständig, sodass sich der Auftraggeber hier um nichts weiter kümmern muss.
Das klingt interessant? Dann sollten wir sprechen!