Was bedeutet Datenschutz nach DSGVO und BDSG?

Datenschutz (© Marco2811 / Fotolia.com)

Unter Datenschutz wird primär der Schutz personenbezogener Daten vor missbräuchlicher Verwendung und Datenverarbeitung verstanden. Dazu zählen auch der Schutz des Persönlichkeitsrechts und der Privatsphäre sowie das Recht auf informationelle Selbstbestimmung.

Deutsches Datenschutzrecht

Recht auf informationelle Selbstbestimmung

Das Recht auf informationelle Selbstbestimmung beinhaltet, dass jeder grundsätzlich selbst entscheiden kann, wem wann welche seiner personenbezogenen Daten zugänglich gemacht werden und wie diese verwendet werden. Es ist in Deutschland seit dem Volkszählungsurteil durch das Bundesverfassungsgericht [BVerfG] als Ausprägung des allgemeinen Persönlichkeitsrechts und der Menschenwürde und damit als Grundrecht anerkannt (vgl. BVerfG, Urteil vom 15. Dezember 1983, Az. 1 BvR 209, 269, 362, 420, 440 484/83).

Die rechtliche Herleitung erfolgt demnach aus Artikel 2 Absatz 1 Grundgesetz [GG] in Verbindung mit Artikel 1 Absatz 1 GG. Der Schutzbereich dieses Grundrechts ist denkbar weit gefasst und umfasst sämtliche Daten des Einzelnen. In seiner negativen Ausformung umfasst der Schutzbereich auch das Recht auf Nichtwissen.

Einschränkungen des Rechts auf informationelle Selbstbestimmung stehen unter dem Vorbehalt des Gesetzes und bedürfen daher einer gesetzlichen Rechtsgrundlage.Diese bilden die Datenschutzgesetze:

Bundesdatenschutzgesetz (BDSG)

Das Bundesdatenschutzgesetz [BDSG] regelt auf Bundes - Ebene den Umgang mit personenbezogenen Daten und wird durch die Datenschutzgesetze der Länder (Landesdatenschutzgesetze) sowie spezialgesetzlichen Regelungen für bestimmte Bereiche, zum Beispiel das Telekommunikationsgesetz [TKG], ergänzt. Daher gibt es auch einen Bundesdatenschutzbeauftragen, an den sich die Bürger bei Daten - Verstößen wenden können.

Am 30. Juni 2017 wurde vor dem Hintergrund der neuen Datenschutz-Grundverordnung der Europäischen Union [EU] eine Neufassung des Bundesdatenschutzgesetzes beschlossen, die am 25. Mai 2018 gemeinsam mit der Verordnung in Kraft treten wird.

§ 6 BDSG regelt, dass dem Betroffenen gegenüber der datenverarbeitenden öffentlichen oder nicht-öffentlichen Stelle gewisse Rechte zustehen:

• Recht auf Auskunft, ob und welche personenbezogenen Daten bei der Stelle gespeichert sind sowie woher diese Daten stammen und warum sie gespeichert werden;
• Recht auf Berichtigung bei Vorliegen falscher personenbezogener Daten;
• Recht auf Erhebung einer Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde;
• Recht auf Löschung oder Sperrung der personenbezogenen Daten;
• Recht auf Untersagung der Weiterleitung personenbezogener Daten an Dritte.

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten unterliegt nach dem BDSG zudem einem grundsätzlichen Verbot mit Erlaubnisvorbehalt, das heißt der Umgang mit den Daten darf nur erfolgen, wenn es eine gesetzliche Grundlage gibt oder der Betroffene zugestimmt hat (§§ 4 Absatz 1, 4a BDSG). Ein weiterer wichtiger Grundsatz ist das Prinzip der Datensparsamkeit und Datenvermeidung (§ 3a BSDG).

Nach dem BDSG ist ab 20 Mitarbeiter auch ein Datenschutzbeauftragter Pflicht (§ 32 BGSG). Dieser kümmert sich vor allem um die Datenschutzorganisation und deren Einhaltung, die auch die Datensicherheit beinhaltet. 

Datenschutzrecht der EU

Allgemeines

Auch in der Europäischen Union ist der Schutz personenbezogener Daten gemäß Artikel 8 der Charta der Grundrechte der Europäischen Union ein Grundrecht. Artikel 8 Absatz 2 Satz 2 der Grundrechtecharta räumt dem Einzelnen dabei ein Recht auf Auskunft über die ihn betreffenden erhobenen Daten und die Berichtigung der Daten ein. Ferner dürfen die Daten nur mit der Einwilligung des Betroffenen oder aufgrund „einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden“ (Artikel 8 Absatz 2 Satz 1 Grundrechtecharta).

Das Datenschutzrecht der EU basiert zudem auf der Datenschutzrichtlinie (Richtlinie 95/46/EG) sowie der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG). Am 24. Mai 2016 ist die neue Datenschutz-Grundverordnung in Kraft getreten, die ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten der EU gilt und die Datenschutzrichtlinie ersetzt.

DSGVO - Datenschutz-Grundverordnung

Ziel der Datenschutz-Grundverordnung (DSGVO) ist sowohl der Schutz personenbezogener Daten als auch die Gewährleistung des freien Datenverkehrs im Europäischen Binnenmarkt. Die in der Verordnung aufgestellten Regeln betreffen den Umgang mit personenbezogenen Daten durch öffentliche und nicht-öffentliche Stellen. In der Debatte dazu ging vieles um die Informationsfreiheit der Bürger und deren Privatsphäre auf der einen und den Konflikt hinsichtlich der dazu oft notwendigen Preisgabe und Übermittlung von Daten bzw. der Einwilligung für den Zugriff auf die Daten durch Unternehmen auf der anderen Seite. Dies versuchte die DSGVO in Einklang zu bringen.

Personenbezogene Daten sind gemäß Art. 4 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen.“ Diese betreffen daher oft die Privatsphäre. Beispiele für die Identifizierbarkeit einer Person sind laut der Vorschrift die direkte oder indirekte Identifizierbarkeit der betroffenen Person mittels Zuordnung

• zu einer Kennung wie einem Namen,
• zu einer Kennnummer,
• zu Standortdaten,
• zu einer Online-Kennung oder
• zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen psychischen, wirtschaftlichen, kulturellen oder sozialen Identität der betroffenen Person sind.

Ähnlich wie im bisherigen bundesdeutschen Datenschutzrecht dürfen personenbezogene Daten nicht ohne Erlaubnis verarbeitet zu den dafür vorgesehenen Zwecken werden. Diese kann sich gemäß Artikel 6 DSGVO aus den folgenden Umständen ergeben:

• Einwilligung der betroffenen Person.
• Erforderlichkeit für die Durchführung eines Vertrages oder vorvertraglicher Maßnahmen.
• Erforderlichkeit für die Erfüllung einer rechtlichen Verpflichtung.
• Erforderlichkeit zum Schutz lebenswichtiger Interessen.
• Erforderlichkeit zur Wahrnehmung von Aufgaben im öffentlichen Interesse.
• Erforderlichkeit zur Wahrung der berechtigten Interessen des Verarbeitenden oder eines Dritten.

Gegenüber der bisher geltenden rechtlichen Lage enthält die Datenschutz-Grundverordnung unter anderem die folgenden Neuregelungen:

• Art. 5 DSGVO enthält nunmehr explizite Verarbeitungsgrundsätze, darunter Rechtmäßigkeit; Zweckbindung der Verarbeitung; Datenminimierung; Richtigkeit der verarbeiteten Daten; zeitliche Begrenzung der Speicherung sowie Schutz vor unrechtmäßiger Verarbeitung und unbeabsichtigtem Verlust.
• Freier Verkehr personenbezogener Daten: Gemäß Art. 1 Abs. 3 der Verordnung darf der freie Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
• Recht auf Vergessenwerden: Art. 17 DSGVO räumt jeder betroffenen Person ein Recht auf Löschung ein, wenn die Gründe für die Speicherung nicht mehr bestehen. Darüber hinaus legt die Norm der verarbeitenden Person die Pflicht auf, bei Entfallen des Speicherungsgrundes die jeweiligen Daten zu löschen. Hierbei handelt es sich um eine der wesentlichen Neuerungen der Datenschutz-Grundverordnung.
• Anwendung auf öffentliche und nicht-öffentliche Stellen: Dies stellt gegenüber dem Bundesdatenschutzgesetz eine Neuerung dar, da das Bundesdatenschutzgesetz zwischen öffentlichen Stellen und privaten Unternehmen unterscheidet.
• Bußgelder: Die DSGVO hat den möglichen Rahmen der Bußgeldhöhe auf maximal 20 Millionen Euro beziehungsweise maximal 4 % des weltweiten Jahresumsatzes angehoben.
• Öffnungsklauseln: Da EU-Verordnungen in den Mitgliedstaaten unmittelbar geltendes Recht bilden, dürfen die nationalen Gesetzgeber grundsätzlich keine Regelungen erlassen, welche den Datenschutz der Verordnung abschwächen oder verstärken. Über die zahlreichen Öffnungsklauseln der Datenschutz-Grundverordnung werden den Mitgliedstaaten jedoch bestimmte Regelungsbereiche überlassen, in denen sie die Datenschutzregelungen erweitern oder präzisieren können, solange dadurch nicht die EU-weite Harmonisierung beeinträchtigt wird.
• Marktortprinzip: Auch nichteuropäische Unternehmen unterliegen dem Datenschutzrecht der EU, soweit sie auf dem europäischen Markt wirtschaftlich tätig sind.
• Transparenz: Mit diesem Grundsatz der Datenverarbeitung gehen vor allem Rechte der betroffenen Person ein, etwa ein Recht auf Auskunft (Artikel 15 DSGVO) und ein Recht auf Berichtigung (Artikel 16 DSGVO).

Datenschutz - FAQ

Was ist Datenschutz?

Datenschutz bezieht sich auf den Schutz personenbezogener Daten vor unerlaubter Verarbeitung und Missbrauch. Der Schutz der Privatsphäre ist ein grundlegendes Recht und hat in der heutigen digitalen Welt eine immer größere Bedeutung erlangt.

Welche personenbezogenen Daten werden geschützt?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, IP-Adresse, biometrische Daten, Gesundheitsdaten und Bankdaten.

Welche Gesetze regeln den Datenschutz in Deutschland?

In Deutschland gibt es mehrere Gesetze, die den Datenschutz regeln, darunter:

• Die Datenschutz-Grundverordnung (DSGVO): Die DSGVO ist eine EU-weite Verordnung, die den Schutz personenbezogener Daten regelt.
• Das Bundesdatenschutzgesetz (BDSG): Das BDSG ergänzt die Vorschriften der DSGVO und regelt den Datenschutz in Deutschland.
• Das Telemediengesetz (TMG): Das TMG regelt den Datenschutz im Bereich der Telemedien.

Welche Rechte haben betroffene Personen?

Betroffene Personen haben verschiedene Rechte im Hinblick auf den Schutz ihrer personenbezogenen Daten. Dazu gehören:

• Auskunftsrecht: Betroffene Personen haben das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten.
• Berichtigungsrecht: Betroffene Personen haben das Recht, unrichtige personenbezogene Daten berichtigen zu lassen.
• Löschungsrecht: Betroffene Personen haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen.
• Widerspruchsrecht: Betroffene Personen haben das Recht, der Verarbeitung ihrer personenbezogenen Daten aus bestimmten Gründen zu widersprechen.
• Datenschutzrechtliche Beschwerderecht: Betroffene Personen haben das Recht, bei der Datenschutz-Aufsichtsbehörde eine Beschwerde einzureichen.

Wer ist für die Einhaltung des Datenschutzes verantwortlich?

Verantwortlich für die Einhaltung des Datenschutzes ist das Unternehmen oder die Organisation, das die personenbezogenen Daten verarbeitet. Das Unternehmen oder die Organisation muss sicherstellen, dass die personenbezogenen Daten rechtmäßig und transparent verarbeitet werden und die Datenschutzrechte der betroffenen Personen respektiert werden.

Welche Rechte haben betroffene Personen im Zusammenhang mit Datenschutz?

Betroffene Personen haben das Recht, über die Verarbeitung ihrer personenbezogenen Daten informiert zu werden, Einsicht in ihre Daten zu erhalten und gegebenenfalls die Löschung oder Berichtigung ihrer Daten zu verlangen. Sie haben auch das Recht, der Verarbeitung ihrer Daten zu widersprechen oder ihre Zustimmung zur Verarbeitung zu widerrufen. Darüber hinaus haben betroffene Personen das Recht auf Datenübertragbarkeit und können Beschwerden bei der zuständigen Aufsichtsbehörde einreichen, wenn sie der Meinung sind, dass ihre Datenschutzrechte verletzt wurden.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Bankdaten und IP-Adresse. Auch sensible Daten wie Gesundheitsdaten oder religiöse Überzeugungen fallen unter den Schutz personenbezogener Daten.

Was ist eine Datenschutzerklärung?

Eine Datenschutzerklärung ist eine Erklärung, in der ein Unternehmen oder eine Organisation erklärt, wie es personenbezogene Daten sammelt, verarbeitet und speichert. In der Datenschutzerklärung müssen die betroffenen Personen über die Zwecke der Datenverarbeitung, die Kategorien personenbezogener Daten, die Empfänger der Daten und die Dauer der Datenspeicherung informiert werden. Die Datenschutzerklärung muss auch über die Rechte der betroffenen Personen informieren und Angaben zum Datenschutzbeauftragten enthalten.

Was ist die Datenschutz-Grundverordnung (DSGVO)?

Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz, das im Mai 2018 in Kraft getreten ist und den Schutz personenbezogener Daten innerhalb der Europäischen Union regelt. Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob sich das Unternehmen innerhalb oder außerhalb der EU befindet. Die DSGVO enthält strenge Anforderungen an die Verarbeitung personenbezogener Daten und sieht hohe Geldstrafen vor, wenn diese Anforderungen nicht eingehalten werden.

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter ist eine Person, die von einem Unternehmen oder einer Organisation ernannt wird, um die Einhaltung des Datenschutzes zu überwachen. Der Datenschutzbeauftragte ist für die Schulung von Mitarbeitern, die Überwachung der Einhaltung von Datenschutzrichtlinien und die Zusammenarbeit mit den Aufsichtsbehörden verantwortlich. Unternehmen und Organisationen, die personenbezogene Daten in großem Umfang verarbeiten, sind gesetzlich verpflichtet, einen Datenschutzbeauftragten zu ernennen.