Was Sie zur Datenschutz-Grundverordnung (DSGVO) wissen sollten

Allgemein

Datenklau, Hacker-Angriffe, Datenmissbrauch – Dass persönliche Daten einen hohen emotionalen und ebenfalls ökonomischen Wert haben, wird durch eben solche Skandale immer wieder deutlich. Auch führt dies vermehrt dazu, dass Menschen vorsichtiger mit ihren Daten umgehen. Trotzdem ist das tagtägliche Herausgeben der eigenen Daten sowie das Verarbeiten personenbezogener Daten Anderer – egal ob Patientendaten, Kundendaten, User-Daten usw. – fast unvermeidbar. Seit dem 25. Mai 2018 gilt nun die Datenschutz-Grundverordnung (DSGVO), die seither durch ihre Komplexität für viel Verunsicherung und Hilflosigkeit sorgt. Daher möchten wir nachfolgend einen Überblick über die zentralen Größen der DSGVO geben und somit ein generelles Verständnis schaffen.

DSGVO - Gegenstand und Hintergrund

Bei der Datenschutz-Grundverordnung (DSGVO) handelt es sich um eine Verordnung der Europäischen Union, die die Verarbeitung personenbezogener Daten regelt. Bis zum In-Kraft-Treten der Verordnung galten in Bezug auf den Datenschutz in jedem EU-Land verschiedene Standards. Durch die DSGVO herrscht jetzt ein vereinheitlichtes Recht.

Die DSGVO gewährleistet nun auch auf europäischer Ebene, dass eine natürliche Person, also jeder Mensch, ein Recht auf den Schutz seiner persönlichen Daten hat. Dadurch verfolgt die Verordnung das Ziel, die Grundrechte und Grundfreiheiten der betroffenen Person zu schützen.

Irrtümlicherweise wurde zunächst oft angenommen, dass die DSGVO nur auf sehr große Unternehmen Einfluss habe. Tatsächlich aber gilt die Verordnung für jedes Unternehmen und alle öffentlichen Stellen, die Daten verarbeiten. Dazu zählt also jeder, auch ein Ein-Mann-Betrieb, der eine wirtschaftliche Tätigkeit ausübt. Sogar außereuropäische Unternehmen müssen sich an die Verordnung halten, wenn sie Daten von Personen aus der EU verarbeiten. Gleichfalls garantiert die DSGVO aber auch einen freien Datenverkehr innerhalb des Europäischen Binnenmarktes.

Was ist das Ziel der DSGVO?

Das Ziel der DSGVO ist es, dem Nutzer die Datenhoheit zurückzugeben und Transparenz zu schaffen. Er soll informierte Entscheidungen darüber treffen können, was mit seinen Daten geschieht.

Checkliste zur DSGVO

Mit der folgenden Checkliste haben wir Ihnen die wichtigsten Maßnahmen und Möglichkeiten zur Umsetzung der DSGVO zusammengestellt.
Jetzt herunterladen und auf der sicheren Seite sein.

Checkliste Datenschutz

Personenbezogene Daten

Die Begriffe Datenschutz und personenbezogene Daten gehören untrennbar zusammen. Doch obwohl es sich bei dem Begriff der personenbezogenen Daten um eines der zentralen Merkmale der DSGVO handelt, ist nach wie vor für viele undurchsichtig, was damit gemeint ist.

Was sind personenbezogene Daten?

Im Prinzip sind personenbezogene Daten genau das, was zwischen der technischen Datenverarbeitung und einer tatsächlichen natürlichen Person steht. Es sind also all jene Informationen, die einen ganz bestimmten Menschen identifizierbar machen. Das ist er immer dann, wenn er direkt oder indirekt und insbesondere anhand bestimmter Besonderheiten oder Attribute erkannt werden kann. Zu solchen personenbezogenen Daten können beispielsweise zählen:

Name, Alter, Geburtsdatum
Familienstand
Anschrift, Telefonnummer, E-Mail Adresse
IP-Adresse
Kontonummer
KFZ-Kennzeichen
Personalausweisnummer, Sozialversicherungsnummer
Standortdaten
Online-Kennung
Vorstrafen
physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale
biometrische Daten
Gesundheitsdaten
subjektive Informationen, wie Meinungen oder Beurteilungen von und über eine Person
Wertende Informationen, zum Beispiel eine Beurteilung der Kreditwürdigkeit

Es handelt sich also um all jene Informationen, die sofort oder nach und nach auf eine bestimmte Person schließen lassen. Dabei ist egal, aus welchem Lebensbereich diese Daten stammen. Die DSGVO beschränkt sich also nicht nur auf die Intims-, Privats- oder Familiensphäre, sondern umfasst sämtliche Informationen über die sozialen, rechtlichen, wirtschaftlichen und sonstigen gesellschaftlichen Merkmale eines Individuums.

Darüber hinaus greift die DSGVO auch bei der Verarbeitung und Weiterverarbeitung von personenbezogenen Daten, die die entsprechende Person eigenständig veröffentlicht hat. Darunter fallen beispielsweise Angaben, Äußerungen, Handlungen etc., die in Sozialen Netzwerken oder auf allgemein zugänglichen Plattformen getätigt wurden. Ebenso das Filmen von natürlichen Personen mittels Videoüberwachung im öffentlichen Raum fällt unter den Schutz der DSGVO, wenn die entsprechenden Personen durch bestimmte (s.o.) Informationen erkennbar sind. Denn auch in der Öffentlichkeit hat jeder Mensch ein Recht auf den Schutz seiner Privatsphäre.

Was sind keine personenbezogenen Daten?

Es gibt immer noch Daten, die keiner identifizierbaren natürlichen Person zugeordnet werden können. Solche Informationen sind dementsprechend anonym. Dies schließt auch all jene Daten mit ein, die so anonymisiert worden sind, dass sie nicht oder nicht mehr in Verbindung mit einer bestimmten Person gebracht werden können. Demzufolge sind anonyme Daten also das Gegenstück zu personenbezogenen Daten. Mögliche Beispiele sind hier etwa:

Angaben zu Betriebsvermögen
Statistische Erhebungen
Einwohnerzahl eines Landkreises/ einer Stadt
Unternehmensdaten wie beispielsweise Umsätze

Jeder Mensch hat das Recht auf den Schutz seiner Daten

Was ist eigentlich mit der Verarbeitung von Daten gemeint?

Unter den Schutz der DSGVO fallen all jene personenbezogenen Informationen, die verarbeitet werden können. Der Begriff Verarbeitung bezeichnet einen Vorgang, der mit Hilfe von automatisierten oder nicht-automatisierten Verfahren ausgeführt wird, um personenbezogene Daten zu:

verändern
erheben
erfassen
organisieren
speichern

vernichten
verbreiten
vergleichen
löschen

Grundsätze der DSGVO

Mit der DSGVO wurden verschiedene Grundprinzipien für die Datenverarbeitung festgelegt, die in Art. 5 der DSGVO festgeschrieben sind. Diese sieben Grundsätze des DSGVO regeln, wie die Speicherung und Verarbeitung von Daten rechtskonform stattfinden kann.

Rechtmäßigkeit der Verarbeitung

Jede Datenverarbeitung benötigt eine Rechtsgrundlage, ansonsten ist sie verboten. Das nennt man auch das Verbot mit Erlaubnisvorbehalt. Die wichtigsten Rechtsgrundlagen ergeben sich aus Art. 6 DSGVO.
Zweckbindung

Der Zweck für die Erhebung der Daten muss bei der Erhebung festgelegt und dem Betroffenen mitgeteilt werden. Er muss eindeutig und legitim sein. Darüber hinaus dürfen die Daten nicht verwendet werden. Über eine nachträgliche Änderung muss der Betroffene informiert werden und erhält mit der Änderung gegebenenfalls ein Widerspruchsrecht.
Datenminimierung

Es sollen nur die Daten erhoben werden, die zur Erreichung des Zweckes ihrer Erhebung auch tatsächlich notwendig sind. Für eine Reservierung im Restaurant muss also nicht das Geburtsdatum oder die Religionszugehörigkeit abgefragt werden.
Richtigkeit

Daten müssen sachlich korrekt und auf dem neuesten Stand sein. Fehlerhafte Daten müssen unverzüglich korrigiert oder gelöscht werden.
Speicherbegrenzung

Daten müssen gelöscht werden, wenn sie für den Zweck der Verarbeitung nicht mehr benötigt werden, das heißt, wenn dieser erreicht ist.
Integrität und Vertraulichkeit

Die erhobenen Daten müssen gegen unbefugte oder unberechtigte Verarbeitung, vor allem gegen Weitergabe an unberechtigte Dritte oder unbeabsichtigtem Verlust geschützt werden. Dafür müssen entsprechende technische und organisatorische Maßnahmen ergriffen werden.
Rechenschaftspflicht

Unternehmen sind gegenüber den Aufsichtsbehörden in der Nachweispflicht. Verstöße gegen die DSGVO, zum Beispiel bei Erhebung ohne Rechtsgrundlage, werden mit Geldbußen bis 20 Millionen Euro oder 4 % des weltweiten Konzernumsatzes des vergangenen Geschäftsjahres belegt.

Betroffenenrechte

Diese Grundprinzipien werden durch umfassende Betroffenenrechte flankiert, die die Ausübung der Datenhoheit gewährleisten sollen: Diese finden sich in Art. 12 ff DSGVO:

Das Wichtigste stellt das Informationsrecht des Betroffenen (Art. 13 und 14 DSGVO) dar, der vor der erstmaligen Erhebung bereits umfassend zu informieren und auf seine Rechte hinzuweisen ist. Dabei muss das Unternehmen im Streitfall nachweisen, dass es diese Hinweise erteilt hat.
Auskunftsrecht (Art. 15 DSGVO): Das Auskunftsrecht knüpft seinerseits an das Informationsrecht an. Der Betroffene kann mehrmals Auskunft über Art und Umfang der verarbeiteten personenbezogenen Daten verlangen.
Recht auf Berichtigung (Art. 16 DSGVO): Der Betroffene hat ein Recht, unrichtige personenbezogene Daten zu berichtigen, wobei mit Blick auf den jeweiligen Zweck der Datenerhebung auch teilweise längere Zeitspannen bis zur Berichtigung vergehen dürfen.
Recht auf Datenlöschung – Recht auf Vergessenwerden (Art. 17 DSGVO): Hierbei dürfte es sich um das prominenteste Beispiel handeln, das ja auch medial einige Aufmerksamkeit erlangt hat. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen. Die Anwendbarkeit wurde wiederum an verschiedene Voraussetzungen geknüpft, die vor ausufernden Löschbegehren schützen sollen und auch der Tatsache Rechnung tragen, dass viele Daten freiwillig verfügbar gemacht wurden.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Der Betroffene kann verlangen, dass seine personenbezogenen Daten in einem geringeren Umfang verarbeitet werden. Auch die Geltendmachung dieses Anspruchs ist an verschiedene Voraussetzungen geknüpft.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Bei dieser Regelung handelt es sich um ein völlig neues Instrument, wonach der Betroffene einen Anspruch hat, seinen gesamten Datensatz in einem maschinenlesbaren Format zu erhalten, um diesen in eine andere Datenbank einzuspeisen. Hintergrund war der Gedanke, die Gründung und Erleichterung des Umzuges auf ein „europäisches Facebook“ zu ermöglichen. Es ist auch mehrere Jahre nach Inkrafttreten der DSGVO unklar, wie genau diese Regelung funktionieren soll, da hierfür zunächst ein einheitlicher Formatstandard vereinbart werden müsste.

Für die umfassenden Hinweis-, Dokumentations- und Rechenschaftspflichten trägt regelmäßig der Verarbeiter, d.h. das Unternehmen die Verantwortung. Die rechtskonforme Erfüllung dieser Pflichten kann erhebliche Komplexität erreichen, vor allem dann, wenn es sich um besondere Arten personenbezogener Daten, wie z.B. Gesundheitsdaten handelt. Für die Verarbeitung ist dann eine sog. Datenschutzfolgeabschätzung vorzunehmen, eine umfangreiche Prüfung und Abwägung der Risiken gegenüber dem Zweck der Datenverarbeitung.

Gerade im Bereich des Marketings werden außerdem häufig Drittanbietertools für verschiedene Analyse- und Werbezwecke eingesetzt. Hier kann der Abschluss eines sogenannten Auftragsverarbeitungsvertrages gem. Art. 28 DSGVO erforderlich sein. Das gilt zum Beispiel auch dann, wenn ein Unternehmen Altakten, die personenbezogene Daten enthalten, von einem externen Entsorgungsdienstleister abholen und vernichten lässt. Auch bei der Auslagerung von personenbezogenen Daten in Cloudsysteme oder der Nutzung externer Server ist so ein Vertrag erforderlich, indem der Auftragnehmer und der Auftraggeber Zweck, Umfang und Dauer der Auftragsverarbeitung festlegen, und der Auftragnehmer darüber hinaus angibt, welche technischen und organisatorischen Maßnahmen (TOMs) er einsetzt, um die Sicherheit und Verfügbarkeit der Daten zu gewährleisten. Je komplexer die Datenverarbeitung stattfindet, umso wichtiger werden AV-Verträge. Um die Erstellung dieser Auftragsverarbeitungsunterlagen zu begleiten werden interne oder externe Datenschutzbeauftragte eingesetzt.

Wer braucht einen Datenschutzbeauftragten?

Der Datenschutzbeauftragte ist ein wichtiger Bestandteil der DSGVO. Es handelt sich dabei um eine Person, die in oder für ein Unternehmen darauf achtet, dass der Datenschutz im Sinne der Verordnung und der weiteren Datenschutzgesetze, wie beispielsweise dem deutschen Bundesdatenschutzgesetz, eingehalten wird. Doch seit In-Kraft-Treten der DSGVO gibt es bezüglich dieser Thematik insbesondere eine Frage: Wer braucht einen Datenschutzbeauftragten?

Um dies zu beantworten können Sie sich zwei einfache Frage stellen: Werden in Ihrem Unternehmen auf automatisierte oder nicht-automatisierte Art und Weise personenbezogene Daten verarbeitet?

Automatisiert bedeutet hierbei, dass für die Verarbeitung personenbezogener Daten technische Geräte, wie etwa ein Computer eingesetzt werden. Diese Frage muss hier also bereits mit „Ja“ beantwortet werden, wenn in Ihrem Unternehmen beispielsweise E-Mails versendet werden.
Nicht-automatisiert bedeutet somit im Umkehrschluss, dass keine elektronische Datenverarbeitung stattfindet. Ein Beispiel hierfür wären etwa handgeschriebene Karteikarten, die nach einem bestimmten System geordnet sind. Dies ist heute jedoch nur noch selten der Fall.

Weiterhin ist ausschlaggebend, ob es sich um eine öffentliche Stelle oder ein Unternehmen/ einen Verein handelt.

Eine öffentliche Stelle muss in jedem Fall einen Datenschutzbeauftragten benennen.
Ein Unternehmen oder Verein wiederum erst dann, wenn mehr als 9 Mitarbeiter personenbezogene Daten verarbeiten.

Bei der Benennung eines Datenschutzbeauftragten gibt es wiederum zwei Optionen:

Einerseits ist es möglich, einen entsprechend geschulten internen Mitarbeiter mit dem Datenschutz zu beauftragen. Hierbei ist zu beachten, dass dieser dann direkt der Geschäftsführung untergeordnet ist und für den Zeitraum dieser Tätigkeit besonderen Kündigungsschutz genießt. Wird er von seiner Aufgabe als Datenschutzbeauftragter entbunden, so erweitert sich dieser Kündigungsschutz noch um ein weiteres Jahr.
Andererseits gibt es die Möglichkeit, einen externen Datenschutzbeauftragten zu engagieren. Spezialisierte Dienstleister sorgen mit stets aktuellem und abrufbarem Fachwissen dafür, dass es sich lohnt, auf einen externen Spezialisten zu setzen. So können interne Ressourcen für das relevante Kerngeschäft genutzt werden.

Mit welcher Strafe ist bei einem Verstoß gegen die DSGVO zu rechnen?

Bei einem Verstoß gegen die DSGVO muss nicht nur mit Abmahnungen, sondern auch mit hohen Bußgeldern gerechnet werden. Die Höhe entsprechender Strafzahlungen kann auf bis zu 20 Millionen Euro oder auf bis zu vier Prozent des weltweiten Jahresumsatzes des sanktionierten Unternehmens festgelegt werden. Allerdings sind die Bußgelder in der großen Mehrheit als verhältnismäßig zu bezeichnen, fügen also dem Unternehmen keinen nachhaltigen Schaden zu. Entsprechende Bußgelder wurden bereits seit dem 25. Mai 2018 gegen kleinere und größere Unternehmen verhängt.

Kritik an der DSGVO

Insbesondere von Wirtschaftsverbänden gibt es immer wieder Kritik an den straffen Vorgaben der DSGVO. Die anfangs befürchtete Abmahnwelle von Datenschutzverstößen blieb zwar aus, trotzdem sind erste Abmahnungen bekannt geworden, von denen ein Großteil in das gerichtliche Verfahren gegangen ist. Der breite Regelungsansatz, den die DSGVO verfolgt, führte zu einer Vielzahl von auslegungsbedürftigen Regelungsbegriffen, die in den verschiedenen Mitgliedsstaaten aber auch von den verschiedenen Aufsichtsbehörden unterschiedlich interpretiert werden. So breit die DSGVO aufgestellt ist – sie regelt dennoch nicht alles. Teilweise hat auch der Gesetzgeber die Anpassung bereits bestehender Gesetze nicht vorgenommen, sodass Streit über die Anwendbarkeit herrscht, und Unklarheit bei den Unternehmen. Denn dies betrifft teilweise technische Möglichkeiten, deren Anwendbarkeit im internationalen Wettbewerb von großer Bedeutung sein kann, wie zum Beispiel die Auswertung von Nutzerinteraktionen auf einer Webseite zur Optimierung des Angebotes.

Kurz und knapp

Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO). Diese schafft eine EU-weite rechtliche Vereinheitlichung in Bezug auf den Umgang und die Verarbeitung von personenbezogenen Daten. Dabei meint der Begriff „personenbezogene Daten“ alle Besonderheiten und Attribute, die auf eine bestimmte Person schließen lassen, wie beispielsweise ihr Name oder ihre E-Mail Adresse.

Um diese Daten zu schützen braucht jede öffentliche Stelle und fast jedes Unternehmen und jeder Verein seit Mai 2018 einen Datenschutzbeauftragten. Dabei kann es sich entweder um einen internen geschulten Mitarbeiter oder einen externen Spezialisten handeln. Ein entsprechender Datenschutzbeauftragter kontrolliert dann, ob der Datenschutz im Sinne der DSGVO eingehalten wird. Bei einem Verstoß gegen die Verordnung kann es zu Abmahnungen und hohen Bußgeldern kommen. Ausführlichere Informationen zu diesem Thema und eine Erklärung aller zentralen Begriffe finden Sie in diesem Blogbeitrag.