Datenschutzrecht
Datenschutzrecht
04. April 2022
Spätestens seitdem am 25.05.2018 die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates“, genannt Datenschutzgrundverordnung (DSGVO), in Kraft getreten ist, das E-Mail-Postfach mit Zustimmungsanfragen zu den neuen Datenschutzregelungen überquoll und Unternehmen plötzlich verstärkt in die Pflicht genommen wurden, kommt am „Datenschutz“ niemand mehr vorbei.
Vermutlich ist es für viele Internetnutzer:innen* jedoch inzwischen zu einem Reflex geworden, lästige Cookie-Banner, die beim Öffnen einer Internetseite aufpoppen, mit einem Mausklick wegzuklicken und auch die inzwischen auf beinahe jeder Webseite vorhandene Datenschutzerklärung wird wohl von den Wenigsten aufmerksam gelesen. Auch „offline“ wird der Info-Zetteln zum Datenschutz, etwa wenn er im Anhang zu Schreiben mitgeschickt wird oder am Eingang von Veranstaltungen ausliegt, eher beiläufig abgenickt.
Aufgrund der oft lästigen Umstände mag dabei in Vergessenheit geraten, was sich eigentlich hinter den Vorgaben zum Datenschutz versteckt: der Schutz der Daten und die Aufklärung der Dateninhaber über ihre Rechte. Denn die Möglichkeiten des Kontrollverlustes über die eigenen Daten ist im Rahmen der Digitalisierung rasant gestiegen.
Rechtliche Grundlagen
Das Datenschutzrecht ist Ausfluss des allgemeinen Persönlichkeitsrechts, welches seine Rechtsgrundlage in Art. 2 Abs. 2, Art. 1 Abs. 1 Grundgesetz findet. Auf europäischer Ebene wird der Schutz der personenbezogenen Daten durch Art. 8 der EU-Grundrechtecharta sichergestellt. Ein wichtiger Teil des Datenschutzrechts leitet sich aus dem Recht auf informationelle Selbstbestimmung ab (einer Verbindung des allgemeinen Persönlichkeitsrechts mit dem Schutz der eigenen Privatsphäre). Nach diesem Recht soll jede Person selbst die Befugnis haben, über die Verwendung und die Preisgabe eigener personenbezogener Daten zu bestimmen. Der Grundsatz der informationellen Selbstbestimmung wurde durch den deutschen Gesetzgeber im Bundesdatenschutzgesetz (BDSG) festgehalten. Ziel des Gesetzes ist es, einen Einklang zwischen dem Umgang mit personenbezogenen Daten sowie dem Eingriff in das Persönlichkeitsrecht zu schaffen. Weitere wichtige Regelungen sind auf europäischer Ebene mit der Datenschutzgrundverordnung (DSGVO) geschaffen worden, die in den Mitgliedsstaaten inzwischen unmittelbare Geltung entfaltet. Hinzukommen datenschutzrechtliche Vorgaben aus dem seit dem 01.12.2021 in Kraft getretenen Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie der immer noch nicht beschlossenen EU ePrivacy-Verordnung und der Rechtsprechung des EuGH und des BGH.
Was sind personenbezogene Daten und wann liegt eine Verarbeitung vor?
Nach Art. 4 Nr. 1 DSGVO sind unter personenbezogenen Daten alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person gilt als identifiziert, wenn sich ihre Identität direkt aus dem gewonnenen Datum oder aber aus einer Kombination des gewonnen Datums mit anderen personenbezogenen Daten oder sonstigen Information ergibt. Zu den personenbezogenen Daten zählen z.B. der Name, Kontaktdaten (z.B. Anschrift, E-Mail-Adresse), Kontoverbindung, Sozialversicherungsnummer, das Geburtsdatum, Gesundheitsdaten, aber auch Bilder, Standort- oder Bewegungsdaten oder IP-Adressen. Umfasst sind also alle Daten durch die die Person, um deren Daten es geht, (das sog. Datensubjekt) bestimmt oder bestimmbar ist.
Als Verarbeitung der personenbezogenen Daten im Sinne des Art. 4 Nr. 2 DSGVO gilt beinahe jegliche Form der Verwertung. Dazu zählen z.B. das Erheben, die Organisation, die Speicherung, die Anpassung oder Veränderung, die Verwendung, die Verbreitung aber auch die Löschung. Bereits das Lesen einer E-Mail oder der Erhalt einer Visitenkarte ist eine Datenverarbeitung. Dabei ist es unerheblich, ob die Verarbeitung digital oder in Papierform erfolgt.
Unter welchen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden?
Hinsichtlich der Datenverarbeitung gilt ein sog. Verbot mit Erlaubnisvorbehalt. Das bedeutet, die Verarbeitung personenbezogener Daten ist grundsätzlich rechtswidrig, es sei denn, die Verarbeitung beruht auf einer der in Art. 6 Abs. 1 a) - f) DSGVO aufgezählten Rechtsgrundlagen.
Nach Art. 6 Abs. 1 a) ist die Datenverarbeitung erlaubt, wenn sie auf einer Einwilligung des Datensubjekts beruht. Die Einwilligung muss freiwillig und für einen bestimmten Fall abgegeben worden sein. Sie muss klar und verständlich und der Betroffene muss bereits vor der Abgabe über die Möglichkeit des Widerrufs seiner Einwilligung aufgeklärt worden sein. Art. 7 und 8 DSGVO regeln weitere Bedingungen für eine wirksame Einwilligung. Nach Abs. 1 b) ist die Verarbeitung zudem erlaubt, wenn sie für die Erfüllung eines Vertrags erforderlich ist bei der die betroffene Person Vertragspartei ist oder sie für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Gemäß Abs. 1 c) ist die Verarbeitung erlaubt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Gemäß Abs. 1 d) ist die Verarbeitung ferner erlaubt, wenn sie erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Nach Abs. 1 e) ist die Verarbeitung erlaubt, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die dem Verantwortlichen übertragen wurde und die im öffentlichen Interesse liegt oder die in Ausübung öffentlicher Gewalt erfolgt. Schließlich ist die Verarbeitung gemäß Abs. 1 f) erlaubt, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, wobei jedoch eine Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person vorzunehmen ist, die regelmäßig überwiegen, wenn sie besonders schützenswert sind.
Vor jeder Datenverarbeitung muss geprüft werden, ob einer dieser Fälle vorliegt. Andernfalls ist die Verarbeitung rechtswidrig.
Darüber hinaus gelten für jede Datenverarbeitung die Grundsätze, die in Art. 5 DSGVO aufgezählt werden: So gilt das Gebot der Rechtmäßigkeit und der Transparenz der Datenverarbeitung (Abs. 1 a)), sowie das Gebot der Bindung an den Zweck, für welchen die Daten erhoben wurden (Abs. 1 b)). Zudem wird bestimmt, dass sich die Verarbeitung auf ein angemessenes und erhebliches Maß beschränken muss, sog. Grundsatz der Datenminimierung (Abs. 1 c)). Daneben gelten die Grundsätze der Richtigkeit (Abs. 1 d)) und der Speicherbegrenzung (Abs. 1 e)). Das Gebot der Integrität und Vertraulichkeit (Abs. 1 f)) besagt unter anderem, dass bei der Verarbeitung eine angemessene Sicherheit der personenbezogenen Daten gewährleistet werden muss.
Der für die Datenverarbeitung Verantwortliche ist verpflichtet, diese Grundsätze einzuhalten und muss dies ggf. nachweisen können, sog. Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO
In Art. 9 DSGVO werden Kategorien von Daten aufgezählt, die der Gesetzgeber als besonders sensibel einordnet und deshalb durch strengere Regelungen für die Verarbeitung besonders schützen will. Hierunter fallen gemäß Art. 9 Abs. 1 DSGVO Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Über-zeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Auch bezüglich dieser Daten gilt das Verbot mit Erlaubnisvorbehalt. Die Ausnahmen des Art. 9 Abs. 2 a) - j) DSGVO, bei deren Vorliegen eine Verarbeitung dieser sensiblen Daten erlaubt sein kann, sind allerdings noch enger begrenzt, als hinsichtlich der „einfachen“ Daten.
Gemäß Abs. 1 a) ist die Einwilligung bspw. nur dann als Erlaubnisgrundlage geeignet, wenn sie „ausdrücklich“ erfolgt. Eine Verarbeitung ist gemäß Abs. 1 b) im arbeits- und sozial-rechtlichen Kontext erlaubt, wenn und soweit sie erforderlich ist, damit der Verantwortliche oder die betroffene Person den dortigen Rechten und Pflichten (z.B. Zahlung des Gehalts und der steuerlichen Abgaben etc.) nachkommen kann. Die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person ist gemäß Abs. 1 c) nur dann zulässig, wenn sie erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre ausdrückliche Einwilligung zu geben. Gemäß Abs. 1 e) ist die Verarbeitung erlaubt, sofern sie sich auf personenbezogene Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat. Gemäß Abs. 1 f) ist die Verarbeitung bspw. erlaubt, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist.
Insgesamt gilt es, bei der Verarbeitung dieser besonders sensiblen Daten auch ein besonderes Maß an Sorgfalt bei der Verarbeitung zu beachten.
Auftragsverarbeitung
In der Praxis bedienen sich die für die Datenverarbeitung Verantwortlichen oftmals externer Dienstleister zur Erledigung der unterschiedlichsten Aufgaben. Diese verarbeiten dabei nicht selten im Auftrag des Verantwortlichen personenbezogene Daten, welche der Verantwortliche von seinen Kunden, Mitarbeitern etc. erhalten hat. Dies kann bspw. das externe Lohnbuchhaltungsbüro sein, aber auch der externe Programmierer der Webseite oder der Dienstleister für den Newsletter-Versand. Diese Personen werden dann als Auftragsverarbeiter i.S.d. Art. 28 DSGVO bezeichnet.
Dabei verlassen die Daten zwar den unmittelbaren Bereich der eigentlich verantwortlichen Person, sie werden jedoch weiterhin in deren Auftrag und nach deren Weisung verarbeitet. Eine gesonderte Information oder Einwilligung des Dateninhabers ist daher nicht erforderlich. Jedoch muss in der Regel ein sog. Auftragsverarbeitungsvertrag zwischen dem Verantwortlichen und dem Verarbeiter abgeschlossen werden. Darin werden die verschiedenen Pflichten und Verantwortlichkeiten bzgl. der Datenverarbeitung festgelegt. Der Verantwortliche kann auf diesem Wege absichern, dass auch der Auftragsverarbeiter die erforderlichen Datenschutzstandards einhält.
Wesentliche Pflichten im Rahmen der Datenverarbeitung - online und offline
Ausdruck der Grundsätze des Art. 5 DSGVO sowie des Art. 32 DSGVO, welcher besondere Vorgaben zur Sicherheit der Verarbeitung enthält, sind die sog. TOMs, die technischen und organisatorischen Maßnahmen zum Schutz der Daten.
Der Verantwortliche ist danach verpflichtet, ein geeignetes Schutzniveau für die verarbeiteten Daten herzustellen. Die Frage, was „geeignet“ ist, kann nicht pauschal beantwortet werden. Bei der Beurteilung im jeweiligen Einzelfall sind stets verschiedene Faktoren zu berücksichtigen, wie der Stand der Technik, die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Datenverarbeitung sowie die Wahrscheinlichkeit und Schwere des Risikos einer Datenpanne. Maßnahmen zur Erreichung des Schutzniveaus sind gemäß Art. 32 Abs. 1 unter anderem die Pseudonymisierung und Verschlüsselung (Abs. 1 a)), die dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste (Abs. 1 b)), die Möglichkeit der raschen Wiederherstellung der Verfügbarkeit der personenbezogenen Daten und des Zugangs zu ihnen bei einem physischen oder technischen Zwischenfall (Abs. 1 c)) sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (Abs. 1 d)).
Welche Maßnahmen geeignet und erforderlich sind, hängt vom Einzelfall ab. Dazu können gehören: aktuelle Software, Virenscanner und Firewalls; sichere Passwörter; schnell einsetzende Bildschirmschoner; Zugangsbeschränkungen - digital und im Büro; Schulung und Belehrung der Mitarbeiter; regelmäßige Evaluierungen des Datenschutzniveaus; der Abschluss und die Kontrolle der Einhaltung von Auftragsverarbeitungsverträgen etc.
Die weiteren wesentlichen Pflichten im Rahmen der Datenverarbeitung lassen sich grob in Dokumentationspflichten und Informationspflichten kategorisieren:
Zu den Dokumentationspflichten gehört die Erstellung und Führung eines sog. Verarbeitungsverzeichnisses i.S.d. Art. 30 DSGVO. Darin dokumentiert das verarbeitende Unternehmen die Verarbeitungsprozesse, insbesondere die Kategorien der Daten, der betroffenen Personen, die Zwecke der Verarbeitung sowie die Löschfristen. Das Verzeichnis ist stets aktuell zu halten und im Falle einer Prüfung durch die Datenschutzbehörde vorzulegen.
Auch die angewendeten TOMs sind zu dokumentieren, stets aktuell zu halten und müssen der Datenschutzbehörde auf Nachfrage vorgelegt werden können.
Die Informationspflichten gemäß Art. 13 DSGVO finden ihren Ausdruck vor allem in der Erstellung und Zurverfügungstellung der Datenschutzerklärung. Dies kann in Form einer Erklärung auf der Webseite oder aber in Form von allgemeinen Hinweisen zur Datenverarbeitung bei Kontaktaufnahme auf anderem Wege, etwa im Anhang zu einem Schreiben, als Aushang in einer öffentlichen Räumlichkeit o.ä. erfolgen. Der Auftrag ist jedoch immer derselbe: Die Betroffenen sollen so früh wie möglich darüber informiert werden, welche Daten verarbeitet werden, auf welcher Erlaubnisgrundlage, zu welchem Zweck, für welchen Zeitraum und wer der Verantwortliche ist. Außerdem sollen die Betroffenen ausdrücklich auf ihre gesetzlichen Rechte hingewiesen werden.
Auch das allseits bekannte Cookie-Banner geht auf diese Informationspflichten zurück. Es ist jedoch in Art und Aufbau, wie wir es derzeit kennen, zudem durch die noch nicht beschlossene EU ePrivacy-Verordnung und die Rechtsprechung des EuGH („Planet49“ vom 01.10.2017, Az. C-673/17) und daran anschließend des BGH („Cookie-Einwilligung II“ 28.05.2020, Az. I ZR 7/16) geprägt worden und inzwischen in § 25 TTDSG normiert.
Ab einer Unternehmensgröße von ca. 20 Personen ist zudem in der Regel die Bestellung eines Datenschutzbeauftragten erforderlich.
Verstöße gegen die DSGVO
Eine unrechtmäßige Datenverarbeitung liegt immer dann vor, wenn für die Verarbeitung keine Rechtsgrundlage im Sinne des Art. 6 Abs. 1 bzw. Art. 9 Abs. 2 DSGVO vorliegt. Auch bei Verstößen gegen die Grundsätze des Art. 5 DSGVO ist die Datenverarbeitung unrechtmäßig.
Im Hinblick darauf, dass es das erklärte Ziel der DSGVO ist, natürliche Personen, deren Daten, Rechte und Freiheiten im Zusammenhang mit der Datenverarbeitung zu schützen, liegt ein Verstoß auch dann vor, wenn keine geeigneten Maßnahmen zum Schutz der Daten getroffen wurden und gegen die Dokumentations- und Informationspflichten verstoßen wurde.
Unter einer Verletzung des Schutzes von personenbezogenen Daten wird insoweit gemäß Art. 4 Nr. 12 DSGVO jeder Eingriff in die Sicherheit der Daten verstanden, unter anderem durch Vernichtung, Verlust oder auch Veränderung der Daten sowie jede unbefugte Offenlegung oder Zugänglichmachung.
Wichtig insoweit: Es spielt keine Rolle, ob die Verletzung absichtlich oder unbeabsichtigt, ggf. sogar ganz ohne eigenes Zutun, bspw. durch einen Hackerangriff, erfolgt. Auch kommt es nicht darauf an, ob bei der betroffenen Person ein merklicher Schaden über die eigentliche Verletzung hinaus eingetreten ist. So liegt bspw. bereits eine Verletzung vor, wenn kein ausreichender Schutz innerhalb eines Unternehmens gewährleistet wird und ein Mitarbeiter einer anderen Abteilung Zugriff auf Daten eines Kunden hat, für die er intern gar nicht zuständig ist.
Rechte der von der Datenverarbeitung Betroffenen
Für die Betroffenen von Datenverarbeitungsvorgängen sieht die DSGVO eine Vielzahl von Rechten vor: Dazu gehört das Recht, eine einmal erteilte Einwilligung in die Datenverarbeitung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO). Ferner das Recht auf Auskunftserteilung hinsichtlich der verarbeiteten Daten (Art. 15 DSGVO), auf Berichtigung (Art. 16 DSGVO), auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO), das Widerspruchsrecht (Art. 21 DSGVO), das Recht auf automatisierte Entscheidung im Einzelfall (Art. 22 DSGVO) und das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO).
Diese sog. Betroffenenrechte stehen jeder von einer Datenverarbeitung betroffenen Person zu. Sie bestehen unabhängig davon, ob die Datenverarbeitung rechtmäßig oder unrechtmäßig erfolgt ist.
Betroffene einer unrechtmäßigen Datenverarbeitung haben zudem gemäß Art. 82 DSGVO grundsätzlich die Möglichkeit, Schadenersatzansprüche gegenüber dem Verantwortlichen geltend zu machen. Dazu ist es jedoch an dieser Stelle erforderlich, dass der Betroffene, neben der Verletzung auch einen materiellen oder immateriellen kausalen Schaden substantiiert darlegt und beweist.
Risiken für die Verantwortlichen der Datenverarbeitung
Datenpannen und sonstige Verstöße gegen die Pflichten der DSGVO sind nicht auf die leichte Schulter zu nehmen.
Zunächst kann die Geltendmachung von Betroffenenrechten für die Verantwortlichen mit erheblichem (zeitlichen und auch finanziellen) Aufwand verbunden sein. So können extensive Auskunfts- oder Löschungsansprüche Unternehmen nicht selten an den Rande der Verzweiflung treiben.
Hinzukommt das Risiko von Abmahnungen durch Wettbewerber oder Verbraucherschutz-verbänden, etwa wegen fehlerhafter Datenschutzerklärungen und Cookie-Bannern auf Webseiten.
Schließlich muss grundsätzlich stets mit einer Prüfung durch die zuständige Datenschutz-behörde gerechnet werden. Im Zuge so einer Prüfung werden die Verarbeitungsvorgänge im gesamten Unternehmen unter die Lupe genommen und auf ihre Konformität mit der DSGVO geprüft. Bei festgestellten Verstößen drohen empfindliche Bußgelder.
Die Risiken und der damit verbundene Aufwand können jedoch erheblich minimiert werden, indem man sich aktiv mit den Datenflüssen im eigenen Unternehmen auseinandersetzt, sich einen Überblick verschafft und einige effektive Maßnahmen ergreift und kontinuierlich umsetzt. Gerne unterstützen wir Sie dabei.