Datenschutzrecht

Datenschutzrecht

Das Datenschutzrecht ist ständig im öffentlichen Fokus und entwickelt sich ständig weiter, was sich aktuell insbesondere durch die Umsetzung der europäischen Datenschutzgrundverordnung (DSGVO) ins nationale Recht zeigt.

In erster Linie geht es im Datenschutzrecht um den Schutz der Privatsphäre des Einzelnen und das Recht auf informationelle Selbstbestimmung.
Durch die elektronische Datenverarbeitung, insbesondere durch das Internet, werden heutzutage personenbezogene Daten, oft ohne Wissen der Nutzer, massenhaft gesammelt, gespeichert und verarbeitet. Firmen, Internetshops und andere datenverarbeitende Stellen haben verschiedene Datenschutzvorschriften, neben der DSGVO und dem BDSG, wie z.B. das Telemediengesetz (TMG) und die kommende E-Privacyrichtlinie zu beachten.

Die europäische Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai 2018 wirksam werden wird, wird die zentrale Datenschutzrechtsnorm werden, die fundamentale Änderungen für Unternehmen bringen wird. So wird die DSGVO z.B. umfangreiche Änderungen im Haftungsbereich, gerade bei der Höhe der Haftungssummen (bis zu 20 Mio EUR), mit sich bringen.

Wir beraten Unternehmen darüber, was sie bei der Umsetzung der DSGVO beachten müssen.

Worum geht es im Detail nun im Datenschutzrecht?

Wichtigster Anknüpfungspunkt im Datenschutzrecht sind die personenbezogenen Daten. Es handelt sich hierbei um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmbaren natürlichen Person (Betroffener). Damit wurde für die Definition ein weiter Begriff gewählt, um möglichst alles was Schutz verdient zu erfassen. Darunter fallen zum Beispiel Name, Alter, Gesundheitsdaten, charakterliche Eigenschaften und Qualifikationen.

Auch bei IP-Adressen, einschließlich den dynamischen handelt es sich nach herrschender Meinung um personenbezogene Daten. Dabei ist insbesondere streitig ob es für die Bestimmbarkeit ausreicht, dass ein Dritter, nämlich der Access-Provider (Internetdiensteanbieter) über das nötige Technik und das nötige Fachwissen verfügt um den Anschlussinhaber hinter der IP-Adresse zu ermitteln, welche für den Websitebetreiber erst einmal nur eine Folge von Ziffern (und Buchstaben bei IPv6) darstellt. Hier sollte aufgrund der uneinheitlichen Meinungen in Rechtsprechung und Literatur eine IP-Adresse besser als personenbezogenes Datum eingestuft zu werden um datenschutz- und eventuell wettbewerbsrechtliche Sanktionen zu vermeiden.

Es kommt beim Datenschutz nicht darauf an, ob es sich um empfindliche Daten handelt, denn auch solche Daten, welche vermeintlich noch so trivial erscheinen mögen, sind unter Beachtung der Tatsache, dass eine Verknüpfung aller auffindbaren Daten zu komplexen Persönlichkeitsprofilen mit moderner Technik ohne weiteres möglich ist, keine belanglosen Daten und daher geschützt. Dennoch werden in der DSGVO bestimmte Daten einem besonderen Schutzregime unterworfen, nämlich solche über die rassische und ethnische Herkunft, religiöse oder philosophische Überzeugungen, Gesundheit, Gewerkschaftszugehörigkeit und Sexualleben. Für diese Daten gelten noch einmal strengere Anforderungen.

Öffentliche und nicht öffentliche Stellen

Das Datenschutzrecht unterscheidet zwischen öffentlichen und nicht öffentlichen Stellen. Öffentliche Stelle sind vor allem Behörden. Nicht-öffentliche Stellen dagegen sind natürliche Personen und juristische Personen des Privatrechts, also insbesondere Unternehmen, die personenbezogene Daten verarbeiten. Diese Personen oder Unternehmen sind sogenannte verantwortliche Stelle. Hierbei geht das Gesetz von einer juristischen Perspektive aus, wonach in einem Konzern alle Gesellschaften einzeln zu betrachten sind. Stelle ist nun jede verantwortliche Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies im Rahmen des Auftragsdatenverarbeitung durch eine andere Stellen vornehmen lässt.
Der Empfänger ist dann jede Person oder Stelle, die diese Daten erhält. So auch die Arbeitnehmer bei einem Unternehmen, welches personenbezogene Daten erhebt. Dritter dagegen ist dagegen jede Person oder Stelle außerhalb dieser verantwortlichen Stelle. Auch die Konzernunternehmen sind zueinander Dritte, wenn die juristisch selbstständig sind.

Die Datenerhebung

Erhebung von Daten meint dass Beschaffen von Daten über den Betroffenen.
Es muss gezielt erfolgen und nicht lediglich zufällige Folge eines anderen Geschäftsvorgangs sein. Der Begriff des Beschaffens ist hierbei weit zu interpretieren.
Datenverarbeitung meint in erster Linie die Speicherung. Es geht um das Erfassen, Aufnehmen und Aufbewahren personenbezogener Daten auf einem Datenträger mit dem Zweck ihrer weiteren Verarbeitung oder Nutzung. Datenträger ist ein weit auszulegender Begriff und reicht von Papier bis hin zu allen modernen Speichertechnologien. Nutzen ist die Auswertung der erhobenen und verarbeiteten Daten ihre Weitergabe innerhalb der verantwortlichen Stelle.
Das Datenschutzrecht ist weiterhin so konzipiert, dass jede Verwendung personenbezogener Daten vom Grundsatz her verboten ist. Es muss also eine gesetzlich vorgeschriebene Ausnahme oder die ausdrückliche Einwilligung des Betroffenen vorliegen.

Datenvermeidung und Datensparsamkeit

Im Datenschutzrecht gilt zudem der Grundsatz der Datenvermeidung und Datensparsamkeit. Dadurch sollen die Gefahren für die informationelle Selbstbestimmung von Anfang an minimiert werden. Sofern möglich sind Daten zudem pseudonymisiert oder anonymisiert zu erheben.
Es ist weiterhin untersagt Daten unbefugt zu verarbeiten. Dieses sogenannte Datengeheimnis ist unbedingt zu beachten bei der internen Organisation von Unternehmen.
Betroffene sind über die Datenverarbeitung zu unterrichten und haben Auskunftsansprüche und Berichtigungsansprüche. Unter Umständen können sogar Schadensersatzansprüche gegeben sein.

Automatisierte Datenverarbeitung

Besondere Vorsicht ist bei Verfahren automatisierter Datenverarbeitung walten zu lassen.
Hier sind unter Umständen Meldepflichten bei den Datenschutzbehörden zu beachten. Zudem sind an die Datensicherheit hohe Anforderungen zu stellen. Ebenso darf Videoüberwachung nicht auf die leichte Schulter genommen werden. Sie ist nur in engen Grenzen zulässig.
Das Beobachten öffentlich zugänglicher Räume per Videoüberwachung nur zulässig, soweit es zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist. Allerdings dürfen keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Person, die von der Kamera erfasst wird, überwiegen. Die Überwachung ist an zahlreiche Pflichten gebunden. Insbesondere bestehen eine Hinweis- und Dokumentationsplicht, sowie eine Pflicht zu Löschung.

Auftragsdatenverarbeitung

Outsourcing ist ein wichtiges Thema moderner Wirtschaft. Hierbei wird auch häufig die Verarbeitung personenbezogener Daten in die Hände externer Dienstleister gelegt. Hierbei haftet der Auftraggeber für Schäden die durch die Datenverarbeitung des externen Unternehmens entstehen. Er hat sicherstellen, dass die Daten nur im Rahmen der Weisungen des Auftraggebers erhoben werden.

Internationaler Datentransfer

Immer wichtiger wird auch die Datenübermittlung in das Ausland. Während dies innerhalb der EU relativ unproblematisch ist aufgrund europäischer Gesetzgebung die zu einem einheitlichen Datenschutzniveau führt, ist dies bei Drittländern sehr viel schwieriger. Lediglich für die Schweiz und für Kanada hat die EU-Kommission in Art. ein vergleichbares Schutzniveau festgestellt. Für alle anderen Drittstaaten ist das Datenschutzniveau kaum zu überblicken weshalb Ausnahmen vom Datenschutzniveau geregelt sind. Datenübermittlung in Drittstaaten liegt schon dann vor, wenn Cloudspeicher bekannter Dienstleister wie Dropbox und ähnliche zur Datensicherung von Kundendaten genutzt werden. Derartiges sollte im Zweifel stets vermieden werden. Unter Umständen würde dadurchh sogar der Tatbestand der Verletzung von Privatgeheimnissen gemäß § 203 StGB erfüllt.