Die Datenschutz-Grundverordnung, kurz DSGVO, setzt die Anforderungen an den angemessenen Schutz von personenbezogenen Daten in Europa fest. Die DSGVO soll in allen Mitgliedsstaaten der Europäischen Union ein einheitliches und angemessenes Datenschutzniveau gewährleisten.
In Deutschland gilt neben der DSGVO das deutsche Bundesdatenschutzgesetz, kurz BDSG. Die DSGVO hat sogenannte Öffnungsklauseln, die den nationalen Gesetzgebern Gestaltungsraum ermöglichen. Dabei ist die DSGVO vorrangig vor den nationalen Gesetzen, wie dem BDSG, anzusehen. Darüber hinaus gibt es in Deutschland Landesdatenschutzgesetze (LDSG) innerhalb der Bundesländer, welche ebenfalls seit 2018 gelten. Neben der DSGVO und dem BDSG gibt es weitere Gesetze, die Bezug zu bestimmten Bereichen im Datenschutz haben, wie das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG), das Gesetz gegen den unlauteren Wettbewerb (UWG), Kunst- und Urhebergesetz (KunstUrhG) sowie Handelsgesetz (HGB) und das Umsatzsteuergesetz (UStG).
Seit wann gilt die DSGVO?
Die Europäische Datenschutz-Grundverordnung trat im Jahr 2016 in Kraft. Aufgrund der zweijährigen Umsetzungsfrist für die Mitgliedstaaten der EU, ist die DSGVO seit dem Jahr 2018 unmittelbar anwendbar. Mit Inkrafttreten der DSGVO wurde die erste EU-Datenschutz-Richtlinie (95/46/EG) aus dem Jahr 1995 aufgehoben.
Im Jahr 1977 wurde die erste Fassung des Bundesdatenschutzgesetzes (BDSG) erlassen, die zweite Fassung im Jahr 1990. Nach Inkrafttreten der EU-Datenschutz-Richtlinie wurde das BDSG mehrmals novelliert, bis die DSGVO in Kraft trat. Seit 2018 ist die DSGVO gemeinsam mit dem BDSG neu unmittelbar anwendbar.
Ziele der DSGVO
Die DSGVO schützt, durch die Grundsätze und Vorschriften, die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihr Recht auf Schutz personenbezogener Daten. So soll in allen Mitgliedstaaten der EU ein einheitliches Datenschutzniveau gewährleistet werden. Auch darf der freie Verkehr personenbezogener Daten in der Union nicht eingeschränkt oder verboten werden.
Aufbau der DSGVO
Die DSGVO gilt mit ihren 99 Artikeln in allen Mitgliedstaaten der Europäischen Union. Auch wenn die Mitgliedstaaten eigene nationale Gesetze für den Datenschutz erlassen, ist eine Abschwächung der DSGVO durch diese Gesetze nicht möglich. Die DSGVO fordert eine Verbindlichkeit zur Kohärenz.
In der DSGVO finden sich darüber hinaus 173 Erwägungsgründe, die insbesondere in der Praxis wichtige Hilfestellungen bieten. Das sind Erläuterungen bestimmter Tatsachen, die zum konkreten Erlass des Rechtsaktes geführt haben.
Aufbau des BDSG neu
Das Bundesdatenschutzgesetz besteht aus 85 §§ und nutzt ca. 70 Öffnungsklauseln zur Ergänzung und Konkretisierung durch nationale Regelungen bestimmte Bereiche der DSGVO. Vor allem enthält es umfassende Regelungen für öffentliche Stellen, da die DGSVO nicht zwischen Regelungen für öffentliche und nicht-öffentliche Bereiche unterscheidet.
Inhalt der DSGVO
Die Datenschutz-Grundverordnung ist ähnlich wie ein Verbraucherschutzgesetz zu sehen. Es geht darum, die Grundrechte der natürlichen Personen zu schützen, besonders das Recht auf freie Entfaltung der Persönlichkeit bzw. das Recht auf informationelle Selbstbestimmung nach dem deutschen Grundgesetz, sowie das Recht auf den Schutz personenbezogener Daten nach Art. 8 der europäischen Grundrechtecharta.
Im Folgenden werden einige wichtige Artikel aus der DSGVO vorgestellt.
Grundsätze Art. 5 DSGVO
Die Grundsätze des Datenschutzes sind von essentieller Bedeutung. Sie stellen die Grundregeln für die Verarbeitung personenbezogener Daten dar. Verantwortliche (Unternehmen) haben die Grundsätze bei der Datenverarbeitung stets einzuhalten und sind dazu verpflichtet, die Einhaltung nachzuweisen. Verstöße gegen die Grundsätze können ein Bußgeld von bis zu 20.000.000€ oder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres nach sich ziehen (Art. 83 Abs. 5 Lit. a DSGVO).
Personenbezogene Daten müssen auf rechtmäßige Weise (Rechtmäßigkeit), nach Treu und Glauben und auf nachvollziehbare Weise (Transparenz) verarbeitet werden. Die Daten müssen für festgelegte und eindeutige Zwecke erhoben werden (Zweckbindung) und auf das notwendige Maß für die Zwecke der Datenverarbeitung beschränkt sein (Datenminimierung). Personenbezogene Daten müssen zudem sachlich richtig und auf dem neusten Stand sein. Unrichtige Daten müssen unverzüglich gelöscht oder berichtigt werden (Richtigkeit). Sie dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Speicherbegrenzung). Ebenso müssen personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen geschützt werden, sodass eine angemessene Sicherheit der Daten gewährleistet wird (Integrität und Vertraulichkeit, Verhältnismäßigkeit).
Rechtsgrundlagen Art. 6 DSGVO
Aus den Grundsätzen für die Datenverarbeitung geht hervor, dass personenbezogene Daten auf rechtmäßige Weise verarbeitet werden müssen. Wann ist die Verarbeitung personenbezogener Daten rechtmäßig? Man spricht von einer rechtmäßigen Datenverarbeitung, wenn eine dieser Rechtsgrundlagen vorliegt:
Rechte der betroffenen Person Art. 12-23 DSGVO
Um den Transparenz-Grundsatz aus Art. 5 DSGVO zu erfüllen, ist es erforderlich, dass die betroffene Person über den Verarbeitungsvorgang und seine Zwecke informiert wird. Die Datenschutz-Grundverordnung enthält hierzu Betroffenenrechte, die dem Betroffenen ermöglichen, Einfluss auf die Datenverarbeitung zu nehmen und gegen denjenigen, der die Daten nicht ordnungsgemäß verarbeitet, rechtlich vorzugehen.
Diese Rechte haben Betroffene:
Mitgliedsstaaten der Europäischen Union können die Betroffenenrechte gemäß den Artikeln 12 bis 22 unter gewissen Umständen beschränken und durch nationale Gesetze anpassen, sofern die Beschränkung eine notwendige und verhältnismäßige Maßnahme darstellt und die Grundrechte und Grundfreiheiten der natürlichen Personen beachtet werden.
Auftragsverarbeitung Art. 28 DSGVO
Bei der Auftragsverarbeitung werden personenbezogene Daten durch einen Dritten im Auftrag des Verantwortlichen verarbeitet, wie beispielsweise beim Hosting, dem Newsletter-Versand oder einer externen Lohn- und Gehaltsabrechnung.
Für eine Verarbeitung im Auftrag dürfen ausschließlich Auftragsverarbeiter beauftragt werden, die hinreichende Garantien dafür bieten, dass die gesetzlichen Anforderungen des Datenschutzes eingehalten werden (Art. 28 Abs. 1 DSGVO). Um die Verarbeitung personenbezogener Daten rechtmäßig in Auftrag zu geben, muss der Verantwortliche einen schriftlichen Vertrag mit dem Auftragsverarbeiter abschließen, einen sogenannten Auftragsverarbeitungsvertrag (AVV), in dem unter anderem die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Dauer der Verarbeitung, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festgelegt sind. Mit einem abgeschlossenen Auftragsverarbeitungsvertrag ist die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich (Art. 6 Abs. 1 Lit. c DSGVO) und der Auftragnehmer darf die personenbezogenen Daten verarbeiten. Ohne Auftragsverarbeitungsvertrag fehlt die erforderliche Rechtsgrundlage, so dass der Auftragnehmer die personenbezogenen Daten nicht verarbeiten dürfte.
Verzeichnis von Verarbeitungstätigkeiten Art.30 DSGVO
Jeder Verantwortliche und gegebenenfalls sein Vertreter müssen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen (Art. 30 Abs. 1 DSGVO).
Die Erstellung und Pflege des Verzeichnis von Verarbeitungstätigkeiten, kurz VVT, gehört zu den Aufgaben des Verantwortlichen. Er kann diese Aufgabe allerdings an den Datenschutzbeauftragten delegieren.
Das VVT enthält folgende Angaben:
Technische und organisatorische Maßnahmen Art. 32 DSGVO
Um ein dem Risiko der Verarbeitung angemessenes Schutzniveau gewährleisten zu können, müssen Verantwortliche geeignete technische und organisatorische Maßnahmen, kurz TOM, treffen. Die Maßnahmen müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art sowie des Umfangs der Umstände und Zwecke der Verarbeitung und der unterschiedlichen Eintrittswahrscheinlichkeiten, sowie Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen gewählt werden (Art. 32 Abs. 1 DSGVO).
Ob es sich bei den TOM um geeignete Maßnahmen für ein angemessenes Schutzniveau handelt, hängt von den Risiken, die mit der Datenverarbeitung verbunden sind, ab. Insbesondere Risiken durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung personenbezogener Daten (Art. 32 Abs. 2 DSGVO) sind hier zu berücksichtigen. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, um die Höhe des jeweiligen Risikos abschätzen zu können (EWG 76 DSGVO).
Datenschutz-Folgenabschätzung Art. 35 DSGVO
Wenn bei einer Datenverarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu erwarten ist, insbesondere bei der Verwendung neuer Technologien, muss der Verantwortliche vor der Inbetriebnahme eine Abschätzung der Folgen der geplanten Verarbeitungsvorgänge für den Schutz von personenbezogenen Daten durchführen, die Datenschutz-Folgenabschätzung, kurz DSFA. (Art. 35 Abs. 1 DSGVO).
Die DSFA dient demnach der Beschreibung, Bewertung und insbesondere der Eindämmung von Risiken für die natürlichen Personen bei der Verarbeitung personenbezogener Daten. Der Verantwortliche muss bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten einholen (Art. 35 Abs. 1 DSGVO), sofern einer bestellt ist. Die Aufsichtsbehörden veröffentlichen Listen mit Verfahren, für die eine DSFA durchzuführen ist bzw. mit Verfahren, für die keine DSFA erforderlich ist, sogenannte Black- und Whitelists (Art. 35 Abs. 4 und 5).
Datenschutzbeauftragter Art. 37-39 DSGVO
Die DSGVO legt fest, wann ein Datenschutzbeauftragter (DSB) benannt werden muss, unabhängig von der Mitarbeiterzahl. Verantwortliche müssen einen DSB benennen, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln).
Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn dessen Kerntätigkeit in der umfangreichen Verarbeitung personenbezogener Daten liegt oder, wenn ein Unternehmen besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet (Art. 37 Abs. 1 DSGVO). Aufgrund der Öffnungsklauseln finden sich im Bundesdatenschutzgesetz weitere Voraussetzungen zur Benennung des DSB. Das BDSG legt zu dem fest, dass ein Unternehmen einen Datenschutzbeauftragten benennen muss, wenn mind. 20 Mitarbeiter im Unternehmen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Der Datenschutzbeauftragte hat eine besondere Stellung innerhalb eines Unternehmens. Der Verantwortliche muss den DSB frühzeitig in alle datenschutzrelevanten Verfahren und Prozesse einbinden oder darüber informieren. Der Verantwortliche unterstützt den DSB bei der Erfüllung seiner Aufgaben, zum Beispiel durch organisatorische, personelle und finanzielle Ressourcen sowie durch Fortbildungen, für den Erhalt seines Fachwissens. Der Datenschutzbeauftragte untersteht der Geschäftsleitung und ist ihr gegenüber berichtspflichtig. Bei der Wahrnehmung seiner Aufgaben muss der DSB stets Geheimhaltung bzw. Vertraulichkeit wahren. Darüber hinaus ist er in seiner Tätigkeit als Datenschutzbeauftragter nicht weisungsgebunden, hat aber auch keine Weisungsbefugnis gegenüber dem Geschäftsführer oder den Mitarbeitern. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht werden, so dass betroffene Personen diesen kontaktieren können (Art. 38 DSGVO). Nach Art. 39 DSGVO ist der Datenschutzbeauftragte für die Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten hinsichtlich ihrer Pflichten nach Datenschutzgesetzen sowie für die Überwachung der Einhaltung der DSGVO inklusive der Mitarbeitersensibilisierung und -schulung verantwortlich. Des Weiteren ist der DSB für die Beratung (auf Anfrage) im Zusammenhang mit der Datenschutz-Folgenabschätzung verantwortlich. Der Datenschutzbeauftragte ist der erste Ansprechpartner für die zuständige Aufsichtsbehörde und arbeitet mit dieser zusammen.
Zusammenfassung
Seit 2018 gilt die DSGVO. Sie soll für ein einheitliches und angemessenes Datenschutzniveau in allen Mitgliedsstaaten der EU sorgen. Neben der DSGVO gelten in Deutschland das BDSG und die LDSG sowie weitere Gesetze, die Bezug auf den Datenschutz nehmen, wie das HGB, UWG etc.
Die DSGVO schützt die Grundrechte und Grundfreiheiten natürlicher Personen. Durch Grundsätze und Vorschriften dieser Verordnung sollen personenbezogene Daten bei der Verarbeitung geschützt werden:
- Die Grundsätze aus Art. 5 DSGVO sind die Grundregeln für die Verarbeitung personenbezogener Daten.
- Die Rechtsgrundlagen aus Art. 6 DSGVO stellen eine Erlaubnis für die Datenverarbeitung dar.
- Die Betroffenenrechte aus Art. 12-23 DSGVO informieren Betroffene über die Datenverarbeitung und ermöglichen es ihnen, Einfluss darauf zu nehmen.
- Ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) stellt sicher, dass ausschließlich Auftragsverarbeiter beauftragt werden, welche die gesetzlichen Anforderungen des Datenschutzes einhalten.
- Die technischen und organisatorischen Maßnahmen aus Art. 32 DSGVO sorgen für ein angemessenes Schutzniveau, welches dem Risiko der Datenverarbeitung entspricht.
- Die Datenschutz-Folgenabschätzung (Art. 35 DSGVO), also eine Abschätzung der Folgen für die geplanten Verarbeitungsvorgänge, soll den Schutz personenbezogener Daten gewährleisten.
- Der Datenschutzbeauftragte (Art. 37-39 DSGVO) minimiert das Haftungsrisiko für das Unternehmen und entlastet den Geschäftsführer bei der Umsetzung des Datenschutzes.
Natascha Meyer