20,99 €
Mehr erfahren.
- Herausgeber: C. H. Beck
- Kategorie: Fachliteratur
- Sprache: Deutsch
Das nötige Wissen für den Datenschutzbeauftragten
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Veröffentlichungsjahr: 2026
Ähnliche
Zum Inhalt
Aus dem Inhalt
Datenschutzrechtliche Grundlagen (Verarbeitungstatbestände, Auskunftsund Korrekturrechte des Betroffenen, Datensicherheit, Datenvermeidung und Datensparsamkeit, Datenschutzbeauftragte etc),
Datenschutz in der Personalabteilung/ Arbeitnehmerdatenschutz (Bewerbung, Personalakte, Nutzung von Internet und E-Mail, Telefondaten, Videoüberwachung, Ortungssysteme usw),
Marketing und Werbung (Kundenund Interessentendaten, Online- Marketing, Adressbroking, Web 2.0 und Social Media, Künstliche Intelligenz und ChatGPT etc),
Datenverarbeitung im Auftrag und Technische Organisatorische Maßnahmen/Datensicherheit sowie Datenschutz-Grundverordnung (DS-GVO) und datenschutzkonforme Unternehmensdokumentation nach der DS-GVO.
Das nötige Wissen für den Datenschutzbeauftragten
Im Zeitalter der Digitalisierung und Künstlichen Intelligenz (KI) ist das Datenschutzrecht für jedes Unternehmen wichtig: Kein Unternehmen kann es sich leisten, die Compliance im Datenschutz nicht sicherzustellen, da ansonsten Bußgelder drohen. Zunehmend wird es aber auch schwieriger, Kunden zu gewinnen, die ihrerseits die Compliance im Datenschutz bei ihren Zulieferern kontrollieren.
Das vorliegende Buch verfolgt das Ziel, Sie dabei zu unterstützen, die richtigen Datenschutz-Entscheidungen in Ihrem Unternehmen zu treffen. Mit einer praxisnahen Darstellung erhalten Sie wertvolle Einblicke in die Komplexität des Datenschutzes im digitalen Zeitalter. Auf die Besonderheiten und Herausforderungen von Künstlicher Intelligenz im Datenschutz wird in einem gesonderten Abschnitt detailliert eingegangen. Indem Sie den hier angeführten Tipps und Empfehlungen konsequent folgen, werden Sie in der Lage sein, potenzielle Fallstricke zu vermeiden und Ihr Unternehmen in Übereinstimmung mit den aktuellen Datenschutzbestimmungen auszurichten.
Zum Autor
Dr. Georg F. Schröder ist Rechtsanwalt in München (www.legaldata.law). Er hat sich auf Datenschutzrecht spezialisiert und betreut als Datenschutzbeauftragter namhafte Banken sowie Versicherungen. Daneben beschäftigt er sich mit neuen Technologien, insbesondere im Bereich Künstliche Intelligenz und Machine Learning, auch im Zusammenhang mit den Compliance-Anforderungen der KIVerordnung.
„Es gelingt dem Autor aufzuzeigen, welche Schwierigkeiten Verantwortliche vermeiden können, wenn Sie von vornherein datenschutzkonformorganisiert sind. Das Buch bietet auch viele Musterformulierungen wie z. B. zum Thema Internet und E-Mail Policy sowie zu Betriebsvereinbarungen.“
Friedhelm Hagen, ZfF in ZfF Zeitschrift für das Forsorgewesen 7/2022 zur Vorauflage
Beck im dtv
Datenschutzrecht
für die Praxis
Grundlagen · Datenschutzbeauftragte Audit · Handbuch · Haftung etc
Von Dr. Georg F. Schröder, LL.M., Rechtsanwalt in München
6. Auflage
VVorwort – Datenschutz eine dynamische Rechtsmaterie am Puls der Zeit
Kaum ein anderes Rechtsgebiet hat in den letzten Jahren mehr an Bedeutung gewonnen als das Datenschutzrecht. Während dieses Spezialgebiet früher ein gewisses Schattendasein geführt hat, kommt heute kein Unternehmen mehr ohne ein solides Fundament im Datenschutz aus. Hierfür gibt es im Wesentlichen drei Gründe.
Erstens: Unsere Welt wird immer digitaler. Während früher noch klassische Papierakten und Karteikarten geführt wurden, kommt heute kaum ein Unternehmen mehr ohne Datenbanken und Customer Relationship Management Systeme aus: Spätestens mit dem iPhone haben datengestützte Dienste Einzug in unseren Alltag gefunden. Mit Beginn des Zeitalters der künstlichen Intelligenz, die spätestens mit der Markteinführung von ChatGPT Ende 2022 auch auf breiter Ebene begann, scheint die vollständige Digitalisierung unsers Alltags nicht mehr zu stoppen. Der explosionsartige Anstieg von KI Systemen in Unternehmen führt dabei auch zu völlig neuen datenschutzrechtlichen Anforderungen. Zweitens: Personenbezogene Daten stellen einen wesentlichen Unternehmenswert dar. Die Detailtiefe, mit der personenbezogene Kundendaten analysiert und ausgewertet werden können, hat ein bislang nie bekanntes Maß erreicht. Das gilt auch und gerade für personenbezogene Daten und lässt sich gut am Unternehmenswert von FacebookMETA (betreibt Facebook, Instagram und WhatsApp) verstehen, der insbesondere wegen dieser Daten im Jahr 2025 mit ca. 1,9 Mrd. EUR bewertet wurde. Kunden von Amazon wissen: Es ist fast beängstigend, wie anhand der Daten des Kaufverhaltens eines Kunden Produktempfehlungen für zukünftige Kaufempfehlungen ausgesprochen werden. Viele der empfohlenen Bücher und CDs hat man in Echt schon längst im Schrank stehen! Drittens: In unserer digitalen Welt wird das Wirtschaftsgut Daten immer öfter mit krimineller Energie angegriffen und ausgespäht. Mittlerweile vergeht fast kein Tag, an dem nicht über einen neuen Datenschutzskandal berichtet wird. Unternehmen VIzahlen an höchst professionell organisierte Clans hohe Millionenbeträge, um nach einem Ransomware Angriff wieder an Ihre Daten zu kommen und einer Offenlegung dieser Daten im Internet zu entgehen.
Neue Entwicklungen in der Rechtsprechung des Europäischen Gerichtshofs, wie etwa das Schrems II Urteil (Rechtssache C-311/18 „Schrems II“), aber auch die wichtigen Entscheidungen des BGH zu Facebook (I ZR 186/17 v. 27.3.2025, und VI ZR 10/24 v.
18.11.2024,) und dem BAG zu Workday (BAG 8 AZR 209/21 v. 8.5.2025) führen zu einer sich ständig verändernden dynamischen Rechtslage und erfordern eine ständige Prüfung und Anpassung der betrieblichen Datenschutzkonzepte.
Deshalb ist die Beurteilung vieler aktueller und gesetzlich nicht im Detail geregelter Fragen der Auslegung durch die Datenschutzbehörden überlassen. Kommt ein Unternehmen bei diesen Behörden zB durch viele Kundenbeschwerden im Bereich Datenschutz in den Fokus, drohen mittlerweile empfindliche Bußgelder, die bei den bislang größten Verfahren in Deutschland bei notebooksbilliger.de AG, Deutsche Wohnen SE und H&M bei Bußgeldbeträgen in zweistelliger Millionenhöhe lagen. In den letzten Jahren wurden in Europa sogar noch höhere Bußgelder gegen große Technologieunternehmen verhängt. Ein Beispiel dafür ist Amazon Europe Core S.à r.l, das in Belgien mit einer Strafe von 746 Mio. EUR belegt wurde. Ein weiteres Beispiel ist der Facebook-Konzern, der 2023 in Irland sogar mit einer Strafe von 1,2 Mrd. EUR bestraft wurde.
Um dies bei Ihrem Unternehmen zu vermeiden, soll Ihnen das vorliegende Werk helfen. Es wurde dabei bewusst eine praxisnahe Darstellung gewählt, die auch für den Nichtfachmann und Neuling im Datenschutz verständlich und nachvollziehbar ist. Konsequent angewandt werden Ihnen die Tipps und Empfehlungen dabei helfen, die schwersten Fehler im Datenschutz zu vermeiden und Ihr Unternehmen datenschutzkonform auszurichten. Dabei wünsche ich Ihnen und Ihrem Unternehmen viel Erfolg in einer digitalen Zukunft!
München, im August 2025
Georg Schröder
VIIInhaltsübersicht
Vorwort
Inhaltsverzeichnis
1. Kapitel Einleitung
2. Kapitel Datenschutzrechtliche Grundlagen
3. Kapitel Datenschutz in der Personalabteilung/Arbeitnehmerdatenschutz
4. Kapitel Marketing und Werbung
5. Kapitel Datenverarbeitung im Auftrag
6. Kapitel Technische Organisatorische Maßnahmen/Datensicherheit
7. Kapitel Die Datenschutz-Grundverordnung (DS-GVO)
8. Kapitel KI und Datenschutz
9. Kapitel Die datenschutzkonforme Unternehmensdokumentation nach der DS-GVO
Sachverzeichnis
IXInhaltsverzeichnis
Vorwort – Datenschutz eine dynamische Rechtsmaterie am Puls der Zeit
Inhaltsübersicht
1. Kapitel Einleitung
I. Datenschutz – Historie und Ausblick
1. Geburtsstunde des Datenschutzes: Das Volkszählungsurteil
2. Datenschutzskandale
3. Top 10 – Bußgelder in Europa
4. Ausblick
II. Wie Ihnen dieses Buch hilft
1. Aufbau
2. Checklisten/Muster und Beispiele
3. Datenschutzrechtliche Musterdokumentation
2. Kapitel Datenschutzrechtliche Grundlagen
I. Was ist Datenschutz?
1. Datensubjekt und Informationelle Selbstbestimmung
2. Personenbezogene Daten – was zählt dazu?
3. Verarbeitungstatbestände
4. Gesetzliche Grundlagen
5. Datenschutzrechtliche Grundsätze
a) Verbot mit Erlaubnisvorbehalt
b) Auskunfts- und Korrekturrechte des Betroffenen
c) Datensicherheit
d) Rechtliche Risiken und Sanktionen
e) Datenvermeidung und Datensparsamkeit/Privacy by Default und Privacy by Design
f) Kontrolle/Der Datenschutzbeauftragte
II. Gesetzgeberische Aktivitäten
X
1. Datenschutzreform 2009/Inkrafttreten der DS-GVO 2018
a) Informationspflichten gemäß Art. 33 DS-GVO
b) Datensparsamkeit und Anonymisierung
c) Datenschutzbeauftragter
d) Auftragsdatenverarbeitung
e) Direktmarketing ohne Einwilligung
f) Direktmarketing mit Einwilligung
g) Stärkung der Position der Aufsichtsbehörden
2. Arbeitnehmerdatenschutz
III. Neue Risikosituation durch aktuelle Urteile
1. BGH, Urt. v. 27. März 2025 – I ZR 186/17 (Facebook Fanpages II)
2. BGH, Urt. v. 18. November 2024 – VI ZR 10/24 (Facebook-Schadensersatz)
3. BAG, Urt. v. 8. Mai 2025 – 8 AZR 209/21 (Workday)
3. Kapitel Datenschutz in der Personalabteilung/Arbeitnehmerdatenschutz
I. Bewerberdaten und Bewerbungsprozess
1. Welche Daten dürfen erhoben werden?
a) Immer zulässig: Stammdaten
b) Verarbeitung besonderer Kategorien personenbezogener Daten
c) Vorstrafen
d) Schwerbehinderung und Krankheiten
e) Gewerkschaftszugehörigkeit
f) Religiöse Überzeugung
g) Soziale Netzwerke
h) COVID-Impfstatus
2. Medizinische Untersuchungen und Eignungstests
a) Medizinische Untersuchungen
b) Eignungstests
3. Speicherdauer/Regelfristen
4. Weitergabe personenbezogener Daten im Konzern
XI
5. Online-Bewerbungen/Software für Bewerbermanagement
6. Personalberater
II. Arbeitsvertrag/Erforderliche Unterlagen
1. Zwingend: Verpflichtung auf das Datengeheimnis
2. Konzernprivileg
3. Merkblatt Datenschutz
III. Datenspeicherung im Arbeitsverhältnis
1. Umfang der Verarbeitung
a) Grundsätze
b) Einzelfälle
2. Übermittlung an Dritte
3. Übermittlung ins Ausland
4. Löschung und Sperrung
5. Löschung nach Beendigung des Arbeitsverhältnisses
IV. Personalakte
1. Gesetzliche Rahmenbedingungen
2. Datenschutzrechtlich zu beachten
a) Zugriff auf die Personalakte
b) Inhalte
c) Rechte des Arbeitnehmers
d) Datensicherheit
V. Nutzung von Internet und E-Mail
1. Rechtslage bei Gestattung privater Internet- und E-Mail-Nutzung
a) TTDSG
b) Zusätzlich: Arbeitnehmerdatenschutz nach der DS-GVO
2. Rechtslage bei Verbot privater Internet- und E-Mail-Nutzung
3. Ansprüche des Arbeitnehmers
4. Wichtig: Regeln der Internet- und E-Mail-Nutzung
a) Regelung in Internet- und E-Mail-Policy
b) Muster einer Internet-Policy
c) Regelung in einer Betriebsvereinbarung
d) Muster einer Betriebsvereinbarung Internet- und E-Mail-Nutzung
e) Checkliste: Internet- und E-Mail-Policy
VI. Nutzung von Telefondaten
1. Allgemeine Grundsätze sowie Gespräche mit einer Interessenvertretung
2. Call-Center und telefonische Kundenbetreuung
VII. Datenschutz und Betriebsrat
1. Geltung der DS-GVO für den Betriebsrat
2. Datenschutz im Betriebsrat
VIII. Videoüberwachung
1. Videoüberwachung im öffentlichen Betriebsgelände
2. Videoüberwachung im nicht-öffentlichen Betriebsgelände
3. Videoüberwachung in Rückzugsflächen
4. Aufbewahrungsfristen
IX. Ortungssysteme
X. Biometrische Verfahren
XI. Datenerhebung bei Straftaten und Pflichtverletzungen
1. Grundsatz: Erhebung von Daten nur mit Kenntnis
2. Voraussetzungen der Datenerhebung
3. Zweckgebundenheit/Verhältnismäßigkeit
4. Zeitliche und technische Einschränkungen
XII. Datenschutzrechtliche Haftung und Strafbarkeit
XIII. Anonymisierter Abgleich von Daten
1. Straftaten und Pflichtverletzungen
2. Anonymisierte oder pseudonymisierte Nutzung
XIV. Unterrichtungspflicht bei Datenpannen sowie Beschwerderecht
XV. Mitarbeiterschulungen
XVI. Der Datenschutzbeauftragte
1. Pflicht zur Bestellung
XII
2. Fachkunde und Zuverlässigkeit
3. Datenschutzbeauftragter und Betriebsrat
4. Datenschutzbeauftragter und Führungspositionen
5. Bestellung des Datenschutzbeauftragten
6. Aufgaben des Datenschutzbeauftragten
7. Abberufung
8. Haftung
9. Interner und externer Datenschutzbeauftragter
XVII. Datenschutz bei Unternehmensverkäufen
XVIII. Praxischeckliste
4. Kapitel Marketing und Werbung
I. Kunden- und Interessentendaten
1. Grundsätze
2. Informationspflichten
3. Möglichkeiten und Grenzen des CRM
a) Nutzungsprofile
b) CRM in der Praxis
II. Online-Marketing
1. Internetauftritt
a) Impressum
b) Cookie Hinweis/Consent Management zu Cookies
c) Consent Management/Cookie Einwilligung
d) Konkrete Umsetzung
e) Datenschutzerklärung
2. Leadgenerierung
a) Datenschutzrechtliche Einwilligung immer erforderlich
b) Inhalt
c) Koppelungsverbot
d) Wettbewerbsrechtliche Einwilligung
e) Confirmed Opt-In
3. Analyse des Nutzerverhaltens im Internet
a) Online Nutzungsprofile/Düsseldorfer Kreis
b) Google Analytics
XIV
III. Adressbroking
1. Grundsätze
2. Widerspruchsrecht/Hinweispflicht
3. Verträge mit Adressbrokern
IV. Dienstleister und Agenturen
1. Verpflichtung auf das Datengeheimnis
2. Datenauftragsverarbeitung
V. Web 2.0 und Social Media
1. Datenschutzniveau der jeweiligen Netzwerke
2. Datenschutzrechtliche Aspekte im Unternehmen
3. Social-Media-Policy
4. Facebook Fanpages/EUGH Urteil
VI. Künstliche Intelligenz und ChatGPT
1. Ausgangssituation
2. Empfehlung aus Praxissicht
a) Umgang mit vertraulichen Informationen/Betriebsgeheimnissen
b) Umgang mit personenbezogenen Daten
c) Umgang mit diskriminierenden, schädlichen und irreführenden Antworten
d) Urheberrechtsverletzungen
e) KI-Scanner
f) Persönlichkeitsrechte
g) Schulung der Mitarbeiter
VII. Praxischeckliste
5. Kapitel Datenverarbeitung im Auftrag
I. Überblick
II. Definition/Vorliegen der Datenverarbeitung im Auftrag
III. Rechtsfolgen
1. Überprüfung der technischen organisatorischen Maßnahmen
XV
a) Erstauswahl
b) Erstkontrolle/Vorabkontrolle
c) Regelmäßige Kontrolle
2. Vertragsinhalte
Checkliste Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO
IV. Auslandsbezug
1. Systematik
2. Kein Drittland (Beispiel Frankreich)
3. Drittland mit angemessenem Datenschutzniveau (Beispiel Schweiz)
4. Sonderfall USA
a) Vor dem Safe-Harbor-Urteil/Schrems I
b) Privacy Shield
c) Schrems II Urteil
d) Aktuelle Entwicklungen: Bußgeld gegen Meta
e) TADAP-Framework
5. Drittland ohne angemessenes Datenschutzniveau (Beispiel Russland)
6. EU-Standardvertragsklausel
7. Überblick
V. Cloud-Computing
1. Technische Hintergründe und Begriffsdefinition
2. Datenschutzrechtliche Bewertung
6. Kapitel Technische Organisatorische Maßnahmen/Datensicherheit
I. Datenschutz und Datensicherheit
1. Grundsätze
2. Zunahme der Cyberkriminalität
3. Gesetzliche Rahmenbedingungen
II. Auditierungen
1. Alternativen
2. Einzelne IT-Sicherheitskonzepte
a) IT-Grundschutzkatalog
XVI
b) CobiT
c) ISO 9000
d) ISO/IEC 17799 und BS 7799
III. Umsetzung in der Praxis
1. Dokumentation technisch-organisatorischer Maßnahmen
2. IT-Security-Policy
7. Kapitel Die Datenschutz-Grundverordnung (DS-GVO)
I. Überblick
1. Sinn und Zweck
2. Systematik: Ein einheitlicher Rechtsrahmen
3. Öffnungsklauseln
II. Wichtigste Regelungen
1. Ausweitung der Interessenabwägung
2. Internationale Datentransfers und EU-Standardvertragsklauseln
3. Datenschutzbeauftragter
4. Auftragsverarbeitung
5. Datenschutz-Folgenabschätzung
6. Technisch-organisatorische Maßnahmen nach der DS-GVO
7. Meldepflichten
8. Hohe Geldbußen nach der DS-GVO
III. Öffnungsklauseln und nationale Umsetzung
8. Kapitel KI und Datenschutz
I. Technischer Hintergrund und Überblick
II. Verzahnung von KI-VO und Datenschutzrecht
1. Abgrenzung zur KI-VO
2. Überblick der Pflichten des Unternehmens beim Einsatz von KI
XVII
III. Datenschutz Compliance Prüfung eingesetzter Systeme
IV. KI-Richtlinie Datenschutz
9. Kapitel Die datenschutzkonforme Unternehmensdokumentation nach der DS-GVO
I. Überblick und Problemstellung
II. Verzeichnis von Verarbeitungstätigkeiten
1. Gesetzliche Voraussetzungen
2. Umsetzung in der Praxis
III. Datenschutzrichtline/Löschkonzept
IV. Datenschutz-Folgenabschätzung
V. Sonstige Dokumentation
Sachverzeichnis
11. KapitelEinleitung
I. Datenschutz – Historie und Ausblick
1. Geburtsstunde des Datenschutzes: Das Volkszählungsurteil
Bereits im Jahr 1970 wurde das erste deutsche Gesetz zum Datenschutz erlassen: Das 1. Hessische Datenschutzgesetz (HDSG, GVBl. I 1970, 625). Auch wenn es bereits in den sechziger Jahren in den USA unter der Regierung von John F. Kennedy Diskussionen zum Thema „Privacy“ gab, stellte das HDSG das auch weltweit erste Gesetz zum Datenschutz dar. Deutschland war auf dem Gebiet der Gesetzgebung also weltweiter Vorreiter, auch wenn der praktische Anwendungsbereich dieses Gesetzes sich damals noch auf die öffentliche Hand beschränkte. Das war wohl auch darauf zurückzuführen, dass die elektronische Datenverarbeitung im privaten Bereich de facto noch nicht vorhanden war und ein damit bestehendes Bedrohungs- und Missbrauchspotential überwiegend im Bereich der öffentlichen Verwaltung vermutet wurde.
Nachdem weitere Bundesländer eigene Datenschutzgesetze erlassen hatten, sah sich der Gesetzgeber auf Bundesebene veranlasst, einen einheitlichen Rahmen für den Regelungsbereich des Datenschutzes zu schaffen und erließ im Jahr 1977 das erste Bundesdatenschutzgesetz (BDSG). Deutschland hatte somit lange Zeit vor der Ausbreitung 2der elektronischen Datenverarbeitung ein umfassendes Regelwerk zum Datenschutz. Die Anwendung dieses Gesetzes in der Praxis, aber auch die öffentliche Wahrnehmung war jedoch trotz dieser gesetzgeberischen Pionierarbeit sehr gering: Computer, Netzwerke und (erst recht) das Internet waren in Privathaushalten so gut wie noch nicht vorhanden. Im großen Stile erfolgte die elektronische Datenverarbeitung lediglich im Bankensektor und der öffentlichen Hand.
Dieser Zustand änderte sich schlagartig mit dem sogenannten „Volkszählungsurteil“, welches vom Bundesverfassungsgericht am 15.12.1983 verkündet wurde (BVerfGE 65, 1). Zu Recht wird dieses Urteil, dessen Grundsätze bis heute Auswirkungen auf das Datenschutzrecht in Deutschland haben, als „Geburtsstunde des Datenschutzes“ bezeichnet:
Gegenstand des Volkszählungsurteils war eine vom deutschen Gesetzgeber geplante umfassende Volks-, Berufs-, Wohnung- und Arbeitsstättenzählung auf Grundlage des sogenannten Volkszählungsgesetzes (BGBl. I 1982, 369). Da die elektronische Datenverarbeitung in den 80er Jahren bereits recht fortgeschritten war und eine vermehrte Ausbreitung auch im privaten Bereich prognostiziert wurde, regte sich gegen die geplante Volkszählung weitreichender Widerstand.
Dieser war nicht nur auf politische Randgruppen beschränkt, sondern zog sich durch weite Bereiche der gesamten Öffentlichkeit, was wohl auch darauf zurückzuführen war, dass durch die Volkszählung erstmals jeder Bundesbürger betroffen war und befragt wurde. Zu Protesten führte dabei vor allem, dass der Gesetzgeber nicht nur eine bloße Zählung der Bevölkerung vornehmen wollte, sondern darüber hinaus weitreichende, zum Teil sehr private Informationen abfragen wollte. Hierzu zählten unter anderem:
die Zugehörigkeit oder Nichtzugehörigkeit zu einer Religionsgemeinschaft;
…
die Quelle des überwiegenden Lebensunterhaltes;
…
Beteiligung am Erwerbsleben, Eigenschaft als Hausfrau;
…
die Stellung im Beruf und die ausgeübte Tätigkeit;
…
3die Förderung der Wohnung mit Mitteln des sozialen Wohnungsbaus;
…
(bei Betrieben) die Summe der Bruttolöhne und Gehälter des vorhergehenden Kalenderjahres.
…
Da sowohl die Bundes-, als auch die Länderregierungen das Gesetz und die Volkszählung als solche für zulässig und rechtmäßig hielten, war die Überraschung groß, als das Verfassungsgericht mit einem weitreichenden Grundsatzurteil auf zahlreiche eingegangene Verfassungsbeschwerden reagierte. Im Kern wurden weite Bereiche der geplanten Volkszählung für verfassungsrechtlich unzulässig erklärt. Neu war: Das Bundesverfassungsgericht sah erstmals im Datenschutz ein eigenes grundgesetzlich geschütztes Recht, in dem es die sogenannte informationelle Selbstbestimmung als verfassungsrechtliches Gut erkannte und umfassend begründete: Die Möglichkeiten der modernen Datenverarbeitung seien weithin nur noch für Fachleute durchschaubar und können beim Staatsbürger die Furcht vor einer unkontrollierbaren Persönlichkeitserfassung selbst dann auslösen, wenn der Gesetzgeber lediglich solche Angaben verlangt, die erforderlich und zumutbar sind. Deshalb steht dem Bürger ein Recht auf informationelle Selbstbestimmung zu, welches verfassungsrechtlich im Recht auf das allgemeine Persönlichkeitsrecht (APR), also Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG begründet ist.
In den deutlichen Worten des Bundesverfassungsgerichts:
„Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. […] Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist. Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, 4Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“
Das Volkszählungsurteil führte zu weitreichenden Veränderungen in der Gesetzgebung und später auch zu einer Novellierung des Bundesdatenschutzgesetzes im Jahre 1995. Der Datenschutz ist seit diesem Zeitpunkt ein wichtiger Bestandteil der Gesetzgebung und es ist auch für das heutige Verständnis und der Interpretation datenschutzrechtlicher Vorschriften hilfreich, zu verstehen, worauf wesentliche Teile unserer datenschutzrechtlichen Bestimmungen beruhen: dem Widerstand der Bürger gegen eine extensive Erhebung von Daten durch den Staat und einer hierauf ergangenen Entscheidung des Bundesverfassungsgerichts, welches jedem einzelnen Bürger ein Recht auf informationelle Selbstbestimmung einräumt.
2. Datenschutzskandale
Auch wenn das Bundesdatenschutzgesetz und weitere Spezialregelungen zum Datenschutz (zB im Bereich des Internets das damalige Teledienstedatenschutzgesetz) in der Gesetzgebung fest verankert waren, führte der Datenschutz in den neunziger Jahren in der unternehmerischen Praxis eher ein Schattendasein. Selbst wenn den Unternehmen bewusst war, dass datenschutzrechtliche Vorgaben erfüllt werden müssen, wurden diese zum Teil lediglich pro forma oder auch überhaupt nicht umgesetzt. Grund hierfür war auch, dass die Datenaufsichtsbehörden zum Teil personell nicht sehr stark besetzt waren, eine Verfolgung von Ordnungswidrigkeiten nicht sehr wahrscheinlich war und eine derartige Verfolgung sich im Regelfall auf gravierende und vorsätzlich begangene Verstöße beschränkte.
Mit Einführung der DS-GVO im Jahr 2018 erhöhte sich der Bußgeldrahmen für Datenschutzverstöße aber erheblich: Für die im Gesetz unter Art. 83 Abs. 5 DS-GVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Mio. EUR 5oder im Fall eines Unternehmens bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist.
In jüngster Vergangenheit rückte das Thema der Bußgelder im datenschutzrechtlichen Bereich jedoch vermehrt in den Blickpunkt der Öffentlichkeit: Zahlreiche Datenschutzskandale mit zum Teil hohen Bußgeldern und verheerender Außenwirkung auf die betroffenen Unternehmen führten dazu, dass das Thema nunmehr auch von den Unternehmen selbst als essenzielle Unternehmensaufgabe wahrgenommen wurde.
notebooksbilliger.de AG (Bußgeld in Höhe von 10,4 Mio. EUR):
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat am 8.1.2021 eine Geldbuße über 10,4 Mio. EUR gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte nach der Auffassung der Behörde über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die vermeintlich unzulässigen Kameras erfassten dabei unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.
Das Unternehmen hatte sich im Verfahren darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss ein Unternehmen nach der Auffassung der Behörde aber zunächst mildere Mittel prüfen (zB stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten sei zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Bei notebooksbilliger.de war die Videoüberwachung aber nach Ansicht der Behörde weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.
H&M (Bußgeld in Höhe von 35,4 Mio. EUR): Auch die weltweit agierende Modefirma H&M verstrickte sich im vergangenen Jahr in einen weitreichenden Datenschutzskandal:
6Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) am 1.10.2020 einen Bußgeldbescheid in Höhe von 35.258.707,95 EUR gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.
Nach der Ansicht der Behörde kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich nach Angabe der Behörde einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung unter anderem genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen, weswegen die Behörde sich veranlasst sah, das bislang höchste Bußgeld in Deutschland zu verhängen.
Deutsche Wohnen SE (Bußgeld in Höhe von 14,5 Mio. EUR): Am 30.10.2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Mio. EUR wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen. Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene 7Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie zB Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.
Meta/Facebook: Die Firma Facebook hat der Firma Cambridge Analytica im Jahr 2016 unerlaubt Zugang zu Daten von Mio. Facebook-Profilen verschafft. Mit Hilfe dieser Daten sollen Wähler im US-Präsidentschaftswahlkampf zugunsten von Donald Trump mit unerlaubter Wahlwerbung beeinflusst worden sein – was jedoch auch nach den neuesten Enthüllungen nicht endgültig bewiesen werden konnte. Facebook hatte sich nach einem Verhör des Gründer Mark Zuckerberg vor dem US-Kongress für den Skandal entschuldigt und versprochen, Konsequenzen zu ziehen. Wegen dieses Vorfalls wurde im Mai 2023 ein Bußgeld gegen den Mutterkonzern Meta in Höhe 1,2 Mrd. EUR erlassen: Die irische Datenschutzkommission (DPC) ist hier der Ansicht, dass Meta große Mengen personenbezogener Daten europäischer Facebook-Nutzer in die Vereinigten Staaten übertragen hat, ohne angemessene Schutzmaßnahmen gegen die datenüberwachenden Praktiken der US-Regierung zu ergreifen. Diese Verletzung der Datenschutzbestimmungen hat zur bisher höchsten Geldstrafe im Rahmen der DS-GVO geführt. Die irische Datenschutzbeauftragte erklärte, dass die Verwendung von Standardvertragsklauseln durch Meta zur Übertragung von Daten in die USA nicht ausreicht, um die Risiken für die Grundrechte und -freiheiten der europäischen Facebook-Nutzer zu beseitigen, wie sie durch das Schrems II Grundsatzurteil des höchsten Gerichts der Europäischen Union aufgeworfen wurden. Es wurde festgestellt, dass Meta personenbezogene Daten, darunter auch an US-Sicherheitsdienste, weitergeleitet hat.
1&1 Telecom GmbH (Bußgeld in Höhe von 900.000 EUR): Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH am 89.12.2019 mit einer Geldbuße in Höhe von 900.000 EUR belegt. Das Bußgeld betrug ursprünglich sogar 10 Mio. EUR wurde aber später vom Landgericht Bonn auf 900.000 EUR reduziert.
Das Unternehmen hatte nach Ansicht der Behörde keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 EUR gegen die Rapidata GmbH aus.
Im Fall von 1&1 Telecom GmbH hatte die Behörde davon Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sah die Behörde einen Verstoß gegen Art. 32 DS-GVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
Auch in Europa sind in den letzten beiden Jahren die Bußgelder stark angestiegen, was ein Blick auf die Top 10 der europäischen Bußgelder für Datenschutzverstöße zeigt:
3. Top 10 – Bußgelder in Europa
Rang
Land
Datum
Höhe Bußgeld
Empfänger
Vorschrift
1
IRLAND
12.5.2023
1.200.000.000 EUR
Meta Platforms Ireland Limited
Art. 46 (1) DS-GVO
2
LUXEMBURG
16.7.2021
746.000.000 EUR
Amazon Europe Core S.à.r.l.
Art. 46 (1) DS-GVO
3
LUXEMBURG
2.5.2025
530.000.000 EUR
TikTok Technology Limited
Art. 13 (1) DS-GVOArt. 46 (1) DS-GVO
4
IRLAND
5.9.2022
405.000.000 EUR
Meta Platforms, Inc.
Art. 5 (1) a),c) DS–GVO, Art. 6 (1) DS-GVO, u. a.
95
IRLAND
4.1.2023
390.000.000 EUR
Meta Platforms Ireland Limited
Art. 5 (1) a) DS-GVO, Art. 6 (1) DS-GVO, u. a.
6
IRLAND
24.1.2023
345.000.000 EUR
TikTok Technology Limited
Art. 13 (1) DS-GVOArt. 46 (1) DS-GVO
7
IRLAND
24.10.2024
310.000.000 EUR
Art. 5 (1) a) DS-GVO, Art. 6 (1) a), e), f) DS-GVO, Art. 13 (1) c) DS-GVO, Art. 14 (1) c) DS-GVO
8
NIEDERLANDE
22.7.2024
290.000.000 EUR
Uber Technologies Inc., Uber B.V.
Art. 44 GDPR
9
IRLAND
25.11.2022
265.000.000 EUR
Meta Platforms Ireland Limited
Art. 25 (1), (2) DS-GVO
10
IRLAND
2.9.2021
225.000.000 EUR
WhatsApp Ireland Ltd.
Art. 5 (1) a) DS-GVO, Art. 12 DS-GVO, u. a.
4. Ausblick
Aktuell wird in den Medien nahezu wöchentlich über neue Datenschutzskandale berichtet. Das Thema ist seit dem Inkrafttreten der DS-GVO in weiten Teilen der Öffentlichkeit präsent und auch der Gesetzgeber versucht, mit der Digitalisierung Schritt zu halten.
Im Wesentlichen sprechen drei Gründe dafür, dass der Bereich Datenschutz in der Zukunft immer mehr an Bedeutung für Unternehmen gewinnen wird.
Erstens: In einer zunehmend digitalisierten Welt wird der Missbrauch von Daten immer größer werden. Hierzu zählen nicht nur fahrlässig begangene Ordnungswidrigkeiten von Unternehmen (wie in den oben gezeigten Datenschutzskandalen), sondern auch Cyber-10Crime, wie zB das Ausspionieren von Kontodaten (Phishing) und vor allem aktuell die immer größere werdende Bedrohung im Bereich der Ransomware Attacken.
Zweitens: Durch diesen zunehmenden Missbrauch und die damit einhergehenden Datenschutzskandale wird die Sensibilität in der Öffentlichkeit für das Thema Datenschutz immer größer werden. Ein gutes Beispiel ist hier der Dienst Google-Street View, welcher in Medien, Politik und Öffentlichkeit ausgiebig diskutiert wurde. Der Wandel in der öffentlichen Wahrnehmung ist auch auf Unternehmerseite von Bedeutung: Es wird dort immer wichtiger werden, das eigene Unternehmen als datenschutzkonform am Markt zu präsentieren. Dies gilt insbesondere für internetbasierte Geschäftsmodelle, bei denen es unerlässlich ist, das Vertrauen der User zu gewinnen. Die Praxis zeigt hier vor allem wegen der stark angestiegenen Bußgelder, dass gerade größere Unternehmen keine Aufträge an Zulieferer ohne eine intensive Complianceprüfung im Datenschutz mehr vergeben.
Drittens: Im Ergebnis wird der Gesetzgeber durch den Missbrauch und eine veränderte mediale Wahrnehmung neue Regelungen im Bereich Datenschutz erlassen.
Als Ausblick lässt sich somit festhalten, dass es für Unternehmen in der Zukunft immer wichtiger sein wird, datenschutzkonform zu arbeiten und alle gesetzlichen Voraussetzungen im Bereich Datenschutz zu erfüllen. Diese Anforderungen werden in Zukunft aufgrund einer höheren Regelungsdichte immer umfassender und komplexer werden. Gleichzeitig wird die Überwachung durch die Datenschutzbehörden zunehmen. Zusammen mit einer wachsenden Zahl an Beschwerden bei den Datenschutzbehörden führt dies zu einem erhöhten Bußgeldrisiko für Unternehmen.
Zusammengefasst:
Ein hohes Niveau im Datenschutz wird zukünftig nicht mehr lästiger Formalismus, sondern wesentliche Kernaufgabe eines jeden Unternehmens sein. Größere Unternehmen vergeben Aufträge an oft nur noch nach einer intensiven Prüfung des Datenschutzes beim Zulieferer. Aus diesem Grunde ist es auch für kleinere und 11mittelständische Unternehmen unerlässlich die Einhaltung datenschutzrechtlicher Regelungen sicherzustellen.
II. Wie Ihnen dieses Buch hilft
1. Aufbau
Es ist nahezu in allen Unternehmensbereichen erforderlich, auf die Umsetzung der einschlägigen Gesetze zum Datenschutz zu achten. An einem Beispiel verdeutlicht: Es ist offensichtlich, dass beim Adressbroking der Datenschutz eine Rolle spielt. Oftmals ist aber der Anwendungsbereich einer Vorschrift nicht unmittelbar erkennbar und die Behörden legen datenschutzrechtliche Vorschriften eng aus. So wurde das weit verbreitete Tool Google-Analytics von den Datenschutzbehörden oft als datenschutzwidrig angesehen, wenn es nicht den gesetzlichen Anforderungen entsprechend eingesetzt wurde.
Für den datenschutzrechtlichen Laien ist es deshalb extrem schwer, sich in der Vielzahl der spezifischen Gesetze zurecht zu finden und ein Großteil der Literatur (vor allem Gesetzeskommentare) orientiert sich in Aufbau und Struktur an den jeweiligen Gesetzestexten.
Um dem Leser eine möglichst praxisnahe Lösung an die Hand zu geben, weicht der vorliegende dtv-Rechtsberater hiervon ab, indem er sich ausschließlich an den Unternehmensprozessen in den jeweiligen Fachabteilungen orientiert. Dies sind:
Datenschutz in der Personalabteilung/Mitarbeiterdatenschutz,
Marketing und Werbung,
IT-Abteilung,
Einkauf und
Organisation/Verwaltung.
122. Checklisten/Muster und Beispiele
Innerhalb der jeweiligen Abteilung des Unternehmens werden die wichtigsten gesetzlichen datenschutzrechtlichen Anforderungen im Überblick dargestellt. Um eine möglichst praxisnahe Anwendung dieser Gesetze zu gewährleisten, endet jedes einzelne Kapitel mit einem Überblick der Anforderungen und Inhalte („Auf einen Blick“).
Sofern erforderlich und hilfreich, werden konkrete Formulierungsvorschläge für ein Vertragsmuster (zB für ein einzusetzendes Vertragsmuster beim Adressbroking) innerhalb des jeweiligen Kapitels vorgestellt.
Praxischecklisten, mit denen ein Unternehmen vollständig datenschutzrechtlich geprüft werden kann, schließen die jeweiligen Kapitel ab.
3. Datenschutzrechtliche Musterdokumentation
Schließlich finden Sie in Kapitel 8 eine vollständige Musterdokumentation, die Sie zur Umsetzung aller gesetzlichen Vorschriften in Ihrem Unternehmen benötigen.
132. KapitelDatenschutzrechtliche Grundlagen
I. Was ist Datenschutz?
1. Datensubjekt und Informationelle Selbstbestimmung
Grundlage des Datenschutzes ist der Schutz des sogenannten Datensubjekts in seinem Recht auf Informationelle Selbstbestimmung. Unter Datensubjekt kann man dabei – einfach gesagt – jeden Menschen aus „Fleisch und Blut“ verstehen. Nicht geschützt sind damit reine Unternehmensdaten, wie etwa Bilanzdaten einer Aktiengesellschaft oder GmbH.
Sinn und Zweck des Datenschutzes ist es damit, den Einzelnen vor einer missbräuchlichen Nutzung seiner personenbezogenen Daten zu schützen. Dies gilt insbesondere im Verhältnis zwischen Staat und Bürger („gläserner Bürger“). Das vorgenannte Verhältnis zur öffentlichen Hand wird in den sogenannten Landesdatenschutzgesetzen (zB Bayerisches Landesdatenschutzgesetz) geregelt. Der Missbrauch von Daten soll jedoch auch zwischen den Bürgern verhindert werden. Aus diesem Grund besteht eine Vielzahl von einfachgesetzlichen Regelungen, welche den Datenschutz, dh den Umgang mit personenbezogenen Daten zum Gegenstand haben. Das wichtigste Gesetz ist dabei die DS-GVO und das Bundesdatenschutzgesetz (BDSG). Es gibt aber noch zahlreiche weitere Spezialvorschriften, die den Datenschutz regeln, wie zB im Bereich der neuen Medien das Telemediengesetz (TMG).
14Wie bereits einleitend erwähnt, wird dieses Recht des Bürgers auf beschränkten Umgang mit seinen personenbezogenen Daten mit dem sogenannten Recht auf Informationelle Selbstbestimmung begründet, welches seinerseits auf das Volkszählungsurteil zurückgeht.
Gegenstand des Datenschutzrechts ist also das Recht des Einzelnen, über die Verarbeitung, Erhebung und Speicherung seiner Daten frei zu bestimmen.
2. Personenbezogene Daten – was zählt dazu?
Der Begriff „personenbezogene Daten“ wird in Art. 4 Nr. 1 DS-GVO definiert: Hierunter sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zu verstehen. Diese Person wird im Datenschutz auch als Betroffener bezeichnet. Eine Person ist immer dann bestimmbar, wenn die hierfür erforderlichen Daten aus allgemein zugänglichen Quellen ermittelt werden können.
An einem Beispiel verdeutlicht: Eine Unternehmens-E-Mail-Adresse stellt ein personenbezogenes Datum dar, da von der namentlichen Bezeichnung ausgehend und dem betreffenden Unternehmen aus allgemein zugänglichen Quellen (zB dem Internet) eine Person bestimmt werden kann.
Beispiele für personenbezogene Daten sind Name, Geburtstag, Adresse, Telefon- und Faxnummern, Kfz-Kennzeichen, Kontonummer, Versicherungs- oder Personalnummern, Berufsangaben oder Einkommensdaten.
Nicht in den Anwendungsbereich des Art. 4 Nr. 1 DS-GVO fallen Daten, die einer Person nicht zuzuordnen sind. Dies sind wie gesagt reine Unternehmensdaten (zB Umsatzzahlen eines Unternehmens). Diese Daten besitzen datenschutzrechtlich keinen Schutz. Es kann natürlich sein, dass diese Daten durch andere als die hier dargestellten datenschutzrechtlichen Vorschriften geschützt werden, beispielsweise als Betriebs- und Geschäftsgeheimnisse. Diese unterliegen zB dem strafrechtlichen Schutz nach §§ 203, 204 Strafgesetzbuch 15und des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG), welches die Richtlinie 2016/943/EU zum Schutz von Geschäftsgeheimnissen umsetzt.
Art. 9 DS-GVO gibt sogenannten besonderen personenbezogenen Daten in bestimmten Regelungen einen erhöhten Schutz. Diese können nur in begrenzten Ausnahmefällen zulässigerweise verarbeitet werden. Zu diesen personenbezogener Daten zählen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Wichtig ist: Diese besonderen Personenbezogenen Daten dürfen immer nur mit einer ausdrücklichen Einwilligung des Betroffenen verarbeitet werden.
Beispiel für personenbezogene Daten:
Adresse
Angaben als Kfz-Halter
Auftragsangaben
Bankguthaben
Berufsbezeichnung
Einkommensverhältnisse
Grundbesitz mit Grundbuch und Katasterangaben
IP-Adressen
Konfession
Krankheiten
Kreditdaten
Lieferkonditionen
Mitgliedschaften
Schulden
Straftaten
Vermögen
Vertragsverpflichtungen.
163. Verarbeitungstatbestände
Die Regelungen der DS-GVO sind immer dann anwendbar, wenn einer der sogenannten Verarbeitungstatbestände vorliegt: Wie schon bei der Einleitung zum Volkszählungsurteil dargestellt, steht der Schutz des Datensubjekts im Mittelpunkt des Datenschutzes. Deshalb sind die Verarbeitungstatbestände sehr weit gefasst. Denn: Keine verarbeitende Stelle soll sich darauf berufen können, dass eine Verarbeitung eigentlich gar nicht stattfindet, sondern zB nur eine kurze Zwischenspeicherung erfolgt.
Als „Verarbeitung“ (Überbegriff) gilt deshalb nach Art. 4 Nr. 2 DS-GVO:
die Erhebung,
die Verarbeitung (Speichern, Verändern, Übermitteln, Sperren und Löschen),
die Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen (sogenannte automatisierte Verarbeitung) sowie
die Erhebung, Verarbeitung und Nutzung in oder aus nicht automatisierten Dateien.
Die Terminologie der Datenverarbeitungsanlagen bezeichnet dabei nicht nur Computer und Laptops, sondern zu denken ist auch an iPhones, PDAs, Mobiltelefone und ISDN-Telefonanlagen. Mit dem Begriff „nicht automatisierte Dateien“ meint der Gesetzgeber zB Personalaktensysteme mit gleichartigem systematischem Aufbau, soweit sie nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können.
4. Gesetzliche Grundlagen
Im deutschen Rechtskreis existieren zahlreiche, zum Teil sehr komplexe Vorschriften.
Die DS-GVO und das BDSG sind als allgemeine Normen hierbei primär anzuwenden. Es folgen dann, im Wege der Spezialität, entweder 17auf das jeweilige Kommunikationsmittel oder auf die physische Übertragungsform abgestimmte Spezialvorschriften. Dies können beispielsweise sein:
TMG – Telemediengesetz,
Datenschutzgesetze der Länder
TKG – Telekommunikationsgesetz sowie
Spezialgesetze, wie zB Hochschulgesetz, Polizeigesetz, Passgesetz oder Personalausweisgesetz.
Welche Vorschrift im Einzelnen jeweils anwendbar ist und in welcher Rangfolge diese zu anderen Vorschriften steht, ist eine Frage des Einzelfalles. Aufgrund der Komplexität des Rechtsgebiets kann ein Nicht-Jurist in der Regel oft nur schwer beurteilen, welche Rechtsvorschrift tatsächlich Anwendung findet bzw. in welchem Anwendungsvorrang eine Vorschrift zu einer anderen steht. Für die Praxis ist deshalb die Kenntnis der folgenden datenschutzrechtlichen Grundsätze von Bedeutung, die als allgemein gültige Regeln meist ein valides Entscheidungsgerüst bilden.
5. Datenschutzrechtliche Grundsätze
Im Folgenden werden wichtige datenschutzrechtliche Grundsätze dargestellt. Dies sind:
Verbot mit Erlaubnisvorbehalt,
Auskunfts- und Korrekturrechte des Betroffenen,
Datensicherheit,
Rechtliche Risiken/Sanktionen,
Grundsatz der Datenvermeidung und Datensparsamkeit sowie
Zweckbindung.
a) Verbot mit Erlaubnisvorbehalt
Grundlegendes datenschutzrechtliches Prinzip ist das sogenannte Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass die Erhebung, Speicherung und Verarbeitung von Daten im Grundsatz immer unzulässig ist.
18Eine Zulässigkeit der Erhebung, Speicherung und Verarbeitung von Daten ergibt sich nur in zwei Alternativen: Entweder
das Datensubjekt hat der Erhebung, Speicherung und/oder Verarbeitung zugestimmt oder
es besteht eine gesetzliche Ausnahmevorschrift.
Trotz zahlreicher und zum Teil komplexer Rechtsvorschriften findet dieses datenschutzrechtliche Grundprinzip nahezu uneingeschränkt Anwendung. Dabei ist zu beachten, dass die Einwilligungen des Datensubjekts meist zusätzliche Formerfordernisse haben. An einem Beispiel verdeutlicht:
Nach Art. 7 DS-GVO ist eine Einwilligung in der Regel schriftlich zu erteilen:
Art. 7 DS-GVO Einwilligung:
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
Als Beispiel für eine Ausnahmevorschrift kann Art. 6 Abs. 1 b) DS-GVO genannt werden, welcher eine Verwendung von personenbezogenen Daten im Rahmen der Zweckbestimmung des Vertragsverhältnisses zulässt. Auf Grundlage dieser Ausnahmevorschrift ist es beispielsweise zulässig, dass der Arbeitgeber die personenbezogenen Daten seiner Arbeitnehmer speichern darf (Adresse, Religionszugehörigkeit, Sozialversicherungsnummer etc). Diese Daten sind zur ordnungsgemäßen Durchführung des Vertragsverhältnisses erforderlich und dürfen daher – in Ausnahme zum einleitend erwähnten Grundsatz – nach Art. 6 Abs. 1b) DS-GVO gespeichert werden.
Man kann diesen wesentlichen datenschutzrechtlichen Grundsatz plastisch am besten mit dem „Ampelmodell“ erklären:
19Personenbezogene Daten dürfen nicht verarbeitet werden – es gilt ein Verbot der Verarbeitung und die Ampel steht auf Rot.
Nur wenn entweder eine Einwilligung des Betroffenen oder ein gesetzlicher Ausnahmetatbestand vorliegt ist eine Verarbeitung der Daten zulässig – die Ampel steht auf Grün.
b) Auskunfts- und Korrekturrechte des Betroffenen
Ein wichtiges datenschutzrechtliches Prinzip stellen die Auskunfts- und Korrekturrechte des Betroffenen dar, die sich vor allem aus Art. 15 DS-GVO ergeben. Um dem Datensubjekt die Möglichkeit zu geben, sein Recht auf Informationelle Selbstbestimmung durchsetzen zu können, stehen umfangreiche Auskunfts- und Korrekturrechte zur Verfügung. Betroffene können jederzeit und uneingeschränkt Auskunft darüber erhalten, welche Daten über sie beim jeweiligen Unternehmen oder auch der öffentlichen Stelle gespeichert sind.
Sofern ein Recht zur Speicherung bei der betroffenen Stelle besteht, die Daten jedoch nicht korrekt erfasst sind, stehen dem Betroffenen Korrekturrechte zu. Darüber hinaus besteht ein Löschungsrecht, sofern die betroffene Stelle nicht ausdrücklich ein Recht zur Speicherung besitzt.
Zur Durchsetzung dieser Rechte kann sich das Datensubjekt auch an die zuständige Behörde wenden. Derartige Meldungen und Anfragen von einzelnen Betroffenen bei der Behörde können zu Bußgeldern oder sogar behördlichen Prüfungen bei den betroffenen Unternehmen führen.
c) Datensicherheit
Bei der Datensicherheit handelt es sich um eine Schnittmenge des Datenschutzes mit dem Bereich IT-Sicherheit, bzw. Informationssicherheit. Zum Teil wird diese Schnittmenge mit dem Datenschutz als solchem verwechselt, was so nicht korrekt ist, da eine andere Schutzrichtung vorliegt: Während der Datenschutz die Erhebung, Speicherung und Verarbeitung von Daten des Datensubjekts schützt, ist Gegenstand der Datensicherheit der Schutz vor Zugriff 20auf diese Daten von außen. Eine entsprechende Regelung findet sich in Art. 32 Abs. 1 DS-GVO. Das Gesetz gibt folgende Sicherheitsstandards vor:
Art. 32 Abs. 1 DS-GVO Technische und organisatorische Maßnahmen:
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
Diese Sicherheitsstandards sind vom Gesetzgeber bewusst wenig detailliert und offen gehalten, um größtmögliche Flexibilität in der Anwendungspraxis zu ermöglichen. Denn es liegt auf der Hand, dass bei einem mittelständischen Produktionsgewerbe, wie beispielsweise einer Bäckerei, ganz andere Anforderungen an die IT-Sicherheit zu stellen sind als bei einer Großbank. Die konkreten Anforderungen und deren Umsetzung in der Praxis werden in Ziff. II umfassend dargestellt.
21d) Rechtliche Risiken und Sanktionen
Beim Verstoß gegen datenschutzrechtliche Vorschriften drohen:
Bußgelder,
Geldstrafe, Freiheitsstrafe,
Schadensersatzanspruch,
Eingreifen der Aufsichtsbehörde,
Tätigwerden der Gewerbeaufsicht sowie
Abmahnungen durch einen Verbraucherschutzverband.
Hinzu kommen Schäden, welche durch die negative Darstellung des Unternehmens in der Öffentlichkeit entstehen (Imageschäden), die gerade bei größeren Konzernen sicher von ebenso großer Bedeutung wie Bußgelder sein können. Internet und Social-Media tragen dabei als schnelle und globale Medien dazu bei, dass User massenhaft und schnell von Datenschutzverstößen erfahren.
Hinsichtlich der Höhe gibt das Gesetz zunächst einen Bußgeldrahmen von bis zu 20 Mio. EUR und 4 % des weltweit erzielten Jahresumsatzes des Unternehmens vor. Dieser gilt für einen einzelnen Verstoß. In der Praxis können sich diese Bußgelder bei mehreren Verstößen – wie zB bei den Datenschutzverstößen im Beispiel oben S. 9 zu relativ hohen Beträgen kumulieren.
Seit der Einführung der DS-GVO haben Datenschutzbehörden zusätzlich die Möglichkeit einer Koppelung des Bußgeldes an den Umsatz des Unternehmens, was in Art. 83 DS-GVO gesetzlich verankert wurde. Diese Koppelung der Bußgelder an den Umsatz soll sicherstellen, dass ein zu verhängendes Bußgeld den durch den mit Hilfe des Datenschutzverstoßes erzielten Unternehmensgewinn in jedem Falle übersteigt. Diese Regelungssystematik erklärt die in der Einleitung dargestellten hohen Bußgelder gegen global tätige Social-Media Unternehmen aus den USA, die in jüngster Zeit bis zu 1,2 Mrd. EUR betrugen:
Art. 83 DS-GVO Bußgeldvorschriften:
(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens 22von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;
die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.
