Neue Datenschutzgrundverordnung – worauf muss ich achten?

Die Datenschutzgrundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft und macht damit die Vorschriften des Bundesdatenschutzgesetzes (BDSG) in weiten Teilen hinfällig. Damit ist die Kontroverse um den Datenschutz, welche ohnehin durch die Datenskandale der jüngsten Zeit intensiv geführt wird, weiter aufgeheizt worden. Um Klarheit zu schaffen, soll Ihnen der Text vermitteln, wann die Normen der DSGVO greifen und wie Daten legal verarbeitet werden können.

I. Was fällt alles unter die DSGVO?

Gleich zu Beginn der Datenschutzgrundverordnung wird der Anwendungs- und Schutzbereich des Gesetzes umrissen. Nach Art. 1 Abs. 1 enthält die Datenschutzgrundverordnung Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr derselben. Unter personenbezogene Daten fallen all jene Informationen, die über eine Person etwas aussagen. Dabei ist unerheblich, ob es sich um Einzelangaben persönlicher oder sachlicher Verhältnisse handelt. Ebenso kennt der Begriff „Personenbezogene Daten“ keine Differenzierung zwischen automatisierten und nicht automatisierten Informationen. So gesehen, fällt bereits der klassische Notizzettel mit einer Telefonnummer auf dem Schreibtisch unter die datenschutzrechtlichen Bestimmungen.

Was meint eigentlich Datenschutz? Der Begriff ist etwas irreführend und meint nicht den Schutz der Daten, sondern den der dahinter stehenden Person (Persönlichkeitsschutz). Die Datenschutzgrundverordnung dient vor allem dem Schutz und der Gewährleistung von Grundrechten. Die hierzu relevanten Grundrechte lauten: Recht auf Schutz personenbezogener Daten gemäß Art. 8 GrCH, Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GrCH und das Recht auf Privatsphäre gemäß Art. 8 EMRK.

Die Datenschutzgrundverordnung enthält Normen zur Verwendung personenbezogener Daten. Der Begriff löst die vormals in der BDSG verwendete Bezeichnung Umgang mit Daten ab. Inhaltlich ist dasselbe gemeint. Unter Verwendung fällt jeder personenbezogene Daten betreffende Vorgang, beginnend mit der Erhebung und endend mit dem Löschen etwaiger Daten. Der Verwendungsbegriff ist eine weitläufige Bezeichnung, einzelne Phasen der Verwendung werden im Unterschied zum BDSG nicht mehr definiert.

Die Datenschutzgrundverordnung hat im Vergleich zu anderen europarechtlichen Bestimmungen einen erweiterten räumlichen Anwendungsbereich. Vom europäischen Gesetzgeber wurde das sogenannte „Marktortprinzip“ eingeführt. Demnach ist die DSGVO auch für Auftragsverarbeiter verpflichtend, die keine Niederlassung in der EU besitzen, allerdings im Rahmen ihrer Tätigkeiten Daten von betroffenen Personen verarbeiten, die sich in der Union befinden. Aufgrund des Marktortprinzips fallen Unternehmen des Silicon Valley (USA, Kalifornien) nun unter das Unionsrecht.

II. Welche Daten darf ich wann erheben?

Nachdem der sachliche und räumliche Anwendungsbereich erörtert ist, stellt sich die Frage, welche Daten überhaupt wann erhoben werden dürfen. Die allgemeinen Prinzipien zur Datenerfassung sind in Art. 5 DSGVO dargelegt. Überdies finden sich vereinzelt Spezialregelungen.

Nach Art. 5 Abs. 1 DSGVO muss die Verarbeitung nach den Geboten von Treu und Glauben erfolgen. Die Begriffe sind äußert dehnbar und somit relativ unpräzise. Es haben sich allerdings Fallgruppen treuwidriger und unfairer Datenverarbeitung herausgebildet, welche gegen Art. 5 Abs. 1 DSGVO verstoßen. Dazu zählt insbesondere der Einsatz verborgener Technik (zum Beispiel heimliche Videoüberwachung). Nach allgemeinem Konsens muss die Erhebung transparent erfolgen und den Zweckbindungsgrundsatz erfüllen. Dem Zweckbindungsgrundsatz nach müssen erhobene Daten einem verständigen Anliegen dienen und im Rahmen der Verhältnismäßigkeit liegen (sog. Zweck-Mittel-Relation).

Beispiel: Die Leistungskontrolle der Arbeitnehmer ist grundsätzlich ein legitimer Zweck auf Arbeitgeberseite. Als Mittel käme der Einsatz von Videokameras in Betracht. Die Kontrolle anhand einer permanenten Videoüberwachung durchzuführen, wäre allerdings ein unverhältnismäßig tiefer Eingriff in die Grundrechte der Mitarbeiter. Die durch das Mittel bewirkten Einschränkungen ständen nicht in angemessener Relation zum beabsichtigten Ziel. Die Maßnahme wäre folglich treuwidrig.

Es dürfen nicht mehr Daten erhoben werden, als zur Erfüllung des Zweckes benötigt werden. Dies bezeichnet man als Prinzip der „Datenminimierung“, welches gegebenenfalls miteinschließt, alle in Betracht kommenden Möglichkeiten der Pseudonymisierung und Anonymisierung zu berücksichtigen. Darüber hinaus müssen erhobene Daten wahrheitsgemäß und – falls erforderlich – stets auf dem neuesten Stand sein.
Der Verantwortliche hat die Richtigkeit selbstständig zu überprüfen. Der Betroffene kann bei Fehlern Korrektur oder Löschung verlangen. Ist die Richtigkeit oder Unrichtigkeit nicht beweisbar, kann der Betroffene die Verarbeitung einschränken (Art. 18 I DSGVO). Die Einschränkung beinhaltet ein Übermittlungs- und Nutzungsverbot der Informationen.

III. Rechtmäßigkeit kraft Gesetz und durch Einwilligung

Die Verarbeitung personenbezogener Daten ist zulässig, sofern ein gesetzlicher Ausnahmetatbestand oder eine Einwilligung vorliegt. Die Ausnahmetatbestände sind in Art. 6 Abs. 1 DSGVO aufgelistet:

Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder ist in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Nach Punkt 1. dürfen Daten verarbeitet werden, falls dies zur Erfüllung eines Vertrages erforderlich ist. Dies bedeutet ferner für Arbeitsverträge: personenbezogene Daten von Mitarbeitern dürfen erhoben werden, insoweit dies zu Zwecken der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist. Sollen die Informationen zu weitergehenden Zwecken erhoben werden, ist eine Einwilligung des Betroffenen erforderlich.

Wie sieht eine Einwilligung aus? Eine Einwilligung ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Die Zustimmung kann demnach mündlich, schriftlich oder elektronisch erbracht werden. Das Anklicken eines Kästchens beim Besuch einer Website ist ausreichend.
Allgemein kann auch in die Überwachung durch Videokameras eingewilligt werden. Dies wäre in Durchgangsbereichen jedoch kaum praktikabel und würde zu bizarren Situationen führen. Allerdings ist ein einfacher Hinweis nicht ausreichend. Der Verantwortliche kann die Überwachung üblicherweise durch Ausnahmetatbestände rechtfertigen.

Im kollektiven Interesse können Betriebs- oder Dienstvereinbarungen getroffen werden. Wird darin eine abschließende Liste über zu verarbeitende Beschäftigtendaten erzielt, können weitergehende Informationen nicht durch eine Einwilligung gerechtfertigt werden. Abweichende Regeln gelten für „besondere personenbezogene Daten“. Hier ist stets eine ausdrückliche Einwilligung des Betroffenen erforderlich.
Zu den besonderen personenbezogenen Daten zählen nach Art. 9 DSGVO Angaben, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen oder genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben. Unter welchen Umständen eine Verarbeitung dieser sensiblen Informationen zulässig ist, ergibt sich aus einer ausführlichen Aufzählung in § 22 BDSG.

Zum Zeitpunkt der Datenerhebung ist der Verwender hinweispflichtig. Er muss den Betroffenen über Art und Zweck, Umfang und Reichweite der Verarbeitung aufklären. Dies erfolgt üblicherweise durch die AGB. Im Interesse der Beweissicherheit und des Persönlichkeitsschutzes trägt der Verwender auch die Nachweisplicht. Auf Anfrage muss er belegen, dass eine Einwilligung eingeholt wurde. Die Einwilligung ist jederzeit widerruflich. Es gilt der Grundsatz, dass die Widerrufsmöglichkeit „genau so einfach wie die Einwilligung“ anzubieten ist. Mündlich erklärte Einwilligungen müssen mündlich widerrufen werden können, schriftliche Einwilligungen schriftlich usw.

III. Aufbewahren und Entsorgen veralteter Daten

Bei der Aufbewahrung hat der Verantwortliche auf die Vertraulichkeit und Integrität der Informationen zu achten. Er muss durch geeignete Schutzmaßnahmen sicherstellen, dass die Daten nicht in die Hände Unbefugter gelangen. Die Speicherung muss auf das notwendige Maß beschränkt bleiben. Sobald das Interesse erlischt, welches die Aufbewahrung der Daten rechtfertigt, muss der Verantwortliche die Daten unverzüglich löschen. Aufgrund des Zweckbindungsgrundsatzes verstoßen „Karteileichen“ gegen die Löschpflicht.
Die Datenschutzgrundverordnung bezeichnet dies in Art. 17 als „Recht auf Vergessen werden“. Gleiches gilt, wenn die betroffene Person ihre Einwilligung widerruft. Unverzüglich heißt zum nächstmöglichen Zeitpunkt. Bei der Vernichtung ist dafür Sorge zu tragen, dass sie von einem Unbefugten nicht mehr rekonstruiert werden können. Papiermüll darf nicht einfach in den Müllcontainer wandern. In Zeiten zunehmender Digitalisierung wird die Sicherheit von Papierdaten häufiger vernachlässigt. Die Akten müssen vor dem Entsorgen zerkleinert werden.
Aus DIN 66399 gehen nützliche Informationen zur Wahl des geeigneten Aktenvernichters und der Zerkleinerungsstufe hervor. Bei elektronischen Daten ist sicherzustellen, dass neben der originalen Datei auch sämtliche Kopien gelöscht werden.

Ein Verstoß gegen Vorschriften der Datenschutzgrundverordnung kann Bußgelder in Höhe von 4 Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens oder Zahlungen von bis zu 20 Millionen EUR nach sich ziehen.