Lüdecke & Fritzsch Rechtsanwälte | Datenschutz allgemein - DSGVO und BDSG-neu
Datenschutz, personenbezogene Daten, Datenschutzbeauftragter, DSGVO, Datenschutzgrundverordnung, BDSG neu
9842
post-template-default,single,single-post,postid-9842,single-format-standard,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-4.1.2,vc_responsive

Blog

Das (neue) Datenschutzrecht – Ein Überblick

  |   Allgemein   |   No comment

Das neue Datenschutzrecht gemäß Datenschutzgrundverordnung (DSGVO) und neuem Bundesdatenschutzgesetz BDSG(neu)

Ein Überblick

Was ist das Datenschutzrecht überhaupt?

Der Zweck sowie das Ziel des Datenschutzrechts lassen sich (derzeit noch) § 1 Abs. 1 des Bundesdatenschutzgesetztes (BDSG) entnehmen. Beabsichtigt ist danach der Schutz des Einzelnen vor einer Beeinträchtigung seiner Persönlichkeitsrechte durch den Umgang mit seinen personenbezogenen Daten. Ab dem 25.05.2018 finden sich Gegenstand und Ziel des Datenschutzes dann in Art. 1 der Datenschutzgrundverordnung (DSGVO). Auch die meisten Datenschutzbestimmungen in anderen Gesetzen verfolgen dieses Ziel.

Ausgangspunkt für diese Regelungen bilden die Grundrechte. Nach Art. 1 und 2 des deutschen Grundgesetzes hat jeder Bürger das Recht,  grundsätzlich über die Preisgabe der zu seiner Person gehörenden Informationen selbst zu entscheiden (sog. informationelles Selbstbestimmungsrecht). In den der Datenschutzgrundverordnung vorangestellten Erwägungsgründen heisst es gleich zu Beginn, in Erwägungsgrund 1,

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht.“.

Die Charta der Grundrechte der Europäischen Union enthält die Regelung, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten besitzt.

Die Grundsätze des Datenschutzrechts

Zur Sicherung vorgenannter Ziele enthalten die betreffenden Gesetze Grundvoraussetzungen, welche im Bereich des Datenschutzes zu beachten sind. Dazu gehören insbesondere der:

  • Grundsatz des Verbots mit Erlaubnisvorbehalt

    Die Verarbeitung personenbezogener Daten ist nur dann erlaubt, wenn dies durch eine gesetzliche Vorschrift festgelegt oder angeordnet ist oder eine (freiwillige) Einwilligung des Betroffenen vorliegt.

  • Grundsatz der Datenvermeidung und Datensparsamkeit

    Grundsätzlich dürfen keine oder nur das jeweils erforderliche Minimum an Daten vom Betroffenen verlangt werden.

  • Grundsatz der Zweckbindung

    Die Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben worden sind.

  • Grundsatz der Transparenz

    Damit der Betroffene nachprüfen kann ob die Datenverarbeitung bzw. deren Folgen oder Ergebnisse dem Umfang seiner Einwilligung entsprechen ist ihm auf Verlangen (in gewissen Grenzen) Einsicht in die ihn betreffende Datenverarbeitung zu gewähren.

In Unternehmen findet sich eine Vielzahl von Bereichen mit datenschutzrechtlicher Relevanz. Diese umfassen die Verarbeitung von Kundendaten und den Umgang damit, den Mitarbeiterdatenschutz, die innerbetrieblichen Abläufe (z.B. Zugangs- und Zugriffskontrollen, private Email-/Internetnutzung durch Mitarbeiter), die Daten- bzw. IT-Sicherheit, den Internetauftritt und einiges mehr.

Um all diese Bereiche abzusichern, empfiehlt sich die Einrichtung eines koordinierten betrieblichen Datenschutzmanagements. Je nach Größe des Unternehmens und Umfangs der Daten, bzw. Datenverarbeitungsvorgänge ist die Bestellung eines betrieblichen Datenschutzbeauftragten ratsam, welcher sich sodann um all die vorgenannten Bereiche kümmert.

Was wird geschützt?

Der Schutz des Datenschutzrechts gilt nur dem Schutz personenbezogener Daten

Diese sind in Art. 4 Nr. 1 DSGVO (gültig ab 25.05.2018) wie folgt definiert:

personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind

Dies ist etwas ausführlicher gehalten als im bislang (noch) geltenden Bundesdatenschutzgesetz (BDSG), welches personenbezogene Daten nur als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ definiert.

Im Ergebnis ist festzuhalten, dass personenbezogene Daten nur solche Daten sind, die natürliche Personen betreffen (also Menschen) und bei denen es zudem klar ist, welchen Menschen sie betreffen oder sich dies zumindest unter Zuhilfenahme weiterer Informationen in Erfahrung bringen lässt.

Nicht geschützt durch diese Normen werden hingegen Daten ohne Personenbezug, wie z.B. Daten von Tieren, Sachen, Unternehmen, Betriebs- oder Geschäftsgeheimnisse, Ideen, Patente oder Erfindungen ect. Auch solche Daten nicht freilich nicht immer schutzlos. Das Datenschutzrecht erfasst sie jedoch nicht. Eine Ausnahme können hierbei jedoch Unternehmensdaten bilden, so z.B. wenn im Namen des Unternehmens wiederum der Name einer natürlichen Person auftaucht oder wenn es sich um Daten zu im Unternehmen beschäftigen natürlichen Personen handelt (z.B. Geschäftsführer, Inhaber, Ansprechpartner, Einkäufer, ect.).

Wo ist das Datenschutzrecht geregelt?

Die Grundnorm des deutschen Datenschutzrechts ist derzeit noch das Bundesdatenschutzgesetz (BDSG). Ab dem 28.05.2018 wird dies in erster Linie die Datenschutzgrundverordnung (DSGVO), flankiert vom neuen Bundesdatenschutzgesetz (BDSG-neu).

Diese Gesetze stellen die allgemeinen datenschutzrechtlichen Grundregeln auf. Allerdings sind die Grundregeln nicht für die Anforderungen sämtlicher Rechtsbereiche ausreichend oder passend. Aus diesem Grund gibt es eine Vielzahl weiterer datenschutzrechtlicher Spezialregelungen in an anderen Gesetzen, die ihrerseits den allgemeinen Regelungen der Datenschutzgesetzte vorgehen. Solche sog. bereichsspezifischen Regelungen enthalten z.B.:

  • das Sozialgesetzbuch im ersten (SGB I) und zehnten Band (SGB X); sog. Sozialgeheimnis
  • das Telekommunikationsgesetz (TKG)
  • das Telemediengesetz (TMG)
  • das Straßenverkehrsgesetz (StVG)
  • das Postgesetz
  • das Bundeszentralregistergesetz
  • das Ausländerzentralregistergesetz
  • ect.

Daneben knüpfen noch weitere Normen an den Datenschutz an. So beispielsweise die Regelungen im 15. Abschnitt des Strafgesetzbuch, zu denen etwa § 203 StGB >Verletzung von Privatgeheimnissen< zählt oder § 202a StGB >Ausspähen von Daten<.

Weiterhin finden sich dem Datenschutz dienende Vorschriften im Berufsrecht von Berufsgeheimnisträgern. So ist etwa in § 9 der MBO-Ä die ärztliche Schweigepflicht festgelegt und in § 43a Absatz 2 BRAO diejenige der Rechtsanwälte.

Warum sollte Datenschutz betrieben und organisiert werden?

Immer wieder hört und liest man von Datenschutzpannen. Solche Vorfälle legen eindrucksvoll offen, dass nach wie vor in Unternehmen erhebliche Defizite im Bereich des Datenschutzes bestehen.

Laut den gesetzlichen Vorgaben sind Geschäftsprozesse jedoch so zu organisieren, dass sie stets den datenschutzrechtlichen Anforderungen entsprechen. Unternehmen sind verpflichtet, die gesetzlichen Bestimmungen einzuhalten und Maßnahmen zum Erhalt des Betriebes zu treffen. Regelungen dazu finden sich insbesondere in § 43 Abs. 1 GmbHG für GmbHs und in § 91 Abs. 2 AktG für Aktiengesellschaften.

Neben den Gesetzen und Behörden verlangen auch Kunden, Mandanten, Patienten und Geschäftspartner nach der Sicherheit ihrer Daten und der Erfüllung gesetzlicher Anforderungen (Stichwort: Compliance). Ein betriebliches Datenschutzkonzept und dessen Umsetzung sind daher für unterschiedliche betriebliche Belange relevant. Dazu zählen beispielsweise:

  • die Einhaltung gesetzlicher Vorgaben (Datenschutzgesetze, Strafgesetzbuch, Handelsgesetzbuch, Abgabeordnung, Sozialgesetzbuch, Betriebsverfassungsgesetz, GmbH-Gesetz, Aktiengesetz ect.)
  • der Schutz von Unternehmenswerten (Risiko- und Schadensminimierung)
  • die langfristige Sicherung der Geschäftsgrundlage durch Umsetzung eines (auch wirtschaftlich) angemessenen Sicherheitsniveaus
  • der Wettbewerbsfaktor – Internet, E-Business und Mobilität sind für Unternehmen lebenswichtig, bilden aber auch einen Unsicherheitsfaktor (Hacker, Spionage, Sabotage)
  • Kunden und Geschäftspartner verlangen von ihrem Gegenüber Unternehmenssicherheit, insbesondere Datensicherheit und IT-Sicherheit

Missstände im Bereich des Datenschutzmanagements bergen nicht unerhebliche Risiken für das Unternehmen. Diese können sich z.B. äußern in:

  • Anordnungen der Aufsichtsbehörde
  • Bußgeldern
  • Untersagung der Datenverarbeitung oder einzelner Verfahren
  • Wettbewerbsnachteile
  • demotivierte/frustrierte Mitarbeiter
  • die Nichtbeachtung des Datenschutzes kann Ordnungswidrigkeit oder gar Straftat sein
  • eventuelle Veröffentlichung in den Medien
  • Kunden meiden das Unternehmen
  • Schadensersatzforderungen

Muss auf jeder Homepage eine Datenschutzerklärung vorgehalten werden?

Die Verpflichtung, den Nutzer der eigenen Homepage über die Erhebung und Verwendung seiner personenbezogenen Daten aufzuklären ist in § 13 TMG geregelt und konkretisiert. In der Praxis geschieht diese Aufklärung in der Regel durch eine über die Homepage abrufbare Datenschutzerklärung des Betreibers der Homepage.

Gemäß § 13 TMG gilt diese Verpflichtung jedoch nur für „Diensteanbieter“. „Diensteanbieter“ ist dabei nach § 2 Nr. 1 TMG „jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt“. Dem Begriff „Telemedien“ unterfallen nach § 1 Abs. 1 TMG alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste (Übertragung von Signalen in Telekommunikationsanlagen oder –netzen) oder Rundfunk sind. Es handelt sich bei Telemedien somit insbesondere um im Internet angebotene Dienstleistungen oder Waren.

Was droht bei fehlender Datenschutzerklärung?

Besteht grundsätzlich die Verpflichtung eine Datenschutzerklärung auf der Website vorzuhalten (siehe zuvor), so droht beim Fehlen der Datenschutzerklärung von behördlicher Seite her ein Bußgeld.

Ärger droht aber auch von seiten Ihrer Mitbewerber. Auf das Fehlen einer Datenschutzerklärung auf Ihrem Internetauftritt könnte Sie nämlich ein Mitbewerber/Konkurrent im Wege einer Abmahnung aufmerksam machen. Diese wäre mit Kosten verbunden welche im mittleren dreistelligen bis hin zum vierstelligen €-Bereich ausfallen können.

§ 13 des Telemediengesetztes (TMG) besagt insoweit zusammengefasst, dass der Webseitenbetreiber den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten, wobei der Inhalt der Unterrichtung für den Nutzer jederzeit abrufbar sein muss. Übersetzt bedeutet dies, der Webseitenbetreiber muss eine Datenschutzerklärung auf der Homepage vorhalten, welche gewissen Anforderungen zu genügen hat.

Mittlerweile existieren eine Reihe Gerichtsentscheidungen, welche einen Verstoß gegen § 13 TMG als Wettbewerbsverletzung einstufen (so z.B. OLG Hamburg, Urteil vom 27.06.2013, Az. 3 U 26/12; OLG Karlsruhe, Urteil vom 09.05.2012, Az. 6 U 38/11; LG Berlin, Beschluss v. 12.02.2015, Az. 16 O 504/14; LG Köln, Beschluss v. 26.11.2015, Az. 33 O 230/15). Auch wenn diese Rechtsprechung nicht unumstritten ist und es auch vereinzet Gerichte gibt, welche die Sache gegenteilig sehen, so sollte dennoch vorsorglich davon ausgegangen werden, dass die fehlende Datenschutzerklärung eine Wettbewerbsverletzung darstellt. Betreiber einer Webseite sollten daher darauf achten, eine entsprechende Erklärung auf ihrer Homepage vorzuhalten.

Es sollte zudem darauf geachtet werden, dass die Datenschutzerklärung auch inhaltlich zutreffend ist. Die Verwendung von Standard-Datenschutzerklärungen erfüllt dieses Kriterium häufig nicht. Verwendet man auf seiner Webseite z.B. Analyse- oder Trackingtools (wie etwa Google-Analytics oder Facebook Pixel) oder Social-Media Plugins, so muss sich dies in der Datenschutzerklärung wiederfinden. Ebenso darf nicht zuviel in der Erklärung stehen. So ist es auch bereits als wettbewerbswidrig angesehen worden, dass in der Datenschutzerklärung behauptet wurde, die Datenübertragung auf der Webseite erfolge verschlüsselt. Tatsächlich erfolgte diese jedoch unverschlüsselt, was durch einen einfachen Blick in den Quelltext der Webseite vom Gegner ermittelt werden konnte. Die Datenschutzerklärung war daher irreführend und somit wettbewerbswidrig.

Lassen Sie sich Ihre Datenschutzerklärung daher im Zweifelsfalle von fachkundigen Personal erstellen.

 

Für den Bereich Datenschutz im Gesundheitswesen bieten wir Ihnen eine kostenlose Ersteinschätzung.

Mehr dazu

„Das Thema Datenschutz ist aktueller als je zuvor. Die Datenschutzgrundverordnung und das neue BDSG stehen in den Startlöchern. Regelmäßige Skandalmeldungen halten das Thema zudem in der Öffentlichkeit präsent. Ein unachtsamer Umgang mit Daten zieht für Unternehmen und Freiberufler mitunter finanzielle oder gar existenzgefährdende Konsequenzen nach sich. Mit uns gehen Sie sicher, dass Sie alle gesetzlichen Vorgaben einhalten. Im Falle von Verstößen gegen Vorschriften des Datenschutzrechts stehen wir auch zur Verteidigung als starker Partner an Ihrer Seite.“

_Fragen kostet nichts.

Rufen Sie uns gern jederzeit an.

Gebührenfreie Anwaltshotline: 0800 10 10 366

Weitere Tätigkeitsgebiete

  • MarkenMarken
  • UrheberUrheber
  • DatenschutzDatenschutz
  • GewerbeGewerbe
  • ITIT
  • StrafStraf
  • VerkehrVerkehr
Zurück zur Übersicht

AUTHOR - RA Lüdecke

No Comments

Post A Comment