Bis 2018 regelte das Bundesdatenschutzgesetz (BDSG) den Datenaustausch in Deutschland. Der Leitsatz steht in § 5 BDSG: es ist Ihnen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.
An diesem Leitsatz hat die Datenschutz-Grundverordnung (DSGVO) seit ihrer Einführung im Mai 2018 nicht viel geändert, aber durch sinnvolle europaweit gültige Regelungen und Ausnahmen ergänzt. Aus dem Gesetz, das in Verbindung mit dem Bundesdatenschutzgesetz (BDSG) wirkt, ergeben sich eine Reihe von Rechten für Betroffene und Pflichten für verantwortliche Personen. Was das genau bedeutet, werden wir nun erklären.
Wer sind verantwortliche Personen laut DSGVO?
Verantwortliche Personen sind im Kontext der DSGVO Artikel 4 Abs. 7 diejenigen, die die Verarbeitung personenbezogener Daten bestimmen. Dies können Unternehmen, Organisationen oder Einzelpersonen sein, die personenbezogene Daten von EU-Bürgern sammeln oder verarbeiten. Die DSGVO legt fest, dass verantwortliche Personen eine zentrale Rolle beim Schutz der Privatsphäre und der Daten ihrer Kunden und Nutzer spielen, denn Sie haftet grundsätzlich bei Verstößen gegen die DSGVO die Sie zu verantworten hat und kann diese Verantwortung auch nicht an Mitarbeiter oder Datenschutzbeauftragte abgeben.
Erwägungsgrund 74 DSGVO
Die EU regelt die Verantwortung und Pflichten des Verantwortlichen in Artikel 24 der DSGVO. Dabei wird auf die Haftung des Verantwortlichen in Erwägungsgrund 74 des DSGVO so verwiesen:
- Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden.
- Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind.
- Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.
Das bedeutet, dass grundsätzlich der Verantwortliche für geeignete Maßnahmen zu sorgen hat, um dieser Haftung zu entgehen. Andernfalls drohen Bußgelder, die je nach Firmengröße und Art und Schwere des Verstoßes unterschiedlich ausfallen können.
Zusätzlich zu den Bußgeldern legt Artikel 82 der DSGVO (Recht auf Schadenersatz und Haftung) fest, dass, dass jede Person, die wegen eines Verstoßes gegen die DSGVO einen Schaden erleidet, das Recht auf Schadenersatz hat. Auf Basis dessen kann der Betroffene je nachdem wer den Schaden zu vertreten hat, entweder den Verantwortlichen oder wenn die Datenverarbeitung bei einem Auftragsdatenverarbeiter stattfand, auch diesen auf Schadensersatz verklagen.
Wen schützt die DSGVO?
Die DSGVO wurde entwickelt, um die Privatsphäre und die Rechte der Einzelpersonen (natürliche Person) in Bezug auf ihre personenbezogenen Daten durch Regeln zu schützen. Sie beruft sich auf den Datenschutz als Grundrecht aus Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union.
Dabei ist der Geltungsbereich der DSGVO auf alle 27 Mitgliedstaaten der Europäischen Union (EU), sowie die Europäischer Wirtsaftsraum (EWR)-Länder Island, Norwegen und Liechtenstein eingegrenzt. Die Schweiz orientiert sich in ihrer am 1. September 2023 in Kraft getretenen Datenschutzverordnung (DSV) an der DSGVO und regelt den Datenaustausch mit der EU über einen Angemessenheitsbeschluss. Dieser beschreibt, dass auf beiden Seiten durch die beschlossenen Verordnungen ein angemessenes Datenschutzniveau vorliegt um Daten gegenseitig auszutauschen.
Wichtig: die DSGVO schützt keine Kapitalgesellschaften oder andere juristische Personen. Solange deren Daten nicht einer Person zugeordnet werden können, können diese frei an Dritte weitergegeben werden. So wäre es theoretisch erlaubt eine unpersönliche E-Mail Adresse eine Kapitalgesellschaft der Form info@kapital.beispiel frei weiterzugeben, nicht aber max.mustermann@kapital.beispiel, da diese Email offensichtlich einer natürlichen Person als Identifikationsmerkmal zugeordnet werden kann.
Die Grundprinzipien der DSGVO
Um die DSGVO zu verstehen, sollten Verantwortliche Personen die folgenden Grundprinzipien bie der Datenverarbeitung beachten:
- Rechtmäßigkeit, Fairness und Transparenz: Personenbezogene Daten müssen auf rechtmäßige Weise und transparent verarbeitet werden. Es ist wichtig, die Betroffenen über die Datenverarbeitung zu informieren.
- Zweckbindung: Daten dürfen nur für bestimmte, vorher festgelegte Zwecke verarbeitet werden. Jede neue Verwendung erfordert eine erneute Zustimmung.
- Datenminimierung: Nur die für den jeweiligen Zweck erforderlichen Daten dürfen gesammelt und verarbeitet werden.
- Richtigkeit: Die Daten müssen korrekt und aktuell gehalten werden. Unrichtige Daten sollten berichtigt werden.
- Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist.
- Integrität und Vertraulichkeit: Daten müssen sicher und vor unbefugtem Zugriff geschützt werden.
Die Rechte der betroffenen Personen
Die DSGVO räumt den betroffenen Personen in den Artikeln 12 – 23 eine Reihe von Rechten ein, die Verantwortliche Personen respektieren müssen. Dazu gehören
- das Recht auf Auskunft
- Berichtigung
- Löschung
- Einschränkung der Verarbeitung
- Datenübertragbarkeit
- Nicht automatischer Entscheidungsfindung zu unterliegen
- Herausgabe der Quellen der Datenerhebung (aus BDSG)
Verantwortliche Personen sollten in der Lage sein, auf Anfragen zur Ausübung dieser Rechte angemessen zu reagieren. Ausnahmen der oben genannten Rechte lassen sich miest durch Verträge in Schriftform mit ausdrücklicher Einwilligung des Betroffenen formulieren oder Sie erschließen aus einem der folgenden in der DSGVO formulierten Ausnahmegründe:
- Erfüllung einer rechtlichen Verpflichtung (Artikel 23): Verantwortliche können betroffenen Personenrechte einschränken, wenn dies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Dies kann beispielsweise im Zusammenhang mit gesetzlichen Aufbewahrungspflichten stehen.
- Schutz der nationalen Sicherheit oder Verteidigung (Artikel 23): In einigen Fällen können Mitgliedstaaten der EU die Ausübung von Rechten durch betroffene Personen einschränken, wenn dies zur Wahrung der nationalen Sicherheit oder Verteidigung erforderlich ist.
- Schutz der Rechte und Freiheiten anderer (Artikel 23): Die DSGVO erlaubt Einschränkungen der Rechte betroffener Personen, wenn dies zum Schutz der Rechte und Freiheiten anderer Personen erforderlich ist. Dies könnte beispielsweise bei Ermittlungen oder Gerichtsverfahren relevant sein.
- Verhinderung von rechtswidrigen Handlungen (Artikel 23): Einschränkungen der Rechte betroffener Personen sind möglich, wenn dies zur Verhinderung oder Aufdeckung von rechtswidrigen Handlungen wie Betrug oder Missbrauch erforderlich ist.
- Schutz der öffentlichen Gesundheit (Artikel 9): In bestimmten Fällen können Gesundheitsdaten unter gewissen Voraussetzungen verarbeitet werden, um die öffentliche Gesundheit zu schützen, selbst wenn dies die Rechte betroffener Personen berührt.
- Verarbeitung zu wissenschaftlichen, historischen oder statistischen Zwecken (Artikel 89): Datenverarbeitung zu wissenschaftlichen, historischen oder statistischen Zwecken kann unter bestimmten Bedingungen die Einschränkung der Rechte betroffener Personen rechtfertigen, sofern angemessene Schutzmaßnahmen getroffen werden.
Pflichten aus der DSGVO
Die Pflichten aus der DSGVO treffen nach Erwägungsgrund 13 auch die, die in Klein- und Kleinstunternehmen arbeiten. Auch Sie sind generell verpflichtet den Grundprinzipien aus der DSGVO nachzukommen.
Generell gilt zwar bis 250 Mitarbeitern keine Pflicht zum Führen eines Verzeichnis der Veranstaltungstätigkeiten (VDV). Aber es gibt die Ausnahmen, dass
- Die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder
- Die Verarbeitung von personenbezogenen Datgen regelmäßig erfolgt oder
- Die Verarbeitung besondere geschützte Datenkategorien umfasst, wie Sexuelle Orientierung, Daten zu Gesundheit und Religion, Daten zu politischen Anschauungen einer Person
D.h. in Folge:
Wer eine Personalakte führt, ist bereits zur Führung eines Verzeichnis der Verarbeitungstätigkeiten verpflichtet!
Es folgen automatisch weitere Verpflichtungen. Das Verzeichnis der Verarbeitungstätigkeiten ist in Form bereits durch Artikel 30 und vor allem durch § 70 Bundesdatenschutzgesetz (BDSG) vorgeschrieben. Dort wird auch gefordert, dass entsprechende technische- und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen sind. Das kommt einer Pflicht zum führen eines Verzeichnis der technisch-organisatorischen Maßnahmen (TOM) gleich.
Wer ein VDV (auch VVD genannt) führen muss und besonders schützenswerte Daten verarbeitet, muss nach §64 Bundesdatenschutzgesetz (BDSG) auch immer eine Datenschutz-Folgeabschätzung durchführen. Diese bewertet das Risiko einer Datenpanne anhand von harten Faktoren wie erwarteter Schaden und Eintrittswahrscheinlichkeit und beruht auf Artikel 35 der DSGVO. Die Ergebnisse dieser Abschätzung sollen nach DSGVO Erwägungsgrund 84 bei der Wahl der technisch-organisatorischen Gegenmaßnahmen berücksichtigt werden.
Viel wichtiger ist jedoch an dieser Stelle jedoch folgendes zu erwähnen:
Wird in der Datenschutz-Folgeabschätzung festgestellt, dass die Gegenmaßnahmen nicht ausreichen, so ist die Aufsichtsbehörde noch vor der Verarbeitung zu konsultieren.
Fragen zum Thema?
Sie wissen aus dem Artikel, dass die Umsetzung der DSGVO vor allem für kleine Firmen und Vereine eine Herausforderung darstellt und sind sich nicht sicher, ob Sie das alleine hinbekommen? Dann Fragen Sie gerne über folgendes Kontaktformular ein kostenloses Erstberatungsgespräch an: