Durch die hohe, einfache Verfügbarkeit von Daten, deren Berechenbarkeit und Verarbeitung in Datenbanken oder anderen computergestützten Systemen stellt Datenschutz eine der zentralen Facetten aktueller und zukünftiger Rechtswirklichkeiten dar.
Der Schutz von Daten findet dabei nicht nur im orginären Datenschutzrecht, sondern auch in vielen weiteren Rechtsgebieten, wie beispielsweise dem gewerblichen Rechtsschutz und dem Urheberrecht (unberechtigte Down-/Uploads geschützter Werke, Datenbankenrecht), Anwendung.
Neben dem allgemeinen Datenschutzrecht bestehen viele bereichsspezifische Datenschutzregelungen in anderen Gesetzen. Diese gehen den allgemeinen Normen der jeweiligen Landes-Datenschutzgesetze und des Bundesdatenschutzgesetzes (BDSG) vor ( § 1 Abs. 3 und 4 BDSG). Inzwischen wird auch das deutsche Datenschutzrecht durch die Datenschutzgrundverordnung (DSGV) und damit im wesentlichen durch die europarechtliche Harmonisierung des Daten- und Datenschutzrechts geprägt.
Personenbezogene Daten, wie zum Beispiel Name, Alter, Anschrift, E-Mail-Adresse oder die Kontonummer, dürfen weiterhin nur verarbeitet und gespeichert werden, wenn die betroffene Person ihr Einverständnis gegeben hat. Dies ist so auch schon im Bundesdatenschutzgesetz (BDSG, Art. 6) geregelt – also im Prinzip nichts Neues. Ab dem 25. Mai kann dieses Einverständnis jedoch beispielsweise auch durch das Anklicken eines Kästchens auf der Internetseite erteilt werden und muss nicht mehr schriftlich erfolgen.
Bereits erteilte Einwilligungen der Betroffenen bleiben nur wirksam, wenn sie den Bedingungen der DSGVO entsprechen. Die bekannten datenschutzrechtlichen Grundprinzipien Datensparsamkeit, Zweckbindung und Datensicherheit wurden fortentwickelt.
So besteht etwa eine engere Zweckbindung, weshalb Daten grundsätzlich nur zu dem ursprünglichen Erhebungszweck verwendet werden dürfen. Dieser Erhebungszweck muss eindeutig, festgelegt und legitim sein.
Die Datensparsamkeit wird durch das Prinzip der Datenminimierung abgelöst. Dies besagt, dass Daten nur dem Zweck angemessen sowie auf das notwendige Maß beschränkt gesammelt werden dürfen. An dieser Stelle sollte auch die Speicherbegrenzung beachtet werden: Daten dürfen nur so lange gespeichert werden, wie es erforderlich ist. Dabei muss eine angemessene Datensicherheit von Seiten des Unternehmens gewährleistet werden, damit die Daten nicht in falsche Hände geraten können.
Die DSGVO
Die Datenschutzgrundverordnung hat das Datenschutzrecht erheblich geändert, das gilt zum Einen im Bereich des Eingriffs in personenbezogene Daten und zum anderen auch hinsichtlich der Instrumentarien und Bußgeldverfahren/ Schadensersatzansprüche der Betroffenen.
Die Europäische Datenschutz-Grundverordnung (DS-GVO) (PDF: 1,04 MB) ersetzt die aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie und gibt zeitgemäße Antworten auf die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft. Mit einem modernen Datenschutz auf europäischer Ebene bietet die DSGVO Lösungen zu Fragen, die sich durch „Big Data“ und neue Techniken oder Arten der Datenverarbeitung wie Profilbildung, Webtracking oder dem Cloud Computing für den Schutz der Privatsphäre stellen.
Unternehmen mussten ihre Geschäftsabläufe bis zum 25. Mai 2018 an die neue Rechtslage anpassen. .
Modernisierung des Europäischen Datenschutzrechts
Die DSGVO ist ein wichtiger Schritt zu einem harmonisierten europäischen Binnenmarkt. Ziel der Verordnung ist eine angemessene Balance zwischen Wirtschafts- und Verbraucherinteressen in Zeiten fortschreitender Digitalisierung. Sie stärkt das Grundrecht auf informationelle Selbstbestimmung durch höhere Transparenz und mehr Mitbestimmung der Bürgerinnen und Bürger mit Blick auf ihre Daten. Gleichzeitig schafft die Verordnung einen zukunftsorientierten Rechtsrahmen für datenverarbeitende Unternehmen und innovative Geschäftsmodelle.
Die Landesdatenschutzgesetze gelten für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen des Landes und der Kommunen sowie deren Vereinigungen. Das BDSG findet im öffentlichen Bereich allenfalls untergeordnet (subsidiär) Anwendung, da es nur gilt, soweit der Datenschutz nicht im gleichen Umfang durch ein Landesdatenschutzgesetz geregelt ist (dann gilt nur dieses). Aber: Das BDSG und (viele) spezialgesetzlichen Regelungen gelten auch für Unternehmen.
Für juristische Personen des öffentlichen Rechts oder deren organisatorisch selbständigen Einrichtungen, die am Wettbewerb teilnehmen, für wirtschaftliche Unternehmen der Gemeinden und Landkreise ohne eigene Rechtspersönlichkeit (Eigenbetriebe) sowie für Zweckverbände, die überwiegend wirtschaftliche Aufgaben wahrnehmen, und für öffentliche Einrichtungen, die entsprechend den Vorschriften über Eigenbetriebe geführt werden, gelten – mit einigen im Gesetz genannten Ausnahmen – die Vorschriften des BDSG für nicht öffentliche Stellen.
Nach dem Marktortprinzip gelten die Vorgaben der DSGVO für alle Unternehmen unabhängig von ihrer Niederlassung soweit sie ein Angebot an einen bestimmten nationalen Markt in der EU richten. Im Falle von grenzüberschreitenden Datenverarbeitungen sind dem One-Stop-Shop-Mechanismus entsprechend die Aufsichtsbehörden an der Hauptniederlassung zuständig, so dass es einen zentralen Ansprechpartner gibt.
Durch die DSGVO wurde der Sanktionsrahmen bei Pflichtverletzungen erhöht. So drohen bei schwerwiegenden Verstößen Geldbußen bis zu 20 Millionen Euro und für Unternehmen Bußgelder von bis zu 4 % des gesamten weltweiten Umsatzes.
Datenschutzrechtlich Normen:
Folgende rechtliche Rahmenbedingungen können u.a. berücksichtigt werden:
- Datenschutzgrundverordnung (DSGVO)
- Bundesdatenschutzgesetz (Übersicht)
- EG-Richtlinie 2006/24/EG zur Vorratsdatenspeicherung (EU-PDF Dokument)
- Landesdatenschutzgesetze sowie spezialgesetzliche Normierungen (siehe Bundesdatenschutzbeauftragter)
Datenschutzrechtsberatung:
Als Rechtsanwälte bieten wir Ihnen u.a. folgende datenschutzrechtliche Beratungsdienstleistungen:
- Datenschutzrechtliche Gestaltung von Geschäftsmodellen in Unternehmen und Verwaltung unter Berücksichtung der personenbezogenen Daten von Kunden und Mitarbeitern.
- Information und Vertretung gegenüber Datenschutzbehörden sowie Auflösung von Datenschutzverstößen.
- Erarbeitung praktisch durchführbarer Datenschutz- und Compliance-Konzepte.
- Bereitstellung externer Datenschutzbeauftragter
- Erstellung vertraglicher Dokumente einschliesslich AGB (z.B. Datenschutzerklärungen/-verträge)
Weitere Informationen können Sie auch dem Blog entnehmen: http://www.datenschutzrechtblog.de
Weitere datenrechtliche Themen:
- Bundesdatenschutzgesetz (BDSG)
- Satenschutzgrundverordnung (DSGV)
- Datenschutz
- Datenschützer
- Datenschutzbeauftragter
- Datenschutzrecht
- Personenbezogene Daten
- Meinungsfreiheit
- verdeckte Ermittlung