DSGVO für Einsteiger – Die wichtigsten Grundzüge

Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) in der gesamten Europäischen Union. Diese wird in Deutschland zusätzlich durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Doch was bedeutet Datenschutz eigentlich genau und welche Daten sind betroffen?

Datenschutz dient dem Schutz personenbezogener Daten von betroffenen Personen vor unberechtigten Zugriffen bei rechtmäßiger Verarbeitung durch den Verantwortlichen. Es geht hierbei um den Schutz des Persönlichkeitsrechts, der Privatsphäre und des Rechts auf informationelle Selbstbestimmung. Grundsätzlich gilt, dass die Verarbeitung von personenbezogenen Daten verboten ist, es sei denn sie ist erlaubt bzw. rechtmäßig (Verbot mit Erlaubnisvorbehalt). Unter den „personenbezogenen Daten“ versteht man alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Hierzu zählen Namen, Kennnummern, Standortdaten, Online-Kennungen, sowie sämtliche Merkmale der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, sozialen oder kulturellen Identität. Zu der „Verarbeitung“ gehört das Erheben, Erfassen, Ordnen, Auslesen, Löschen sowie die Organisation, Speicherung, Anpassung, Veränderung, Verwendung, Offenlegung durch Übermittlung, Einschränkung, Vernichtung, Verbreitung und die Verknüpfung von personenbezogenen Daten. Der „Verantwortliche“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die Grundsätze für die Verarbeitung von personenbezogenen Daten

Die DSGVO legt sieben Grundsätze für die Verarbeitung von personenbezogenen Daten fest. Diese lauten wie folgt:

1. „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ bedeutet, dass Daten auf rechtmäßige Art und Weise, nach Treu und Glauben und in einer nachvollziehbaren Weise verarbeitet werden müssen,
2. „Zweckbindung“ bedeutet, dass Daten nur für die Zwecke verarbeitet werden dürfen, für die sie erhoben wurden,
3. „Datenminimierung“ sagt aus, dass Daten auf das notwendige Maß beschränkt sein müssen,
4. „Richtigkeit“ bedeutet, dass unrichtige Daten berichtigt oder gelöscht werden müssen,
5. „Speicherbegrenzung“ besagt, dass Daten nur für die Dauer ihrer Zweckerfüllung gespeichert werden dürfen,
6. „Integrität und Vertraulichkeit“ besagt, dass Daten vor unbefugter bzw. unrechtmäßiger Verarbeitung, Verlust und Zerstörung geschützt werden müssen,
7. „Rechenschaftspflicht“ beschreibt die Pflicht des Verantwortlichen, die Verordnung einzuhalten und die Einhaltung auch nachweisen können zu müssen.

Rechtmäßigkeit der Verarbeitung

Da die Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist, stellt sich die Frage, in welchen Fällen sie denn erlaubt bzw. rechtmäßig ist. Es gibt sechs „Ausnahmen“ unter denen eine Verarbeitung gem. DSGVO erlaubt bzw. rechtmäßig ist.

Diese lauten wie folgt:

1. es liegt eine Einwilligung der betroffenen Person vor,
2. die Verarbeitung ist zur Vertragserfüllung oder zu Durchführung vorvertraglicher Maßnahmen erforderlich,
3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich,
4. es geht um den Schutz lebenswichtiger Interessen betroffener Personen o. anderer natürlicher Personen,
5. die Verarbeitung erfolgt aufgrund des öffentlichen Interesses oder
6. zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten.

Diese Ausnahmen gelten allerdings nur für die vorgenannten personenbezogenen Daten. Werden Daten über die rassische oder ethnische Herkunft, über politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeiten, genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer betroffenen Person verarbeitet (besondere Kategorien personenbezogener Daten), dann ist dies nur erlaubt, wenn:

1. die Einwilligung der betroffenen Person vorliegt,
2. die Verarbeitung erforderlich ist, um den Rechten und Pflichten aus dem Sozialschutz, dem Recht der sozialen Sicherheit oder dem Arbeitsrecht nachzukommen,
3. die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich ist,
4. die Verarbeitung aufgrund geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichteten Stiftung / Vereinigung oder sonstigen Organisation ohne Gewinnerzielungsabsicht erfolgt,
5. die betroffene Person die Daten offensichtlich öffentlich gemacht hat,
6. die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist,
7. die Verarbeitung für Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin erforderlich ist,
8. die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist oder
9. für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke.

Rechte der betroffenen Person

Betroffene Personen haben verschiedene Rechte nach der DSGVO und dem BDSG. Diese Rechte machen die Betroffenen meist durch mündliche oder schriftliche Anträge geltend. Sobald eine betroffene Person so einen Antrag (bspw. auf Auskunft) stellt, hat der Verantwortliche einen Monat Zeit, um den Antrag zu bearbeiten und der betroffenen Person zu antworten. Diese Antwort muss in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form sowie in einer klaren und einfachen Sprache übermittelt werden.

Folgende Rechte haben die betroffenen Personen:

1. Auskunftsrecht = die betroffene Person darf erfahren, welche Daten von ihr verarbeitet werden sowie die Verarbeitungszwecke, die Empfänger der Daten insbes. Empfänger in Drittländern oder internationale Organisationen, die Speicherdauer der Daten, Herkunft der Daten, Auskunft über ihre weiteren Rechte und ob eine automatisierte Entscheidungsfindung besteht oder nicht,
2. Recht auf Berichtigung = die betroffene Person hat das Recht, die Berichtigung / Vervollständigung unrichtiger / unvollständiger Daten zu verlangen,
3. Recht auf Löschung = die betroffene Person hat das Recht, die unverzügliche Löschung ihrer Daten zu verlangen, wenn die Daten ihren Zweck nicht mehr erfüllen, die betroffene Person ihre Einwilligung widerrufen hat, die betroffene Person der Verarbeitung widerspricht, die Daten unrechtmäßig verarbeitet wurden, eine Rechtspflicht zur Löschung besteht oder die Daten in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben wurden,
4. Recht auf Einschränkung der Verarbeitung = die betroffene Person hat das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die Richtigkeit der Daten von der betroffenen Person bestritten wird, die Verarbeitung unrechtmäßig ist, der Verantwortliche die Daten nicht mehr benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen braucht oder die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, solange noch nicht feststeht, ob die Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen,
5. Recht auf Datenübertragbarkeit = die betroffene Person hat das Recht, von dem Verantwortlichen die Übermittlung der sie betreffenden personenbezogenen Daten an einen anderen Verantwortlichen zu verlangen,
6. Widerspruchsrecht = die betroffene Person hat das Recht, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund eines öffentlichen Interesses oder zur Wahrung der berechtigten Interessen des Verantwortlichen erfolgt, Widerspruch einzulegen,
7. Automatisierte Entscheidungsfindung im Einzelfall einschl. Profiling = die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt,
8. Recht auf Beschwerde bei einer Aufsichtsbehörde = die betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

Pflichten des Verantwortlichen

Neben den Rechten der betroffenen Personen ergeben sich auch einige Pflichten des Verantwortlichen aus der DSGVO. Der Verantwortliche ist bspw. für die Einhaltung der Verordnung verantwortlich, er hat die Pflicht auf Anfrage mit der zuständigen Aufsichtsbehörde zusammen zu arbeiten und alle ihm unterstellten Personen anzuweisen, Daten ausschließlich nach seinen Vorgaben zu verarbeiten. Er ist ferner dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um Datenschutz von Anfang an in die Architektur eines Systems oder eines Prozesses einzubauen (Privacy by Design) und sicherzustellen, dass die Voreinstellung des Systems oder des Prozesses standardmäßig den höchsten Datenschutz bieten und nur notwendige Daten verarbeitet werden (Privacy by Default). Sollte der Verantwortliche mal den Schutz der personenbezogenen Daten verletzen, ist er verpflichtet diese Verletzung sowohl binnen 72 Stunden der zuständigen Aufsichtsbehörde, als auch unverzüglich der / den betroffenen Person/-en zu melden.

Das Verzeichnis von Verarbeitungstätigkeiten (VVT)

Der Verantwortliche führt ein schriftliches Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen mit folgendem Inhalt:

Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, die Zwecke der Verarbeitung, die Kategorien betroffener Personen, die Kategorien der personenbezogenen Daten, die Kategorien von Empfängern, ggf. die Übermittlung an ein Drittland oder an eine internationale Organisation, die Löschfristen und eine Beschreibung der technischen und organisatorischen Maßnahmen.

Das Verzeichnis muss geführt werden, wenn 250 oder mehr Mitarbeiter in dem Unternehmen arbeiten oder die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt, eine Verarbeitung besonderer Datenkategorien erfolgt, die Verarbeitung über strafrechtliche Verurteilungen und Straftaten erfolgt. Der Verantwortliche ist verpflichtet, der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung zu stellen.

Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen / TOM)

Der Verantwortliche muss sicherstellen, dass die getroffenen Maßnahmen zum Schutz personenbezogener Daten dem Risiko angemessen sind. Dabei sind mehrere Faktoren zu berücksichtigen:

• Stand der Technik: Welche aktuellen technologischen Lösungen und Sicherheitsmaßnahmen sind verfügbar?
• Kosten der Implementierung: Wie viel kostet es, diese Schutzmaßnahmen einzuführen und zu betreiben?
• Art und Umfang der Verarbeitung: Welche Art von Daten wird verarbeitet und in welchem Umfang?
• Umstände und Zwecke der Verarbeitung: In welchem Kontext findet die Datenverarbeitung statt und zu welchem Zweck?
• Risiko für die Rechte und Freiheiten von Personen: Wie wahrscheinlich es ist, dass ein Risiko für die betroffenen Personen auftritt und wie schwerwiegend könnte der Schaden sein?

Das Ziel ist es, durch technische und organisatorische Maßnahmen ein Schutzniveau zu erreichen, das den potenziellen Risiken angemessen ist. Das bedeutet, dass bei sensiblen Daten oder einem hohen Risiko stärkere Schutzmaßnahmen ergriffen werden müssen als bei weniger riskanten Situationen. Diese Maßnahmen schließend ggf. Folgendes ein: die Pseudonymisierung und Verschlüsselung der personenbezogenen Daten, die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, die Fähigkeit, die Verfügbarkeit der Daten nach einem physischen oder technischen Zwischenfall wieder herstellen zu können sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. In der Praxis zählen zu den technischen und organisatorischen Maßnahmen bspw. auch eine Videoüberwachung draußen, das Installieren von Firewalls, der regelmäßige Wechsel von Passwörtern, das Erstellen eines Berechtigungskonzepts, Besucherregelungen, das Verbot des Einsatzes privater Datenträger etc.

Verstöße gegen die DSGVO / das BDSG

Verstößt ein Verantwortlicher gegen die DSGVO, kann es zu enorm hohen Bußgeldern kommen. Die Bußgelder werden von der Aufsichtsbehörde verhängt und diese stellt sicher, dass die Höhe der Geldbuße wirksam, verhältnismäßig und abschreckend ist.

Bei der Verhängung von Geldbußen wird folgendes von der Aufsichtsbehörde berücksichtigt: die Art, Schwere und Dauer des Verstoßes, die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, die getroffenen Maßnahmen zur Minderung des Schadens, der Grad der Verantwortung, frühere Verstöße, der Umfang der Zusammenarbeit mit der Aufsichtsbehörde, die Kategorien personenbezogener Daten, die vom Verstoß betroffen sind, die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, die Einhaltung der nach Art. 58 Abs. 2 früher gegen den für den betreffenden Verantwortlichen oder den Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden, Einhaltung von genehmigten Verhaltensregeln oder Zertifizierungsverfahren sowie andere erschwerende oder mildernde Umstände.

Zu den folgenden Geldbußen kann es dann kommen:

• 10.000.000,00 € oder 2% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist) für Verstöße gegen die Pflichten des Verantwortlichen, der Zertifizierungsstelle oder der Überwachungsstelle,
• 20.000.000,00 € oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs (je nachdem, welcher Betrag höher ist) für Verstöße gegen die folgenden Bestimmungen: Grundsätze der Verarbeitung, Rechte der betroffenen Personen, Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation, alle Pflichten gem. den Rechtsvorschriften der Mitgliedstaaten, Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung bzw. Aussetzung der Datenübermittlung durch die Aufsichtsbehörde, Nichtgewährung des Zugangs, Nichtbefolgung einer Anweisung der Aufsichtsbehörde.

Das BDSG hingegen sieht sogar Haftstrafen von bis zu drei Jahren bei Verstößen vor. Eine Freiheitsstrafe von bis zu drei Jahren gibt es für die wissentliche und gewerbsmäßige Übermittlung oder andere Art und Weise der Zugänglichmachung nicht allgemein zugänglicher personenbezogener Daten einer großen Zahl von Personen – ohne hierzu berechtigt zu sein – an einen Dritten. Eine Freiheitsstrafe von bis zu zwei Jahren hat derjenige zu befürchten, der personenbezogene Daten – ohne hierzu berechtigt zu sein – verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.