Übersicht über das Datenschutzrecht

Das Datenschutzrecht durchdringt zahlreiche Rechtsbereiche. Damit verbunden sind zahlreiche Einzelfragestellungen. Ist z. B. der Betriebsrat eine eigene datenschutzrechtlich verantwortliche Stelle oder ist sie datenschutzrechtlich Teil des Gesamtunternehmens? Benötigt jedes Cookie auf einer Webseite eine Einwilligung? Darf ein Steuerberater, der Lohnbuchhaltung durchführt über eine Auftragsverarbeitung eingebunden werden? Wie dürfen Daten aus Visitenkarten weiterverarbeitet werden? Was gilt bei E-Mail-Newslettern? Und wie muss der Datenfluss bei vernetzten Produkten bestehend aus einer Smartphone-App, einem neuartigen Endgerät und der „Cloud“ des Herstellers ausgestaltet werden?

Bitte beachten Sie zu solchen Spezialthemen unsere zahlreichen Einzelmeldungen, mit denen wir auf Einzelthemen gesondert eingehen, so z. B. auch die Frage, ob verschlüsselte Daten ebenfalls personenbezogen sind und der DSGVO unterfallen.

Im Folgenden werden im Sinne eines ersten Überblicks lediglich einige grundlegende Anforderungen des Datenschutzrechts - und damit im Wesentlichen der DSGVO - als Einstieg dargestellt.

Wann ist das Datenschutzrecht zu beachten?

Datenschutzrecht ist immer zu beachten, wenn personenbezogene Daten vorliegen. Personenbezogene Daten sind Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und liegen damit wesentlich rascher vor, als oftmals angenommen. Ein Beispiel hierzu: Das produzierendes Unternehmen U aus dem Bereich Automotive speichert auf der SaaS-Plattform eines Dritten, wann bestimmte Mitarbeiter die Produktionsmaschine von U bedienen. U speichert auf der SaaS-Plattform jedoch nicht den Namen der Mitarbeiter, sondern verwendet Kennzeichnungen wie „M1“ und „M2“. Damit U selbst die Kennzeichnung einem bestimmten Mitarbeiternamen zuordnen kann, führt U eine Zuordnungstabelle. Diese Zuordnungstabelle wird nicht auf der SaaS-Plattform gespeichert. Liegen bei der SaaS-Plattform personenbezogene Daten vor und muss diese daher nach den Anforderungen der DSGVO eingebunden werden? Ja - U muss in dem Beispielsfall das Datenschutzrecht vollständig beachten. Dem Anbieter der SaaS-Plattform ist die Zuordnungstabelle zwar nicht zugänglich. Allerdings kommt es darauf nicht an. Denn die bei der SaaS-Plattform vorliegenden Daten sind personenbeziehbar, sei dies auch nur mithilfe des Zusatzwissens bei U. Aufgrund der Kennzeichnung mit „M1“ und „M2“ etc. sind die Arbeitszeiten Bei der SaaS-Plattform liegen pseudonyme Daten vor, nicht anonyme Daten (vgl. hierzu auch Sind verschlüsselte Daten personenbezogene Daten?). Nur im Falle eine Anonymisierung wäre das Datenschutzrecht nicht mehr zu beachten. Für eine Anonymisierung müsste - im Beispielsfall - zumindest die Kennzeichnungen mit „M1“ und „M2“ etc. unterbleiben werden.

Was sind die Hauptfolgen der Geltung der DSGVO?

Wenn das Datenschutzrecht zu beachten ist, sind zunächst zwei Hauptfolgen im Hinblick auf Datenverarbeitungen zu beachten:
  • Auffinden und Einhalten einer Erlaubnisnorm
  • Erfüllung von Informationspflichten

Auffinden und Einhalten einer Erlaubnisnorm

Liegen personenbezogene Daten vor, ist deren Verarbeitung gem. Artt. 6 Abs. 1, 9 Abs. 1 DSGVO zunächst verboten. Das Verbot gilt nur dann nicht, wenn eine - von eher wenigen - Ausnahmevorschriften eingreift. Solche Ausnahmevorschriften finden sich in erster Linie in Art. 6 Abs. 2 DSGVO, nämlich:

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener

Sind sensible Daten (genauer: besondere Kategorien personenbezogener Daten) betroffen, gelten abweichende Regelungen. Solche sensiblen Daten sind

Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Daten über die Gesundheit, also etwa Krankmeldungen oder schon der Umstand, dass eine Person Brillenträger ist, sind somit sensiblen Daten. Liegen solche Daten vor, muss ein Erlaubnistatbestand aus Art. 9 Abs. 2 DSGVO vorliegen. Die Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO unterscheiden sich dabei im Vergleich zu den oben zitierten Erlaubnistatbeständen aus Art. 6 Abs. 2 DSGVO in einigen wesentlichen Punkten.

So ist z. B. eine Einwilligung auch im Bereich der sensiblen Daten möglich. Sie muss hier jedoch ausdrücklich sein. Konkludente Einwilligungen sind damit z. B. nicht - oder jedenfalls kaum - möglich.

Weiter ist von besonderer Bedeutung, dass bei „einfachen“ Daten nach Art. 6 Abs. 2 DSGVO eine Verarbeitung auf der Grundlage eines berechtigten Interesses (Art. 6 Abs. 2 lit. f DSGVO) möglich. Es ist also eine Interessenabwägung anzustellen. Bei einem positiven Ausgang dieser Interessenabwägung darf die Verarbeitung der Daten erfolgen. In der Praxis werden viele Verarbeitungen auf diesen Erlaubnistatbestand gestützt, z. B. das Setzen von Cookies für den Warenkorb eines Onlineshops oder die organisatorische Einbindung von Handelsvertretern. Sind jedoch sensible Daten betroffen, z. B. Daten zur Religionszugehörigkeit, zu einer Krankmeldung oder einer gesundheitlichen Disposition, ist vorrangig Art. 9 Abs. 2 DSGVO anzuwenden, in dem keine solche Interessenabwägung vorgesehen ist. Wenn kein sonstiger Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO eingreift, kann es damit rasch auf die Erteilung einer ausdrücklichen Einwilligung ankommen. Einwilligungen haben jedoch verschiedene Nachteile, weshalb sie grundsätzlich vermieden werden sollten. Hierzu gehören u. a. der organisatorische Aufwand, die Freiwilligkeit der Einwilligung, das Verbot, Einwilligungen mit bestimmten Leistungen zu koppeln, die Pflicht, die Einwilligung zu dokumentieren, sowie die Widerruflichkeit der Einwilligung.

Liegen personenbezogene Daten vor, gilt es also zunächst, eine möglichst praxistaugliche Erlaubnisnorm für die Verarbeitung der Daten zu finden und deren Vorgaben einzuhalten.

Erfüllung von Informationspflichten

Im Falle der Verarbeitung von Daten sind grundsätzlich die Betroffenen zu informieren. Diese Plicht trifft selbst denjenigen, der keinen direkten Kontakt mit dem Betroffenen hat. Erhält ein Unternehmen also beispielsweise personenbezogene Daten eines Endkunden im Rahmen eines Regresses, hat dieses Unternehmen den Betroffenen datenschutzrechtlich zu informieren.

Die zu erteilenden Informationen sind in zwölf Punkten in Art. 13 DSGVO bzw. dreizehn Punkten in Art. 14 DSGVO aufgeführt. Diese beiden Normen sind der Grund für die auf fast jeder Webseite erforderliche „Datenschutzerklärung“.

Unter den zu erteilenden Informationen befinden sich einfachere Punkte wie die Nennung des datenschutzrechtlich Verantwortlichen, also in der Regel des Namens des Unternehmens, und die etwaige Angabe von Kontaktdaten eines Datenschutzbeauftragten. Die Zusammenstellung anderer Informationen kann mehr Aufwand bereiten. So ist z. B. auch die Erlaubnisnorm für die Verarbeitung (siehe hierzu oben) zu nennen. Weiter muss die Dauer der Speicherung angegeben werden und ggf. mitgeteilt werden, aus welcher Quelle die Daten stammen. Gerade der letzte Punkt kann erhebliche wirtschaftliche Auswirkungen haben, da hierdurch auch Subunternehmer zu nennen sein können. Oftmals soll die Identität von Subunternehmer jedoch geheim gehalten werden - z. B. gegenüber Wettbewerbern.

Weitere datenschutzrechtliche Themen

Die vorstehenden Punkte sollen das weitere Spektrum des Datenschutzrechts veranschaulichen. Dabei wurde lediglich auf Punkte eingegangen, die direkt bei der Verarbeitung von Daten entstehen. Obenstehend wurde also z. B. nicht auf die umfangreichen Pflichten im Hinblick auf die unternehmensinterne Organisation eingegangen. Auch ansonsten sind zahlreiche weitere Standardthemen sowie auch Spezialthemen zu beachten.

Als einige weitere Standardthemen sind exemplarisch zu nennen:

  1. Umgang mit Datenpannen (Meldepflicht innerhalb von 72 Stunden)
  2. ordnungsgemäßer Abschluss von Auftragsverarbeitungen
  3. Haftung des Auftragsverarbeiters
  4. Beachtung der Grundsätze Privacy-by-Design und Privacy-by-Default bei der Technikgestaltung
  5. Löschkonzepte
  6. Bestellung eines Datenschutzbeauftragten
  7. Recht auf Datenübertragbarkeit („Datenportabilität“)
Als einige Spezialthemen sind exemplarisch zu nennen:
  1. Ausgestaltung von vernetzten Produkten bestehend aus SaaS-Portal oder Kundenportal, App und neuartigen Geräten
  2. Berücksichtigung von Anforderungen aufgrund von E-Privacy, wonach ähnliche Regelungen wie im Datenschutzrecht zu beachten sind, ohne dass es jedoch auf einen Personenbezug ankommt. Es genügt z. B., dass reine Informationen aus dem Endgerät eines Nutzers abgerufen werden.
  3. Einbindung von Absatzmittlern, z. B. Handelsvertretern
  4. Beachtung von datenschutzrechtlichen Sonderregelungen, z. B. dem Sozialdatenschutz
  5. Datenschutz und Fotos
  6. Cookies und Cookie-Banner
  7. unternehmensinterne und konzernweite datenschutzrechtliche Ausgestaltung