Übersicht über das Datenschutzrecht
Wann ist das Datenschutzrecht zu beachten?
Datenschutzrecht ist immer zu beachten, wenn personenbezogene Daten vorliegen. Personenbezogene Daten sind Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und liegen damit wesentlich rascher vor, als oftmals angenommen. Ein Beispiel hierzu: Das produzierendes Unternehmen U aus dem Bereich Automotive speichert auf der SaaS-Plattform eines Dritten, wann bestimmte Mitarbeiter die Produktionsmaschine von U bedienen. U speichert auf der SaaS-Plattform jedoch nicht den Namen der Mitarbeiter, sondern verwendet Kennzeichnungen wie „M1“ und „M2“. Damit U selbst die Kennzeichnung einem bestimmten Mitarbeiternamen zuordnen kann, führt U eine Zuordnungstabelle. Diese Zuordnungstabelle wird nicht auf der SaaS-Plattform gespeichert. Liegen bei der SaaS-Plattform personenbezogene Daten vor und muss diese daher nach den Anforderungen der DSGVO eingebunden werden? Ja - U muss in dem Beispielsfall das Datenschutzrecht vollständig beachten. Dem Anbieter der SaaS-Plattform ist die Zuordnungstabelle zwar nicht zugänglich. Allerdings kommt es darauf nicht an. Denn die bei der SaaS-Plattform vorliegenden Daten sind personenbeziehbar, sei dies auch nur mithilfe des Zusatzwissens bei U. Aufgrund der Kennzeichnung mit „M1“ und „M2“ etc. sind die Arbeitszeiten Bei der SaaS-Plattform liegen pseudonyme Daten vor, nicht anonyme Daten (vgl. hierzu auch Sind verschlüsselte Daten personenbezogene Daten?). Nur im Falle eine Anonymisierung wäre das Datenschutzrecht nicht mehr zu beachten. Für eine Anonymisierung müsste - im Beispielsfall - zumindest die Kennzeichnungen mit „M1“ und „M2“ etc. unterbleiben werden.
Was sind die Hauptfolgen der Geltung der DSGVO?
Wenn das Datenschutzrecht zu beachten ist, sind zunächst zwei Hauptfolgen im Hinblick auf Datenverarbeitungen zu beachten:
Auffinden und Einhalten einer Erlaubnisnorm
Erfüllung von Informationspflichten
Auffinden und Einhalten einer Erlaubnisnorm
Liegen personenbezogene Daten vor, ist deren Verarbeitung gem. Artt. 6 Abs. 1, 9 Abs. 1 DSGVO zunächst verboten. Das Verbot gilt nur dann nicht, wenn eine - von eher wenigen - Ausnahmevorschriften eingreift. Solche Ausnahmevorschriften finden sich in erster Linie in Art. 6 Abs. 2 DSGVO, nämlich:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener
Sind sensible Daten (genauer: besondere Kategorien personenbezogener Daten) betroffen, gelten abweichende Regelungen. Solche sensiblen Daten sind
Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Daten über die Gesundheit, also etwa Krankmeldungen oder schon der Umstand, dass eine Person Brillenträger ist, sind somit sensiblen Daten. Liegen solche Daten vor, muss ein Erlaubnistatbestand aus Art. 9 Abs. 2 DSGVO vorliegen. Die Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO unterscheiden sich dabei im Vergleich zu den oben zitierten Erlaubnistatbeständen aus Art. 6 Abs. 2 DSGVO in einigen wesentlichen Punkten.
So ist z. B. eine Einwilligung auch im Bereich der sensiblen Daten möglich. Sie muss hier jedoch ausdrücklich sein. Konkludente Einwilligungen sind damit z. B. nicht - oder jedenfalls kaum - möglich.
Weiter ist von besonderer Bedeutung, dass bei „einfachen“ Daten nach Art. 6 Abs. 2 DSGVO eine Verarbeitung auf der Grundlage eines berechtigten Interesses (Art. 6 Abs. 2 lit. f DSGVO) möglich. Es ist also eine Interessenabwägung anzustellen. Bei einem positiven Ausgang dieser Interessenabwägung darf die Verarbeitung der Daten erfolgen. In der Praxis werden viele Verarbeitungen auf diesen Erlaubnistatbestand gestützt, z. B. das Setzen von Cookies für den Warenkorb eines Onlineshops oder die organisatorische Einbindung von Handelsvertretern. Sind jedoch sensible Daten betroffen, z. B. Daten zur Religionszugehörigkeit, zu einer Krankmeldung oder einer gesundheitlichen Disposition, ist vorrangig Art. 9 Abs. 2 DSGVO anzuwenden, in dem keine solche Interessenabwägung vorgesehen ist. Wenn kein sonstiger Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO eingreift, kann es damit rasch auf die Erteilung einer ausdrücklichen Einwilligung ankommen. Einwilligungen haben jedoch verschiedene Nachteile, weshalb sie grundsätzlich vermieden werden sollten. Hierzu gehören u. a. der organisatorische Aufwand, die Freiwilligkeit der Einwilligung, das Verbot, Einwilligungen mit bestimmten Leistungen zu koppeln, die Pflicht, die Einwilligung zu dokumentieren, sowie die Widerruflichkeit der Einwilligung.
Liegen personenbezogene Daten vor, gilt es also zunächst, eine möglichst praxistaugliche Erlaubnisnorm für die Verarbeitung der Daten zu finden und deren Vorgaben einzuhalten.
Erfüllung von Informationspflichten
Im Falle der Verarbeitung von Daten sind grundsätzlich die Betroffenen zu informieren. Diese Plicht trifft selbst denjenigen, der keinen direkten Kontakt mit dem Betroffenen hat. Erhält ein Unternehmen also beispielsweise personenbezogene Daten eines Endkunden im Rahmen eines Regresses, hat dieses Unternehmen den Betroffenen datenschutzrechtlich zu informieren.
Die zu erteilenden Informationen sind in zwölf Punkten in Art. 13 DSGVO bzw. dreizehn Punkten in Art. 14 DSGVO aufgeführt. Diese beiden Normen sind der Grund für die auf fast jeder Webseite erforderliche „Datenschutzerklärung“.
Unter den zu erteilenden Informationen befinden sich einfachere Punkte wie die Nennung des datenschutzrechtlich Verantwortlichen, also in der Regel des Namens des Unternehmens, und die etwaige Angabe von Kontaktdaten eines Datenschutzbeauftragten. Die Zusammenstellung anderer Informationen kann mehr Aufwand bereiten. So ist z. B. auch die Erlaubnisnorm für die Verarbeitung (siehe hierzu oben) zu nennen. Weiter muss die Dauer der Speicherung angegeben werden und ggf. mitgeteilt werden, aus welcher Quelle die Daten stammen. Gerade der letzte Punkt kann erhebliche wirtschaftliche Auswirkungen haben, da hierdurch auch Subunternehmer zu nennen sein können. Oftmals soll die Identität von Subunternehmer jedoch geheim gehalten werden - z. B. gegenüber Wettbewerbern.
Weitere datenschutzrechtliche Themen
Die vorstehenden Punkte sollen das weitere Spektrum des Datenschutzrechts veranschaulichen. Dabei wurde lediglich auf Punkte eingegangen, die direkt bei der Verarbeitung von Daten entstehen. Obenstehend wurde also z. B. nicht auf die umfangreichen Pflichten im Hinblick auf die unternehmensinterne Organisation eingegangen. Auch ansonsten sind zahlreiche weitere Standardthemen sowie auch Spezialthemen zu beachten.
Als einige weitere Standardthemen sind exemplarisch zu nennen:
Umgang mit Datenpannen (Meldepflicht innerhalb von 72 Stunden)
ordnungsgemäßer Abschluss von Auftragsverarbeitungen
Haftung des Auftragsverarbeiters
Beachtung der Grundsätze Privacy-by-Design und Privacy-by-Default bei der Technikgestaltung
Löschkonzepte
Bestellung eines Datenschutzbeauftragten
Recht auf Datenübertragbarkeit („Datenportabilität“)
Als einige Spezialthemen sind exemplarisch zu nennen:
Ausgestaltung von vernetzten Produkten bestehend aus SaaS-Portal oder Kundenportal, App und neuartigen Geräten
Berücksichtigung von Anforderungen aufgrund von E-Privacy, wonach ähnliche Regelungen wie im Datenschutzrecht zu beachten sind, ohne dass es jedoch auf einen Personenbezug ankommt. Es genügt z. B., dass reine Informationen aus dem Endgerät eines Nutzers abgerufen werden.
Einbindung von Absatzmittlern, z. B. Handelsvertretern
Beachtung von datenschutzrechtlichen Sonderregelungen, z. B. dem Sozialdatenschutz
Datenschutz und Fotos
Cookies und Cookie-Banner
unternehmensinterne und konzernweite datenschutzrechtliche Ausgestaltung