Die neue Datenschutz-Grundverordnung
Die neue Datenschutz-Grundverordnung (DS-GVO) hat zum Ziel, einen für die EU übergreifenden gültigen Datenschutzstandard zu setzen. Mit Inkrafttreten am 25. Mai 2018 müssen Unternehmen und Behörden die gesetzlichen Anforderungen der DS-GVO umgesetzt haben. Dies bedeutet, dass bereits ab diesem Zeitpunkt die Einhaltung durch die Datenschutzbehörden überprüfbar ist.
Durch die DS-GVO wird sich der Datenschutz für deutsche Unternehmen nicht grundlegend ändern. Viele Prozesse werden gleich bleiben; gleichzeitig kommen aber auch völlig neue Anforderungen hinzu. Hierzu zählen vor allem Themen wie „Privacy by Design / Default", die "Folgenabschätzung" sowie das "Marktortprinzip". Aber auch bereits alltägliche Dokumente wie Einwilligungserklärungen können betroffen sein und bedürfen ggf. einer Anpassung.
Unternehmen sollten sich folglich frühzeitig mit den Anforderungen der DS-GVO auseinandersetzen, die eigenen Datenschutzprozesse prüfen und das Datenschutzmanagement entsprechend anpassen.
“Datenschutz” – was bedeutet das eigentlich?
Das Bundesdatenschutzgesetz (BDSG) schreibt Rahmenbedingungen für die Verarbeitung von personenbezogenen Daten aller Unternehmen vor. Wir helfen Ihnen bei der rechtskonformen Umsetzung dieses Gesetzes und der darin enthaltenen Vorgaben.
Die Datenschutzgesetze umschreiben dies häufig recht kompliziert. Zum Beispiel lautet § 1 Absatz 1 des Bundesdatenschutzgesetzes (BDSG): “Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.”
Man kann das viel einfacher ausdrücken: Das Datenschutzrecht dient vor allem dazu, IHR Persönlichkeitsrecht zu schützen. Geschützt werden also nicht Ihre Daten, sondern Sie selbst, und zwar im Zusammenhang mit Datenverarbeitungsvorgängen.
Heutzutage sammeln viele Stellen – z.B. der Staat, ein Unternehmen – Informationen über Sie, werten sie aus und geben sie vielleicht auch an andere weiter. Häufig sind Sie damit auch einverstanden oder wollen sogar eine Datenverarbeitung. Das kann z.B. der Fall sein, wenn Sie telefonisch eine Buchbestellung aufgeben. Natürlich wollen Sie dann, dass der Buchhändler erfasst, dass Sie ein ganz bestimmtes Buch bestellt haben. Und selbstverständlich soll der Buchhändler dieses Buch für Sie besorgen. Das bedingt, dass er die Bestelldaten auch nutzt. In solchen Fällen ist der Umgang mit personenbezogenen Daten datenschutzrechtlich natürlich auch in Ordnung.
In vielen Fällen sind Sie jedoch vielleicht nicht damit einverstanden, dass andere Sie betreffende Informationen sammeln und auswerten. Wären Sie zum Beispiel damit einverstanden, dass Ihr Buchhändler Ihre Bestelldaten an die US-amerikanischen Sicherheitsbehörden weitergibt, ohne dass Sie davon wissen und ohne dass Sie vorhaben, in die USA zu reisen? Sie glauben, das kommt nicht vor? Leider müssen wir Sie enttäuschen – ein Internetbuchladen ist in der Vergangenheit genau so vorgegangen.
Es kann jedoch auch sein, dass der Buchhändler Ihre Bestelldaten zum Anlass nimmt, Sie persönlich anzuschreiben und Sie auf neue Buchtitel hinzuweisen. Vielleicht finden Sie solche Werbeanschreiben gut, vielleicht nur etwas lästig, vielleicht aber ärgern Sie sich darüber, weil der Werbemüll ohnehin schon dauernd Ihren Briefkasten zustopft.
Wie die Beispiele zeigen, gibt es sehr viele Interessenlagen: Der Buchhändler, der Geschäfte machen will, die US-Sicherheitsbehörden, welche mögliche Sicherheitsbedrohungen bereits ausmachen wollen, wenn sie noch im Entstehen begriffen sind (und damit noch gar nicht klar ist, ob die Informationen über Sie dazu beitragen) – und Ihre Interessen.
Das Datenschutzrecht soll den Ausgleich zwischen diesen vielen verschiedenen Interessen regeln. Es trifft also Aussagen darüber, wann eine Datenverarbeitung zulässig ist und wann nicht.
Es wäre schön, wenn es nur ein Datenschutzgesetz gäbe, das überdies ganz einfach zu verstehen wäre. Leider ist das nicht so. Deutschland ist ein Bundesstaat mit 16 Bundesländern. Und das heißt: Es gibt das bereits erwähnte BDSG und 16 verschiedene Landesdatenschutzgesetze.
Dabei gibt es eine Aufgabenverteilung:
Wenn Bundesbehörden (z.B. die Bundespolizei, ein Bundesministerium usw.) Informationen über Sie verwenden, dann gilt im Allgemeinen das BDSG. Das BDSG ist auch anwendbar, wenn Unternehmen oder private Vereine Informationen über Sie verwenden.
Es gibt aber Fälle, in denen Landesbehörden Informationen über Sie verwenden. Hierfür gibt es die Landesdatenschutzgesetze.
Wenn das alles wäre, wäre das Datenschutzrecht noch einfach! Leider haben die Gesetzgeber des Bundes und der Länder in einer Vielzahl unterschiedlicher Gesetze weitere Datenverarbeitungsregeln eingefügt. Zum Beispiel sieht die Strafprozessordnung vor, dass die Staatsanwaltschaft bestimmte verdächtige Personen heimlich beobachten kann. Die Zivilprozessordnung erlaubt es, dass die Amtsgerichte Listen mit ganz bestimmten Informationen über Schuldner erfassen, falls diese insolvent sind, einen “Offenbarungseid” geleistet haben oder wenn gegen sie ein Schuldnerhaftbefehl vorliegt. Dies sind nur zwei Beispiele von zahllosen Regelungen, die das Datenschutzrecht leider kompliziert machen. Der Datenschutzjurist spricht bei diesen Sonderregelungen von “bereichsspezifischen Vorschriften”.