Datenschutz kurz zusammengefasst

Datenschutzregelungen in Europa seit Mai 2018

Seit dem 25. Mai 2018 unterliegen die Datenschutzregelungen in Europa der Datenschutz-Grundverordnung (DSGVO). Diese Verordnung der Europäischen Union gilt unmittelbar in allen Mitgliedstaaten, ohne dass sie in nationales Recht umgewandelt werden muss. Ergänzend dazu enthalten die einzelnen Mitgliedsstaaten datenschutzrechtliche Bestimmungen. In Deutschland tritt das Bundesdatenschutzgesetz (BDSG) ebenfalls am 25. Mai 2018 in Kraft. Damit existieren zwei gleichzeitig geltende rechtliche Grundlagen: die DSGVO auf europäischer Ebene und das BDSG auf nationaler Ebene.

Grundlagen und Geltungsbereiche des Datenschutzrechts

Im Zentrum der Datenschutzgesetzgebung stehen verschiedene Rechtsgrundlagen, die sowohl auf europäischer als auch auf nationaler Ebene angesiedelt sind. Die Europäische Datenschutz-Grundverordnung (DSGVO) bildet dabei die Basis für den Datenschutz in der EU und gilt für öffentliche sowie private Einrichtungen. Diese Verordnung wird durch nationale Gesetze wie das Bundesdatenschutzgesetz (BDSG) in Deutschland ergänzt. Das BDSG findet primär bei öffentlichen Stellen des Bundes Anwendung, etwa in Bundesministerien, und gilt auch für Ländereinrichtungen wie Hochschulen, sofern kein spezifisches Landesdatenschutzgesetz vorliegt. Nichtöffentliche Stellen, die sowohl natürliche als auch juristische Personen umfassen können, unterliegen ebenfalls dem BDSG. Neben der DSGVO und dem BDSG existieren landesspezifische Datenschutzgesetze in Deutschland, die für öffentliche Stellen der Länder zuständig sind. Ein Beispiel hierfür ist das bremische Ausführungsgesetz zur DSGVO. Insgesamt deckt das Datenschutzrecht ein breites Spektrum an Anwendungsbereichen ab, von Behörden bis hin zu Unternehmen, und variiert je nach Zuständigkeit auf Bundes- oder Landesebene.

Anwendungsbereich und Definition personenbezogener Daten im Datenschutzrecht

Die Anwendbarkeit des Datenschutzrechts, speziell der Datenschutz-Grundverordnung (DSGVO), hängt vom Umgang mit personenbezogenen Daten lebender natürlicher Personen ab. Unter Verarbeitung versteht man dabei vielfältige Vorgänge wie das Sammeln, Speichern, Übertragen und Weitergeben solcher Daten. Wesentlich ist die Natur der Daten: Sie müssen personenbezogen sein, also Informationen, die auf eine identifizierte oder identifizierbare natürliche Person bezogen sind. Personenbezogene Daten umfassen eine breite Palette von Informationen, von Namen und Kennnummern über Standortdaten und Online-Identifikatoren wie IP-Adressen und Cookies bis hin zu Geburtsdaten und Adressen. Auch Merkmale, die die physische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer Person ausdrücken, fallen darunter. Entscheidend ist, ob durch diese Daten eine Person identifizierbar ist. Wenn Daten dieser Art verarbeitet werden, kommt die DSGVO zur Anwendung.

Anonyme versus Pseudonymisierte Daten im Datenschutzrecht

Datenschutzrechtlich unterscheidet man zwischen personenbezogenen und anonymen Daten. Anonyme Daten sind solche, die keine Identifikation einer lebenden natürlichen Person ermöglichen. Da sie keine Rückschlüsse auf Individuen zulassen, fallen sie nicht unter die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und sind somit von datenschutzrechtlichen Einschränkungen ausgenommen.

Im Kontrast dazu stehen pseudonymisierte Daten, ein spezieller Fall personenbezogener Daten. Gemäß Artikel 4(5) DSGVO bezeichnet Pseudonymisierung die Verarbeitung personenbezogener Daten derart, dass die Daten ohne zusätzliche Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können. Diese zusätzlichen Informationen müssen separat gespeichert und durch technische und organisatorische Maßnahmen geschützt werden, um eine Zuordnung zu einer identifizierbaren Person zu verhindern. Pseudonymisierte Daten ersetzen identifizierende Merkmale durch Kennungen wie Personalnummern, Fantasienamen oder Verschlüsselungen. Für bestimmte Gruppen können diese Kennungen jedoch eine Identifikation ermöglichen. Daher fallen pseudonymisierte Daten unter den Anwendungsbereich der DSGVO und genießen bestimmte Privilegien innerhalb des rechtlichen Rahmens. Sie sind ein besonderer Fall personenbezogener Daten und unterliegen dem Datenschutzrecht, einschließlich der DSGVO. Es ist wichtig zu verstehen, dass trotz der Verwendung von Kennungen eine Identifizierung durch bestimmte Personen möglich sein kann, weshalb sie als personenbezogene Daten gelten und das Datenschutzrecht beachtet werden muss.

Räumlicher Anwendungsbereich und Verantwortlichkeiten in der Datenschutz-Grundverordnung

Die Frage nach dem räumlichen Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) ergibt sich nach Klärung des sachlichen Anwendungsbereichs, der die Verarbeitung personenbezogener Daten umfasst. Hierbei ist entscheidend, ob der Datenverarbeiter oder der Auftragsverarbeiter eine Niederlassung innerhalb der Europäischen Union (EU) hat. Ist dies der Fall, wird die DSGVO angewendet, unabhängig davon, wo die Datenverarbeitung tatsächlich erfolgt. Dieses Prinzip wird als Niederlassungsprinzip bezeichnet: Eine EU-Niederlassung zieht die Anwendung der DSGVO nach sich, unabhängig vom Ort der Datenverarbeitung. Zusätzlich wurde der Anwendungsbereich der DSGVO erweitert. Sie gilt auch für Verantwortliche oder Auftragsverarbeiter, die personenbezogene Daten von Personen verarbeiten, die sich in der EU befinden, etwa im Kontext von Angeboten von Waren oder Dienstleistungen oder bei Online-Marketingaktivitäten, die auf das Verhalten der Nutzer in der EU abzielen. Dies wird als Marktortprinzip bezeichnet.

Die DSGVO spricht in ihren Regelungen oft von „Verantwortlichen für die Datenverarbeitung“, definiert in Artikel 4 Nummer 7 der DSGVO. Als verantwortlich gelten natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Wer also Daten erhebt, speichert oder übermittelt und über deren Verwendungszweck bestimmt, ist als Verantwortlicher anzusehen. Diese Verantwortlichen müssen die Vorgaben der DSGVO beachten.

Rechtmäßigkeit der Datenverarbeitung nach der Datenschutz-Grundverordnung

Die zentrale Frage im Datenschutzrecht ist, unter welchen Bedingungen die Verarbeitung personenbezogener Daten rechtmäßig ist. Artikel 6 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) bietet hierfür die Rechtsgrundlagen. Eine zulässige Datenverarbeitung kann auf der expliziten Einwilligung der betroffenen Person basieren. Dies bedeutet, dass die Person ausdrücklich zustimmt, dass ihre personenbezogenen Daten verarbeitet werden dürfen. Neben der Einwilligung gibt es weitere zulässige Gründe für die Datenverarbeitung, wie die Notwendigkeit zur Vertragserfüllung. Beispielsweise benötigt ein Verkäufer für die Lieferung von Waren Namen und Anschrift des Käufers.

Weitere Rechtsgrundlagen sind die Erfüllung rechtlicher Verpflichtungen oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse, was besonders im Forschungsbereich an Hochschulen relevant ist. Ebenso kann die Datenverarbeitung aufgrund eines berechtigten Interesses des Verantwortlichen legitim sein, vorausgesetzt, diese kollidiert nicht mit den Grundrechten und -freiheiten der betroffenen Person. Die Interessen des Datenverarbeiters müssen die der betroffenen Person überwiegen, ohne deren Freiheiten unverhältnismäßig zu beeinträchtigen.

Die Einwilligung zur Datenverarbeitung ist in Artikel 4 Nummer 11 und Artikel 7 der DSGVO detailliert definiert. Sie muss freiwillig, informiert und eindeutig sein. Eine schriftliche Dokumentation der Einwilligung ist empfehlenswert, wenn auch nicht zwingend erforderlich. Die betroffene Person hat jederzeit das Recht, ihre Einwilligung zu widerrufen, und muss über dieses Recht informiert werden.