2 Grundbegriffe im Datenschutz
2.1 Datenschutzgrundverordnung
2.1.1 Historie des DSGVO
| 25.01. | 1. Entwurf durch die EU-Kommission |
| 06.06. | EU Ministerrat tagt zur EU-DSGVO |
| 21.10. | LIBE (Innenausschuss) nimmt Anträge an |
| 12.03. | Veröffentlichung 2. Entwurf durch das EU-Parlament |
| 15.06. | Veröffentlichung 3. Entwurf durch den EU-Ministerrat |
| 15.12. | Letztes Trilog-Treffen – Einigung auf finalen Stand |
| 14.04. | Beschluss des EU Parlaments |
| 04.05. | Veröffentlichung im Amtsblatt der Europäischen Union |
| 25.05. | DSGVO tritt in Kraft (ist also schon geltendes Recht; Übergangszeit läuft schon!) |
| 25.05. | Anwendbarkeit der DSGVO |
2.1.2 Gründe für die DSGVO
Das deutsche Datenschutzrecht basiert auf der Richtlinie „95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ und damit auf einem über 20 Jahre altem Regelwerk.
Jeder der 28 Mitgliedsstaaten der EU hat ein eigenes nationales Datenschutzrecht, da die Richtlinie nach europarechtlichen Prinzipien in nationales Recht jeweils transformiert werden muss.
Dabei wurden die „vorgeschlagenen“ Regelungen aus der Richtlinie jeweils an die nationalen Bedürfnisse und Wünsche der Parlamente angepasst.
Gemeinsame Prinzipien aller 28 Regelwerke lassen sich aber auch finden:
- Verbot mit Erlaubnisvorbehalt
- Gewährleistung von Betroffenenrechten
- unabhängige Aufsichtsbehörden
Durch den uneinheitlichen „Datenschutzteppich“ in Europa, hatten Datenverarbeiter die legale Möglichkeit, ihr Unternehmen in dem Land mit dem geringsten bzw. unternehmensfreundlichsten Datenschutzniveau zu positionieren (sog. „forum shopping“ oder „race to the bottom“).
Bekannte Unternehmen, wie Google und Facebook, haben ihre europäische Firmenzentrale z.B. in Irland, wohl weil dort das Datenschutzrecht eher lax gehandhabt wurde – steuerrechtliche Vorteile mögen auch eine Rolle spielen.
Die Notwendigkeit für eine Reformierung des Datenschutzrechtes ergab sich auch aus der rasanten technischen Entwicklung im Bereich der Informations- Kommunikationstechnologie. Als die ersten datenschutzrechtlichen Regelungen entworfen wurden, existierten z.B. Facebook, Google, Amazon, WhatsApp usw. noch nicht oder jedenfalls nicht so, wie wir sie heute kennen.
Auch hat die rechtliche bzw. rechtswissenschaftliche Weiterentwicklung des Datenschutzes in den letzten 20 Jahren Fahrt aufgenommen:
- Beispiele in der Rechtsprechung
- EuGH 8.4.2914 (C293/12) Unzulässigkeit der Vorratsdatenspeicherung
- EuGH vom 13.05.2015 (C131/12) Google-Spain: Recht auf Vergessenwerden
- EuGH vom 06.10.2015 (C362/149) Safe-Harbor-Urteil
- Beispiele aus der Technik
- Smartphone
- Cookies
- Website-Tracking
- Profiling
- WhatsApp
- digitale Personalakte
- GPS-Tracking
- Personenidentifikationssysteme
- Kameraüberwachungen
- usw.
2.2 Haushaltsausnahme
2.2.1 Aktuelle Rechtslage
Für die private Datenverarbeitung schafft das BDSG eine Ausnahme. Nach § 1 Abs. 2 Nr. 3 BDSG gilt das Datenschutzrecht nicht, wenn die Erhebung, Verarbeitung oder Nutzung von Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt.
Diese Ausnahme ist aber eng auszulegen: so kann sich der Hauseigentümer, der sein Grundstück aus Angst vor Einbrechern mit einer Videoüberwachung schützt, nicht auf die Haushaltsausnahme berufen, wenn er zugleich Straßen und Bürgersteige überwacht (EuGH, 11.12.2014, Az. C 212/13).
2.2.2 Änderungen durch die DSGVO
Nach Art. 2 Abs. 2 Buchstabe c DSGVO1 gilt die DSGVO nicht für eine Datenverarbeitung „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“.
Auch nach der DSGVO fallen unter die Haushaltsausnahme
- die private elektronische Korrespondenz
- die private Nutzung soziales Netzwerke
- private Internetaktivitäten
- private Videoaufzeichnungen
Eine Mischnutzung von Endgeräten, also eine private und berufliche Nutzung eines Gerätes (z.B. Adressverzeichnis auf dem Smartphone enthält private und berufliche Kontakte), wird von der Haushaltsausnahme nicht erfasst. Das Datenschutzrecht findet uneingeschränkt Anwendung.
2.3 Verantwortliche Stelle
2.3.1 Aktuelle Rechtslage
- Verantwortliche Stelle ist nach § 3 Abs. 7 BDSG jede Person oder Stelle, die Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
- Das bedeutet, dass die Entscheidungsgewalt über die personenbezogenen Daten bei der verantwortlichen Stelle verbleibt (vergl. auch § 11 BDSG).
- Wenn der Betroffene zugleich verantwortliche Stelle ist, schützt das BDSG nicht (Argument aus § 203 Abs. 2 Satz 2 StGB).
- Die Weitergabe innerhalb der verantwortlichen Stelle (Achtung: kein Konzernprivileg!!) stellt eine Nutzung im Sinne des § 3 Abs. 5 BDSG dar; die Weitergabe außerhalb der verantwortlichen Stelle jedoch eine Übermittlung, an die strengere Anforderungen zu stellen sind.
- Auch eine Interessenvertretung kann verantwortliche Stelle sein, wenn sie für eigene Zwecke Daten verarbeitet. Dabei ist sie vom Arbeitgeber unabhängig und nicht der Überwachung des betrieblichen Datenschutzbeauftragten unterworfen.
2.3.2 Änderungen durch die DSGVO
In Art. 4 Nr. 7 DSGVO wird der Begriff des Verantwortlichen definiert. Danach ist Verantwortlicher
- „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Neu sind die Definitionen in Art. 4 Nr. 18 und 19 DSGVO. Der Begriff des Unternehmens und der Unternehmensgruppe sind mit aufgenommen worden:
- „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
- „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;
Dass die Unternehmensgruppe datenschutzrechtlich etabliert ist, hat Folgen für die Bestellung eines Datenschutzbeauftragten – dieser kann nun für die Unternehmensgruppe bestellt werden, muss also nicht mehr wie beim BDSG für jede einzelne verantwortliche Stelle ernannt werden.
2.4 Betroffener, Personenbezogene Daten
2.4.1 Aktuelle Rechtslage
Nach der Legaldefinition des § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisses einer bestimmten oder bestimmbaren natürlichen Person.
Nur für solche personenbezogenen Daten gilt das BDSG, § 1 Abs. 2.
- Anders als in z.B. Dänemark oder Österreich gilt das BDSG nicht für juristische Personen (auch nicht für BGB-Gesellschaften). Betriebs- und Geschäftsgeheimnisse werden daher nicht vom BDSG - wohl aber über andere Gesetze - geschützt.
- Die Daten Verstorbener und Ungeborener werden nicht vom BDSG erfasst (a. A. Bergmann/ Möhrle/Herb,...
