DSGVO-Artikelserie (1): Die Datenschutzgrundverordnung – worum geht’s?

In den Jahren 2018 und 2019 verändern sich die Regelungen zum Datenschutz mehrmals: Ab 25. Mai 2018 muss die europäische Datenschutzgrundverordnung (DSGVO) angewendet werden, in ca. einem Jahr wird voraussichtlich die ePrivacy-Verordnung hinzukommen. Aber keine Sorge: Die neuen Regelungen sind meist gar nicht so schwierig anzuwenden. Allerdings bedeuten sie an der einen oder anderen Stelle etwas zusätzlichen Aufwand. Erfreulich ist, dass vor allem die Rechte für Bürger_innen deutlich gestärkt wurden. Die einheitliche europäische Regelung könnte darüber hinaus aus praktischen Gründen die Anbieter in anderen Teilen der Welt zur Nachahmung animieren.

Schon 1995 gab es die europäische »Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr«. Als Richtlinie musste sie noch in jedem Mitgliedsstaat in nationales Recht gegossen werden. Dadurch war das Datenschutzniveau in der Realität sehr unterschiedlich ausgeprägt. Firmen wie Facebook wählten ihren europäischen Sitz daher nicht ganz zufällig im weniger datenschutzstarken Irland.

Die neue Datenschutzgrundverordnung der EU ersetzt die alte Richtlinie und alle bisherigen nationalen Regelungen und gilt in allen Mitgliedsstaaten direkt. Nur noch wenige Details können die Staaten unterschiedlich regeln, wie z.B. den Bußgeldkatalog oder die Altersgrenze für Kinder (hier gibt es den Spielraum von 13-16 Jahren). Die DSGVO hat aber auch Auswirkungen auf andere Gesetzesformulierungen. So wurde z.B. das Sozialgesetzbuch (vor allem das SGB X – Sozialdatenschutz) an mehreren Stellen angepasst.

Was bedeutet »Datenschutz« eigentlich?

Die zwei Wortbestandteile von »Datenschutz« kann man für sich selbst gut durchdenken, indem man sich folgende Frage stellt:

  • Was wird geschützt (bestimmte Daten oder alle)
  • vor wem (böse Hacker, Firmen/Datensammler, eigenes Umfeld)
  • für wen (Teilnehmende, Verarbeiter_in)
  • und warum (Bloßstellung, Missbrauch für Anderes)
  • wie sicher (so sicher wie möglich, aber: zu sicher macht Freiheit kaputt)
  • und wie lange? (wann wird‘s gelöscht?)

»Datenschutz«, wie er hier gemeint ist, betrifft ausschließlich den Schutz personenbezogener Daten. Das heißt, Daten zu juristischen Personen (Firmen, Vereine) werden davon nicht abgedeckt. Es geht also um die Erfassung, Verarbeitung und Speicherung von Daten zu »echten Menschen«. Diese können aber als Angestellte zugleich Teil einer juristischen Person sein; auch für diese Sphäre gilt dann die DSGVO.

Nicht alle Daten zu einer Person sind in gleicher Weise schützenswert. Und es kommt auf den Kontext an: Während medizinisches Personal Details über Vorerkrankungen kennen sollte, gehen diese Daten z.B. andere Firmen gar nichts an. Auch das Bekanntwerden von Weltanschauungen oder sexuellen Orientierungen ist in manchen Zusammenhängen sehr problematisch. Was man umgangssprachlich als »sensible Daten« versteht, benennt die DSGVO in Art. 9 als »besondere Kategorien personenbezogener Daten«, die ganz besonders zu schützen sind:

  • Rassische und ethnische Herkunft,
  • politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit,
  • genetische oder biometrische Daten zur eindeutigen Identifizierung,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Hinzu kommt, dass strafrechtliche Daten nur unter behördlicher Aufsicht verarbeitet werden dürfen. Eine Liste über Straftäter_innen, ihre Delikte oder die verhängten Strafen, dürfen also nicht veröffentlicht werden.

Grundsätzliche Regelungen in der DSGVO

Nicht alle Ideen und Regelungen der DSGVO sind neu. Viele fanden sich auch bereits sehr ähnlich im bisherigen deutschen Bundesdatenschutzgesetz. Neu sind allerdings die möglichen Strafen bei Verstößen, die deutlich höher ausfallen als bisher.

Da die DSGVO als europaweite Verordnung noch sehr neu ist, werden in der alltäglichen Umsetzung immer wieder Situationen auftreten, die nicht klar mit dem Verordnungstext und dem neuen begleitenden Bundesdatenschutzgesetz zu klären sind. Hier sind in den kommenden Jahren zahlreiche Gerichtsentscheidungen zu erwarten, die die Auslegung weiter konkretisieren. Daher sollte man sich auf jeden Fall neben den eigentlichen DSGVO-Artikeln auch die sog. »Erwägungsgründe« (ErwG) ansehen, die der DSGVO vorangestellt sind.

Eigentlich ist die Umsetzung ganz einfach: Als Faustregel zur Umsetzung der DSGVO sollte man verinnerlichen, dass Betroffene jeglicher Datenverarbeitung aktiv zustimmen und über die Vorgänge Bescheid wissen müssen.

Aber welche Leitlinien finden sich nun wirklich in der DSGVO? Hier eine Zusammenfassung:

  • Transparenz der Datenverarbeitung: Die DSGVO verlangt, dass Betroffene darüber zu informieren sind, wie ihre personenbezogenen Daten verarbeitet werden. Es ist wichtig, dass die Betroffenen dabei verstehen können, was genau diese Verarbeitung umfasst, wer die Daten in irgendeiner Weise verwendet und wohin die Daten möglicherweise übertragen werden sollen. Betroffene sollen im Umkehrschluss auch verstehen, wo die Grenzen der geplanten Verarbeitungsvorgänge liegen. Alle Verarbeitungsschritte müssen daher von den Verarbeitenden vorab geklärt und dokumentiert sein. Für zusätzliche/neue Nutzungszwecke von erhobenen Daten muss explizit die Zustimmung der betroffenen Personen eingeholt werden. (Art. 5-13)
  • Recht auf Vergessenwerden und auf Berichtigung: Die Inhalte von Daten veralten zwar möglicherweise, aber sie bleiben auf Papier und digital weiter verfügbar. Betroffene bekommen daher das Recht zugesprochen, dass nicht mehr notwendige und nicht mehr genutzte Daten von den Verarbeiter_innen aktiv gelöscht werden. Auch besteht ein Recht darauf, dass falsch erhobene oder falsch verarbeitete Daten berichtigt werden. Über den Umfang und Ursprung der vorhandenen Daten kann man sich dabei jederzeit informieren lassen und kann auch die Zustimmung zur Verarbeitung jederzeit widerrufen. (Art. 15-19, 21)
  • Recht auf Datenübertragbarkeit: Gerade wenn man Dienste im Internet nutzt, in denen man als Nutzer_in Inhalte wie Texte, Fotos oder z.B. Playlisten selbst erstellt, ist man bislang häufig darauf angewiesen diesen Dienst weiter zu nutzen, um die Daten nicht zu verlieren. Ein Wechsel zu einem Alternativanbieter soll künftig leichter werden: Die hinterlegten Daten sollen möglichst automatisiert und maschinenlesbar zu erhalten sein, so dass ein Transfer woanders hin möglich wird. (Art. 20) (Das setzt natürlich voraus, dass ein anderer Dienst auch eine Importmöglichkeit vorsieht.)
  • Privacy by Design, Privacy by Default: Die Anlage von Datenverarbeitungsprozessen, z.B. einem Anmeldeformular, muss so gestaltet sein, dass nur notwendige Daten erhoben werden und standardmäßig die datenschutzfreundlichste Option für die Betroffenen voreingestellt ist. (Art. 25)
  • Kopplungsverbot: Eine Einwilligung zur weiteren Datenverarbeitung muss freiwillig sein und darf nicht zwangsweise mit anderen Aspekten verbunden werden (z.B. Gewinnspiele, deren Teilnahme nur mit künftigen Werbezusendungen möglich gemacht würde) (ErwG 43).
  • Datenminimierung: Es dürfen immer nur diejenigen Daten erhoben und verarbeitet werden, die auch tatsächlich für vorher festgelegte, eindeutige und legitime Zwecke gebraucht werden. Diese Regelung unterscheidet sich vom bisherigen Ideal der »Datensparsamkeit« des alten Bundesdatenschutzgesetzes. Zwar gilt nach wie vor, dass Daten, die nicht vorhanden sind, auch nicht missbraucht werden oder verloren gehen können, aber zugleich möchte die DSGVO auch den Weg für Big-Data-Anwendungen offenhalten: Daten, die akkumuliert analysiert werden können, schaffen ganz neue Möglichkeiten und Anwendungsszenarien. Hier ist sicherlich noch weiterer Klärungsbedarf vorhanden. Ein Geburtsdatum, das man sich »einfach so« im beruflichen Adressbuch notiert hat, würde beispielsweise der DSGVO widersprechen.
  • Verpflichtung zur Bestellung von Datenschutzbeauftragten: Hier handelt es sich eigentlich um keine neue Regelung, da sie auch im alten BDSG vorhanden war. Es gilt, dass ab 10 Personen, die jeweils bestimmte Datensätze bearbeiten können, ein_e geeignete Datenschutzbeauftragte benannt werden muss. (ErwG 97; Art. 37; § 38 BDSG-neu) Klar sollte dabei sein, dass die benannte Person aufgrund ihrer sonstigen Aufgaben keine dem Datenschutz widersprüchlichen Interessen haben sollte – als Öffentlichkeitsreferat würde man beispielsweise sicher mehr persönliche Informationen über externe Kontakte vorhalten wollen als wirklich notwendig wären.
  • Meldepflicht: Wenn Daten verloren gehen, muss binnen 72 Stunden eine Meldung bei der zuständigen Datenschutzbehörde gemacht werden (Art. 33). In der Regel liegt die Zuständigkeit bei den jeweiligen Landesdatenschutzbehörden, auch bei bundesweiten Trägern. Die 72-Stunden-Frist gilt dann, wenn durch den Datenverlust ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, also ein materieller oder immaterieller Schaden auftreten kann.

Exkurs: Das Recht am eigenen Bild – ein Fall für die DSGVO?

Nicht alle datenschutzrelevanten Regelungen finden sich in der DSGVO. Beispielsweise ist das Recht am eigenen Bild dort nicht explizit geregelt. Dieses Recht ist als besondere Ausprägung des allgemeinen Persönlichkeitsrechts stattdessen im Kunsturhebergesetz zu finden. Die dortigen Regelungen sind weitgehend ins Allgemeinwissen eingesickert und lassen sich folgendermaßen zusammenfassen:

  • Abbildungen einer (erkennbaren) Person dürfen nur weitergegeben werden, wenn von ihr eine Einwilligung vorliegt. Bei einer vereinbarten Entlohnung gilt diese Einwilligung als erteilt, auch wenn sie nicht separat thematisiert wurde.
  • Generell keine Einwilligung wird benötigt, wenn es sich um Personen der Zeitgeschichte handelt, wenn die abgebildeten Personen ganz offensichtlich nur als Beiwerke in einem Bild auftauchen (also klassisch ins Bild gelaufen) oder wenn es sich um große Menschenansammlungen handelt, die abgebildet werden.
  • Ein paar Sonderfälle gibt es natürlich zu beachten: »Berechtigte Interessen« dürfen nicht verletzt werden. Das würde in Fällen gelten, in denen abgebildete Personen z.B. in einem Zeugenschutzprogramm aufgenommen sind oder sie durch die Abbildung anderweitig in Gefahr gebracht würden.
  • Nach dem Tod einer Person gilt, dass noch 10 Jahre lang eine Einwilligung der Angehörigen erforderlich ist.

Ähnlich wie bei der DSGVO gilt auch hier: Die Beweislast für eine Einwilligung liegt bei denjenigen, die die Bilder verwenden wollen, nicht bei der abgebildeten Personen.

Die Einwilligung zur Datenverarbeitung

Nicht in allen Aspekten ist die DSGVO anspruchsvoller als frühere Regelungen. Für eine wirksame Einwilligung zur Datenverarbeitung ist bspw. künftig die Schriftform nicht mehr die Regel (ErwG 32). Sogar eine stillschweigende Einwilligungserklärung ist zulässig, sofern der Wille der/des Betroffenen eindeutig erkennbar ist. Das wäre z.B. der Fall, wenn man Mitglied eines Vereins wird. Dann ist davon auszugehen, dass man sicher regelmäßig über anstehende Aktivitäten eines Vereins informiert werden möchte – warum wäre man sonst beigetreten?

Im Zweifelsfalls ist es jedoch so, dass Verarbeitende eine Einwilligung der Betroffenen nachweisen müssen, daher wird eine Schriftform dennoch eher die Regel bleiben. Generell vorgeschrieben ist die Schriftform für die Verarbeitung von »besonderen« (sensiblen) personenbezogenen Daten.

Die DSGVO erwartet allerdings hinsichtlich der Einwilligung in gewisser Weise die Quadratur des Kreises: Die Erklärungen sollen in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache vorliegen, so dass andere Sachverhalten klar zu unterscheiden sind. Andererseits sollen die Betroffenen auch umfassend informiert werden – ob eine 40seitige Datenschutzerklärung allerdings noch leicht zugänglich und verständlich bleibt, sei dahingestellt.

Einwilligungen können jederzeit widerrufen werden. Die bis dahin erfolgte Datenverarbeitung bleibt gültig, sofern sie zum Verarbeitungszeitpunkt rechtlich in Ordnung war.

Nun nochmal genau: Was alles sind personenbezogene Daten?

In der Vergangenheit mussten mehrfach Gerichte darüber befinden, was als personenbezogene Daten zu werten ist. Die DSGVO legt den Begriff sehr umfassend aus: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. »Identifizierbar« bedeutet hierbei direkt und indirekt, insbesondere bei Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen (physisch, physiologisch, genetisch, psychisch, wirtschaftlich, kulturell oder sozial). Hinsichtlich der oft umstrittenen Einschätzung zu IP-Adressen ist die DSGVO also ganz klar – IP-Adressen werden als personenbezogene Daten eingestuft.

Auch was als möglicher Schaden für die betroffene Person zu werten ist, wird in der DSGVO erläutert (ErwG 75): Dies umfasst materielle und immaterielle Aspekte wie Diskriminierung, Rufschädigung, Identitätsdiebstahl oder einen finanziellen Verlust.

Wer muss die DSGVO befolgen?

Die DSGVO unterscheidet (im Gegensatz zum BDSG) nicht zwischen öffentlichen und nicht-öffentlichen Stellen. Hierbei bestehen aber ein paar Einschränkungen, wie Bereiche der Gefahrenabwehr, Strafverfolgung sowie allgemeiner Rechtfertigung bei öffentlichem Interesse und Ausübung öffentlicher Gewalt.

Die DSGVO greift nicht bei ausschließlich persönlicher oder familiärer Tätigkeit (ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit), z.B. bei einem rein privaten Adressbuch oder bei der privaten Nutzung sozialer Netze und ähnlicher Online-Tätigkeiten.

Die DSGVO gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen. Daher sind auch nicht-kommerzielle Angebote von Verpflichtungen aus der DSGVO betroffen.

Generell gilt das »Marktortprinzip«: Jede in der EU angebotene Tätigkeit oder Leistung, egal von wo aus diese angeboten wird, fällt unter die DSGVO. Auch Aufgaben, die durch externe Dienstleister als Auftrags(daten)verarbeitung erfolgen (Art. 28), fallen darunter.

Die unterschiedlichen Pflichten behandeln wir in Teil 2 der Artikelserie.

Das Cookie-Problem

Wer kennt es nicht: Beim Aufrufen einer Website erscheint unvermittelt eine farbige Box mit einem Hinweis wie »Wir nutzen Cookies. Hier OK klicken.«. Etwas ratlos akzeptiert man das »OK«, aber vor allem deshalb, weil die Hinweisbox Teile der eigentlich gesuchten Inhalte überdeckt. Wofür Cookies auf der betreffenden Website konkret genutzt werden, erfährt man in der Regel nicht. Eine Option zur Ablehnung der Cookies wird in nahezu keinem Fall angeboten.

Bereits 2002 hat die EU die »Datenschutzrichtlinie für elektronische Kommunikation« (ePrivacy-Richtlinie) herausgegeben, die von den Mitgliedsstaaten dann in nationale Gesetze gegossen werden sollte. In Deutschland wurde dazu mit etwas Verspätung und erst nach einem von der EU eingeleiteten Vertragsverletzungsverfahren das Telekommunikationsgesetz 2004 neu gefasst. Die ePrivacy-Richtlinie beinhaltet Mindestvorgaben für den Datenschutz in der Telekommunikation wie beispielsweise das Mithören von Telefongesprächen und das Abfangen von E-Mails zu verbieten. Diese Richtlinie wurde 2009 durch die »Cookie-Richtlinie« ergänzt, die eine ausdrückliche Einwilligung verlangt, damit Websites Cookies setzen dürfen. In Deutschland wurde diese Richtlinie jedoch offenbar nie in nationales Recht überführt, daher gilt hierzulande im Wesentlichen noch der Stand nach der ePrivacy-Richtlinie von 2002.

Derzeit wird zwischen den EU-Institutionen eine europaweit direkt geltende »ePrivacy-Verordnung« verhandelt, die die DSGVO im Bereich der Telekommunikation ergänzen soll: Zu erwarten sind klarere Regelungen zu Online-Tracking durch Cookies oder ähnliche Technologien und zu E-Mail- und Telefon-Marketing. Es ist davon auszugehen, dass hier entlang der Prinzipien der DSGVO künftig immer eine ausdrückliche Einwilligung vorausgesetzt wird, statt wie bisher im deutschem Recht das nur nachträgliche Ablehnen durch ein »Opt-out«.

Auch wird vermutlich die Unterscheidung zwischen pseudonymem und personenbezogenem Tracking aufgegeben, was das Ausspähen von Nutzer_innen zumindest erschweren wird. Ein Aussperren bei Cookie-Ablehnung soll untersagt werden; zudem sind nur noch wirklich erforderliche Cookies zulässig (bspw. für Login-Systeme, persönlich präferierten Einstellungen, Warenkorb- oder Kommentarfunktionen). Auch bei der Datenerhebung durch Drittfirmen könnte ein verbraucherfreundlicher Einwilligungsvorbehalt eingeführt werden.

Die endgültigen Regelungen der ePrivacy-Verordnung stehen noch nicht fest, da sie immer noch verhandelt werden. Ein Inkrafttreten ist daher auch nicht vor dem Frühjahr 2019 zu erwarten.

Grenzen des Datenschutzes

Die DSGVO enthält einige Regelungen, die eine Daten(weiter)verarbeitung auch ohne die sonst notwendigen Einwilligungen der betroffenen Personen erlaubt. Diese Ausnahmen sind wissenschaftliche und historische Forschungs- und Statistikzwecke oder auch ein öffentliches Interesse zur Archivierung (Art. 89).

Weiterhin umstritten ist das von der DSGVO separat vereinbarte EU-US Privacy Shield, das die Datenverarbeitung europäischer Daten durch US-amerikanische Firmen regeln sollte. Die vorherige, als Safe-Harbor-Abkommen bekannt gewordene Vereinbarung hatte der Europäische Gerichtshof 2015 für ungültig erklärt. Das an dessen Stelle getretene »Privacy Shield« umfasst seit Februar 2016 ein umfangreicheres Regelungspaket. Unter Anderem wurde eine Beschwerdestelle für EU-Bürger_innen eingerichtet. Umstrittener Kern des Privacy Shields ist jedoch, dass sich US-Unternehmen lediglich in eine Selbstverpflichtungsliste eintragen lassen müssen und damit automatisch die Anerkennung von europäischen Datenschutzbestimmungen angenommen wird – allerdings unter US-Judikative. Es ist davon auszugehen, dass auch das EU-US Privacy Shield weiter nachgebessert werden muss.

Datenschutz ist immer auch Schutz vor Datenverlust und ungewollter Datenlöschung. Allerdings hat das 2017 eingeführte Netzwerkdurchsetzungsgesetz (NetzDG) bewirkt, dass bewusst im Internet veröffentlichte Daten teilweise ohne Vorwarnung gelöscht werden: Das NetzDG verpflichtet Betreiber_innen sozialer Netzwerke ab 2 Mio. Nutzenden »offensichtlich rechtswidrige Inhalte innerhalb von 24 Stunden« nach Eingang einer Beschwerde zu löschen oder sperren (das NetzDG verschärfte § 14 Abs 2 TMG). Innerhalb dieses engen Zeitrahmens können Löschanfragen allerdings kaum ausführlich juristisch geprüft werden – die Betreiber_innen werden daher zu privatwirtschaftlichen Zensureinrichtungen und löschen vorsichtshalber zu viel als zu wenig.

Nützliche (und verlässliche) Informationsquellen

DSGVO:
dsgvo-gesetz.de
mit hilfreichen Verlinkungen zu den Erwägungsgründen und der neuen Fassung des BDSG

Umfassendes Infoportal der Datenschutzbehörden:
www.lda.bayern.de/de/datenschutz_eu.html
mit Kurzanleitungen, interaktivem Selbsttest, Vorlagen

Hilfestellung für kleine Unternehmen und Vereine:
www.lda.bayern.de/de/kleine-unternehmen.html

Hinweis: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.

Wir möchten euch einladen auch die Kommentarfunktion aktiv zu nutzen, eure Erfahrungen, Fragen und Probleme mit uns und allen Leser_innen zu teilen.

In Teil 2 der Artikelreihe beschäftigen wir uns mit konkreten Umsetzungsmaßnahmen, die für das Feld der Jugendarbeit und für Jugendorganisationen anstehen. Tipps und Materialien sollen die Umsetzung erleichtern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.