Datenschutzgrundverordnung
 

 

 

 

 

 

  

Startseite

Über das Netzwerk

Datenschutz Grundlagen

Vertrags-/Berufsrecht

Strafrecht

Haftungsrecht

Leitung/Organisation

Onlineberatung

Internetsicherheit

Gesetzestexte

Literatur

 

Impressum

Haftungsausschluss

 

 

Grundlageninfos und hilfreiche Links zur Datenschutzgrundverordnung (DSGVO)

Die DSGVO regelt ab 25.05.2018 europaweit das Allgemeine des Datenschutzes, das in anderen Vorschriften - sei es im europäischen oder im nationalen Recht der Mitgliedsstaaten - in den einzelnen Rechtsbereichen (z.B. im Sozialgesetzbuch: Sozialdatenschutz) weiter konkretisiert werden kann. Bundesdatenschutzgesetz (BDSG - neue Fassung von 2018) und die aktualisierten Datenschutzgesetze der Länder greifen diesen allgemeinen Rechtsrahmen auf und gestalten ihn 2018 neu aus, im Rahmen der vorgegebenen Gestaltungsmöglichkeiten.

Zu klären ist zunächst die Anwendbarkeit der DSGVO

Die Verordnung ist nur bei automatisierter Verarbeitung personenbezogener Daten oder bei Verwendung von Dateisystemen anzuwenden:

"Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen." (Art. 2 Abs. 1 DSGV)

Die Verordnung findet keine Anwendung bei natürlichen Personen im ausschließlich privaten und familiären Zusammenhang, jedoch bei Körperschaften und im beruflichen Kontext:

"Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten (...) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten." (Art. 2 Abs. 1 DSGV)

Somit ist die DSGVO anzuwenden bei Freiberuflern, Unternehmen, Behörden aber auch bei Vereinen und anderen Körperschaften, sofern sie automatisiert oder in Dateisystemen personenbezogene Daten verarbeiten.

Begriffsbestimmung "personenbezogene Daten"
In Art. 4 DSGVO heißt es:
"Im Sinne dieser Verordnung bezeichnet der Ausdruck
1. 'personenbezogene Daten' alle Informationen, die sich auf eine identifizierte oder identifizierbare (im Folgenden 'betroffene Person') beziehen;"

Im Datenschutz gilt das Grundprinzip des Verbots mit Erlaubnisvorbehalt
Das bedeutet, dass das  Erheben, Verarbeiten und Nutzen von personenbezogenen Daten grundsätzlich verboten ist. Es sei denn, eine Rechtsnorm erlaubt dies oder es liegt eine wirksame Einwilligung des Betroffenen vor (Art. 6 DSGVO - "Rechtmäßigkeit der Verarbeitung"). Sofern nicht von einer Erforderlichkeit ausgegangen werden kann, ist dabei eine Einwilligung einzuholen.

Etablierte Datenschutzprinzipien
Die bereits durch europäisches Recht und deutsche Datenschutzgesetze etablierten Prinzipien wie Transparenzgebot, Zweckbindung, Erforderlichkeit, Datensparsamkeit etc. bleiben nach wie vor erhalten, werden durch die DSGVO und das neue BDSG aber zum Teil verschärft bzw. konkretisiert.

Verhältnis zu anderen Grundrechten
 Der Datenschutz stellt ein Grundrecht dar (Erwägungsgrund 1 DSGVO), das allerdings nicht uneingeschränkt gilt, sondern nach dem Verhältnismäßigkeitsgrundsatz gegen andere Grundrechte abgewogen werden muss (Erwägungsgrund 4 DSGVO).

Klärungen durch die Verantwortlichen
Die rechtlich Verantwortlichen der jeweiligen verantwortlichen Stelle sind in der Pflicht zu klären, was nach Datenschutzrecht zu tun ist, was nachfolgende Fragen beispielhaft konkretisieren:

Welche Pflichten gibt es für die Verantwortlichen?
(Kap. 4: Verantwortlicher und Auftragsverarbeiter)
- Sind die Allgemeinen Bestimmungen und Grundsätze der DSGVO verstanden und im Blick? (Kap. I und II)
- Sind die Prozesse definiert, die personenbezogene Daten betreffen?
- Sind die erforderlichen technisch-organisatorischen Sicherheitsmaßnahmen getroffen worden, um die personenbezogenen Daten angemessen zu schützen? (Art. 32 DSGVO - "Sicherheit der Verarbeitung").
- Sind alle Mitarbeitenden, die mit personenbezogenen Daten operieren, in das Konzept zum Umgang mit den Daten eingebunden?
- Sind die Rechte von Betroffenen im Blick? (Kap. III, Art. 12-23 DSGVO).
- So ist etwa zu beachten, ob besonders sensible Daten ("besondere Kategorien personenbezogener Daten") betroffen sind, für die es spezielle Vorgaben gibt. (Art. 9 DSGVO)
- Werden die Vorgaben für wirksame Einwilligungen eingehalten (wie Kopplungsverbot, Freiwilligkeit, Bestimmtheit, Informiertheit, Unmissverständlichkeit) und werden mögliche Einwilligungen angemessen dokumentiert? (Art. 7 DSGVO).

Dabei gilt es in der Umsetzung etwa folgende Fragen nicht aus dem den Blick zu verlieren:

- Ist ein Datenschutzbeauftragter zu bestellen und der Aufsichtsbehörde zu benennen? (Art. 37 DSGVO, Konkretisierung in § 38 BDSG).
- Bedarf es einer Datenschutz-Folgeabschätzung? (Art. 30 DSGVO).
-Existiert ein Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten? (Art. 30 DSGVO).
- Sofern personenbezogene Daten von Dritten im Auftrag verarbeitet werden:
Wurde ein Vertrag zur Auftragsverarbeitung geschlossen? (Art. 28 DSGVO)
- Ist geklärt wie mit möglichen Datenschutzverstößen (Art. 4 Nr. 12 DSGVO) umgegangen wird wie etwa eine Meldung an die Aufsichtsbehörde bzw. die Betroffenen erfolgt? (Art. 33 und 34 DSGVO)

Die Vorschriften in Bezug auf technisch-organisatorische Maßnahmen gelten natürlich auch für Internetangebote. Dabei gibt es besondere Anforderungen, so dass die Datenschutzerfordernisse auch hier wirksam werden. So können weitere konkretisierende Fragen dazu kommen:
- Gibt es eine Datenschutzerklärung aus der der Umgang mit den personenbezogenen Daten nachvollziehbar hervorgeht und die dem Transparenzgrundsatz und den Informationspflichten entspricht? (Art. 12 - 15 DSGVO)
- Werden mögliche Einwilligungen auch im Internet rechtskonform (z.B. Kopplungsverbot, transparentes und bewusstes Einwilligen, s. oben) erhoben und dokumentiert? (Art. 7 DSGVO).
- Ist sichergestellt, dass die Einwilligenden bereits das16. Lebensjahr vollendet haben? (Art. 8 DSGVO).

Für Berufsgeheimnisträger nach § 203 StGB ist zu beachten, dass es Anforderungen an den Geheimnisschutz geben kann, die über die Pflichten der DSGVO hinausgehen.
Besondere Vorschrift in Bezug auf Geheimhaltungspflichten ist § 29 BDSG (neu) in Bezug auf die "Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten". Darin wird das Verhältnis zwischen Geheimhaltungspflichten und den DSGVO-Vorschriften konkretisiert.

Bei Internetangeboten ist zu beachten, dass von der Europäischen Union über die DSGVO hinaus eine E-Privacy-Verordnung in Vorbereitung ist, die realistischerweise 2019 in Kraft treten könnte. Dabei würden die Erfordernisse im Internet noch weitergehend geregelt.

 

Rechtsvorschriften

Der Verordnungstext der DSGVO auf der Seite der Europäischen Union (EU):
Verordnung (EU) 2016/679.

Das neue Bundesdatenschutzgesetz (BDSG) - Fassung von 2018

Weitere Rechtsvorschriften (hier im Portal)

 

Hilfreiche Internetseiten mit Borschüren, qualifizierten Mustern und Links

Es ist empfehlenswert über die hier benannten Beispielfragen hinaus, die gesamten Aspekte systematisch in den Blick zu nehmen. Einen guten Überblick bietet die Broschüre mit Verordnungs- und Gesetzestexten der Bundesdatenschutzbeauftragten im PDF-Format zum Download:
Broschüre (PDF) der Bundesdatenschutzbeauftragten

Musterdatenschutzerklärung vom Institut für Informations-, Telekommunikations- und Medienrecht - Prof. Dr. Thomas Hoeren und Mitarbeitende:
https://www.uni-muenster.de/Jura.itm/hoeren/en/
Direkt-Link:
Musterdatenschutzverordnung (Word-Format), Uni Münster

Praxishilfen zur Umsetzung der DSGVO der Gesellschaft für Datenschutz und Datensicherheit:
Praxishilfen

Handreichung mit Musterverzeichnissen von Verarbeitungstätigkeiten für kleinere Unternehmen und Vereine vom Bayerischen Landesamt für Datenschutzaufsicht:
Handreichung

Weitere hilfreiche Praxisinfos zur Umsetzung der DSGVO, insbesondere für den psycho-sozialen und heilkundlichen Bereich hat die Deutsche Gesellschaft für Systemische Therapie, Beratung und Familientherapie (DGSF) zusammengestellt:
Linkliste

 

>>> weiter