Seit 2018 ist in der EU die DSGVO anzuwenden. Sie ändert das Datenschutzrecht teilweise gegenüber früheren nationalen Regelungen (in Deutschland: BDSG). Das gilt sowohl für Privatpersonen als auch für Unternehmen und Behörden. Firmen müssen den Datenschutz seither noch etwas genauer beachten. Die Sanktionen bei Verstößen können sehr hoch ausfallen. In kritischen Situationen empfiehlt es sich daher, umgehend einen Anwalt einzuschalten.

Datenschutz im Rahmen der DSGVO: Übersicht

Wann trat die DSGVO in Kraft?

Sie wurde nach Verhandlungen innerhalb der EU schon 2016 beschlossen, in Kraft trat sie am 25. Mai 2018. Seitdem ersetzt sie in Deutschland das vorher geltende Bundesdatenschutzgesetz (jetzt BDSG a.F.) sowie auf EU-Ebene die vorherige Datenschutzrichtlinie 95/46/EG. In Deutschland trat zeitgleich ein neues BDSG in Kraft (BDSG n.F.), welches für Öffnungsklauseln der DSGVO geschaffen wurde. Das Datenschutzrecht wurde damit etwas komplexer, weshalb Sie sich durch einen Anwalt beraten lassen sollten.

Ziele der Datenschutzgrundverordnung

Das übergreifende Ziel der Datenschutzgrundverordnung ist der einheitliche Datenschutz innerhalb der EU. Des Weiteren sollen die Kontrollmöglichkeiten und Rechte der Personen gestärkt werden, um deren personenbezogene Daten es geht (Betroffene). Auch die Daten selbst erhalten einen stärkeren Schutz, gleichzeitig erleichtert die DSGVO aber auch ihren freien Verkehr, was angesichts der Onlinewirtschaft nötig ist.

Einige nationale Regelungen blieben erhalten, so die des vorherigen deutschen BDSG a.F., die auch schon auf die Rechtmäßigkeit und Zweckbindung der Datenverarbeitung abzielten, auf die Datenminimierung (Datensparsamkeit), die Richtigkeit von Daten, die zeitliche Beschränkung ihrer Speicherung, ihre Integrität sowie auf die Rechenschaftspflicht von Verantwortlichen. Dennoch ergeben sich durch die neue Verordnung einige Änderungen, die Unternehmen und Privatpersonen beachten müssen. Firmen, die viele personenbezogene Daten verarbeiten, sollten einen Anwalt konsultieren, um sich über diese Änderungen genauer zu informieren.

Für wen gilt das neue Datenschutzrecht?

Es gilt für alle juristischen und natürlichen Personen, die personenbezogene Daten verarbeiten. Damit sind die Daten natürlicher, nicht juristischer Personen gemeint (Firmen, Behörden, Vereine), jedoch gilt der Datenschutz für die unter dem Mantel einer juristischen Person Beschäftigten bzw. die von ihr Vertretenen. Das neue europäische Datenschutzrecht unterscheidet für seinen Geltungsbereich nicht nach Orten der Datenverarbeitung innerhalb der EU. Wer also bei einem französischen Händler einkauft, genießt denselben Datenschutz wie der Kunde des Händlers in der eigenen Stadt. Allerdings endet der Geltungsbereich an den Grenzen der EU.

Welche Sanktionen sieht die DSGVO vor?

Die Sanktionen sind eindeutig härter als vorherige nationale Regelungen. Firmen können bei Verstößen gegen das neue Datenschutzrecht zu Strafzahlungen von bis zu vier Prozent ihres Gesamtjahresumsatzes verurteilt werden (brutto, weltweit). Hinzu kommen mögliche Schadenersatzzahlungen an Betroffene. Sollte man Sie wegen eines möglichen Verstoßes gegen den Datenschutz angreifen, nehmen Sie sich unbedingt sofort einen Anwalt.

Welche Datenerfassung verbietet das neue Datenschutzrecht?

Der Artikel 9 der Datenschutzgrundverordnung benennt besondere Datenkategorien, die gar nicht erfasst werden dürfen. Diese Daten lassen Rückschlüsse auf die ethnische Herkunft einer Person zu, auf ihre politische Meinung, auf religiöse und weltanschauliche Überzeugungen, auf die Gewerkschaftszugehörigkeit, auf die Gesundheit und die sexuelle Orientierung. Auch biometrische Daten dürfen nicht erfasst werden (Fingerprint, Stimmerkennung, Augenscan). Nur beim Vorliegen von Ausnahmetatbeständen können Behörden solche Daten erheben. Sollten Sie der Auffassung sein, dass man von Ihnen unberechtigt Daten erhoben hat, befragen Sie Ihren Anwalt.

Gilt der neue Datenschutz auch für alte Daten?

Grundsätzlich ja. Das neue Datenschutzrecht erstreckt sich auch auf Daten, die vor dem 25.05.2018 erhoben wurden. Sie können also einen Anwalt überprüfen lassen, ob von Ihnen vorliegende ältere Daten DSGVO-konform sind. Ebenso kann die Hilfe durch einen Anwalt sehr wertvoll sein, wenn sich der Vorgang der Datenverarbeitung über den 25.05.2018 hingezogen hat. Möglicherweise ist die Verarbeitung an das neue Datenschutzrecht anzupassen.

Was ist an der DSGVO grundsätzlich neu?

Neu sind die stärkeren Rechte von Betroffenen, die höheren Bußgelder, die stärkeren Informationspflichten für datenverarbeitende Unternehmen und auch die Pflicht, ausreichende technische Maßnahmen für den Datenschutz zu treffen. Am stärksten aber wurde in den Medien die Neuerung diskutiert, dass Betroffene nun ein „Recht auf Vergessenwerden“ haben. Die DSGVO schafft eine Rechtsgrundlage dafür, dass Sie Ihre Daten unwiderruflich löschen lassen können, wenn es für deren Speicherung keinen Bedarf vonseiten der datenverarbeitenden Stelle mehr gibt. Für die Durchsetzung dieses Rechts benötigen Sie aber einen Anwalt, denn im Einzelfall ist die Sachlage komplex. Eine weitere Neuerung ist die Pflicht für datenverarbeitende Stellen, eine Datenschutzfolgenabschätzung vorzunehmen. Sie müssen belegbar einschätzen, welches Risiko für erhobene Daten besteht und wie sich dieses Risiko zum Beispiel durch neue Technologien ändern kann.

Gilt die DSGVO auch für Google, Amazon, Facebook & Co.?

Ja, wenn die Unternehmen eine Niederlassung in der EU haben und sich ihre Angebote an EU-BürgerInnen richten. Das ist bei den drei genannten Unternehmen der Fall, doch Vorsicht: Es gibt immer wieder Internetanbieter, die in der EU nicht registriert sind und sich daher auch nicht an deren Datenschutzrecht halten müssen. Ihre Angebote sind aber selbstverständlich weltweit abrufbar. Konsultieren Sie unbedingt einen Anwalt, wenn Sie das Gefühl haben, dass so ein Anbieter (oft mit Sitz in einem Steuerparadies) sich nicht an den Datenschutz hält. Dieser Anbieter muss jedenfalls nach den Vorschriften seines Hauptstandortes bestimmte Regeln einhalten, denn datenschutzfreie Zonen gibt es auf der Welt nicht.

Jedoch kann es schwierig sein, diese Regeln zu ermitteln und Ihr Recht am Standort des Anbieters durchzusetzen. Manchmal (wenn kein Rechtshilfeabkommen mit dem betreffenden Staat existiert) ist Letzteres ganz unmöglich. Leichter dürfte es für Sie werden, wenn Sie die Geschäftsbeziehung mit dem betreffenden Unternehmen beenden. Das ist nur nicht immer einfach. Betroffen sind seit Anfang 2021 unter anderem Unternehmen und Verbraucher, die mit Großbritannien Geschäfte machen bzw. von dort Waren beziehen. Der Brexit entzieht das Vereinigte Königreich nun grundsätzlich dem Anwendungsbereich der DSGVO. Zwar wurden viele Vorschriften zum Datenschutz zwischen der EU und Großbritannien harmonisiert, doch im Einzelfall kann es knifflig werden. Befragen Sie daher grundsätzlich einen spezialisierten Anwalt.

Welche Rechte räumt das neue Datenschutzrecht den Betroffenen ein?

Diese Rechte regeln schließlich die Artikel 12 bis 23 der DSGVO. Die Pflichten für Verantwortliche regelt Artikel 4 Nr. 7. Wenn Sie als Unternehmer Daten verarbeiten, müssen Sie ein Verfahren etablieren, mit dem Sie auf die nachfolgend genannten Ansprüche von Betroffenen reagieren können:

• Auskunftsrecht: Betroffene haben ein umfassendes Auskunftsrecht (Artikel 15, der mit dem § 34 des vorher geltenden BDSG vergleichbar ist). Das neue Datenschutzrecht verschafft dem Betroffenen nun das Recht auf eine Kopie derjenigen personenbezogenen Daten, die über ihn erhoben wurden. Grundsätzlich müssen Sie als Verantwortlicher dem Betroffenen Auskunft darüber erteilen, ob Sie seine Daten verarbeitet haben. Diese Auskunft ist „unverzüglich“ zu gewähren.
• Recht auf Datenübertragbarkeit: Betroffene haben das Recht, ihre Daten „mitzunehmen“ (sogenannte Datenportabilität).
• Recht auf Löschung: Dies ist das schon oben genannte „Recht auf Vergessenwerden“ nach Artikel 17 der DSGVO. Hierfür gelten bestimmte Maßstäbe, die Sie bei einem Anwalt im Detail erfragen sollten.
• Recht auf Berichtigung: Der Artikel 16 sieht vor, dass Betroffene verlangen können, unrichtige Daten zu berichtigen. Das schließt auch ihre Vervollständigung ein.
• Recht auf eine eingeschränkte Datenverarbeitung: Nach Artikel 18 der Datenschutzgrundverordnung haben Betroffene das Recht, auf einer eingeschränkten Datenverarbeitung zu bestehen.

Hilfe zum Datenschutz durch Ihren Anwalt

Das neue Datenschutzrecht ist etwas komplexer geworden und birgt allein schon wegen der deutlich erhöhten Sanktionen bei Verstößen gegen den Datenschutz hohe Gefahren. Wir bieten Ihnen jederzeit anwaltliche Hilfe zu diesem Thema an.