3 Einführung in die Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung, kurz DSGVO, ist ein zentrales Rechtsinstrument der Europäischen Union, das die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen regelt. Sie trat am 25. Mai 2018 in Kraft und ersetzte die bisherige Datenschutzrichtlinie 95/46/EG.

3.1 Historischer Kontext und Entwicklung

Die DSGVO entstand aus der Notwendigkeit, den Datenschutz in der EU angesichts der rasanten technologischen Entwicklungen und der Globalisierung zu harmonisieren und zu stärken. Sie zielt darauf ab, den Schutz personenbezogener Daten innerhalb der Europäischen Union zu vereinheitlichen und die Rechte der Einzelpersonen zu stärken. Vor dem Hintergrund des digitalen Wandels und der zunehmenden Bedeutung des Internets wurde ein moderner und flexibler Rechtsrahmen benötigt, der sowohl den Schutz der Bürger als auch die freie Datenzirkulation innerhalb des Binnenmarktes gewährleistet.

3.2 Ziele und Geltungsbereich

Die Hauptziele der DSGVO sind der Schutz personenbezogener Daten und die Gewährleistung der Datenfreiheit innerhalb der Europäischen Union. Die Verordnung gilt für alle Unternehmen und Organisationen, die in der EU ansässig sind oder personenbezogene Daten von in der EU ansässigen Personen verarbeiten, unabhängig davon, ob die Datenverarbeitung in der EU stattfindet.

3.3 Grundprinzipien der Datenverarbeitung

Die DSGVO legt mehrere Grundprinzipien für die Datenverarbeitung fest: 1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Datenverarbeitung muss rechtmäßig, fair und transparent gegenüber den betroffenen Personen sein. 2. Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. 3. Datenminimierung: Es dürfen nur solche personenbezogenen Daten verarbeitet werden, die für die jeweiligen Zwecke notwendig sind. 4. Richtigkeit: Personenbezogene Daten müssen korrekt sein und bei Bedarf aktualisiert werden. 5. Speicherbegrenzung: Daten dürfen nicht länger aufbewahrt werden, als es der Zweck der Verarbeitung erfordert. 6. Integrität und Vertraulichkeit: Durch geeignete technische und organisatorische Maßnahmen muss ein angemessenes Sicherheitsniveau gewährleistet werden.

3.4 Rechtsgrundlagen der Datenverarbeitung

Die DSGVO schreibt vor, dass jede Datenverarbeitung eine rechtliche Grundlage haben muss. Diese können sein: - Die explizite Zustimmung der betroffenen Person. - Die Notwendigkeit zur Erfüllung eines Vertrages. - Rechtliche Verpflichtungen. - Schutz lebenswichtiger Interessen. - Die Wahrnehmung einer Aufgabe im öffentlichen Interesse. - Berechtigte Interessen des Verantwortlichen oder eines Dritten.

3.5 Zusammenfassung

Die DSGVO stellt einen umfassenden und modernen Rahmen für den Datenschutz in der EU dar. Sie bringt erhebliche Verantwortlichkeiten für Organisationen mit sich und stärkt gleichzeitig die Rechte der Einzelpersonen im Hinblick auf ihre personenbezogenen Daten. Die Einhaltung der DSGVO ist für alle Unternehmen, die in der EU tätig sind oder Daten von EU-Bürgern verarbeiten, unerlässlich.

3.6 DSGVO in Behörden und Verwaltungen

1. Öffentlicher vs. privater Sektor: Während die DSGVO sowohl für den privaten als auch für den öffentlichen Sektor gilt, haben Behörden und Verwaltungen oft zusätzliche nationale Datenschutzgesetze und Vorschriften zu befolgen. Diese können spezifische Anforderungen für öffentliche Institutionen festlegen.

2. Datenschutzbeauftragter: In vielen Ländern sind öffentliche Behörden verpflichtet, einen Datenschutzbeauftragten zu ernennen. Dieser hat die Aufgabe, die Einhaltung der DSGVO und anderer relevanter Datenschutzgesetze zu überwachen.

3. Verarbeitung besonderer Kategorien personenbezogener Daten: Öffentliche Einrichtungen verarbeiten häufig sensible Daten, wie Gesundheitsinformationen oder Daten im Zusammenhang mit Strafverfolgung. Für diese Datenkategorien gelten strengere Schutzmaßnahmen.

4. Transparenz und Rechenschaftspflicht: Behörden und Verwaltungen unterliegen oft höheren Anforderungen an Transparenz und Rechenschaftspflicht. Sie müssen möglicherweise detailliertere Informationen über ihre Datenverarbeitungsaktivitäten öffentlich machen.

5. Zugang zu Informationen: Im öffentlichen Sektor können Anforderungen zum Zugang zu Informationen (wie Informationsfreiheitsgesetze) mit Datenschutzanforderungen interagieren, was zu zusätzlichen Überlegungen bei der Datenfreigabe führt.

6. Öffentliches Interesse und Notwendigkeit: Die Datenverarbeitung in Behörden und Verwaltungen kann oft auf Grundlagen wie öffentliches Interesse oder die Notwendigkeit zur Erfüllung einer rechtlichen Verpflichtung gerechtfertigt werden, was im privaten Sektor seltener der Fall ist.

Diese Punkte zeigen, dass Behörden und Verwaltungen die DSGVO in einem etwas anderen Kontext anwenden müssen, der ihre spezifischen Funktionen und Verpflichtungen widerspiegelt.

3.7 Übungsaufgabe

3.7.1 Szenario:

Ein mittelständisches Unternehmen plant, ein neues Kundenverwaltungssystem einzuführen. Dieses System soll Kundendaten speichern, darunter Namen, Adressen, Telefonnummern und Einkaufshistorie. Zusätzlich sollen Daten zu Kundenpräferenzen und Kaufverhalten aus sozialen Medien und anderen Online-Quellen integriert werden.

3.7.2 Aufgabenstellung:

1. Analyse der Rechtsgrundlage: Bestimmen Sie, auf welcher Rechtsgrundlage das Unternehmen diese Daten verarbeiten könnte. Berücksichtigen Sie dabei die verschiedenen Arten von Daten, die gesammelt werden.

2. Bewertung der Datenschutzprinzipien: Beurteilen Sie, ob das geplante Kundenverwaltungssystem die Grundprinzipien der DSGVO (wie Rechtmäßigkeit, Transparenz, Zweckbindung) einhält.

3. Informationspflicht: Entwerfen Sie eine Datenschutzerklärung für das neue System, die die Anforderungen der DSGVO erfüllt. Berücksichtigen Sie dabei, wie und zu welchem Zweck die Daten gesammelt werden und wie die Kunden darüber informiert werden.

4. Datenschutz-Folgenabschätzung: Erstellen Sie einen groben Entwurf für eine Datenschutz-Folgenabschätzung. Identifizieren Sie mögliche Risiken, die sich aus der Verarbeitung dieser Kundendaten ergeben könnten, und schlagen Sie Maßnahmen zur Risikominimierung vor.

5. Rechte der betroffenen Personen: Überlegen Sie, wie das Unternehmen die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung und Löschung, gewährleisten kann.

Diese Übungsaufgabe zielt darauf ab, ein tieferes Verständnis für die Anwendung der DSGVO-Prinzipien in der Praxis zu entwickeln und das Bewusstsein für die Verantwortlichkeiten bei der Datenverarbeitung zu schärfen.

3.8 Musterlösung

3.8.1 Analyse der Rechtsgrundlage

• Verarbeitung personenbezogener Daten: Das Unternehmen könnte als Rechtsgrundlage die Einwilligung der Kunden für die Speicherung und Verarbeitung ihrer Basisdaten (Name, Adresse, Telefonnummer) nutzen.
• Daten aus sozialen Medien: Für die Verarbeitung von Daten zu Kundenpräferenzen und Kaufverhalten, die aus sozialen Medien gesammelt werden, ist eine explizite Einwilligung der Kunden erforderlich, da diese Daten möglicherweise sensible Informationen enthalten.

3.8.2 Bewertung der Datenschutzprinzipien

• Rechtmäßigkeit: Die Datenverarbeitung erfolgt auf Basis der Einwilligung der Kunden, was eine rechtmäßige Grundlage darstellt.
• Transparenz: Die Kunden müssen klar über den Umfang und Zweck der Datensammlung informiert werden.
• Zweckbindung: Die gesammelten Daten sollten ausschließlich für den Zweck der Verbesserung des Kundenservices und der Angebotsgestaltung verwendet werden.

3.8.3 Informationspflicht

• Datenschutzerklärung: Eine Datenschutzerklärung sollte Informationen über die Art der gesammelten Daten, den Zweck der Sammlung, die Speicherdauer und die Rechte der Kunden enthalten. Sie muss leicht zugänglich und verständlich sein.

3.8.4 Datenschutz-Folgenabschätzung

• Mögliche Risiken: Risiken können Datenschutzverletzungen oder der Missbrauch persönlicher Daten sein.
• Maßnahmen zur Risikominimierung: Implementierung starker Sicherheitsmaßnahmen, regelmäßige Überprüfungen der Datensicherheit und Schulung der Mitarbeiter in Datenschutzpraktiken.

3.8.5 Rechte der betroffenen Personen

• Umsetzung der Betroffenenrechte: Das Unternehmen muss sicherstellen, dass Kunden ihre Rechte auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit einfach ausüben können, z. B. durch eine Funktion im Kundenkonto oder einen Ansprechpartner für Datenschutzanfragen.