Datenschutzrecht in der Europäischen Union

Der Schutz personenbezogener Daten ist in der Europäischen Union ein fundamentales Recht. Die am 28. Mai 2018 in Kraft getretene DSGVO verfolgt das Ziel, ein hohes Schutzniveau für personenbezogene Daten sicherzustellen und gleichzeitig den freien Datenverkehr innerhalb des Europäischen Binnenmarkts zu gewährleisten. Die EU-Bürger:innen sollen durch die DSGVO mehr Kontrolle über ihre persönlichen Daten und deren Verarbeitung erhalten.

Anwendungsbereich der DSGVO

Der Anwendungsbereich der DSGVO erstreckt sich auf alle Unternehmen, Organisationen, Behörden und öffentlichen Einrichtungen, die personenbezogene Daten von EU-Bürger:innen verarbeiten, unabhängig vom Standort der Organisation. Der weit gefasste Anwendungsbereich soll sicherstellen, dass die Daten auch geschützt sind, wenn sie außerhalb der EU verarbeitet werden. Die DSGVO hat somit nicht nur Auswirkungen für Unternehmen innerhalb Europas, sondern für Unternehmen weltweit.

Personenbezogene Daten im Sinne der DSGVO sind alle Informationen, über die eine Person direkt oder indirekt identifiziert werden kann, wie Name, Adresse oder Identifikationsnummern. Erfasst sein können auch sensible Informationen wie die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder biometrische Daten.

Grundsätze der Datenverarbeitung

In Art. 5 Abs. 1 DSGVO finden sich die Grundsätze für die Verarbeitung personenbezogener Daten. Es gelten die folgenden Grundsätze:

• Rechtmäßigkeit,

• Transparenz,

• Zweckbindung,

• Datenminimierung/-sparsamkeit,

• Richtigkeit,

• Speicherbegrenzung (Löschung/Sperrung),

• Integrität und Vertraulichkeit und

• Rechenschaftspflicht (Dokumentation).

Die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten setzt zum Beispiel die Einwilligung des Betroffenen (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) oder eine gesetzliche Erlaubnis (Art. 6 Abs. 1 S. 1 lit. b) bis f) DSGVO) voraus. Eine etwaige Einwilligungserklärung muss zweckgebunden und eindeutig sein, die Abgabe muss freiwillig erfolgen, der Betroffene muss auf die Möglichkeit des jederzeitigen Widerrufs der Einwilligung hingewiesen werden und die erteilte Einwilligung muss dokumentiert werden. Eine gesetzliche Erlaubnis für die Verarbeitung von personenbezogenen Daten sieht die DSGVO unter anderem dann vor, wenn die Verarbeitung der Daten für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgt, erforderlich ist (Art. 6 Abs. 1 lit. b) DSGVO).

Ein wichtiger Punkt bei der Datenverarbeitung ist, dass nur so viele Daten gesammelt werden dürfen, wie für den jeweiligen Verarbeitungszweck unbedingt notwendig sind. Es gilt der Grundsatz der Datenminimierung.

Unternehmen müssen gegenüber Aufsichtsbehörden nachweisen können, dass sie alle Vorgaben der DSGVO einhalten (Art. 5 Abs. 2 DSGVO). Aus diesem Grund müssen Unternehmen die von ihnen getroffenen rechtlichen, technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes dokumentieren. Dokumentation bedeutet in diesem Zusammenhang, dass die Unternehmen entsprechende Unterlagen, Belege und sonstige Materialien in schriftlicher oder elektronischer Form systematisch aufbewahren.

Rechte, die betroffene Personen nach der DSGVO haben

Eines der grundlegenden Prinzipien der DSGVO, dem Unternehmen gerecht werden müssen, ist die Transparenz. Betroffenen Personen steht in diesem Rahmen unter anderem ein Auskunftsrecht zu (Art. 15 DSGVO). Sie haben das Recht, Details darüber anzufordern, wie Unternehmen ihre personenbezogenen Daten sammeln, verarbeiten und nutzen. Das Recht auf Auskunft über die Verarbeitung von personenbezogenen Daten erstreckt sich unter anderem auf Informationen, wie die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden, die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen.

Betroffene Personen nehmen oftmals besonders gerne das Recht auf Löschung ("Recht auf Vergessenwerden") nach Art. 17 DSGVO in Anspruch. Sie können von Unternehmen in bestimmten Konstellationen verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Ein Löschungsgrund ist zum Beispiel, dass die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Weitere Rechte, die betroffenen Personen zur Verfügung stehen, sind das Recht auf Berichtigung (Art. 16 DSGVO), Recht auf Einschränkung der Verarbeitung (Art.18 DSGVO), Recht auf Datenübertragbarkeit (Art. 20 DSGVO) und das Widerspruchsrecht (Art. 21 DSGVO).

Internationale Datentransfers in Drittländer

Die DSGVO enthält in Kapitel 5 (Art. 44 - 50) auch Regelungen zum Datentransfer in sogenannte Drittländer – also Länder außerhalb des Europäischen Wirtschaftsraums. Ziel dieser Vorschriften ist es sicherzustellen, dass das hohe Datenschutzniveau der EU auch bei der Übermittlung personenbezogener Daten ins Ausland gewahrt bleibt. Art. 44 DSGVO bestimmt in diesem Rahmen, dass jede Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn die in der DSGVO festgelegten Bedingungen eingehalten werden. Dies gilt unabhängig davon, ob die Übermittlung innerhalb eines Unternehmens oder an Dritte erfolgt. Ein zentraler Mechanismus in diesem Rahmen ist der Angemessenheitsbeschluss gemäß Art. 45 DSGVO: Die Europäische Kommission kann feststellen, dass ein Drittland ein angemessenes Datenschutzniveau bietet. Existiert ein solcher Beschluss, dürfen personenbezogene Daten in das betreffende Drittland übermittelt werden. Derzeit hat die Europäische Kommission 15 Angemessenheitsbeschlüsse angenommen.