Die als Bürokratiemonster verschriene EU-Datenschutz-Grundverordnung (DSGVO) gilt zwar schon seit Mai 2018 verbindlich, doch sie wirft immer noch Fragen auf – unter anderem die, wer sich eigentlich an die DSGVO halten muss. Im heutigen Blogbeitrag klären wir genau diese Frage und gehen dabei auf unterschiedliche Definitionen in der DSGVO ein. Nach dem Lesen wissen Sie, ob auch Sie die Datenschutz-Grundverordnung beachten müssen.
Inhalt
Datenschutz-Grundverordnung: Sachlicher & räumlicher Anwendungsbereich
Die Datenschutz-Grundverordnung ist immer dann anwendbar, wenn Datenverarbeitungsvorgänge in ihren sachlichen sowie räumlichen Anwendungsbereich fallen. In Art. 2 Abs. 1 DSGVO hat der Gesetzgeber den sachlichen Anwendungsbereich definiert: Die DSGVO gilt für „automatisierte Verarbeitungen personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Zum besseren Verständnis sind einige Definitionen unabdingbar:
- Personenbezogene Daten: Definiert in Art. 4 Nr. 1 DSGVO handelt es sich bei personenbezogenen Daten um Informationen, die sich auf identifizierbare oder identifizierte natürliche Personen beziehen – was das konkret bedeutet, erklären wir weiter unten. Geschützt sind jedenfalls Daten über natürliche, jedoch nicht über juristische Personen (z. B. Unternehmen). Anonymisierte Daten fallen nicht in den Anwendungsbereich der DSGVO, pseudonymisierte Daten jedoch schon, da Informationen Rückschlüsse auf Personen zulassen können.
- Automatisierte Verarbeitung: Vorgänge, die ohne menschliches Zutun erfolgen, lassen sich als automatisierte Verarbeitungen definieren – also beispielsweise Verarbeitungen mittels Computersystemen, aber auch das Fotografieren mit einer Digitalkamera oder das Speichern von Informationen auf dem Smartphone. Erfolgen Vorgänge ohne technische Geräte manuell, sind sie nichtautomatisiert. Darunter fallen handschriftliche Listen. Werden diese jedoch in einem Dateisystem gespeichert, etwa wenn die Liste in einem strukturierten Archiv landet, fallen auch derartige nichtautomatisierte Vorgänge in den Anwendungsbereich der DSGVO.
Ausnahmen vom sachlichen Anwendungsbereich sind laut Art. 2 Abs. 2 DSGVO rein familiäre Angelegenheiten. Findet also privater Schriftverkehr statt oder werden soziale Netzwerke privat genutzt, unterliegen sie nicht dem sachlichen Anwendungsbereich der Datenschutz-Grundverordnung.
Räumlicher Anwendungsbereich der DSGVO
Die folgenden Konstellationen treffen den räumlichen Anwendungsbereich der DSGVO:
- Datenverarbeitung in einer Niederlassung in der EU: Gemäß Art. 3 Abs. 1 DSGVO gilt die Verordnung, wenn personenbezogene Daten in einer Niederlassung innerhalb der EU verarbeitet werden, auch wenn die Verarbeitung selbst nicht in der EU stattfinden muss.
- Waren oder Dienstleistungen richten sich an EU-Bürger:innen: Art. 3 Abs. 2 lit. a DSGVO erklärt, dass die DSGVO auch dann gilt, wenn Verantwortliche keine Niederlassung in der EU haben, sich ihr Dienstleistungs- oder Produktangebot aber an Personen in der EU richtet, deren personenbezogene Daten verarbeitet werden.
- Datenverarbeitung zur Verhaltensbeobachtung von Personen in der EU: Laut Art. 3 Abs. 2 lit. b DSGVO gilt die DSGVO auch dann, wenn Verantwortliche keine Niederlassung in der EU haben, jedoch Daten verarbeiten, um das Verhalten von Personen in der EU zu beobachten. Die Staatsangehörigkeit der beobachteten Person ist dabei unerheblich; wichtig ist, dass sich diese Person gerade in der EU aufhält. Dies ist insbesondere in Hinblick aufs Tracking im Internet relevant.
Zusammengefasst: Wann gilt die DSGVO?
Die Datenschutz-Grundverordnung gilt also immer, wenn personenbezogene Daten automatisiert oder nichtautomatisiert verarbeitet werden und in einem Dateisystem gespeichert werden (sollen). Sie gilt, wenn Niederlassungen oder Hauptsitze in der EU liegen, wenn sich Waren und/ oder Dienstleistungen an EU-Bürger:innen richten oder wenn Personen, die sich in der EU befinden, beobachtet werden.
Welche Daten sind personenbezogene Daten?
Wir haben weiter oben schon mithilfe der Definitionen der Datenschutz-Grundverordnung etwas vordefiniert: Personenbezogene Daten sind Informationen, die sich auf identifizierbare oder identifizierte natürliche Personen beziehen. Sehr konkret ist das noch nicht. Gehen wir also tiefer:
Die personenbezogenen Daten müssen sich auf natürliche Personen beziehen. Damit sind die Daten von Gesellschaften, Vereinen, Stiftungen oder anderen juristischen Personen nicht durch die DSGVO geschützt. Laut Erwägungsgrund 27 DSGVO gilt die Verordnung auch „nicht für die personenbezogenen Daten Verstorbener.“ Die Begriffe „identifiziert“ und „identifizierbar“ können mit „bestimmt“ oder „bestimmbar“ übersetzt werden. Die wichtige Frage, die es zu stellen gilt, heißt also: Lassen sich die gegebenen Informationen einer bestimmten Person zuordnen oder nicht? Ist das Individuum durch die personenbezogenen Daten bestimmbar? Ist eine Zuordnung möglich und lässt sich ein direkter Bezug herstellen, ist eine Person identifiziert oder identifizierbar.
Dasselbe gilt jedoch auch, wenn ein Identifizieren nicht direkt, sondern mit Zusatzwissen möglich ist. So schreibt die Europäische Kommission in ihrer Definition von personenbezogenen Daten: „Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.“
Sämtliche Daten, mit denen direkt oder indirekt ein Personenbezug hergestellt werden kann, sind personenbezogene Daten. Darunter fallen klassischerweise:
- Name
- Adresse
- Telefonnummer
- Kfz-Kennzeichen
- Kreditkartennummer oder Bankdaten
- IP-Adresse
- Standortdaten
- Pseudonymisierte Daten
- Ausweis- und weitere Kennnummern wie Sozialversicherungsnummer, Steueridentifikationsnummer usw.
- Arbeits-Aufzeichnungen (Wann beginnt/ endet der Arbeitstag? Leistungsbeurteilungen usw.)
- Physische Merkmale wie Augenfarbe, Kleidergröße, Geschlecht usw.
- Besitzmerkmale wie Immobilieneigentum, Zulassungsdaten usw.
- Kundendaten wie Adressdaten, Bestellungen usw.
- Werturteile wie Arbeitszeugnisse
Daten ohne Personenbezug sind beispielsweise:
- Anonymisierte Daten
- Allgemeine E-Mail-Adressen wie info@unternehmen.de
- Handelsregisternummern
Datenschutz-Grundverordnung: Ein Bürokratiemonster?!?
Anhand dieser Definitionen können Sie sich nun ausmalen: Auch Sie sind höchstwahrscheinlich von der Datenschutz-Grundverordnung betroffen. Nicht selten wird die DSGVO als unnützes Bürokratiemonster verstanden – wo ist also der Sinn der Verordnung? Die Antwort ist sehr einfach: Als Teildisziplin der Datensicherheit bewahrt der Datenschutz personenbezogene Daten vor Missbrauch sowie unbefugtem Zugriff. Und das ist angesichts immer neuer und perfiderer Angriffsmethoden von Cyberkriminellen, neugieriger Konkurrenz sowie immer aufgeklärteren Bürger:innen auch notwendig.
Oft werden personenbezogene Daten aus wirtschaftlichen Interessen missbraucht. Dafür sind die berühmten Datenkraken ein hervorragendes Beispiel: Google oder der Meta-Konzern sammeln Nutzerdaten durch die Aktivitäten von Nutzenden. Von Standortdaten über Kontakte bis hin zum Kaufverhalten lassen sich Daten so aggregieren – und diese Informationen werden oft zum Schalten individualisierter Werbung verwendet.
Der Umgang mit personenbezogenen Daten erfordert ein erhöhtes Maß an Sorgsamkeit. Unternehmen, die die DSGVO als unnützes Bürokratiemonster sehen, können es vielleicht so betrachten: Jede Geschäftsführerin, jeder Chef, jede Mitarbeiterin und jede Führungskraft ist im Privatleben auch betroffene Person. Unternehmen, die personenbezogene Daten speichern und verarbeiten – und das sind nahezu alle Unternehmen – müssen diese Datenschätze vor unbefugtem Zugriff schützen. Nicht alle Daten dürfen zu jedem Zweck gespeichert und/ oder verarbeitet oder gar weitergegeben werden – und diese Tatsache ist insgesamt ein Gewinn.
Besonderen Schutz genießen übrigens besondere personenbezogene Daten. Der Gesetzgeber hat diese definiert in Art. 4 und 9 DSGVO sowie § 46 Ziffer 14 a – e BDSG:
„Daten, aus denen die rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung.“
Diese besonderen personenbezogenen Daten bedürfen eines erhöhten Schutzes. Wir werden diesen Daten einen gesonderten Blogbeitrag widmen.
Wie wird DSGVO-konform mit personenbezogenen Daten umgegangen?
Immer, wenn die Verarbeitung von personenbezogenen Daten zulässig ist, muss der Datenschutz gewährleistet werden. Das heißt:
- Alle Mitarbeitenden, die personenbezogene Daten speichern und verarbeiten, sind über das Datengeheimnis zu belehren. Außerdem sind datenschutzrechtliche Schulungen sinnvoll, in denen der Umgang mit personenbezogenen Daten erläutert wird. Auch grundlegende Schulungen über IT-Sicherheit und Gefahren sind angeraten.
- Das Weitergeben personenbezogener Daten an Dritte darf nicht ohne Zustimmung der betroffenen Person erfolgen. Es gibt zwar Ausnahmefälle, jedoch werden dann hohe Anforderungen an die Übermittlung der Daten gestellt. Dies dient dazu, dass das unrechtmäßige Abgreifen personenbezogener Daten verhindert, aber auch unterbunden wird, dass Datensammlungen über betroffene Personen angelegt werden.
- Fürs Speichern und Verarbeiten personenbezogener Daten sind Sicherheitsmaßnahmen zu treffen. Derlei Maßnahmen werden als technische und organisatorische Maßnahmen bezeichnet. Zu den organisatorischen zählen beispielsweise Mitarbeiterschulungen, eine technische Maßnahme wäre etwa das Verschlüsseln von Datenbanken.
- Personenbezogene Daten dürfen ausschließlich zweckgebunden verarbeitet werden. Nachdem der Zweck erfüllt wurde, müssen die Angaben entweder gelöscht oder aber gesperrt werden. Die Rechtmäßigkeit der Verarbeitung ist in Art. 6 DSGVO definiert.
- Werden Daten nicht mehr benötigt, etwa weil die Zweckgebundenheit aufgelöst ist, besteht eine Pflicht zum Löschen der personenbezogenen Daten. Wurden personenbezogene Daten unrechtmäßig gespeichert, müssen diese ebenfalls umgehend sicher gelöscht werden.
Wer ist von der Datenschutz-Grundverordnung betroffen?
Nach wie vor herrscht oftmals die Ansicht, dass die Datenschutz-Grundverordnung große Unternehmen betrifft, während kleine außen vor bleiben. Dem ist jedoch nicht so: Die DSGVO betrifft, wie wir erörtert haben, alle, die mit personenbezogenen Daten umgehen. Jedes Unternehmen, das Kundendaten speichert und verarbeitet, für die Beschäftigten Mitarbeiterdaten angelegt hat oder auch nur eine Website unterhält, auf der IP-Adressen ein personenbezogenes Datum bilden, muss die Vorgaben der Datenschutz-Grundverordnung einhalten.
Foto: Torbz - stock.adobe.com