Datenschutzrecht einfach erklärt

Datenschutz Verstehen – Datenschutzrecht einfach erklärt.

Kurze Einleitung: Dieser Blogbeitrag dient als Orientierung und Ratgeber zum Datenschutzrecht. Er soll eine Einführung in das Thema bieten und klarstellen, wann welche Gesetze von Relevanz sind bzw. Anwendung finden und was im Allgemeinen zu beachten ist. Innerhalb des Blogbeitrages  wird geklärt, wie der Datenschutz in Deutschland im Vergleich zu den USA und der Schweiz strukturiert und reguliert ist. Denn gerade in Zeiten der rasanten Weiterentwicklung im Bereich der Digitalisierung gewinnt der Schutz von personenbezogenen Daten immer mehr an Bedeutung. Aber auch durch die zunehmende Verarbeitung von schutzbedürftigen Daten im Homeoffice oder in digitalen Anwendungen des normalen Berufsalltages ist es wichtig, zu verstehen, was Datenschutzrecht überhaupt ist und wie ein sicherer und rechtskonformer Umgang mit personenbezogenen Daten aussehen sollte.

Falls Sie Interesse an weiteren Themen oder aktuellen News aus dem Datenschutz besitzen, können Sie hier weitere interessante Beiträge finden!

Inhalt:

Datenschutzrechte
 
Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

eBook Datenschutz IT
Datenschutz Verstehen eBook_Keyed
eBook erhalten

Was ist Datenschutzrecht?

Datenschutzrecht ist als ein Teilgebiet des Rechts anzusehen, der sich explizit mit dem Schutz von personenbezogenen Daten befasst. Die allgemeinen Ziele des Datenschutzrechts sind die Wahrung des Grundrechts auf informationelle Selbstbestimmung, welches sich national aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 des Grundgesetzes (GG) abgeleitet, und die Gewährleistung von rechtlich geschützten Geheimnissen (insbesondere des Telekommunikationsgesetzes), d.h. es sollen die Rechte eines Individuums in Bezug auf dessen Daten geschützt werden. Das Grundrecht auf informationelle Selbstbestimmung ist Teil des allgemeinen Persönlichkeitsrechts, wonach jeder Mensch grundsätzlich selbst über die Preisgabe und Verwendung der eigenen persönlichen Daten bestimmen darf. Auf europäischer Ebene ist der Schutz von personenbezogenen Daten primärrechtlich in Art. 8 der Charta der Grundrechte der Europäischen Union verankert. Des Weiteren soll das Datenschutzrecht einen Ausgleich zwischen dem Datenschutz und der Privatsphäre einer einzelnen Person und dem berechtigten Interesse der Allgemeinheit bzw. staatlicher und privater Datenverarbeiter herstellen. Deshalb ist das Ziel des Datenschutzrechts in fast allen Ländern der Welt identisch und zumindest das Recht auf Privatsphäre in irgendeiner Form in den einzelnen Verfassungen oder anderen Bestimmungen verankert. Dabei ist eine grenzüberschreitende Zusammenarbeit unabdingbar, um internationale Vereinbarungen zur Gewährleistung eines wirksamen Datenschutzes und die grenzüberschreitende Durchsetzung zu beeinflussen und weiterzuentwickeln.

Im weitesten Sinne schließt das Datenschutzrecht damit alle Gesetze, Richtlinien, Vereinbarungen, Verordnungen und richterliche Entscheidungen ein, welche zum Schutz der Privatsphäre, zur Ausgestaltung des Grundrechts auf informationelle Selbstbestimmung oder zur Regulierung der Verarbeitung von Geheimnissen und personenbezogenen Daten dienen.

 

Wie ist Datenschutzrecht strukturiert?

Datenschutzrecht findet seinen Platz auf fast allen Ebenen der Normenhierarchie. Bei der Normenhierarchie oder auch Normenpyramide handelt es sich um ein Über- und Unterordnungsverhältnis von Rechtsnormen innerhalb der Rechtswissenschaften. Die dabei geltende Kollisionsregel „Lex superior derogat legi inferiori” beschreibt, dass eine höher stehende Norm Geltungsvorrang vor einer niedriger stehenden Norm der Normenhierarchie besitzt. In der Normenpyramide finden sich bspw. folgende Bereiche wieder: Menschenrechte oder Völkerrecht, europäisches Recht, nationales Recht, Landesrecht, Kommunalrecht. 

So ist das Datenschutzrecht zwar noch nicht direkt als Menschenrecht anerkannt, jedoch besteht ein Recht auf Privatsphäre und Privatleben in Art. 12 der Allgemeinen Erklärung der Menschenrechte, welches ein Recht auf Datenschutz indirekt gewährleistet. Auch auf europäischer Ebene existieren Normen, die ein Recht auf Privatsphäre garantieren, so z.B. Art. 8 der Europäischen Menschenrechtskonvention oder sogar direkt ein Recht auf den Schutz von personenbezogenen Daten nach Art. 8 der Charta der Grundrechte der Europäischen Union. Zudem existiert innerhalb der EU die Datenschutz-Grundverordnung (DSGVO), welche eine Verordnung darstellt, die unmittelbar für alle Mitgliedstaaten gilt. Auf nationaler Ebene gilt zusätzlich z.B. in Deutschland das Bundesdatenschutzgesetz (BDSG-neu) und landesrechtlich die jeweiligen Ländergesetze, wie bspw. das Datenschutzgesetz Nordrhein-Westfalen (DSG NRW). 

Datenschutzrecht
 
Datenschutz-Managementsystem
Datenschutz-Management-System

+ über 200 Vorlagen
+ Maßnahmen- & Aufgabensteuerung
+ Export in Word- & PDF-Format
+ Mandantenfähig
+ Automatisierte Prozesse

Informieren Sie sich über den Einsatz eines Datenschutz-Management-Systems (DSMS), damit Sie das Thema Datenschutz noch effizienter gestalten können.

Mehr erfahren
Risk Assessment Datenschutz-Portal

Datenschutzgesetze in Deutschland

Die gesetzlichen Grundlagen des Datenschutzrechts in Deutschland ergeben sich zum einen europarechtlich aus der europäischen DSGVO und zum anderen national aus weiteren Bundes- und Landesgesetzen. Das nationale Datenschutzrecht beruht auf dem Grundrecht auf informationelle Selbstbestimmung des Grundgesetzes, welches maßgeblich durch das Volkszählungsurteil des Bundesverfassungsgerichts von 1983 bestimmt wurde. In dem Volkszählungsurteil wurden weiterhin detaillierte Vorgaben begründet, die gegenüber dem Gesetzgeber bezüglich der Einschränkungen dieses Grundrechts gelten. Um dieses Grundrecht zu gewährleisten und zu schützen, wurden Maßnahmen und Regelungen in weiteren Gesetzen konkretisiert. Die DSGVO gilt hierbei übergeordnet als europäische Verordnung unmittelbar für Deutschland und alle anderen Mitgliedstaaten der Europäischen Union. Jedoch bietet dieses die Möglichkeit, durch Öffnungsklauseln, nationalstaatliche Sonderregelungen zu verabschieden, welche allerdings den materiellen Schutzstandard der DSGVO nicht verändern dürfen. So wurde diese Möglichkeit in Deutschland auf Bundesebene mit dem BDSG-neu und als Pendants auf Länderebene durch 16 unterschiedliche Landesdatenschutzgesetze (LDSG) für jedes Bundesland umgesetzt. Somit ist das BDSG-neu das zentrale Datenschutzgesetz in Deutschland, welches die Aufgabe besitzt, den Datenschutz auf nationaler Ebene zu regeln und eine Ergänzung und Konkretisierung der DSGVO umzusetzen. Nach § 1 Abs. 5 BDSG-neu greifen die besonderen Bestimmungen jedoch nur dann, wenn die DSGVO keine Anwendung findet und nicht unmittelbar gilt. Dies liegt daran, dass EU-Verordnungen wie die DSGVO Vorrang gegenüber nationalem Recht besitzen.

Zudem gibt es noch weitere Gesetze, die für das nationale Datenschutzrecht relevant sind, u.a. das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG), wobei die beiden Letzteren in Teilen ab dem 01. Dezember 2021 in das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) übergehen, um die in den beiden Gesetzen enthaltenen Bestimmungen zum Schutz des Fernmeldegeheimnisses und des Datenschutzes an die DSGVO anzupassen und in einem neuen Stammgesetz zusammenzuführen. In all diesen Gesetzen befinden sich jeweils Normen, die einzelne Bereiche des Datenschutzrechts regeln oder konkretisieren, um damit den Schutzstandard zu optimieren. Übrigens können Sie hier mehr über das geplante Inkrafttreten und die dadurch entstehenden Auswirkungen des TTDSG erfahren.

Datenschutzrecht in der Schweiz

Das Datenschutzrecht ist in der Schweiz ähnlich wie in Deutschland strukturiert, auch dort existiert ein nationales Gesetz zum Datenschutz. Das Bundesgesetz über den Datenschutz (DSG) wird am 01.09.2023 vom neuen Bundesgesetz über den Datenschutz (revDSG) abgelöst. Mit dem neuen Gesetz sollen mehr Datenschutz und Transparenz im Umgang mit personenbezogenen Daten geschaffen werden.

Zwischen der deutschen BDSG und dem Schweizer revDSG existieren gewisse Parallelen, denn auch das DSG regelt die Verarbeitung personenbezogener Daten durch Verantwortliche wie z.B. öffentliche Institute und private Unternehmen. Hinsichtlich der Überwachung und Kontrolle bei der Einhaltung des revDSG liegt die Verantwortung bei der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Art. 4 revDSG). Weitere Ähnlichkeiten zum BDSG und der DSGVO finden sich hinsichtlich der Informationspflichten, vgl. Art. 19, 21 revDSG bzw. Art. 12 ff. DSGVO.

Mit fortschreitender Digitalisierung und durch die Weiterentwicklung der DSGVO war die Schweiz in Zugzwang geraten, das eigene Schutzniveau auf das Niveau der DSGVO anzuheben und eine Vielzahl an Angleichungen vorzunehmen, um den internationalen Standards zu genügen.

Dieses Vorhaben hatte das Ziel, die datenschutzrechtliche Stellung der Schweizer Bürger zu stärken und die Anerkennung der EU zu erlangen, dass der Schutz von personenbezogenen Daten in der Schweiz als gleichwertig angesehen wird. Dadurch sollten bei Datenübermittlungen zwischen der EU und der Schweiz zusätzliche Formalitäten sowie ein unangemessenes Datenschutzniveau vermieden werden, welches Benachteiligungen für den Wirtschaftsstandort Schweiz mit sich bringen würde. Das revDSG stärkt insbesondere die Rechte der Bürgerinnen und Bürger. Diese sollen mehr Kontrolle über ihre Daten erlangen und Unternehmen müssen ein angemessenes Schutzniveau sicherstellen.

Was im Detail in der Schweizer DSG geregelt ist und wie sie sich von der DSGVO unterscheidet, haben wir bereits in einem eigenen Blogbeitrag behandelt. Lesen Sie hier mehr zum Schweizer Datenschutzrecht.

Datenschutzrecht in der USA

In den USA sieht es bezüglich des Datenschutzrechts anders aus als in Deutschland, denn dort existiert kein allgemeines und umfassendes Datenschutzgesetz. Vielmehr ist der Datenschutz für einzelne Bereiche geregelt, die jeweils eigene Gesetze besitzen. Dabei ist der California Consumer Privacy Act (CCPA) das allererste Gesetz in den USA, welches den Einwohnern Kaliforniens einen Schutz der Privatsphäre und ihrer personenbezogenen Daten bietet. Des Weiteren sind Unternehmen nach den branchenspezifischen Datenschutznormen dazu verpflichtet, die Sicherheit der von ihnen gespeicherten personenbezogenen Daten zu gewährleisten und bei Datenpannen den umfassenden Meldepflichten nachkommen. Grundsätzlich kann jedoch ein Unternehmen ihr eigenes Datenschutzniveau bestimmen, wobei aber auch bei Verstößen gegen die eigens aufgestellten Richtlinien wettbewerbsrechtliche Konsequenzen drohen können.

Die unterschiedliche Reglementierung und Herangehensweise im Datenschutz beruht auf der in den USA vorherrschenden Sichtweise. Im Gegensatz zu der EU, wo der Schutz von personenbezogenen Daten als Grundrecht angesehen wird, ist der Datenschutz in den USA lediglich ein Teil des Verbraucherschutzrechts. Die Sicherheit von personenbezogenen Daten ist, trotz der einzelnen Normen und Regulierungen, nicht auf einem Niveau, wie es in Europa garantiert ist. Wobei das Schutzniveau gegenüber den staatlichen Behörden auf Grundlage des CLOUD Acts und des PATRIOT Acts sogar weitaus geringer ausfällt und die Eingriffsbefugnisse der Sicherheitsbehörden massiv ausgeweitet wurden. Bspw. können die US-Behörden ohne richterliche Anordnung auf Serverdaten zugreifen, die in den USA gespeichert werden.

Wie trotzdem ein vergleichbares Schutzniveau bei der internationalen Übermittlung von personenbezogenen Daten in Drittländer wie den USA gewährleistet wird, können Sie hier erfahren. Weiterhin können Sie hier mehr über ein Transfer Impact Assessment (TIA) erfahren, das eine neue Art der Risikobewertung für die Datenübermittlungen in unsichere Drittländer darstellt.

 
Datenschutz-Managementsystem
Jetzt Ihren Datenschutzbeauftragten kennenlernen.

Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!

+0

Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.

0%

Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.

Anfrage stellen
externer Datenschutzbeauftragter - Termin buchen

Müssen Privatpersonen das Datenschutzrecht beachten?

Grundsätzlich müssen auch Privatpersonen das Datenschutzrecht beachten, wenn diese personenbezogene Daten erheben, verarbeiten oder nutzen. Jedoch besteht gem. Art. 2 Abs. 2 lit. c DSGVO eine Ausnahme, wenn eine Datenverarbeitung ausschließlich zur Ausübung von persönlichen oder familiären Tätigkeiten erfolgt, bspw. im Zusammenhang mit Freizeitaktivitäten oder Familienfeiern. Diese Ausnahme findet ihre Grenzen, sobald ein Bezug zu einer beruflichen oder wirtschaftlichen vorliegt oder die personenbezogenen Daten im Internet veröffentlicht werden. Auch der Europäische Gerichtshof (EuGH) hat in einer Entscheidung festgestellt, dass Privatpersonen das Datenschutzrecht beachten müssen und die Anwendung der Ausnahme der DSGVO eng auszulegen sei. So ist die Videoüberwachung von Teilen des öffentlichen Raumes neben dem Privatgrundstück durch eine Privatperson nicht mehr durch diese Ausnahme gedeckt und stellt weiter eine Verarbeitung von personenbezogenen Daten dar. 

 

Datenschutzrecht für Unternehmen

Für Unternehmen besteht als Verantwortlicher die Pflicht, dass die DSGVO umgesetzt werden muss. Verantwortlicher im Sinne des Gesetzes ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Somit ist die verantwortliche Stelle auch der Adressat von Bußgeldern. Aus diesem Grunde ist es besonders wichtig, dass Unternehmen ihre datenschutzrechtlichen Verpflichtungen ernst nehmen und rechtskonform agieren. Dabei kann eine datenschutzrechtliche Optimierung, die u.a. folgende Punkte enthalten sollte, ein erster wichtiger Schritt sein, um Verstöße zu vermeiden: Zuerst eine Ermittlung des bestehenden allgemeinen Datenschutzstandards im Unternehmen und eine Bestimmung der Abteilungen, in denen personenbezogene Daten verarbeitet werden. Darauf aufbauend kann eine Prüfung & Bewertung der Datenschutzhinweise, Auftragsverarbeitungs-Verträge  gem. Art. 28 DSGVO und technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO stattfinden, um diese zu optimieren und gegebenenfalls neuen Rechtsstandards zu etablieren. Weiterhin kann auch eine Erstellung von internen Richtlinien zum Umgang mit personenbezogenen Daten oder eine Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO zur besseren Umsetzung des Datenschutzes im Unternehmen förderlich sein.

Zudem ist es auch relevant, die Mitarbeiterinnen und Mitarbeiter rechtssicher im Datenschutz zu schulen, um die fehlerhafte Umsetzung von rechtlichen Vorgaben vorzubeugen und weitere Risiken im Unternehmen bezüglich verschiedenster Datenschutzverletzungen zu reduzieren. Eine Schulung, wie bspw. die der Mitarbeiterschule, kann dabei ein wichtiges Instrument zur Datenschutz-Optimierung darstellen.

Gerne unterstützen unsere zertifizierten Branchenexperten Sie bei der datenschutzrechtlichen Optimierung Ihres Unternehmens und begleiten Sie bei den einzelnen Prozessen und der Umsetzung. Hierzu können Sie ganz einfach einen kostenfreien Beratungstermin buchen.

Checkliste Datenschutzrecht

Sie können sich an dem Ablauf einer datenschutzkonformen Optimierung eines Unternehmens wie folgt orientieren:

  1. Workshop zur Datenschutzorganisation
    1. Abstimmung zum Projektplan
    2. Ermittlung des bestehenden allgemeinen Datenschutzstandards im Unternehmen
    3. Bestimmung der Abteilungen, in denen personenbezogene Daten verarbeitet werden
    4. Bestandsaufnahme aller relevanten Prozesse
    5. Prüfung & Bewertung der Datenschutz-Grundsätze
  2. Prüfung & Bewertung der Rechtmäßigkeiten (Art. 5 DSGVO)
  3. Prüfung & Bewertung der Datenschutzhinweise (Art. 12 ff. DSGVO)
  4. Prüfung & Bewertung der AV-Verträge (Art. 28 DSGVO)
  5. Prüfung & Bewertung der Dokumentation der Verarbeitungen (Art. 30 DSGVO)
  6. Prüfung & Bewertung der technischen u. organisatorischen Maßnahmen (Art. 32 DSGVO)
  7. Relevanzprüfung, Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
  8. Priorisierte Maßnahmen zur Rechtmäßigkeit (Art. 6 DSGVO)
  9. Erstellung der Datenschutzhinweise (Art. 12 ff DSGVO)
  10. Erstellung und ggf. Ergänzung der Auftragsverarbeitung (Art. 28 DSGVO)
  11. Optimierung Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
  12. Optimierung des angemessenen Sicherheitsniveaus (Art. 32 DSGVO)
  13. Durchführungen von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
  14. Erstellung von internen Richtlinien zum Umgang mit personenbezogenen Daten
  15. Optimierung des Beschäftigtendatenschutzes
Menü