Datenschutzrecht

Durch die hohe, einfache Verfügbarkeit von Daten, deren Berechenbarkeit und Verarbeitung in Datenbanken oder anderen computergestützten Systemen stellt Datenschutz eine der zentralen Facetten aktueller und zukünftiger Rechtswirklichkeiten dar.

Der Schutz von Daten findet dabei nicht nur im orginären Datenschutzrecht, sondern auch in vielen weiteren Rechtsgebieten, wie beispielsweise dem gewerblichen Rechtsschutz und dem Urheberrecht (unberechtigte Down-/Uploads geschützter Werke, Datenbankenrecht), Anwendung.

Datenschutzrecht: Ein summarischer Ãœberblick

Das Datenschutzrecht dient dem Schutz personenbezogener Daten und der Sicherung der Privatsphäre natürlicher Personen. Es umfasst nationale Gesetze, EU-weite Normierungen sowie internationale Regelungen. Ziel ist es, die Rechte der Betroffenen zu schützen und klare Vorgaben für die Verarbeitung, Speicherung und Weitergabe von Daten zu schaffen.

1. Deutsche Datenschutzgesetze und Verordnungen

1.1 Bundesdatenschutzgesetz (BDSG)

Anwendung: Ergänzt die Datenschutz-Grundverordnung (DSGVO) in Deutschland.

Wichtige Inhalte:

• § 26 BDSG: Regelung zur Datenverarbeitung im Beschäftigungskontext (z. B. Ãœberwachung am Arbeitsplatz).
• § 38 BDSG: Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) in Unternehmen mit mindestens 20 datenverarbeitenden Mitarbeitern.
• § 22 BDSG: Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten).

Beispiel: Ein Unternehmen verarbeitet die Gesundheitsdaten seiner Mitarbeiter für ein betriebliches Gesundheitsmanagement. Dies erfordert besondere Schutzmaßnahmen gemäß § 22 BDSG.

1.2 Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG)

Anwendung: Datenschutz in elektronischer Kommunikation und Online-Diensten.

Kernpunkte:

• Zustimmungspflicht für Cookies (§ 25 TDDDG).
• Schutz der Vertraulichkeit von Kommunikationsinhalten (§ 3 TDDGG).

Beispiel: Betreiber einer Website müssen ein Cookie-Banner einrichten, das den Nutzern eine klare Wahl zwischen Akzeptieren oder Ablehnen von Cookies gibt.

1.3 Landesdatenschutzgesetze

• Regelung des Datenschutzes in den öffentlichen Verwaltungen der Bundesländer, wie z. B. in Schulen und Behörden.

2. Europäische Datenschutzgesetze

2.1 Datenschutz-Grundverordnung (DSGVO)

Die DSGVO ist die zentrale EU-weite Regelung für den Datenschutz und gilt unmittelbar in allen Mitgliedstaaten.

Wichtige Grundprinzipien (Art. 5 DSGVO):

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Jede Datenverarbeitung muss auf einer rechtlichen Grundlage beruhen (z. B. Einwilligung).
2. Zweckbindung: Daten dürfen nur für die festgelegten Zwecke verarbeitet werden.
3. Datenminimierung: Es dürfen nur die notwendigen Daten erhoben und verarbeitet werden.
4. Richtigkeit: Daten müssen korrekt und aktuell sein.
5. Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.
6. Integrität und Vertraulichkeit: Daten müssen durch geeignete Sicherheitsmaßnahmen geschützt werden.

Rechte der Betroffenen:

• Auskunftsrecht (Art. 15): Betroffene können erfahren, welche Daten gespeichert sind.
• Recht auf Berichtigung (Art. 16): Falsche Daten müssen korrigiert werden.
• Recht auf Löschung (Art. 17): Daten müssen unter bestimmten Bedingungen gelöscht werden („Recht auf Vergessenwerden“).
• Recht auf Datenübertragbarkeit (Art. 20): Betroffene können ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.

Verantwortlichkeiten der Verantwortlichen:

• Datenschutz-Folgenabschätzung (Art. 35): Bei risikoreichen Verarbeitungen muss eine Risikoanalyse durchgeführt werden.
• Meldung von Datenschutzverletzungen (Art. 33, 34): Verletzungen müssen innerhalb von 72 Stunden gemeldet werden.

3. Datenschutzverträge

3.1 Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

• Notwendig, wenn ein Unternehmen personenbezogene Daten im Auftrag eines anderen verarbeitet.
• Inhalt: Verpflichtung zur Einhaltung der DSGVO, Sicherheitsmaßnahmen, Löschung nach Auftragsende.
• Beispiel: Ein Cloud-Dienstleister speichert Kundendaten für ein Unternehmen. Beide schließen einen AV-Vertrag ab.

3.2 Standardvertragsklauseln (SCCs, Art. 46 DSGVO)

• Notwendig für den Datentransfer in Drittländer ohne angemessenes Datenschutzniveau.
• Beispiel: Ein deutsches Unternehmen überträgt Daten an einen US-Dienstleister unter Nutzung der SCCs.

4. Folgen von Datenschutzverstößen

4.1 Bußgelder

• Höhe: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO).
• Beispiel: Ein E-Commerce-Unternehmen erhält ein Bußgeld von 35 Millionen Euro wegen unzureichender Sicherheitsmaßnahmen.

4.2 Schadensersatzansprüche

• Rechtsgrundlage: Art. 82 DSGVO. Betroffene können immateriellen Schadensersatz verlangen.
• Beispiel: Eine fehlerhafte Datenverarbeitung führt zur Veröffentlichung sensibler Kundendaten.

5. Arten von Datenschutzverstößen

1. Unberechtigte Datenverarbeitung: Verarbeitung ohne Rechtsgrundlage.
2. Datenlecks: Unzureichender Schutz vor Hackerangriffen.
3. Fehlende Einwilligung: Verwendung von Tracking-Cookies ohne Zustimmung.
4. Verstöße gegen Rechte der Betroffenen: Nichterteilung von Auskunft.

• Beispiel: Ein Unternehmen speichert die Daten ehemaliger Kunden über Jahre hinweg, obwohl der Zweck entfallen ist.

6. KI-Datenschutz

Herausforderungen:

Transparenz: Automatisierte Entscheidungen müssen nachvollziehbar sein (Art. 22 DSGVO).

Datenminimierung: KI-Modelle benötigen oft große Datenmengen.

Beispiel: Ein KI-System zur Kreditbewertung muss erklären können, wie es zu seiner Entscheidung kommt.

7. Vorbeugende Maßnahmen

1. Datenschutz-Management-System: Regelmäßige Überprüfung der Datenverarbeitung.
2. Datenschutzbeauftragter: Bestellung eines DSB (Art. 37 DSGVO).
3. Technische Maßnahmen: Verschlüsselung, Zugriffsbeschränkungen.
4. Datenschutz-Schulungen: Sensibilisierung der Mitarbeiter.

8. Besonders datenschutzrelevante Sachverhalte

1. Gesundheitsdaten: Besonders schutzwürdig (Art. 9 DSGVO).
2. Kinder: Zustimmung der Eltern erforderlich (Art. 8 DSGVO).
3. Videoüberwachung: Strenge Zweckbindung und Information der Betroffenen.

9. Internationale Rechtslage

9.1 USA

• California Consumer Privacy Act (CCPA): Starke Ähnlichkeiten zur DSGVO, aber weniger umfassend.
• Beispiel: Unternehmen müssen Auskunft über gespeicherte Daten geben und deren Löschung ermöglichen.

9.2 UK

• Data Protection Act 2018: Entspricht weitgehend der DSGVO.
• Unterschied: Eigenständige Regelungen nach dem Brexit, aber Angemessenheitsbeschluss durch die EU.

9.3 China

• Personal Information Protection Law (PIPL): Strenge Vorgaben zur Datenverarbeitung und klare Einwilligungsregeln.

10. DSGVO: Vollständige Artikelübersicht

1. Kapitel I (Grundsätze): Art. 1–4
2. Kapitel II (Grundsätze der Verarbeitung): Art. 5–11
3. Kapitel III (Rechte der betroffenen Person): Art. 12–23
4. Kapitel IV (Verantwortlichkeiten): Art. 24–43
5. Kapitel V (Ãœbermittlungen in Drittländer): Art. 44–50
6. Kapitel VI (Aufsichtsbehörden): Art. 51–59
7. Kapitel VII (Zusammenarbeit): Art. 60–76
8. Kapitel VIII (Rechtsbehelfe, Haftung): Art. 77–84