DSGVO: Deutscher Datenschutz als Vorbild
Im zweiten Teil unserer Blogserie zur EU-Datenschutz-Grundverordnung werfen wir einen Blick auf die Grundsätze und Regelungen, die sich am deutschen Bundesdatenschutzgesetz orientieren. Beispielsweise darf die Datenverarbeitung nicht ohne Einwilligung erfolgen – Ausnahmen ausgenommen.
In Teil 1 unserer Blogserie zur Datenschutz-Grundverordnung (DSGVO) haben wir erläutert, auf welche Rechte du dich als Verbraucher künftig bei Datenschutzfragen berufen kannst. Diese leiten sich in einigen Fällen aus Grundsätzen und Regelungen des deutschen Bundesdatenschutzgesetzes (BDSG) ab, die sich – teilweise in verschärfter Form – in der DSGVO wiederfinden.
Das gilt großteils für die Grundsätze der Datenverarbeitung, die in Artikel 5 der DSGVO (oder auf Englisch GDPR für General Data Protection Regulation) geregelt sind: Rechtmäßigkeit, Zweckbindung, Datenminimierung (Datensparsamkeit), Richtigkeit, Speicherbegrenzung (zeitliche Beschränkung), Integrität und Vertraulichkeit sowie eine Rechenschaftspflicht der datenverarbeitenden Unternehmen für die Einhaltung dieser Grundsätze.
Hier die wichtigsten aus dem BDSG übernommenen Punkte im Überblick:
- Keine Datenverarbeitung ohne Einverständnis (Artikel 5 ff.)
Grundsätzlich ist die Verarbeitung personenbezogener Daten nur mit ausdrücklicher Einwilligung des Betroffenen erlaubt (Verbot mit Erlaubnisvorbehalt). Die Einwilligung muss durch eine „eindeutige bestätigende Handlung“ erfolgen und zwar „freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich“. Mit bereits angekreuzten Kästchen und in den Geschäftsbedingungen versteckten Anfragen zur Einwilligung ist somit Schluss. Unternehmen müssen zudem für jeden einzelnen Verarbeitungszweck eine gesonderte Einwilligung des Betroffenen einholen. Daten von Minderjährigen (Mindestalter 13 Jahre) dürfen sie nur nach Einwilligung der Eltern verarbeiten. Und Betroffene können ihre Einwilligung jederzeit widerrufen.
Eine Ausnahme gibt es jedoch: Wenn die Datenverarbeitung „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ ist, ist sie auch ohne Einwilligung des Nutzers rechtmäßig. Wie sich diese Ausnahmeregelung konkret auswirken wird, wird sich erst in der Praxis zeigen.
- Gebot der Zweckbindung (Artikel 6)
Erhebt ein Unternehmen etwa personenbezogene Daten, um einen Kaufvertrag abzuwickeln, darf es diese Daten nicht einfach für andere Zwecke nutzen. Ausnahmen gelten bei der Verwendung der Daten für wissenschaftliche bzw. historische Forschung oder zu statistischen Zwecken.
- Kopplungsverbot (Artikel 7): Die Erbringung einer Dienstleistung darf nicht von der Einwilligung zur Verarbeitung von Daten abhängig gemacht werden, die für die Erfüllung des Vertrags nicht erforderlich ist. Beispielsweise darf die Erlaubnis zur Teilnahme an einer Verlosung nicht davon abhängig gemacht werden, dass der Teilnehmer der Verwendung seiner persönlichen Daten zu Marketingzwecken zustimmt.
- „Besondere Kategorien“ personenbezogener Daten (Artikel 9)
Dazu gehören Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetische und biometrischen Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung. Ihre Verarbeitung ist ohne ausdrückliche Einwilligung untersagt. Jedoch definiert die DSGVO hier einige Ausnahmen, etwa wenn die Verarbeitung zur Geltendmachung und Abwehr von Rechten und Ansprüchen erforderlich ist.
- Widerspruchsrecht (Artikel 21 f.)
Betroffene können der Verarbeitung ihrer personenbezogenen Daten jederzeit widersprechen. Geht es dabei um Direktwerbung und damit zusammenhängendes Profiling, dürfen die Daten nicht mehr für diese Zwecke verarbeitet werden. Dient die Verarbeitung anderen Zwecken (etwa der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen), kann der Widerspruch jedoch auch unwirksam sein. In jedem Fall müssen Nutzer aber spätestens bei der ersten Kommunikation auf ihr Widerspruchsrecht hingewiesen werden.
Wie diese Beispiele belegen, dient das deutsche Bundesdatenschutzgesetz in vielen Bereichen als Vorbild für die europäische Datenschutz-Grundverordnung. Darüber hinaus führt die DSGVO aber auch einige Neuerungen ein, die noch über die Vorgaben des ohnehin schon strengen BDSG hinausgehen. Dazu zählen etwa eine erweiterte Definition für „personenbezogene Daten“ und das künftig im Gesetz verankerte „Recht auf Vergessenwerden“. Auf diese und weitere Punkte werden wir im dritten Teil unserer Blogserie genauer eingehen.
Alle Artikel unserer Blogserie zur Datenschutz-Grundverordnung im Überblick:
