Was Website-Betreiber über die DSGVO wissen müssen

Eine Datenschutzerklärung brauchen nur Unternehmen? Von wegen! Jeder Betreiber einer Webseite, die personenbezogene Daten erhebt, benötigt eine Datenschutzerklärung. Unter personenbezogenen Daten versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das können der Vor- und Nachname, der Geburtstag, die private Anschrift oder eine Nummer im Personalausweis, aber auch Standortdaten (z.B. die Standortfunktion bei Mobiltelefonen), eine IP-Adresse oder eine Cookie-Datei sein. Der Begriff der Erhebung wird in der DSGVO nicht definiert. Nach allgemeiner Ansicht ist ein aktives Handeln erforderlich; das geschieht jedoch häufig unbewusst. Wer zum Beispiel Kontaktformulare, Werbebanner oder Social Media Plugins einsetzt, Analysetools wie Google Analytics, Adobe Analytics oder Econda nutzt oder externe Dienste wie Google Maps oder YouTube einbindet, erhebt personenbezogene Daten und muss daher die Regelungen der DSGVO beachten. Da der Begriff der Erhebung personenbezogenen Daten damit insgesamt weit gefasst ist, gibt es praktisch keine Website mehr, die ohne Datenschutzerklärung auskommt.

Es kommt für die Frage der Anwendung der DSGVO nicht darauf an, ob eine Website privat oder geschäftlich betrieben wird. Maßgeblich ist, ob personenbezogen Daten erhoben werden. Die Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person ergibt sich dabei aus Artikel 13 und 14 der DSGVO. Artikel 13 DSGVO gilt, wenn der Verantwortliche selbst personenbezogene Daten bei der betroffenen Person erhebt (Direkterhebung). Art. Artikel 14 DSGVO gilt für personenbezogene Daten, die der Verantwortliche nicht bei der betroffenen Person erhebt, sondern von einem Dritten erhält (Dritterhebung). Keine der beiden Regelungen setzt voraus, dass eine Website geschäftlich betrieben wird. Nur wer gar keine personenbezogenen Daten erhebt, benötigt keine Datenschutzerklärung. Doch Vorsicht: Auch wenn Sie selbst auf Ihrer Seite keine personenbezogen Daten Ihrer Nutzer abfragen und erfassen, werden sie häufig – wie zum Beispiel IP-Adressen – durch Ihren Hoster erhoben; auch dann ist die DSGVO zu beachten.

Welchen Zweck die Datenschutzerklärung verfolgt, ist gesetzlich geregelt. Artikel 5 DSGVO schreibt vor, dass personenbezogene Daten in nachvollziehbaren Weise verarbeitet werden müssen. Dies entspricht der Vorgabe von Artikel 8 Abs. 2 Satz 1 der Grundrechtecharta der EU (GRC), wonach personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf Basis sonstiger gesetzlich geregelter legitimer Grundlagen verarbeitet werden dürfen. Jede betroffene Person muss sich also ein Bild von der Rechtmäßigkeit der Verarbeitung ihrer Daten machen können. Das soll verhindern, dass heimlich massenhaft Daten erhoben und missbraucht werden können. Über eine Datenschutzerklärung informieren Sie also, welche Daten erhoben werden, welche Zwecke damit verfolgt werden und wie man Daten aktualisieren, verwalten oder löschen kann.

Welchen Inhalt eine Datenschutzerklärung haben muss, ist ebenfalls gesetzlich geregelt. Gemäß Artikel 13 DSGVO gehören dazu:

• der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters: anzugeben ist der Name, die Postanschrift, die Telefonnummer sowie die E-Mail-Adresse
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten: anzugeben sind die Kontaktdaten wie Postanschrift, Telefonnummer und E-Mail-Adresse, unter denen der Datenschutzbeauftragte unmittelbar zu erreichen ist
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung: die betroffene Person muss sich ein Bild machen können, weshalb und wofür ihre Daten verarbeitet werden. Die Rechtsgrundlage für die beabsichtigte Verarbeitung personenbezogener Daten ergibt sich in aller Regel aus einer der Vorschriften in Artikel 6 DSGVO und ist konkret anzugeben.
• gegebenenfalls die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
• gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• die Angabe der Betroffenenrechte nach den Art. 15 ff. DSGVO
• die Angabe, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte
• und gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling

Leider gibt es kein allgemeines Muster einer Datenschutzerklärung, auf das man pauschal zurückgreifen kann, da jede Website individuell gestaltet ist und unterschiedliche Funktionen aufweist. In der Praxis gibt es jedoch viele Formulierungshilfen. Kleinere Unternehmen können Datenschutzinformationen zum Beispiel mit Hilfe des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg erstellen.

Vereine erhalten Hilfe von der im Jahr 2013 von der Bundesregierung gegründeten Stiftung Datenschutz. Auf deren Website findet man einen Generator für Datenschutzhinweise.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit informiert zusätzlich über typische Fehler bei Datenschutzerklärungen.

Weitere Vorgaben zu den Informationen der Datenschutzerklärung ergeben sich aus Artikel 12 DSGVO. Danach muss der Verantwortliche alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. Das gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen hat schriftlich oder in anderer Form zu erfolgen; auch die elektronische Übermittlung ist zulässig. Daher ist auch das Bereitstellen von Informationen auf der Internetseite möglich. Die Datenschutzerklärung auf einer Website sollte deshalb leicht aufzufinden und klar als solche erkennbar sein. Die Informationspflicht nach Artikel 13 DSGVO besteht zudem „zum Zeitpunkt der Erhebung“. Die Informationen sind also im unmittelbaren zeitlichen Zusammenhang mit dem Beginn der Datenerhebung bereitzustellen. Am besten setzt man einen eigenen, direkten Link mit der Bezeichnung Datenschutzerklärung, der leicht aufzufinden und von jeder Seite der Website erreichbar ist.

Die Datenschutzerklärung sollte auf einer Website dargestellt werden, ohne übermäßiges Scrollen des Bildschirms zu erfordern; auch mühsames „Durchklicken“ zu den Informationen sollte man vermeiden. Der Link zum Öffnen der Datenschutzklärung darf dabei nicht durch Banner, wie zum Beispiel den Cookie- oder Werbebanner, verdeckt oder versteckt sein. Richtet sich eine Website an ausländische Nutzer, ist die Datenschutzerklärung auch in weiteren Sprachen zur Verfügung zu stellen. Die Datenschutzerklärung ist übrigens kein Pflichtbestandteil der „Allgemeine Informationspflichten“ aus Artikel 5 Telemediengesetz (TMG), besser bekannt als „Impressumspflicht“.

Wer keine Datenschutzerklärung bereithält oder eine fehlerhafte Datenschutzerklärung einsetzt, geht ein erhebliches Risiko ein. Bei Verstößen drohen Geldbußen von bis zu EUR 20.000.000 oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Außerdem kann ein Verstoß kostenpflichtig abgemahnt werden.

Nicht jeder, der eine Website betreibt, benötigt einen Datenschutzbeauftragten. Wer keine Behörde oder öffentlichen Stelle ist oder Tätigkeiten ausübt, die aus Datenverarbeitungsvorgängen bestehen, welche eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen ermöglichen (wie etwa Markt- oder Meinungsforschungsunternehmen), benötigt in aller Regel keinen Datenschutzbeauftragten. Nichtöffentliche Stellen, also natürliche Personen wie zum Beispiel Selbständige, freie Unternehmer, Handwerker oder Kaufleute und juristische Personen wie eine GmbH, eine GmbH & Co. KG, eine AG, ein Verein oder ein Verband, haben nach Artikel 38 BDSG erst dann einen Datenschutzbeauftragten zu ernennen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Eine freiwillige Benennung eines Datenschutzbeauftragten ist immer möglich.

Das Fachwissen, über das ein Datenschutzbeauftragter verfügen muss, ist staatlich nicht vorgegeben. Es gibt also keine Pflichtprüfung für Datenschutzbeauftragte. Das Wissen orientiert sich am Umfang der Datenverarbeitungsvorgänge und dem Schutzbedarf der personenbezogenen Daten. Je mehr Daten von der verantwortlichen Stelle verarbeitet werden und je sensibler die Daten sind, desto höhere Anforderungen sind an die Qualifikation zu stellen. In jedem Fall sollte der Datenschutzbeauftragte über Grundkenntnisse zum verfassungsrechtlich garantierten informationellen Selbstbestimmungsrecht sowie umfassende Kenntnisse der einschlägigen Regelungen der DSGVO, des Bundesdatenschutzgesetzes und anderer datenschutzrechtlicher Bestimmungen verfügen.

Der Düsseldorfer Kreis, der (frühere) Zusammenschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat im November 2010 Mindestanforderungen an Fachkunde und Unabhängigkeit der betrieblichen Beauftragten für den Datenschutz aufgestellt, die grundsätzlich auch unter Geltung der DSGVO und des BDSG bis auf weiteres noch sinngemäß herangezogen werden können.

Wer Dienste wie Google Maps oder YouTube auf seiner Website eingebunden hat, muss besonders sorgfältig arbeiten. Da beim Aktivieren dieser Tools eine Verbindung zu den Servern der jeweiligen Drittanbieter hergestellt wird, führen solche Dienste oft zu einer Übermittlung personenbezogener Daten in sogenannte Drittländer, also Länder außerhalb der EU. Damit können Nutzerprofile erstellt werden, um beispielsweise personalisierte Werbung einzuspielen. In solchen Fällen sind die an Drittlandübermittlungen geltenden Anforderungen einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems II“ zu erfüllen. Dazu gehört, dass die Dienste erst dann geladen werden, wenn sie der Nutzer aktiv in Anspruch nimmt, zum Beispiel durch einen gesonderten Klick. Starten die Dienste automatisch, kann der Nutzer eine Datenverarbeitung durch den externen Anbieter nicht verhindern; das ist unzulässig. Außerdem sind die Dienste Dritter im Rahmen der Datenschutzerklärung der Webseite zu berücksichtigen.

Definition: Unter dem Double-Opt-In-Verfahren wird die Einholung der Zustimmungserklärung des Empfängers in einem zweistufigen System verstanden. Im ersten Schritt wird eine Nachricht an die vom Empfänger angegebene E-Mail-Adresse versandt und mitgeteilt, dass für diese Adresse eine Anmeldung erfolgen soll. Erst wenn der Empfänger dann in einem zweiten Schritt die Anmeldung zum Beispiel durch Anklicken eines Links bestätigt, erhält er die gewünschten Informationen. Mit der Übersendung einer Bestätigungs-E-Mail kann der Nachweis der Einwilligung geführt werden.

Definition: Unter dem Double-Opt-In-Verfahren wird die Einholung der Zustimmungserklärung des Empfängers in einem zweistufigen System verstanden. Im ersten Schritt wird eine Nachricht an die vom Empfänger angegebene E-Mail-Adresse versandt und mitgeteilt, dass für diese Adresse eine Anmeldung erfolgen soll. Erst wenn der Empfänger dann in einem zweiten Schritt die Anmeldung zum Beispiel durch Anklicken eines Links bestätigt, erhält er die gewünschten Informationen. Mit der Übersendung einer Bestätigungs-E-Mail kann der Nachweis der Einwilligung geführt werden.
Wer mit seinen Kunden kommunizieren und unerwünschte Werbung vermeiden möchte, muss darauf achten, dass Nachrichten nicht ohne Einverständnis des Empfängers verschickt werden. Verwendet zum Beispiel ein Unternehmer für Werbemitteilungen Adressdaten, für die ein Einverständnis der Nutzer nicht oder nicht ausreichend dokumentiert ist, hat er die sich daraus ergebenden rechtlichen Folgen zu tragen. Auch hier droht eine kostenpflichtige, oft teure Abmahnung oder sogar eine Unterlassungsklage.

Die Praxis behilft sich dabei häufig mit der Implementierung eines Double-Opt-In-Verfahrens, um datenschutzrechtlich sicher eine Einwilligung des Empfängers zu erlangen. Das Double-Opt-In-Verfahren trägt damit Artikel 32 DSGVO Rechnung und gilt inzwischen als verpflichtende Datensicherheitsmaßahme zur Gewährleistung einer datenschutzkonformen Datenverarbeitung.

Wer die Aktivitäten der Nutzer auf einer Website nachverfolgen möchte, kann Tracking-Dienste einsetzen. Dafür gibt es oft gute Gründe; man kann zum Beispiel herausfinden, wie lange sich ein Nutzer auf der Website aufgehalten hat, aus welchem Land er kommt und welche Teile besonders interessant für ihn waren. Dadurch lässt sich nicht nur die Bedienbarkeit einer Website verbessern, sondern auch das eigene Waren- und Dienstleistungsangebot optimieren.

Häufig werden dazu sogenannte Cookies eingesetzt. Cookies sind kleine Textdateien, die beim Aufruf einer Internetseite erzeugt werden können. Dabei wird der Browser aufgefordert, diese Textdatei mit Informationen auf dem Endgerät des Nutzers zu speichern. Ruft der Nutzer später diese Website erneut auf, kann er anhand des Cookies wiedererkannt werden. In die Speicherung von technisch nicht-notwendigen Cookies muss der Nutzer einwilligen, wobei die Einwilligung die Anforderungen der DSGVO erfüllen muss. Wer mehr über Cookies wissen will und wie man sie rechtlich sicher einsetzt, findet in der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021, die von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder herausgegeben wird, weitere Informationen.

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten von EU-Bürgern stärkt und harmonisiert. Sie gilt seit dem 25. Mai 2018 und betrifft alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, wo sich das Unternehmen selbst befindet.

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das können zum Beispiel der Name, die Adresse, die E-Mail-Adresse, das Geburtsdatum, aber auch die IP-Adresse oder Informationen über das Nutzerverhalten im Internet sein.

Ein zentraler Bestandteil der DSGVO ist das Recht der betroffenen Personen auf Information über die Verarbeitung ihrer Daten, auf Zugang zu ihren Daten, auf Berichtigung und Löschung ihrer Daten, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit und auf Widerspruch gegen die Datenverarbeitung.

Für uns alle kann es schwerwiegende Folgen haben, wenn sensible Bankinformationen veröffentlicht oder intime Details aus E-Mail- und WhatsApp-Chatverläufen oder der eigenen Krankheitsgeschichte für jedermann öffentlich zugänglich werden. Der technische Fortschritt macht es möglich, dass Behörden und private Unternehmen in einem noch nie dagewesenen Umfang auf solche Daten zurückgreifen und erlaubt es, umfassende Nutzerprofile zu erstellen. Daher gelten Daten auch als das Gold des 21. Jahrhunderts. Doch irgendwann wissen die Bürger nicht mehr, wer was wann und bei welcher Gelegenheit über sie erfahren hat, oder möchten Falschinformationen korrigieren. Der Datenschutz will daher sicherstellen, dass wir vor einem Missbrauch unserer Daten geschützt sind.

Ziel der Datenschutz-Grundverordnung (DSGVO oder DS-GVO) ist es, das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten in allen Mitgliedsstaaten der EU zu harmonisieren, also in Europa einen einheitlichen Rechtsrahmen zum Schutz der Menschen in der digitalen Welt zu schaffen. Die DSGVO ist dabei kein klassisches Gesetz, sondern eine Verordnung der Europäischen Union mit allgemeiner Gültigkeit und unmittelbarer Wirksamkeit in allen EU-Mitgliedstaaten. Sie muss als Unionsrecht nicht erst in nationales Recht umgewandelt werden, sondern hat Anwendungsvorrang. Den EU-Mitgliedsstaaten ist es verwehrt, abweichende Vorschriften zu erlassen. Ist also die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu beurteilen, muss der erste Blick immer in die DSGVO selbst gehen, da deren Regelungen unmittelbar anzuwenden sind. Das Recht auf Schutz der personenbezogenen Daten ist allerdings kein absolutes, uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.

Datenschutz ist nicht neu. Bereits im Jahr 1983 hat das Bundesverfassungsgericht in seinem wegweisenden Volkszählungsurteil das Grundrecht auf informationelle Selbstbestimmung als Ausfluss des allgemeinen Persönlichkeitsrechts und der Menschenwürde geprägt. Das Grundrecht auf informationelle Selbstbestimmung gewährleistet die Befugnis jedes Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Denn wer unsicher ist, ob ein bestimmtes Verhalten jederzeit erfasst und als Information dauerhaft gespeichert, verwendet oder weitergegeben wird, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Die freie Entfaltung der Persönlichkeit setzt deshalb unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist daher ein seit Jahrzehnten anerkanntes Grundrecht. Das Recht auf den Schutz personenbezogener Daten ist aber nicht nur ein deutsches, sondern auch ein europäisches Grundrecht. Es wurde in Artikel 8 der Charta der Grundrechte der Europäischen Union sowie in Artikel 16 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) aufgenommen. Auf europäischer Ebene galt vor Anwendung der DSGVO bereits die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutzrichtlinie), die im Jahr 1995 erlassen wurde.

Die DSGVO macht nicht alles neu, sondern führt die Grundsätze für die Datenverarbeitung aus der EG-Datenschutzrichtlinie fort. Viele Bereiche des Datenschutzes werden durch die DSGVO also nicht neu geregelt. Allerdings ergänzt und erweitert die DSGVO die bisherigen Regelungen. So werden die Rechte der betroffenen Personen gestärkt, beispielsweise durch erhöhte Anforderungen an die Transparenz und umfangreiche Informations- und Benachrichtigungspflichten. Zu den wichtigsten Änderungen zählt, dass für die effektive Durchsetzung des Datenschutzrechts weitaus höhere Bußgelder als bisher verhängt werden können. Bei schweren Verstößen können die Datenschutzbehörden Bußgelder in Höhe von bis zu 20 Millionen Euro verhängen oder aber vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens – je nachdem, welcher Betrag höher ausfällt. Bei großen Unternehmen kann das in die Milliarden gehen. Zum Vergleich: das deutsche Bundesdatenschutzgesetz hat in seiner bisherigen Fassung ein Bußgeld von höchstens 300.000 Euro vorgesehen. Die DSGVO gibt den nationalen Datenschutzbehörden damit ein scharfes Schwert zur Hand, von dem sie auch schon Gebrauch gemacht haben: Die irische Datenschutzbehörde DPC hat mit 1,2 Milliarden Euro die bislang höchste Strafe für einen Verstoß gegen die DSGVO verhängt; zahlen soll das der Internetkonzern Meta, der unter anderem die Plattformen Instagram, WhatsApp und Facebook betreibt und personenbezogene Daten von Facebook-Nutzern rechtswidrig in die USA übermittelt haben soll. Insgesamt beläuft sich das Volumen der zehn höchsten DSGVO-Bußgelder auf rund 3,4 Milliarden Euro.

Die DSGVO gilt grundsätzlich für jegliche Verarbeitung personenbezogener Daten. Sowohl öffentliche Stellen (also zum Beispiel Behörden oder Gerichte, aber auch die Agenturen für Arbeit oder die Deutsche Rentenversicherung) als auch nicht-öffentliche Stellen (wie natürliche und juristische Personen, Unternehmen, Gesellschaften und andere Personenvereinigungen des Privatrechts) haben die Anforderungen der DSGVO zu beachten, wenn sie Informationen über eine identifizierte oder identifizierbare natürliche Person verarbeiten. Die DSGVO gilt dabei nicht nur für die in der EU niedergelassenen Unternehmen. Es reicht, dass sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient. Der Anwendungsbereich der DSGVO erstreckt sich damit auch auf außereuropäische, in einem Drittland ansässige Unternehmen, wenn sie auf dem europäischen Markt tätig sind. Dieses „Marktortprinzip“, das vor allem die großen Konzerne wie Google, Facebook/Meta und Apple erfassen will, sorgt für gleiche Wettbewerbsbedingungen für alle Unternehmen, die Waren und Dienstleistungen auf dem europäischen Markt anbieten.

Es ist ein weit verbreiteter Irrtum, dass die DSGVO nur für Behörden, Unternehmen oder Organisationen gilt. Die DSGVO kennt nur einige wenige Ausnahmen, zum Beispiel wenn es um die Ermittlung, Aufdeckung oder Verfolgung von Straftaten geht. Die in der Praxis wichtigste Ausnahme regelt das sogenannte Haushaltsprivileg in Art. 2 Abs. 2 DSGVO, auch als „Haushaltsausnahme“ bezeichnet. Danach gilt die DSGVO nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. So dürfen Eltern ihr Kind zu privaten Zwecken auf einer Schulveranstaltung fotografieren; das Führen eines privaten Adressbuchs – auch in elektronischer Form – fällt ebenfalls nicht unter die DSGVO. Diese Ausnahmen sind aber eng zu verstehen. Die Nutzung sozialer Netze fällt zum Beispiel nur unter die Haushaltsausnahme, wenn diese auf einen bestimmten, geschlossenen Benutzerkreis eingeschränkt wird. Werden also auf einer privaten Facebook-Seite einer überschaubaren Anzahl von Freunden Fotos und Videos zugänglich gemacht, greift das Haushaltsprivileg; der gleiche Inhalt auf öffentlich zugänglichen Accounts fällt hingegen nicht mehr darunter.

Die DSGVO legt bestimmte Prinzipien fest, die bei der Verarbeitung personenbezogener Daten beachtet werden müssen. Dazu gehören unter anderem:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Die Datenverarbeitung muss rechtmäßig sein und in einer für die betroffene Person nachvollziehbaren Weise erfolgen.
• Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.
• Datenminimierung: Es dürfen nur so viele Daten erhoben werden, wie für den angegebenen Zweck notwendig sind.
• Richtigkeit: Die Daten müssen genau und auf dem neuesten Stand sein.
• Speicherbegrenzung: Die Daten dürfen nicht länger aufbewahrt werden, als es für den Zweck der Verarbeitung notwendig ist.
• Integrität und Vertraulichkeit: Die Daten müssen sicher aufbewahrt werden, um unbefugten oder unrechtmäßigen Zugriff und Verlust oder Beschädigung der Daten zu verhindern.

Eine zentrale Norm der DSGVO ist Artikel 5, der die Grundsätze für die Verarbeitung personenbezogener Daten aufstellt. Dazu gehören:

– Rechtmäßigkeit, Verarbeitung nach Treu und Glauben: Eine Verarbeitung personenbezogener Daten hat auf rechtmäßige Weise und nach Treu und Glauben zu erfolgen. Das setzt voraus, dass für die Verarbeitung solcher Daten eine Rechtsgrundlage vorliegt, also entweder eine gesetzliche Regelung oder eine Einwilligung der betroffenen Person. Das nennt man „Verbot mit Erlaubnisvorbehalt“.

– Transparenz: Nach Artikel 13 und 14 DSGVO muss jeder betroffenen Person bei einer Datenerhebung in einer Datenschutzerklärung Auskunft unter anderem über den Zweck, den Empfänger und die Verantwortlichen der Datenverarbeitung, die Dauer der Datenspeicherung, die Rechte zur Berichtigung sowie das Sperren und Löschen und Verwendung der Daten für Profiling-Zwecke erteilt werden. Betroffene Personen sollen also wissen, zu welchen Zwecken und in welchem Umfang ihre Daten verarbeitet und an wen sie übermittelt werden und welche Risiken mit der Verarbeitung verbunden sind. Nur so können sie ihr Recht auf informelle Selbstbestimmung wahrnehmen. Ergänzend steht ihnen nach Artikel 15 DSGVO ein Auskunftsrecht über jene personenbezogenen Daten ein, die Gegenstand der Verarbeitung sind.

– Zweckbindung: Personenbezogene Daten dürfen nur für im Voraus festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Wer personenbezogene Daten verarbeitet, muss sich also fragen, wie viele Daten dürfen erhoben werden und wofür diese erhoben werden. Das soll verhindern, dass möglichst viele Daten wahllos gesammelt werden, denn das ist nach den Grundsätzen des Datenschutzes verboten.

– Datenminimierung: Die Verarbeitung personenbezogener Daten muss dem Zweck angemessen sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein. Es dürfen also nicht mehr Daten erhoben werden als unbedingt notwendig.

– Richtigkeit: Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen.

– Speicherbegrenzung: Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Wer personenbezogene Daten verarbeitet, muss daher konkrete Lösch- und Speicherkonzepte erstellen.– Integrität und Vertraulichkeit: Wer personenbezogene Daten verarbeitet, hat technische und organisatorische Maßnahmen zu treffen, um einen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung oder dem unbeabsichtigten Verlust der Daten zu gewährleisten. Man muss also aktiv verhindern, dass es zu Datenlecks kommt oder sonst Dritte unbefugt Zugriff auf personenbezogene Daten erhalten.

Ein zentraler Begriff der DSGVO sind die personenbezogenen Daten. Darunter versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Das können der Vor- und Nachname, der Geburtstag, die private Anschrift oder eine Nummer im Personalausweis, aber auch Standortdaten (z. B. die Standortfunktion bei Mobiltelefonen), eine IP-Adresse oder eine Cookie-Kennung sein. Wie bereits nach altem Recht bedarf auch im Anwendungsbereich der DSGVO jegliche Verarbeitung solcher personenbezogenen Daten einer Rechtsgrundlage, sei es durch eine gesetzliche Regelung oder durch eine Einwilligung der einzelnen Person. Eine Verarbeitung personenbezogener Daten ist demnach nur rechtmäßig

– mit der Einwilligung der betroffenen Person oder wenn die Verarbeitung erforderlich ist

– für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen,

– zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person,

– zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen,

– zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen

– oder für die Wahrnehmung einer im öffentlichen Interesse liegenden oder in Ausübung hoheitlicher Gewalt erfolgenden Aufgabe des Verantwortlichen.

Anders als man nach dieser Aufzählung denken könnte, gilt die Einwilligung der betroffenen Person als der schwierigste Grund, um personenbezogene Daten verarbeiten zu dürfen. Damit die Einwilligung als Rechtsgrundlage herangezogen werden kann, muss die betroffene Person nämlich hinreichend bestimmt und transparent über die konkrete Tragweite ihrer Entscheidung aufgeklärt werden. Die einzelnen Verwendungszwecke sind deshalb ausdrücklich festzulegen und in Textform zu bezeichnen und aufzulisten. Schließlich ist ganz explizit auf die Freiwilligkeit der Erteilung der Einwilligung und die Sanktionslosigkeit bei ihrer Verweigerung hinzuweisen sowie auf die jederzeitige Möglichkeit des Widerrufs und dessen Folgen. Von einer Generaleinwilligung in die Datenverarbeitung ist daher abzuraten. Sinnvoller ist es, zu prüfen, ob die Verarbeitung personenbezogener Daten durch eine der gesetzlichen Regelungen gedeckt ist.

Das Recht auf Vergessenwerden, manchmal auch verkürzt und unrichtig als „Recht auf Vergessen“ bezeichnet, ist in Artikel 17 DSGVO geregelt und wird dort als Recht auf Löschung bezeichnet. Mit diesem Recht, das vor allem bei Suchmaschinen wie Google oder Bing eine große Rolle spielt, kann eine betroffene Person die restlose Entfernung ihrer personenbezogenen Daten von einem für deren Verarbeitung Verantwortlichen verlangen. Allerdings besteht dieses Recht nicht uneingeschränkt, sondern nur unter bestimmten, engen und in der DSGVO genannten Voraussetzungen. Von dem Recht auf Löschung gibt es außerdem auch Ausnahmen. Dazu gehört zum Beispiel, wenn Daten zur Ausübung des Rechts auf freie Meinungsäußerung in einem sozialen Netzwerk verwendet werden, die Verarbeitung der Geltendmachung anderer Rechtsansprüche dient oder Informationen zu Forschungszwecken benötigt werden. In diesem Fall muss die Löschung nicht erfolgen, auch wenn die betroffene Person einen Grund angeben kann. Zusätzlich gibt es noch einige wenige Ausnahmen von der Löschpflicht, die das Bundesdatenschutzgesetz (BDSG) regelt.

Öffentliche Stellen, aber auch private Unternehmen, setzen in vielen Fällen Dritte ein, die ihnen bei der Erfüllung ihrer Aufgaben behilflich sind. Sofern die Dritten dabei mit personenbezogenen Daten umgehen, handelt es sich häufig um eine sogenannte Auftragsverarbeitung. Typische Beispiele einer Auftragsverarbeitung sind das Erstellen von Lohn- und Gehaltsabrechnungen, Hosting, Cloud-Computing oder die Entsorgung von Datenträgern. Wenn Sie bei uns eine Domain kaufen, können Sie einen Auftragsverarbeitungs-Vertrag (AVV) abschließen.

Eine solche Auftragsverarbeitung ist nach Artikel 28 DSGVO grundsätzlich zulässig; der Auftragsverarbeiter muss aber garantieren, dass technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Außerdem ist auch der Auftragsverarbeiter Adressat der Normen der DSGVO; bei Verstößen macht er sich also unter Umständen schadensersatzpflichtig oder muss mit der Verhängung eines Bußgeldes rechnen.

Wenn es zu einem Verstoß gegen das Datenschutzrecht gekommen ist, bleibt das nicht ohne Folgen. Die DSGVO stellt den Aufsichtsbehörden starke und wirksame Instrumente zur Durchsetzung des Datenschutzrechts zur Verfügung. Sie können zum Beispiel auf verwaltungsrechtlichem Wege Warnungen, Verwarnungen, Anordnungen und Untersagungen aussprechen. 

Außerdem können die Aufsichtsbehörden für nahezu alle Verstöße gegen die DSGVO empfindliche Geldbußen verhängen. Wer also der Ansicht ist, dass bei der Verarbeitung personenbezogener Daten gegen die DSGVO verstoßen wurde, hat das Recht, eine Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde einzureichen. Innerhalb Deutschlands gibt es dabei mehrere Datenschutzbehörden mit unterschiedlichen Zuständigkeiten, nämlich den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), die jeweilige Landesdatenschutzbehörde und die spezifischen Datenaufsichtsbehörden. Wer sich unsicher ist, welche Datenschutzbehörde zuständig ist, sollte sich in aller Regel an die jeweilige Landesdatenschutzbehörde wenden.