Datenschutz

Was ist Datenschutz?

Beim Datenschutz geht es nicht nur darum Daten als solche zu schützen, sondern die Grundrechte von individuellen Menschen.

In zahlreichen Lebensbereichen können Leistungen nur in Anspruch genommen werden, wenn die betroffene Person Informationen über sich Preis gibt. Jeder Schritt in der digitalen Welt hinterlässt Datenspuren. Smartphones – als heute ständige Begleiter – können zudem Bewegungsprofile erstellen oder ersetzen Bargeld. Wirtschaft und Verwaltung liegen daher eine Vielzahl personenbezogener Daten über alle Bürger*innen vor. In einigen Wirtschaftsbereichen sind Daten zu einer käuflichen Ware geworden.

Der rasante Fortschritt im Bereich der Informations- und Kommunikationstechnologien ermöglicht, die immer größer werdenden Datenbestände automatisiert zu verarbeiten, miteinander zu verknüpfen und ungeachtet von Grenzen einzelner Länder und Kontinente zu verschieben. Selbstlernende Systeme, die massenhaft Daten verarbeiten und automatisiert Einzelentscheidungen treffen, versprechen eine neue Wertschöpfung. Diese Entwicklung birgt Gefahren für die Persönlichkeitsentwicklung und Persönlichkeitsentfaltung. Dem Individuum ist es nicht mehr möglich, ein Bild von sich selbst für seine Umwelt zu entwerfen, wenn es nicht durchschauen kann, was andere Menschen oder Computersysteme bereits über seine Person wissen.

Das Bundesverfassungsgericht hat bereits 1983 im sogenannten Volkszählungsurteil festgestellt, dass das Persönlichkeitsrecht des Menschen die Befugnis umfasst, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Diese verfassungsrechtlich garantierte Befugnis wird als Grundrecht auf informationelle Selbstbestimmung bezeichnet. Informationelle Selbstbestimmung bedeutet, dass jede*r Einzelne die Möglichkeit haben soll, selbst darüber zu bestimmen, wer wann welche Information über sie oder ihn erhält. Der Schutz personenbezogener Daten ist auch in Artikel 8 der EU-Grundrechtecharta und in Artikel 4 der Landesverfassung NRW festgeschrieben.

Einerseits können Sie selbst Ihr Grundrecht aktiv wahrnehmen. Dazu können Sie zum Beispiel von Unternehmen oder Behörden eine Auskunft darüber verlangen, welche Daten dort über Sie verarbeitet werden. Daraus ergibt sich möglicherweise, dass Daten zum Beispiel gelöscht oder berichtigt werden müssen. Auch dafür können Sie Ihre Rechte wahrnehmen.

Andererseits geben die datenschutzrechtlichen Vorschriften vor, ob und wie personenbezogene Daten verarbeitet werden dürfen.

Die LDI wacht über die Einhaltung dieser Vorschriften und Ihrer Rechte.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Nr. 1 Datenschutz-Grundverordnung). Zwischen einer Information auf der einen und einer Person auf der anderen Seite muss also eine Verbindung herstellbar sein, unmittelbar oder mittelbar. Eine unmittelbare Verbindung ist beispielsweise mit dem Namen, der Anschrift oder dem Geburtsdatum gegeben. Eine mittelbare Verbindung erfolgt etwa mittels Zusatzwissen, beispielsweise bei Telefon-, Matrikel- und Sozialversicherungsnummern oder Online-Kennungen wie IP-Adressen und Cookie-Kennungen. Ausreichend ist dabei, wenn die Information die Identifizierung der betroffenen Person theoretisch ermöglicht, es kommt also nicht darauf an, ob die Person tatsächlich identifiziert wird.

Die Informationen müssen sich auf einen lebenden Menschen beziehen. Einzelangaben über juristische Personen, wie Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen.

Besondere Kategorien personenbezogener Daten werden nach Artikel 9 DS-GVO besonders geschützt. Das sind zum Beispiel Gesundheitsdaten, Daten über die ethnische Herkunft sowie religiöse oder weltanschauliche Überzeugungen.

Unter welchen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden?

Zulässig ist eine Datenverarbeitung nicht etwa immer schon dann, wenn sie nicht ausdrücklich verboten ist. Vielmehr bedarf umgekehrt jede Datenverarbeitung einer Rechtsgrundlage – so genanntes datenschutzrechtliches Verbot mit Erlaubnisvorbehalt. Außerdem müssen weitergehende Anforderungen erfüllt sein.

Für Datenverarbeitungen, die in den Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO) fallen, muss es (mindestens) eine der folgenden Rechtsgrundlagen nach Artikel 6 DS-GVO geben:

die betroffene Person hat eingewilligt oder
eine sonstige Rechtsgrundlage liegt vor, die sich aus der DS-GVO, aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedsstaaten ergeben kann.

Im nicht-öffentlichen Bereich geht es dabei oft um die Datenverarbeitung zur Durchführung von Verträgen nach Artikel 6 Abs. 1 Buchstabe b) DS-GVO. Eine wichtige Rolle spielt hier auch Artikel 6 Abs. 1 Buchstabe f) DS-GVO. Danach ist eine Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Für den öffentlichen Bereich werden die Rechtsgrundlagen meist durch das nationale Recht festgelegt (Artikel 6 Absatz 1 Buchstaben c und e in Verbindung mit Absatz 3 DS-GVO): Der nationale Gesetzgeber ist hier gefragt, die einzelnen Voraussetzungen verbindlich zu regeln (insbesondere Zweck, welche Art von Daten und welche allgemeinen Bedingungen). In Deutschland dienen dazu verschiedene bereichsspezifische Bundes- und Landesgesetze und der erste und zweite Teil des Datenschutzgesetzes NRW (DSG NRW). Für Behörden, die im Rahmen ihrer Zuständigkeit Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten oder der Strafvollstreckung verarbeiten, gilt allerdings nicht die Datenschutzgrundverordnung, sondern die Datenschutz-Richtlinie für den Innen- und Justizbereich (EU) 2016/680. Als Richtlinie war diese umsetzungsbedürftig. Die Umsetzung ist in bereichsspezifischen Regelungen wie dem Polizeigesetz NRW oder der Strafprozessordnung erfolgt. Ergänzend finden entweder der dritte Teil des DSG NRW oder des Bundesdatenschutzgesetzes (Strafverfolgung) Anwendung.

Wenn besondere Kategorien von personenbezogenen Daten verarbeitet werden, kommen die Voraussetzungen des Artikel 9 DS-GVO hinzu. Besonders geschützt werden damit etwa Gesundheitsdaten, Daten über die ethnische Herkunft sowie religiöse oder weltanschauliche Überzeugungen.

Datenverarbeitungen müssen die Grundsätze des Artikel 5 DS-GVO erfüllen; das heißt, sie müssen auf eine Weise verarbeitet werden, die unter anderem den Grundsätzen der Fairness (Treu und Glauben), der Transparenz, der Zweckbindung, der Richtigkeit, der Datenminimierung, der Integrität und der Vertraulichkeit (Datensicherheit) entspricht.

Kirchen oder religiöse Vereinigungen und Gemeinschaften dürfen unter bestimmten Voraussetzungen eigene Datenschutzregeln anwenden und sind dann nicht an andere datenschutzrechtliche Vorgaben gebunden (Artikel 91 DS-GVO).

Müssen Privatpersonen das Datenschutzrecht beachten?

Grundsätzlich müssen auch Privatpersonen, die personenbezogene Daten erheben, verarbeiten oder nutzen die Datenschutzgrundverordnung beachten. Eine Ausnahme besteht, soweit eine Datenverarbeitung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt (Artikel 2 Absatz 2 Buchstabe c) Datenschutz-Grundverordnung). Ein typisches Beispiel hierfür sind Datenverarbeitungen im Zusammenhang mit Freizeitaktivitäten oder Familienfeiern. Diese Ausnahme greift aber nicht, sobald ein Bezug zu einer beruflichen bzw. wirtschaftlichen Tätigkeit vorliegt oder wenn personenbezogene Daten im Internet veröffentlicht werden.

panthermedia / YAYMicro

Internationaler Datenverkehr

In einer Welt der unbegrenzten Datenverarbeitungsmöglichkeiten garantiert die Europäische Union mit der Datenschutz-Grundverordnung den Schutz der Grundrechte und Grundfreiheiten bei der Verarbeitung personenbezogener Daten.

Stockfoto - Draufsicht auf Geschäftsleute bei Treffen über soziale Medien auf Smartphones auf hölzerner Tischplatte

Bildagentur PantherMedia / AllaSerebrina

Medien und Technik

Von der eigenen Webseite bis zum Betrieb komplexer Systeme von Unternehmen – wo Daten verarbeitet werden, gelten Regeln. Die LDI NRW gibt praktische Hilfestellung, zum Beispiel mit dem Standard-Datenschutzmodell oder einem Muster für Datenschutzhinweise.

LDI NRW

Videoüberwachung

Man sieht sie immer häufiger: Videokameras, die an öffentlichen Plätzen, an Schulgebäuden, vor Hauseingängen oder im Garten installiert sind. Sie sollen meistens für Sicherheit sorgen, können aber einen unverhältnismäßigen Eingriff in die Grundrechte darstellen. Deshalb sind sie nicht immer und überall erlaubt.

Multicultural Business People Collage. Different Faces

PantherMedia / AndreyPopov

Personalwesen

Personalverwaltung bedeutet per se: Umgang mit personenbezogenen Daten. Kompliziert wird es, wenn Personaldaten zum Beispiel innerhalb eines Konzerns ausgetauscht werden sollen.

Stock Photo - Computer hintergrund aussicht unternehmen finanzen markt preis wachstum

Bildagentur PantherMedia / peshkova

Wirtschaft

Datenschutz in der Wirtschaft ist ein „Dauerbrenner“. Für die LDI NRW wird es dann interessant, wenn der Umgang mit Daten zum „unfairen“ Wettbewerbsvorteil verhilft.

Sicherheit und Justiz

Polizei, Verfassungsschutz und viele andere Behörden auf Bundes-, Landes- und kommunaler Ebene kümmern sich um Sicherheit. Und dass sie dabei selbst auf den Datenschutz achten, gehört zur Sicherheit dazu, es ist – sozusagen – Teil ihrer hoheitlichen Aufgaben. So sieht es der gesetzliche Rahmen vor.

Hände halten Paragraphen mit Fäden zusammen

PantherMedia / sdecoret

Datenschutzbeauftragte

Beraten, überwachen und Betroffenen weiterhelfen: Datenschutzbeauftragte in Behörden und Betrieben sind für einen guten Datenschutz unverzichtbar. Wir informieren über Anforderungen und Aufgaben.

panthermedia.net, Randolf Berold

Verwaltung

Wenn von gläsernen Bürger*innen gesprochen wird, dann steckt dahinter häufig die Angst vor einer Verwaltung, die unersättlich Daten sammelt. Dabei unterliegen Erhebung und Verarbeitung der Daten durch Verwaltungen strengen Regeln, um die gesetzlich verbrieften Rechte der Bürger*innen zu schützen.

panthermedia.net, olly18

Bildung

Bildung wird in Wissensgesellschaften großgeschrieben. In NRW gibt es über 5.100 Schulen, rund 60 Hochschulen und Universitäten, zahllose Kindergärten – und überall werden Daten über Kinder, Schüler*innen oder Student*innen erhoben. Mit der Digitalisierung gewinnt der Datenschutz weiter an Bedeutung.

Krankenversicherungskonzept. Arzt im Krankenhaus mit krankenversicherungsbezogener Symbolgrafik die Gesundheitsmenschen Geldplanung Risikomanagement medizinische Behandlung und Versicherungsleistung zeigt.

https://bildagentur.panthermedia.net/m/lizenzfreie-bilder/B295119752/

Soziales und Gesundheit

Wenn es um Gesundheit geht oder zum Beispiel um den sozialen Status, sind Daten besonders sensibel – und die Rechte der Bürger*innen deshalb besonders geschützt. Um die Pflichten einzuhalten, gibt es hier unter anderem Hinweise, Infos und Checklisten.

PantherMedia / ADDRicky

Ihre Beschwerde

Wir gehen Ihrer datenschutzrechtlichen Beschwerde nach. Für eine schnelle und effektive Bearbeitung sind wir jedoch auf Ihre Mithilfe angewiesen.

Datenschutz Antworten auf häufig gestellte Fragen

Themen