Datenschutz bei Unternehmen und Privatpersonen

Für nahezu jede und jeden ist es heute selbstverständlich, neue Informations- und Kommunikationstechnologien zu nutzen. Damit bilden sich im Datenschutzrecht neue Aufgabenschwerpunkte. Es geht nicht mehr nur darum, klare Grenzen zwischen staatlichem Informationsinteresse und individueller Privatsphäre zu ziehen, sondern auch das Recht auf informationelle Selbstbestimmung mit wirtschaftlichen oder gesellschaftlichen Interessen an der Verarbeitung personenbezogener Daten abzuwägen.

Wesentliche Rechtsgrundlage für den Datenschutz im sogenannten nicht öffentlichen Bereich, also für die Datenverarbeitung durch Unternehmen, Vereine und Privatpersonen, ist die seit 25. Mai 2018 die von der Europäischen Union erlassene Datenschutz-Grundverordnung (DSGVO). Mit ihr hat der europäische Gesetzgeber ein einheitliches und unmittelbar geltendes Regelwerk geschaffen, das gleiche Wettbewerbsbedingungen in der Europäischen Union gewährleistet und Freizügigkeit ermöglicht – egal ob für Personaldaten, für Cloud-Dienste von Mobilgeräten oder für den Export von Autos oder Medizinprodukten mit ihren immer komplexeren informationstechnischen und damit auch datenschutzkritischen Anwendungen. Für den Freistaat Bayern mit vielen starken, innovationsfreudigen und global agierenden Unternehmen bietet dies viele Vorteile. Zugleich wird durch die Datenschutz-Grundverordnung das europäische Datenschutzrecht modernisiert und die Rechte des Einzelnen erheblich gestärkt. Dies gilt insbesondere für die Information der betroffenen Person bei einer Datenerhebung und das Recht auf Auskunft. Die Betroffenen erhalten so mehr Kontrolle und Transparenz bei der Datenverarbeitung, gerade im digitalen Zeitalter.

Neben der Datenschutz-Grundverordnung haben Unternehmen und Private ergänzend das Bundesdatenschutzgesetz (BDSG) anzuwenden, das zum 25. Mai 2018 neu gefasst wurde. Die Regelungen des BDSG gelten ergänzend zu den Bestimmungen der Datenschutz-Grundverordnung.

Zudem gilt bis zum Inkrafttreten der e-Privacy-Verordnung für den Schutz der Vertraulichkeit der elektronischen Kommunikation die e-Privacy-Richtlinie, welche ebenfalls der Umsetzung in nationales Recht bedarf und welche gemäß Art. 95 DSGVO auch weiterhin neben der DSGVO beachtlich ist. Der Bundesgesetzgeber hat daher ein Telekommunikations-Telemedien-Datenschutzgesetz verabschiedet, welches die Vorgaben der e-Privacy-Richtlinie normenklarer als bisher umsetzen soll.

Jede Stelle, die personenbezogene Daten verarbeitet, hat grundsätzlich selbständig dafür zu sorgen, dass datenschutzrechtliche Anforderungen eingehalten werden. Die Datenschutz-Grundverordnung spricht hier vom sog. „Verantwortlichen“. Der Verantwortliche hat nicht nur die Rechtmäßigkeit der von ihm verantworteten Verarbeitungen personenbezogener Daten zu gewährleisten, sondern muss auch den Nachweis dafür erbringen, dass die Datenverarbeitung im Einklang mit den Vorgaben der Datenschutz-Grundverordnung erfolgt.

Bei der Wahrnehmung seiner datenschutzrechtlichen Pflichten wird der Verantwortliche von dem oder der betrieblichen Datenschutzbeauftragten beraten. Unternehmen müssen gemäß § 38 Abs. 1 BDSG einen betrieblichen Datenschutzbeauftragten oder eine Datenschutzbeauftragte bestellen, wenn in der Regel mindestens 20 Beschäftigte ständig mit der Verarbeitung personenbezogener Daten befasst sind, die Haupttätigkeit der nicht öffentlichen Stelle in der umfangreichen Verarbeitung sog. sensibler Daten wie z. B. Gesundheitsdaten besteht, Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden Vereine und kleine Unternehmen werden deshalb wie bisher oftmals keinen Datenschutzbeauftragten benötigen.

Zuständige Aufsichtsbehörde für den Datenschutz im nicht öffentlichen Bereich in Bayern ist das Bayerische Landesamt für Datenschutzaufsicht mit Sitz in Ansbach. Bei einem Datenschutzverstoß hat die Aufsichtsbehörde mehrere Reaktionsmöglichkeiten – z.B. kann sie die Datenschutzverletzung rügen oder Anweisungen und Anordnungen aussprechen bis hin zu einer Untersagung der Datenverarbeitung. Darüber hinaus ist die Aufsichtsbehörde dazu befugt, Bußgelder zu verhängen. Welche Maßnahme die Aufsichtsbehörde verhängt, steht im Ermessen der Aufsichtsbehörde und unterliegt dem Verhältnismäßigkeitsgrundsatz. Die Beratung der Verantwortlichen und der betrieblichen Datenschutzbeauftragten stellt einen wichtigen Schwerpunkt der Tätigkeit des Landesamts dar. Das Landesamt veröffentlicht jährlich einen Tätigkeitsbericht, der über aktuelle Entwicklungen und Aufgabenschwerpunkte unterrichtet.

Hilfen zum aktuellen Datenschutzrecht

Die Datenschutz-Grundverordnung soll weder ehrenamtliches Engagement in den bayerischen Vereinen mit zusätzlicher Bürokratie überfrachten, noch in den Arbeitsalltag der Unternehmen und Selbständigen mit lebensfremden Anforderungen eingreifen.

Häufig gestellte Fragen und Antworten werden auch auf der Homepage des Bayerischen Landesamts für Datenschutzaufsicht veröffentlicht. Dort finden sich u.a. auch spezifische Handreichungen für kleine Unternehmen und Vereine mit konkreten Praxisbeispielen.

Zudem stellt das Bayerische Landesamt für Datenschutzaufsicht einen Online-Beratungs-Service zur Verfügung, durch welchen Privatpersonen, Unternehmen, Freie Berufe u.a. schriftliche Beratungsanfragen stellen können.