Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(
Art. 1 Abs.1 DSGVO)

So lautet die Einleitung in der europäischen Datenschutzgrundverordnung (DSGVO) zur Vereinheitlichung der Datenschutzstandards.

Die schützenswerten Daten umfassen dabei die sogenannten „personenbezogenen Daten“.

Diese Daten beschreiben in der Regel persönliche oder sachliche Begebenheiten einer Person.

 

Daten werden allerdings auch schon als „personenbezogen“ bezeichnet, wenn erhobene Daten auf eine Person zurückführbar sind. Ein beliebtes Beispiel ist hier die Telefonnummer.

 

Darüber hinaus werden die Daten über die rassische oder ethnische Herkunft, die politische Meinung, die religiöse oder philosophische Überzeugung, eine Gewerkschaftszugehörigkeit, die sexuelle Orientierung und schließlich der gesundheitliche Zustand einer Person als besonders schützenswert eingestuft.

 

Ansonsten sind sämtliche Daten, die keine natürliche Person betrifft, sondern eine juristische Person (unter anderem die GmbH oder auch die AG) nicht geschützt.

 

Um die Datenschutzstandards zu erreichen, die von der Europäischen Union gefordert werden, gilt in Deutschland mit dem Bundesdatenschutzgesetz (BDSG) der Grundsatz, dass die Erhebung, die Verarbeitung und die Nutzung von personenbezogenen Daten generell verboten sind.

 

Die Erhebung und Verarbeitung der Daten soll somit über die Ausnahmen gesteuert werden. Im Klartext bedeutet das, dass die Verarbeitung nur mit Zustimmung des Betroffenen oder mit einer Gesetzesregelung, wie die umstrittene Vorratsdatenspeicherung erlaubt ist.

 

Insbesondere für Unternehmen bedeutet das, dass nicht erforderliche Daten vermieden und die Datenerhebung minimalisiert werden sollten.

 

Ab der Erhebung der Daten besitzt die betroffene Person ein umfangreiches Bestimmungsrecht.

Zu den wichtigsten Rechten zählt unter anderem das Recht zur Auskunft der gespeicherten Daten und deren Bezugsquellen. Sollten diese Daten nicht korrekt erhoben oder verarbeitet worden sein, besteht zu dem das Recht diese Daten korrigieren zu lassen.

 

Auch die Zweckbindung der Daten ist klar reglementiert, so dürfen die Daten nur für den Zweck verwendet werden, für den diese erhoben wurden. Sollte also im Laufe der Verarbeitung der Daten eine Weitergabe der Daten erforderlich sein, muss zunächst die Zustimmung der betroffenen Person eingeholt werden.

Bei Abschluss des Geschäfts oder der Handlung, die zur Erhebung der Daten geführt hat, kann laut Gesetzgebung eine Löschung eingefordert werden. Diese Regelung stützt sich nicht zuletzt auch auf das bereits in Kraft getretene „Gesetz auf Vergessenwerden“.

 

Diese Regelungen im Bundesdatenschutzgesetz werden durch sogenannte Öffnungsklauseln in der DSGVO ermöglicht. Diese Öffnungsklauseln bieten den Mitgliedsstaaten der EU einen gewissen Handlungsspielraum, um diese auf nationaler Ebene zu konkretisieren.

 

Um letztlich der Frage aus dem Weg zu gehen, ob die Regelung auf nationaler Ebene eher spezifischer wäre oder ob sogar der Handlungsspielraum überschritten worden wäre, hat in diesem Fall Deutschland in deren BDSG sogenannte Kollisionsregelungen einfließen lassen.

 

Diese prüfen zunächst, ob die Regelung mit dem DSGVO kollidiert und verweist im Zweifelsfall auf die DSGVO.

Die teilweise fehlende Definition eines Beschäftigten im § 26 des neuen BDSG ist hier ein oft benanntes Beispiel (siehe https://www.datenschutz-praxis.de/fachartikel/bdsg-neu-wesentliche-aenderungen/ unter „Beispiel Beschäftigendatenschutz“).

 

Quellen: