Hintergrund zur neuen Datenschutzgrundverordnung und zum BDSG n.F.
Durch die neue Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG n.F.) ist der Begriff der "personenbezogenen Daten" noch einmal verstärkt in den Fokus der Öffentlichkeit gerückt.
Ein Ziel des europäischen Gesetzgebers war es, mit der DSGVO einen EU-weit wirksamen Schutz personenbezogener Daten zu schaffen.
Oberster Grundsatz des alten wie neuen Datenschutzrechts ist dabei das Verbotsprinzip: Jede Verarbeitung personenbezogener Daten ist verboten. Es sei denn, es findet sich eine Rechtfertigung.
Die Gründe hierfür waren auch schon bisher gesetzlich geregelt. Ab dem 25.05.2018 werden die Rechte der Betroffenen aber noch einmal deutlich gestärkt. So müssen Unternehmen u.a. viel stärker als bisher Auskunft über die von ihnen erhobenen personenbezogenen Daten geben. Es gibt weitreichende Dokumentations- und Auskunftspflichten, striktere Löschvorschriften u.v.m. Vor Gericht gibt es eine Beweislastumkehr, d.h. das Unternehmen und nicht der Betroffene muss nachweisen, welche personenbezogenen Daten es erhoben hat und dass diese ordnungsgemäß verarbeitet und ggf. gelöscht wurden. Neben Einzel- sind nun auch Sammelklagen möglich.
Die DSGVO ist eine allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung. Sie ersetzt nationales Datenschutzrecht in den einzelnen EU-Mitgliedsstaaten. Es gibt aber eine Reihe von Öffnungsklauseln (ca. 50 - 60 Stück). So können die einzelnen Mitgliedsstaaten spezifischere und/oder abweichende Regelungen zu den Rechtsgrundlagen der Datenverarbeitung , spezifischere nationale Regelungen, Ausnahmen von Betroffenenrechten etc. erlassen. In Deutschland wurden diese nationalen Regelungen u.a. mit dem BDSG n.F. getroffen. Dieses gilt ebenfalls ab dem 25.05.2018 und ersetzt das bisherige BDSG.
Damit es zu keiner Kollision zwischen der DSGVO und dem BDSG n.F. kommt, gibt es in § 1 Abs. 5 BDSG n.F. folgende Regelung:" Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679" (Anm.: die DSGVO) "in der jeweiligen Fassung unmittelbar gilt." Allerdings ist im Zweifelsfall zu prüfen, ob eine bestimmte Auslegung des BDSG n.F. mit dem Inhalt der DSGVO kollidiert. Ist dies der Fall, muss die DSGVO angewendet werden. Dies wird zu einer erheblichen Unsicherheit im Datenschutzalltag der Unternehmen bei der Verarbeitung personenbezogener Daten führen.
Doch was genau sind personenbezogene Daten überhaupt?
Nach Art. 4 DSGVO "...bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer zu Standorten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;..."
Personenbezogene Daten können demnach u.a. sein:
a. allgemeine Personendaten (z.B. Vor- und Nachname, Geburtsdatum, Alter, Anschrift, E-Mail-Adresse)
b. Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer etc.)
c. Bankdaten (Bankverbindung, Kreditinformationen etc.)
d. Online-Daten (IP-Adresse, Standort etc.)
e. physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe etc.)
f. Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragung, Kfz-Kennzeichen, Zulassungsdaten etc.)
g. Kundendaten (Bestellungen, Adressdaten, Bankverbindungsdaten etc.)
h. Werturteile (Schul- und Arbeitszeugnisse etc.)
i. sachliche Verhältnisse (Einkommen, Kapitalvermögen, Schulden, Eigentum)
j. bestimmbare Daten (Ermittlung der Person via Personalnummer, IP-Adresse, Kfz-Nummer etc.)
Der o.g. Artikel 4 DSGVO und damit die Begriffsdefinition der personenbezogenen Daten wurde in Deutschland in Teil 3, Kapitel 1 § 46 BDSG n.F. verankert.
Besondere personenbezogene Daten
Innerhalb der personenbezogenen Daten sieht das DSGVO und das BDSG n.F. bestimmte Daten als besonders schutzwürdig an: Die besonderen personenbezogenen Daten.
Zu diesen zählen nach Art. 9 DSGVO Daten, "aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person..."
Im Vergleich zum bisher geltenden BDSG sind nur die biometrischen und die genetischen Daten neu hinzugekommen, wobei letztere bisher i.d.R. in den Bereich der Gesundheitsdaten fallen. Diese neuen Kategorien von Daten sind - wie auch die Gesundheitsdaten - in Art. 4 DSGVO genauer definiert:
Genetische Daten
"...personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden...."
Hierzu zählen z.B. DNA-Analysen.
Biometrische Daten
"...mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten..."
Hierzu zählen z.B. der Fingerabdruck, der zur Entsperrung eines Smartphones verwendet wird. Bei einem Lichtbild handelt es sich dagegen nicht grundsätzlich um biometrische Daten. Hier kommt es darauf an, wie das Lichtbild verarbeitet wird. Wird das Foto mit einer Gesichtserkennungssoftware abgeglichen, gehört es zu den personenbezogenen Daten. Befindet sich das Bild dagegen auf einem Mitarbeiterausweis, damit der Arbeitnehmer per Sichtkontrolle als Beschäftigter identifiziert werden kann, handelt es sich bei dem Foto um keine personenbezogenen Daten.
Verarbeitung personenbezogener Daten
Anders als die Verarbeitung der "normalen" personenbezogenen Daten, die - wie bereits erwähnt - ab dem 25.05.2018 deutlich strengeren Regeln unterliegt, ist die Verarbeitung der besonderen personenbezogenen Daten grundsätzlich untersagt. Da aber z.B. Gesundheitsdaten für die Beurteilung der Arbeitsfähigkeit erforderlich sind, sieht die DSGVO auch für diese besonderen personenbezogenen Daten Ausnahmen vor. Eine genaue Auflistung der Ausnahmetatbestände findet sich in Art. 9 DSGVO. Generell lässt sich aber festhalten, dass die betroffene Person entweder in die Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck eingewilligt hat oder u.a. ein arbeitsrechtliches, öffentliches oder gerichtliches Interesse an der Verarbeitung der Daten besteht.
Der Art. 9 DSGVO wurde in Deutschland im § 22 BDSG n.F. umgesetzt.
Fazit
Durch die neue DSGVO und das BDSG n.F. sind nur wenige neue Kategorien an personenbezogenen Daten hinzugekommen. Allerdings ist ihre Verarbeitung deutlich stärker reglementiert und - vor allem - kann sie erheblich genauer als bisher kontrolliert werden. Bei einem Verstoß drohen hohe Bußgelder.
Eine gewisse Unsicherheit dürfte die Umsetzung spezieller Regelungen der DSGVO durch das BDSG n.F. mit sich bringen. Hier werden vermutlich in einigen Fällen erst Gerichtsentscheidungen Klarheit darüber bringen, ob die deutsche Auslegung im BDSG n.F. oder die Regelungen der DSGVO unmittelbar gelten.
In jedem Fall sind die Unternehmen gut aber darin beraten, auch nach dem 25.05.2018 ihre Prozesse zur Verarbeitung personenbezogener Daten weiter gemäß der DSGVO und des BDSG n.F. abzubilden.