Personenbezogene Daten
Ausgangspunkt des Datenschutzrechts ist der Begriff des „personenbezogenen Datums”. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Das bestimmt § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) [1].

Nur wenn es um die Verarbeitung von personenbezogenen Daten geht, ist der Anwendungsbereich des Datenschutzrechts überhaupt eröffnet. Der Begriff des personenbezogenen Datums ist allerdings sehr weit zu verstehen. Danach ist jedes Datum bzw. jede Information als personenbezogenes Datum einzustufen, soweit zwischen dem Datum (also einer bestimmten Information) und einer Person eine Verbindung, der sogenannte Personenbezug, hergestellt werden kann. Dabei reicht es aus, dass die Person zumindest bestimmbar ist, d. h. mithilfe von verfügbarem Zusatzwissen identifiziert werden kann. Insofern kann selbst der Benutzername „User123” ein personenbezogenes Datum sein, wenn die verantwortliche Stelle (d. h. die Unternehmensgesellschaft, die für die Verarbeitung der Daten verantwortlich zeichnet) den Benutzernamen einem bestimmten Mitarbeiter zuordnen kann.

Grundsatz: Verbot mit Erlaubnisvorbehalt
Sofern personenbezogene Daten verarbeitet werden, gilt der Grundsatz, dass beim Umgang mit personenbezogenen Daten zunächst alles verboten ist, es sei denn, es ist ausdrücklich erlaubt oder es gibt eine rechtliche Grundlage. Juristen sprechen vom „Verbot mit Erlaubnisvorbehalt”. Das Datenschutzrecht verbietet also grundsätzlich die Verarbeitung von personenbezogenen Daten. Ausnahmen gelten aber, sofern der Betroffene in die Verarbeitung eingewilligt hat oder das Gesetz (insbesondere das BDSG) die konkrete Verarbeitung gestattet. Der Begriff der Verarbeitung ist dabei weit zu verstehen. Nach § 3 Abs. 4 BDSG ist unter Verarbeiten das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten zu verstehen. Damit fällt also auch der reine Datentransfer (beispielsweise zu einer anderen Konzerngesellschaft) oder der reine „Sichtzugriff” auf personenbezogene Daten (beispielsweise im Rahmen der Wartung bzw. des Supports einer Personaldatenbank) unter den Begriff der Verarbeitung. Zweck dieser weitreichenden Restriktionen ist es, den Betroffenen (also die Person, über die bestimmte Daten Aufschluss geben) davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

Ausnahme: Einwilligung des Betroffenen
Von diesen strengen Grundsätzen gewährt das Datenschutzrecht jedoch (teils umfangreiche) Ausnahmen. Dazu zählt zunächst die Einwilligung des Betroffenen. Sofern dieser in die jeweilige Verarbeitung seiner personenbezogenen Daten einwilligt, darf ein Unternehmen auch entsprechend dieser Einwilligung Daten verarbeiten, § 4 Abs. 1 BDSG. Eine Einwilligung setzt voraus, dass der Betroffene vorab über den Zweck und den Umfang der Datenverwendung informiert wurde. Für ihre Wirksamkeit muss die Einwilligung auf der freien Entscheidung des Betroffenen beruhen (Freiwilligkeit der Einwilligung). Zudem ist sie frei widerruflich. Wichtig ist zudem, dass ihre Erteilung bestimmten formalen Kriterien genügen muss.

Einwilligung im Arbeitsverhältnis
Mit Blick auf das Kriterium der Freiwilligkeit war lange Zeit umstritten, ob eine Einwilligung im Rahmen eines Arbeitsverhältnisses überhaupt zulässig ist. Zum Schutz der Beschäftigten unterstellten Teile der Rechtsprechung und Rechtsliteratur lange, diese würden potenziell immer zugunsten des Arbeitgebers entscheiden. Denn Beschäftigte würden grundsätzlich dazu tendieren, in Anfragen des Arbeitgebers einzuwilligen, auch wenn sie mit der Datenverwendung eigentlich nicht einverstanden seien. Das Bundesarbeitsgericht (BAG) hat dieser Auffassung jedoch eine Absage erteilt und vor einigen Jahren entschieden, dass Einwilligungen auch im Arbeitsverhältnis grundsätzlich zulässig sind. Ferner stellte das BAG klar, dass eine einmal erteilte Einwilligung nicht generell „jederzeit mit Wirkung für die Zukunft widerrufen werden kann”. Vielmehr muss im Einzelfall eine Interessenabwägung vorgenommen werden, die letztlich dazu führen kann, dass trotz Widerrufs eine weitere Verwendung der personenbezogenen Daten zulässig ist. Seither genießen (auch) Arbeitgeber einen gewissen Vertrauensschutz bei Einwilligungen ihrer Arbeitnehmer.

Für die Verarbeitung von Beschäftigtendaten sieht das BDSG in § 28 und § 32 zudem ausdrückliche gesetzliche Rechtsgrundlagen für die Datenverarbeitung vor. Danach ist die Verarbeitung von personenbezogenen Daten von Beschäftigten im Unternehmen zur Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses in dem dafür erforderlichen Umfang immer zulässig. Allerdings verlangt das Kriterium der Erforderlichkeit in der Praxis eine Interessenabwägung, die der Datenverarbeitung durch den Arbeitgeber enge Grenzen vorgibt.

Auftragsdatenverarbeitung
Hohe Relevanz in der Unternehmenspraxis im Zusammenhang mit der Einbindung von externen Dienstleistern, dem Datentransfer im Unternehmensverbund oder der zentralen Bereitstellung von Leistungen durch eine (interne) Servicegesellschaft hat § 11 BDSG. Darin wird die sogenannte „Auftragsdatenverarbeitung” geregelt. Bei der Auftragsdatenverarbeitung schließen der Auftraggeber (das Unternehmen, das Daten durch ein anderes Unternehmen verarbeiten lassen möchte) und der Auftragnehmer (das Unternehmen, das die Daten für den Auftraggeber verarbeiten wird) einen sogenannten Vertrag zur Auftragsdatenverarbeitung (ADV). Das Gesetz gibt in § 11 BDSG und flankierend in § 9 BDSG (nebst Anlage) bestimmte Mindestanforderungen an einen ADV vor. Wird der ADV mit diesen Mindestanforderungen zwischen Auftraggeber und Auftragnehmer geschlossen, wird die Datenverarbeitung zwischen diesen Parteien „privilegiert”, das heißt, dass personenbezogene Daten zwischen diesen Parteien weitestgehend frei ausgetauscht und verarbeitet werden können. Allerdings gilt diese Privilegierung nur, wenn die Datenverarbeitung innerhalb der/des EU/EWR erfolgt. Sobald eine Datenübermittlung bzw. -verarbeitung die Grenzen der/des EU/EWR überschreitet, sind weitere Besonderheiten zu beachten.

Für Unternehmen, die personenbezogene Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übermitteln bzw. verarbeiten, reicht der Abschluss eines ADV zur Legitimation der Übermittlung und Verarbeitung der (personenbezogenen) Daten allein nicht aus. Das Gleiche gilt für reine Datenübermittlungen zwischen Konzerngesellschaften, beispielsweise die Übermittlung von Beschäftigtendaten auf der Grundlage von § 28 BDSG. Das deutsche und europäische Datenschutzrecht verlangt, dass Unternehmen, über den Abschluss eines ADV hinaus, sicherstellen, dass der Empfänger der personenbezogenen Daten ein den europäischen Standards entsprechendes Datenschutzniveau einhält.

Diese Sicherheit ist bei der Übermittlung von personenbezogenen Daten zwischen Unternehmen mit Sitz in den Mitgliedstaaten der EU und EWR-Staaten nicht erforderlich, weil durch die EU-Datenschutzrichtlinie 95/46/EG das Datenschutzniveau in den EU/EWR-Staaten angeglichen und harmonisiert ist. Betroffene können sich bei einer Übermittlung bzw. Verarbeitung ihrer Daten in den EU/EWR-Staaten also auf ein gleichwertiges Schutzniveau verlassen.

Unsichere Drittstaaten
In Nicht-EU/EWR-Staaten gilt dieser Vertrauensschutz allerdings nicht. Das hat in der Praxis erhebliche Auswirkungen. Denn durch die fortschreitende Globalisierung hat in den letzten Jahren der globale Datentransfer, beispielsweise durch die Nutzung von Cloud-Services, massiv zugenommen. Gerade Software-as-a-Service-Dienste, wie zum Beispiel Office-Anwendungen, ERP- und CRM-Systeme, werden heute deutlich mehr genutzt als in der Vergangenheit. Viele Marktführer werden jedoch überwiegend von Providern mit Sitz in den USA angeboten, was zwangsläufig eine Übermittlung und Verarbeitung personenbezogener Daten aus der Europäischen Union in die USA oder andere Staaten nach sich zieht. Das Manko: In den meisten Ländern außerhalb der/des EU/EWR herrscht kein den europäischen Standards entsprechendes, angemessenes Datenschutzniveau. Das gilt in besonderem Maße für die USA. Die Europäische Kommission spricht in diesem Zusammenhang von sogenannten „Unsicheren Drittstaaten”.

Datenübermittlungen in diese Länder sind daher nicht ohne Weiteres zulässig. Sie müssen erst besonders legitimiert werden. Eine mögliche Erlaubnis kann darin bestehen, dass die EU-Kommission das Datenschutzniveau des Empfängerlandes überprüft hat und in einem offiziellen Beschluss feststellt, dass das Datenschutzniveau in diesem Land mit dem Schutz von personenbezogenen Daten innerhalb der/des EU/EWR vergleichbar ist. Besteht ein solcher Beschluss, ist die Datenübermittlung in die im Beschluss aufgeführten Länder ohne weitere Voraussetzungen möglich, vorausgesetzt, es besteht ein entsprechender ADV (vgl. Kapitel 4.1) oder eine andere Rechtsgrundlage. Die EU-Kommission hat dies beispielsweise für die Schweiz, Kanada und Argentinien anerkannt.

Standardvertragsklauseln
Für die Datenübermittlung in andere Länder bringen die sogenannten EU-Standardvertragsklauseln Abhilfe. Durch diesen (zusätzlichen) Vertrag verpflichtet sich der Empfänger der personenbezogenen Daten bilateral zur Einhaltung der in den Standardvertragsklauseln näher beschriebenen Datenschutzgrundsätze. Diese sind den Regelungen der EU-Datenschutzrichtlinie angenähert. Bei Abschluss der EU-Standardvertragsklauseln wird ein angemessenes Schutzniveau bei dem Unternehmen außerhalb der/des EU/EWR angenommen. Eine Datenübermittlung/-verarbeitung darf dann stattfinden.

Binding Corporate Rules (BCR)
Für Konzerne besteht zudem die Möglichkeit, verbindliche Unternehmensregelungen, sogenannte Binding Corporate Rules (BCR), abzuschließen, die den Datenschutz innerhalb der Konzerngruppe verbindlich regeln. BCR müssen im Gegensatz zu den EU-Standardvertragsklauseln allerdings von den zuständigen Datenschutzaufsichtsbehörden genehmigt werden. Dieser Genehmigungsprozess kann sehr viel Zeit in Anspruch nehmen. Zudem sind mit BCR erhöhte Kosten in Bezug auf die Planung und Umsetzung der in den BCR niedergelegten Datenschutzregelungen einzukalkulieren.

Datenübermittlung in dieUSA
Besonderheiten gelten bei der Datenübermittlung in die USA. Für Datenübermittlungen in die USA bestand bis Oktober 2015 noch die Möglichkeit, das sogenannte „Safe-Harbor-Abkommen” heranzuziehen. Nach diesem Abkommen konnten sich US-Unternehmen beim amerikanischen Handelsministerium registrieren lassen und sich den Datenschutzgrundsätzen des Safe-Harbor-Abkommens unterwerfen. Dadurch sollte ein angemessenes, der EU entsprechendes Schutzniveau bei den US-Unternehmen geschaffen werden. Der Europäische Gerichtshof (EuGH) hat aber mit Urteil vom 6. Oktober 2015 das Safe-Harbor-Abkommen für unwirksam erklärt. Grund dafür waren vor allem die bekannt gewordenen Tätigkeiten der US-Geheimdienste beim umfangreichen Zugriff auf Daten von EU-Bürgern. Darüber hinaus stellte der EuGH fest, dass es an einer Kontrolle und Durchsetzung der ausgehandelten Datenschutzstandards gefehlt habe, weshalb betroffene Personen keinerlei Möglichkeit gehabt hätten, ihre Betroffenenrechte in den USA durchzusetzen.

EU-US Privacy Shield
Als Nachfolger des Safe-Harbor-Abkommens steht seit dem 12. Juli 2016 das sogenannte EU-US Privacy Shield zur Verfügung. Dieses neue Abkommen löst das alte Safe-Harbor-Abkommen ab. Darin verpflichtet sich die US-Regierung, den Umgang der US-Unternehmen mit personenbezogenen Daten stärker als bisher zu überwachen. Zudem sind Unternehmen nun verpflichtet, auf ihrer Webseite eine Datenschutzrichtlinie zu veröffentlichen, in der beschrieben wird, wie sie mit personenbezogenen Daten umgehen. Ähnlich dem Safe-Harbor-Abkommen können sich Unternehmen, die Daten in den USA empfangen und verarbeiten, in eine offizielle Liste eintragen. Eingetragene US-Unternehmen verpflichten sich dazu, die Vorgaben des EU-US Privacy Shield einzuhalten. Die Europäische Kommission erkennt bei US-Unternehmen, die sich nach den Grundsätzen des EU-US Privacy Shield verpflichten, ein angemessenes Datenschutzniveau an. Datenübermittlungen und -verarbeitungen in den USA können insofern (neben den dargestellten EU-Standardvertragsklauseln) auch auf der Grundlage des EU-US Privacy Shield erfolgen. Allerdings wurde das EU-US Privacy Shield schon während der europäischen und amerikanischen Verhandlungen stark kritisiert. Inzwischen haben Datenschützer aus Irland sogar gegen das EU-US Privacy Shield Nichtigkeitsklage beim Gericht der Europäischen Union (EuG) eingereicht. Vor diesem Hintergrund bleibt die Wirksamkeit dieser Datenübermittlungs/-verarbeitungsgrundlage für Transfers in die USA abzuwarten.

Datenschutz-Grundverordnung
Die bisher für den Rechtsraum der Europäischen Union maßgebliche EU-Datenschutzrichtlinie wird ab dem 25. Mai 2018 durch die europäische Datenschutz-Grundverordnung (DSGVO) [2] ersetzt. Als Verordnung wird die DSGVO, anders als die bisherige Richtlinie, unmittelbar geltendes Recht in allen Mitgliedstaaten. Der Umsetzungsspielraum der einzelnen Mitgliedstaaten fällt also weg. Bis auf einige Ausnahmen gelten dann einheitlich europäische Datenschutzregelungen. Nationale Datenschutzgesetze (worunter auch das BDSG fällt) werden abgelöst und entfalten nur noch in wenigen Ausnahmebereichen (beispielsweise dem Arbeitnehmerdatenschutz) Wirkung.

Steigende Anforderungen
Für Unternehmen bedeutet die europäische DSGVO eine Reihe von neuen und veränderten Regelungen. Zunächst steigen die Anforderungen an die Informations-, Dokumentations- und Nachweispflichten des verantwortlichen Unternehmens erheblich. Art. 5 DSGVO legt dem Verantwortlichen eine sogenannte „Rechenschaftspflicht” auf: Danach muss ab 2018 jedes Unternehmen durch die Vorlage geeigneter Dokumente in der Lage sein nachzuweisen, dass es personenbezogene Daten in Übereinstimmung mit der DSGVO verarbeitet. Hinzu treten die weiteren für Unternehmen relevanten Verarbeitungsgrundsätze, die durch die DSGVO teils neu eingeführt, teils aber auch schon aus den bislang geltenden Regelungen bekannt waren: der Grundsatz der Zweckbindung oder der Datenminimierung sowie die abgeänderten bzw. neu eingeführten Grundsätze der „Richtigkeit”, „Speicherbegrenzung” sowie „Integrität und Vertraulichkeit” der Daten. Hinzu kommt, dass Unternehmen Betroffene zukünftig umfassender als bisher bei der Erhebung ihrer Daten informieren müssen. Gerade damit werden sich Unternehmen in den kommenden Monaten intensiv beschäftigen müssen, um ab Mai 2018 diese Pflichten erfüllen zu können.

Neue Regelungen
Die DSGVO etabliert neue Regelungen für die Verarbeitung personenbezogener Daten. Die aus dem BDSG bekannten Erlaubnistatbestände, zum Beispiel die Verarbeitung für Zwecke der Vertragserfüllung, werden zwar im Wesentlichen übernommen, aber im Detail angepasst. Dies gilt vor allem für zwei Fälle: die Auftragsdatenverarbeitung und die Einwilligung.

Recht auf Vergessenwerden
Als weiteren Punkt stärkt die DSGVO die Rechte der Betroffenen. So werden mit dem „Recht auf Vergessenwerden” sogar neue Betroffenenrechte eingeführt. Zudem erhalten die Betroffenen stärkere Widerspruchsrechte, wenn es um die Verarbeitung ihrer Daten geht. Zweifelt er an, dass ein Unternehmen ein berechtigtes Interesse an der Verarbeitung seiner Daten hat, kann der Betroffene das Unternehmen innerhalb bestimmter Fristen auffordern, die entsprechende Datenverarbeitung zu begründen. Daneben treten die verstärkten Rechte der Betroffenen, von Unternehmen die Löschung oder Berichtung ihrer Daten zu verlangen. Das erfordert von den Unternehmen bereits jetzt die Etablierung darauf ausgerichteter Prozesse. Andernfalls werden sie wohl kaum in der Lage sein, vollumfänglich Auskunft über die zu einer Person von ihnen verarbeiteten Daten zu geben.

Datenschutzfolgeabschätzung
Unternehmen sind zukünftig gehalten, u. U. eine sog. „Datenschutzfolgeabschätzung” durchzuführen. Datenverarbeitungsprozesse, die besonders sensible Daten betreffen oder von denen erhöhte Gefahren für Betroffene ausgehen, müssen von Unternehmen zukünftig so gestaltet werden, dass die Interessen der Betroffenen ausreichend sichergestellt werden. Das kann mitunter sogar bedeuten, dass Prozesse aufgrund einer negativen Datenschutzfolgeabschätzung überhaupt nicht oder nur in stark abgeänderter Form eingeführt werden. Bei den Prüfungen sind unter Umständen, je nach Intensität der beabsichtigen Datenverarbeitung, auch die zuständigen Datenschutzaufsichtsbehörden einzubeziehen. Diesem Grundsatz folgend, schreibt die DSGVO ausdrücklich vor, dass Produkte und Dienstleistungen so zu gestalten sind, dass nur solche Informationen und Daten abgerufen und verarbeitet werden, die für den jeweiligen Zweck auch tatsächlich erforderlich sind (privacy by default). Allein der Nutzer/Endverbraucher soll durch Änderungen der Produkteinstellungen eine darüber hinausgehende Datenverarbeitung freigeben können. Auch die Anforderungen an das Verfahrensverzeichnis sind angepasst worden, sodass die verantwortlichen Unternehmen diese Dokumente auf den Prüfstand stellen müssen.

Strafen für Datenschutzverstöße
Um die stringente Umsetzung der neuen Regelungen in den Unternehmen zu gewährleisten, hat die Europäische Union als zentrale Änderung im Datenschutzrecht besonders starke Abschreckungsmechanismen gewählt: Künftig können Verstöße gegen das Datenschutzrecht mit bis zu 20 Millionen Euro oder sogar 4 % des weltweiten Jahresumsatzes eines Unternehmens bzw. der Konzerngruppe geahndet werden. Zum Vergleich: Das deutsche BDSG sah bisher Bußgelder von maximal 300.000 Euro für Datenschutzverstöße vor. Vor diesem Hintergrund sollten Unternehmen sich frühzeitig mit den Anforderungen der DSGVO auseinandersetzen.

Bundesdatenschutzgesetz – neue Fassung
Der Bundestag hat am 27. April 2017 das sogenannte „Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)” [3] beschlossen. Mit dem neuen Gesetz soll das Bundesdatenschutzgesetz (BDSG) an die Vorgaben der Datenschutz-Grundverordnung (DSVGO) angepasst werden. In Kraft treten wird das „BDSG-neu” (bis auf eine Ausnahme) zusammen mit der DSGVO am 25. Mai 2018.

Raum für eine eigene Regelung
Das BDSG-neu ergänzt die DSGVO in den Bereichen, in denen die DSGVO den Mitgliedstaaten Raum für eine eigene Regelung gelassen hat. Dies betrifft vor allem die Regelung des Beschäftigtendatenschutzes. Der deutsche Gesetzgeber hat hier im Wesentlichen die bestehenden Verarbeitungsgrundsätze beibehalten, jedoch die Gelegenheit genutzt, einzelne Detailfragen zu klären. Danach ist zum Beispiel die Einwilligung des Beschäftigten im Arbeitsverhältnis nicht generell ausgeschlossen. Zukünftig bleiben ebenfalls Betriebsvereinbarungen zulässige Grundlagen, um die Datenverarbeitung zu gestatten.

Stellung des Datenschutzbeauftragten
Eine Neuerung und gleichzeitig Abweichung von der DSGVO findet sich bei den Regelungen zum Datenschutzbeauftragten. Das BDSG-neu übernimmt im Wesentlichen die bisherigen Regelungen des Bundesdatenschutzgesetzes und stärkt damit im Vergleich zu der DSGVO die Stellung des Datenschutzbeauftragten. Demnach muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wenn wegen eines hohen Risikos für die Rechte und Freiheiten der von der Datenverarbeitung Betroffenen eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO notwendig ist oder geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden (vgl. § 38 Abs. 1 BDSG-neu).

Wie bisher gilt für den Datenschutzbeauftragten, der bestellt werden muss, ein umfassender Kündigungsschutz. Die DSGVO schreibt auch dies nicht vor, vielmehr bestehen nur für die Benennungspflicht sowie für die Wahrung der Geheimhaltung oder Vertraulichkeit explizite Öffnungsklauseln. Offenbar geht der deutsche Gesetzgeber aber davon aus, dass der erweiterte Kündigungsschutz noch von dem Gestaltungsspielraum umfasst ist.

Es lässt sich jedoch festhalten, dass die DSGVO in Zukunft die vorrangig zu beachtende Datenschutzregelung sein wird, die nur an wenigen speziellen Stellen vom BDSG ergänzt bzw. erweitert wird. Problematisch ist, dass das BDSG-neu teilweise hinter den Anforderungen der DSGVO zurückbleibt: dies könnte eine unzulässige Abweichung von der DSGVO darstellen, die zur (teilweisen) Unwirksamkeit des BDSG-neu führen könnte.

Mit Blick auf das Datenschutzrecht müssen Unternehmen sich im Zusammenhang mit ihren Datenerhebungen und -verarbeitungen stets bewusst machen, welche Daten sie verarbeiten und zu welchem Zweck die entsprechende Verarbeitung erfolgt. Sind personenbezogene Daten betroffen, darf eine Verarbeitung nur auf einer validen Rechtsgrundlage erfolgen. Das kann die Einwilligung des Betroffenen, eine im Gesetz klar geregelte Verarbeitungserlaubnis oder auch der Abschluss eines ADV sein.

Ab Mai 2018 werden Unternehmen durch die neue DSGVO künftig sogar noch stärker dokumentieren, melden und informieren müssen als bislang. Verstöße gegen die (teils neuen) Pflichten können unter Umständen mit sehr hohen Bußgeldern belegt werden. Unternehmen sind daher gehalten, ihre internen Richtlinien zum Datenschutz und zur Nutzung der IT auf die neuen Anforderungen der DSGVO auszurichten.