3.1 Grundsätzliches und Begriffsbestimmungen
Laut Art. 1 DSGVO sollen die datenschutzrechtlichen Bestimmungen den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird, da jeder das Recht auf informationelle Selbstbestimmung hat (im Rahmen der freien Entfaltung seiner Persönlichkeit gemäß Art. 2 Abs. 1 GG).
Beispiel
Ein Verstoß läge beispielsweise vor, wenn ein Hausarzt, der einen Arbeitnehmer behandelt, ohne Wissen des Patienten Informationen über dessen Gesundheitszustand an den Arbeitgeber weitergibt.
Der Schutz gilt aber nicht nur für den einzelnen Bürger (sog. natürliche Person), sondern auch für Unternehmen, Vereinigungen etc. (sog. juristische Person). Zu beachten ist dabei, dass sowohl „öffentliche Stellen“ (staatliche Stellen wie Behörden, Gerichte und Ämter) als auch „nicht-öffentliche Stellen“ (natürliche Personen und juristische Personen wie private Unternehmen, also auch Sicherheitsunternehmen und deren Kunden) zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet sind.
Art. 4 DSGVO definiert Begriffe, die im Datenschutzrecht vorkommen:
a) Personenbezogene Daten sind demnach Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Darunter fallen Daten wie Name, Vorname, Geburtsname, Geburtsdatum, Geburtsort, Krankendaten etc. Durch die DSGVO werden auch Daten wie physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer natürlichen Person geschützt.
b) Dateisysteme sind alle strukturierten Sammlungen von personenbezogenen Daten.
c) Verarbeitung bezeichnet jeden (mit oder ohne Hilfe automatisierter Verfahren) Vorgang im Zusammenhang mit personenbezogenen Daten. Zu nennen sind u. a. das Erheben, das Ordnen, die Speicherung, das Verändern, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder das Löschen von Daten.
Beispiele
Speichern: Archivierung der Daten auf einer Festplatte, einem USB-Stick, einer CD, in einer Cloud o. Ä.
Verändern: z. B. Ändern der Adresse wegen Umzugs.
Übermitteln: Weitergabe der Daten an einen Dritten.
Löschen: Vernichtung der Daten.
3.2 Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 DSGVO)
Personenbezogene Daten müssen nach Art. 5 DSGVO u.a.:
■ auf rechtmäßige Weise verarbeitet werden,
■ für festgelegte, eindeutige und legitime Zwecke erhoben werden,
■ sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein,
■ auf das notwendige Maß beschränkt sein,
■ transparent verarbeitet werden.
Zudem muss gewährleistet sein, dass die Daten nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist (Speicherbegrenzung), die Daten vor unbefugtem Zugriff ausreichend geschützt sind (Integrität und Vertraulichkeit) und letztlich der Verantwortliche die Einhaltung der vorgenannten Punkte nachweisen kann (Rechenschaftspflicht).
Besondere personenbezogene Daten wie rassische und ethnische Herkunft, Religion oder Gewerkschaftszugehörigkeit dürfen grundsätzlich nicht verarbeitet werden, Art. 9 DSGVO.
3.3 Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)
Nach Art. 6 DSGVO ist eine Verarbeitung u.a. dann rechtmäßig, wenn:
■ die betroffene Person ihre Einwilligung gegeben hat oder
■ die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist oder
■ die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person wichtig ist.
Diese Voraussetzungen können jedoch durch Rechtsvorschriften eingeschränkt werden, Art. 23 DSGVO.
3.4 Rechte der betroffenen Person (Art. 12 DSGVO)
Nach Art. 12 DSGVO hat der Betroffene das Recht, über die von ihm gespeicherten Daten schriftlich Auskunft zu verlangen.
Das Recht erstreckt sich auf die Auskunft über:
■ die zu seiner Person gespeicherten Daten,
■ die Herkunft der gespeicherten Daten,
■ den Zweck der gespeicherten Daten,
■ die Weitergabe der Daten an Dritte.
Das wichtige Recht auf Löschung der personenbezogenen Daten ergibt sich aus Art. 17 DSGVO. Weitere Rechte des Betroffenen finden sich in den Art. 12 – 22 DSGVO.
Art. 13 DSGVO legt fest, dass dem Betroffenen u.a. Zweck, Verarbeitung, Nutzung und Name sowie Kontaktdaten des Verantwortlichen zum Zeitpunkt der Erhebung dieser Daten mitzuteilen sind.
3.6 Technische und organisatorische Maßnahmen (Art. 24, 32 DSGVO)
Die Art. 24 und 32 DSGVO verpflichten den Verantwortlichen dazu, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und den Nachweis zu erbringen, dass die Verarbeitung gemäß der DSGVO erfolgt.
Dabei ist ein „angemessenes Schutzniveau“ zu gewährleisten, wobei u.a. die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen sind.
Vergibt das Unternehmen die Datenverarbeitung an einen Dritten (sog. Auftragsverarbeiter), so muss sich dieser ebenfalls an die Vorgaben der DSGVO halten.
3.7 Videoüberwachung öffentlich zugänglicher Räume (Art. 32 DSGVO)
Zum Zweck der Überwachung können u. U. Videokameras eingesetzt werden. Auf öffentlich zugänglichem Privatgelände ist dies nach § 4 BDSG (Art. 32 DSGVO) grundsätzlich zulässig, wenn:
■ die Videoüberwachung zur Wahrnehmung des Hausrechts oder berechtigter Interessen für konkret festgelegte Zwecke (z. B. Verhinderung von Straftaten) erforderlich ist,
■ schutzwürdige Interessen des Betroffenen