In unserer zunehmend digitalen Welt ist der Schutz persönlicher Daten und Informationen wichtiger denn je geworden. Unternehmen, die personenbezogene Daten (Beispielsweise Namen, E-Mail-Adressen und Geburtsdaten) verarbeiten oder speichern, müssen sich der rechtlichen Grenzen und Best Practices für die Datenerhebung bewusst sein, um gesetzliche Anforderungen einzuhalten und das Vertrauen ihrer Kunden zu schützen.

In diesem ausführlichen Blog-Beitrag werden wir die wichtigsten rechtlichen Regelungen und Anforderungen zur Datenerhebung, -Verarbeitung und -Speicherung darstellen und aufzeigen, wie Unternehmen Best Practices einhalten können, um gesetzliche Vorgaben zu erfüllen.

Inhaltsverzeichnis

  1. Einführung zum Datenschutzrecht
  2. Datenschutz-Grundverordnung (DSGVO)
  3. Weitere rechtliche Regelungen und Standards
  4. Rechtliche Grenzen in der Datenerhebung
  5. Best Practices für die Einhaltung der rechtlichen Vorgaben
  6. Aktuelle Gerichtsurteile und Datenschutz
  7. Häufig gestellte Fragen (FAQs)
  8. Abschließende Gedanken

1Einführung zum Datenschutzrecht

Der Schutz persönlicher Daten und Informationen ist eines der grundlegenden Rechte des Einzelnen. In vielen Ländern basiert das Datenschutzrecht auf dem Grundsatz der informationellen Selbstbestimmung, der besagt, dass jede Person grundsätzlich das Recht hat, selbst zu entscheiden, in welchem Umfang persönliche Daten erhoben, verarbeitet und weitergegeben werden.

Datenschutzverletzungen können erhebliche negative Auswirkungen auf das Leben der Betroffenen haben, sowohl im Bezug auf etwaige finanzielle Verluste als auch auf ihr emotionales Wohlbefinden. Deshalb sind Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, dazu verpflichtet, diese Daten zu schützen und sich rechtmäßig zu verhalten. Im Folgenden betrachten wir die wichtigsten internationalen Datenschutzvorschriften, die Unternehmen und Organisationen kennen müssen.

Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) ist die wohl bekannteste und umfassendste rechtliche Regelung in Bezug auf Datenschutz. Sie trat am 25. Mai 2018 in Kraft und betrifft alle Unternehmen und Organisationen, die im Europäischen Wirtschaftsraum (EWR) tätig sind oder personenbezogene Daten von EWR-Bürgern verarbeiten. Die DSGVO enthält zahlreiche Schutzvorschriften und -recht, wie etwa:

  • Recht auf informationelle Selbstbestimmung
  • Recht auf Vergessenwerden
  • Recht auf Datenübertragbarkeit
  • Recht auf Berichtigung
  • Recht auf Widerspruch gegen automatisierte Entscheidungen

Unternehmen müssen eine Vielzahl von Anforderungen erfüllen, um den DSGVO-Vorschriften zu entsprechen, wie zum Beispiel:

  • Einsetzung eines Datenschutzbeauftragten, falls erforderlich
  • Durchführung von Datenschutz-Folgenabschätzungen bei risikoreichen Datenverarbeitungstätigkeiten
  • Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde binnen 72 Stunden
  • Erstellung und Umsetzung von Datenschutzrichtlinien und -verfahren

Weitere rechtliche Regelungen und Standards

Neben der DSGVO gibt es weitere relevante Datenschutzregelungen und -standards, die für Unternehmen und Organisationen von Bedeutung sein können, je nach ihrem Tätigkeitsbereich und ihrem Verarbeitungsumfang von personenbezogenen Daten. Einige dieser Regelungen und Standards sind:

  • Bundesdatenschutzgesetz (BDSG): Für Deutschland gilt das Bundesdatenschutzgesetz, das in Teilen die DSGVO konkretisiert und ergänzt. Dieses Gesetz ist bei sämtlichen datenschutzrelevanten Sachverhalten in Deutschland zu beachten.
  • California Consumer Privacy Act (CCPA): Der CCPA ist ein US-amerikanisches Datenschutzgesetz, das Unternehmen betrifft, welche die persönlichen Daten von Personen in Kalifornien verarbeiten. Unternehmen müssen u.a. informieren, welche Daten sie erheben und wie diese genutzt werden. Die betroffenen Personen haben das Recht, die Löschung ihrer Daten zu verlangen und die Weitergabe ihrer Daten an Dritte zu beschränken.
  • Health Insurance Portability and Accountability Act (HIPAA): HIPAA ist ein US-amerikanisches Gesetz, das den Schutz von medizinischen Daten und Informationen regelt. Dieses Gesetz betrifft Unternehmen im Gesundheitsbereich und Unternehmen, die im Auftrag von solchen arbeiten, wie zum Beispiel Krankenversicherungen, medizinische Dienstleister und deren Business Associates.
  • Payment Card Industry Data Security Standard (PCI-DSS): PCI-DSS ist eine Reihe von Sicherheitsstandards für Unternehmen, welche Kreditkartendaten verarbeiten, speichern oder übertragen. Der Standard setzt Anforderungen für die sichere Handhabung von Karteninhaberdaten und die Schulung von Mitarbeitern im Umgang mit diesen sensiblen Informationen.

Rechtliche Grenzen in der Datenerhebung

Bei der Erhebung von personenbezogenen Daten müssen Unternehmen bestimmte rechtliche Vorgaben einhalten, sofern sie nicht gegen das Datenschutzrecht verstoßen wollen. Die wichtigsten rechtlichen Grenzen und Vorgaben sind:

Rechtliche Grundlage für die Verarbeitung: Unternehmen müssen für jede Verarbeitungstätigkeit personenbezogener Daten eine legitime Rechtsgrundlage nachweisen können. Dies können beispielsweise die Zustimmung der betroffenen Person, die Erfüllung eines Vertrags oder ein berechtigtes Interesse des Unternehmens sein.

Datensparsamkeit: Unter dem Grundsatz der Datensparsamkeit ist es verboten, Datenmengen zu erheben, die über das notwendige Maß für die Erfüllung der Aufgabe hinausgehen.

Transparenz: Unternehmen sind verpflichtet, betroffene Personen über die Art, den Umfang und den Zweck der Datenverarbeitung zu informieren. Dies geschieht in der Regel über transparente Datenschutzhinweise und -erklärungen.

Aufbewahrungsfristen: Unternehmen dürfen personenbezogene Daten nur für die Dauer aufbewahren, die für den Zweck der Verarbeitung notwendig ist, oder wie es gesetzlich vorgeschrieben ist.

Datensicherheit: Unternehmen müssen angemessene technische und organisatorische Maßnahmen (TOM) ergreifen, um den Schutz personenbezogener Daten zu gewährleisten. Dies umfasst die Implementierung von Datenschutzmaßnahmen wie Verschlüsselung, Firewall und Berechtigungskonzepte.

Best Practices für die Einhaltung der rechtlichen Vorgaben

Hier sind einige Best Practices, die Unternehmen befolgen sollten, um die Einhaltung der Datenschutzvorschriften sicherzustellen:

  • Kontinuierliche Schulung der Mitarbeiter: Regelmäßige Schulungen im Datenschutz für Mitarbeiter sind essenziell, um die Einhaltung der gesetzlichen Vorschriften sicherzustellen. Dadurch wird das Bewusstsein der Mitarbeiter für den Schutz personenbezogener Daten und die rechtlichen Verpflichtungen, denen das Unternehmen unterliegt, geschärft.
  • Dokumentation der Verarbeitungstätigkeiten: Unternehmen sollten ein Verzeichnis aller Verarbeitungstätigkeiten führen, das Informationen über den Zweck, die Rechtsgrundlage, die beteiligten Parteien und die ergriffenen Sicherheitsmaßnahmen enthält. Dies trägt dazu bei, die Einhaltung der datenschutzrechtlichen Anforderungen nachzuweisen.
  • Durchführung von Datenschutz-Folgenabschätzungen: Bei risikoreichen Datenverarbeitungstätigkeiten sollten Unternehmen eine Datenschutz-Folgenabschätzung durchführen, um mögliche Risiken für die betroffenen Personen zu identifizieren und geeignete Sicherheitsmaßnahmen zu ergreifen.
  • Verwendung von Datenschutz-Technologien: Unternehmen sollten innovative Technologien einsetzen, die den Schutz personenbezogener Daten ermöglichen, wie beispielsweise Verschlüsselung, Anonymisierung und Pseudonymisierung.
  • Datenschutz by Design und by Default: Datenschutzmaßnahmen sollten bereits während der Planungs- und Gestaltungsphase von Produkten, Dienstleistungen und Systemen berücksichtigt werden, um eine optimale Rechtssicherheit zu gewährleisten.

Aktuelle Gerichtsurteile und Datenschutz

Die Rechtsprechung zum Datenschutz ist vielfältig und ständig im Wandel. Hier sind einige der bemerkenswertesten aktuellen Gerichtsurteile im Bereich Datenschutz:

Max Schrems gegen Facebook (Schrems II): Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das „EU-US Privacy Shield“ für ungültig. Dies hat erhebliche Auswirkungen auf die Übermittlung personenbezogener Daten von der EU in die USA. Unternehmen müssen jetzt kritischer bei der Auswahl von Dienstleistern und deren Verarbeitung von EU-Daten vorgehen.

Google gegen CNIL (Cookie-Urteil): Am 10. März 2021 entschied der EuGH, dass das Setzen von Cookies eine aktive Einwilligung der Nutzer erfordert. Vorangekreuzte Kästchen oder Zustimmung durch bloßes Weitersurfen auf einer Website genügen nicht.

Planet49 (E-Mail-Marketing): Am 1. Oktober 2019 entschied der EuGH, dass für das Versenden von E-Mail-Werbung ohne Zustimmung der Empfänger eine ausdrückliche Einwilligung erforderlich ist. Die Entscheidung bestätigt, dass Unternehmen innerhalb der EU in jeder Hinsicht klare, transparente und leicht zugängliche Informationen zur Verfügung stellen müssen, wenn sie Einwilligungen einholen.

Häufig gestellte Fragen (FAQs)

Was bedeutet DSGVO?

DSGVO steht für Datenschutz-Grundverordnung, die in der ganzen Europäischen Union ab dem 25. Mai 2018 angewandt wird. Sie stellt ein übergreifendes Datenschutzrecht innerhalb der EU bereit und legt Regeln für die Verarbeitung personenbezogener Daten von natürlichen Personen, welche in der EU ansässig sind, fest.

Welche Rechte haben betroffene Personen unter der DSGVO?

Die DSGVO räumt betroffenen Personen verschiedene Rechte ein, darunter das Recht auf informationelle Selbstbestimmung, das Recht auf Vergessenwerden, das Recht auf Datenübertragbarkeit, das Recht auf Berichtigung und das Recht auf Widerspruch gegen automatisierte Entscheidungen.

Wann muss ein Unternehmen einen Datenschutzbeauftragten bestellen?

Ein Datenschutzbeauftragter (DSB) muss bestellt werden, wenn die Kerntätigkeit des Unternehmens oder einer Organisation die systematische und umfangreiche Überwachung von Personen oder die Verarbeitung sensibler personenbezogener Daten oder von Datenverarbeitungen umfasst, bei denen ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.

Abschließende Gedanken

Die Einhaltung der rechtlichen Grenzen und Best Practices im Datenschutz ist für Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, unerlässlich. Gesetze wie die DSGVO, BDSG, CCPA und HIPAA stellen hohe Anforderungen an die Verarbeitung, Speicherung und Übermittlung solcher Informationen. Durch kontinuierliche Schulung der Mitarbeiter, Einsatz von Datenschutz-Technologien, Umsetzung von Datenschutz by Design und by Default und regelmäßige Überprüfung der Einhaltung von Verfahren und Vorschriften können Unternehmen gesetzliche Anforderungen erfüllen und das Vertrauen ihrer Kunden schützen.

Wir hoffen, dass dieser umfassende Blog-Beitrag Ihnen bei der Navigierung durch das komplexe Gebiet der Datenerhebungs- und Datenschutzvorschriften hilfreich ist. Denken Sie daran, dass die Einhaltung dieser Gesetze und Standards nicht nur die Reputation Ihres Unternehmens schützt, sondern auch die Sicherheit der personenbezogenen Daten Ihrer Kunden und Benutzer gewährleistet. Sollten Sie weitere rechtliche Unterstützung oder Datenschutzberatung benötigen, zögern Sie nicht, einen erfahrenen Rechtsanwalt oder Datenschutzexperten zu Rate zu ziehen.

Unsere Rechtsanwälte stehen Ihnen bundesweit und im deutschsprachigen Ausland zur Verfügung.

Philipp Franz Rechtsanwalt

Philipp Franz | Rechtsanwalt | Associate

Anwalt Wolfgang Herfurtner Hamburg - Wirtschaftsrecht

Wolfgang Herfurtner | Rechtsanwalt | Geschäftsführer | Gesellschafter

Rechtsanwalt Arthur Wilms - Kanzlei Herfurtner

Arthur Wilms | Rechtsanwalt | Associate

Kundenbewertungen & Erfahrungen zu Herfurtner Rechtsanwälte. Mehr Infos anzeigen.

Aktuelle Beiträge aus dem Rechtsgebiet IT-Recht