Ziele des Datenschutzes

Nein, das soll keine weitere neue Serie „Grundlagen des Datenschutzes“ sein. Der Titel ließe dies vermuten, jedoch ist die Intention eine etwas andere.

Durch den kürzlichen Besuch einer Informationsveranstaltung zum Thema „Datenschutz unter dem Eindruck der DSGVO“ wurde mir bewusst, wie unterschiedlich einige der Grundbegriffe der Datenschutz-Grundverordnung ausgelegt werden. Vordergründig soll mit diesem kleinen Beitrag Aufklärung und Abgrenzung bestimmter Begrifflichkeiten der DSGVO betrieben werden. Und wer weiß, vielleicht wird es am Ende doch eine Serie…

Räumlicher Anwendungsbereich

Bevor wir zu der Frage kommen „Was macht eigentlich der Datenschutz für uns und wofür dient das Ganze?“, möchte ich den räumlichen Anwendungsbereich der seit dem 25.05.2018 vollumfänglich geltenden Datenschutz-Grundverordnung erläutern.

Erstens:

Die DSGVO gilt für alle staatlichen Stellen und Unternehmen, die ihren Sitz oder eine Niederlassung in der EU haben. Dies ist unabhängig davon, wo die eigentliche Datenverarbeitung stattfindet (Artikel 3 Absatz 1 DSGVO).

Zweitens:

Die DSGVO gilt für alle staatlichen Stellen und Unternehmen, die ihren Sitz in einem Drittstaat (nicht EU) haben, wenn Waren oder Dienstleistungen (entgeltlich oder unentgeltlich) in der EU angeboten werden (Artikel 3 Absatz 2a DSGVO) oder das Verhalten von in der EU befindlichen Personen beobachtet werden soll (Artikel 3 Absatz 2b DS-GVO).

Hinsichtlich des räumlichen Anwendungsbereiches ist es zudem wichtig zu wissen, dass sich die Regelungen im europäischen Datenschutz auf alle Staaten der EU und des europäischen Wirtschaftsraums (EWR) beziehen. Der EWR besteht aus den EU-Staaten, ergänzt durch Island, Lichtenstein und Norwegen.

Gegenstand und Ziele des Datenschutzes und der sachliche Anwendungsbereich

Was schützt der Datenschutz eigentlich?

Dies ist in Artikel 1 Absatz 1 der DSGVO geregelt. Datenschutz schützt „natürliche Personen bei der Verarbeitung personenbezogener Daten“, sowie den freien Verkehr solcher (personenbezogener) Daten“.

Ferner möchte der Datenschutz „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Artikel 1 Absatz 2 der DSGVO) schützen.

Dabei gilt Datenschutz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“ (Artikel 2 Absatz 1 DSGVO).

Der Datenschutz hat seinen Anwendungsbereich nicht für natürliche Personen „zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ (Artikel 2 Absatz 2c DSGVO).

Wann benötige ich als Unternehmen eigentlich einen Datenschutzbeauftragten?

Europaweite Benennungspflicht

Ein Datenschutzbeauftragter muss gemäß Artikel 37 DS-GVO benannt werden, wenn …

  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und / oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO (dies umfasst: die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht.

Ergänzend ist eine freiwillige Benennung immer möglich. Die macht in vielen Fällen auch Sinn. Hier sei noch einmal auf den Anwendungsbereich verwiesen: z. B. muss jedes Unternehmen, welches seinen Sitz oder eine Niederlassung in der EU hat oder seine Dienstleistungen EU-Bürgern anbietet, der DSGVO entsprechen. Ein Datenschutzbeauftragter kann diesbezüglich beraten und unterstützen.

Benennungspflichten durch nationale Gesetze

Ergänzend gibt es zusätzliche Benennungspflichten durch nationale Gesetze, die ich am Beispiel „Deutschland“ kurz aufführen möchte.

Ein Datenschutzbeauftragter muss ergänzend gemäß § 38 BDSG benannt werden, wenn:

  • das Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt,
  • Verarbeitungen vorgenommen werden, welche einer Datenschutz-Folgenabschätzung gemäß DSGVO unterliegen,
  • ein Unternehmen geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung durchführt.

Soll oder muss ein Datenschutzbeauftragter benannt werden, so ist der Verantwortliche bzw. Auftragsverarbeiter dafür verantwortlich, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der zuständigen Aufsichtsbehörde mitzuteilen.