Rechtliche Grundlagen des Datenschutzes
In dieser Lerneinheit befasst du dich mit den wichtigsten internationalen Datenschutzgesetzen und -abkommen, die für die grenzüberschreitende Datenverarbeitung relevant sind. Du lernst die rechtlichen Rahmenbedingungen für den internationalen Datentransfer kennen und verstehst, welche Anforderungen bei der Übermittlung personenbezogener Daten ins Ausland zu beachten sind. Dieses Wissen ist besonders wichtig für die Arbeit mit Cloud-Diensten und internationalen Geschäftspartnern.
Einführung
Stell dir vor, dein Unternehmen bekommt einen Brief von der Datenschutzbehörde. Die Forderung: 20 Millionen Euro Strafe. Der Grund? Ein Fehler in der Verarbeitung von Kundendaten, der als schwerwiegender Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) eingestuft wurde.

Solche Summen kommen vor und zeigen: Datenschutz ist kein Nebenschauplatz, sondern eine zentrale rechtliche Anforderung mit enormer wirtschaftlicher Tragweite. Doch welche Gesetze stecken genau dahinter und was musst du beachten, um solche Risiken zu vermeiden?
Um dich und dein Unternehmen vor den genannten Risiken zu schützen, müssen wir die rechtlichen Grundlagen verstehen. In dieser Lerneinheit befassen wir uns daher mit den zwei wichtigsten Regelwerken: der europaweiten Datenschutz-Grundverordnung (DSGVO) und dem ergänzenden deutschen Bundesdatenschutzgesetz (BDSG). Du wirst lernen, welche Rechte Einzelpersonen haben und welche konkreten Pflichten sich daraus für dich in der Praxis ergeben.
Lernziele
Nach dieser Lerneinheit kannst du:
- Erklären, wie die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) zusammenwirken und welche Rolle die Öffnungsklauseln spielen.
- Die zentralen Rechte von betroffenen Personen (wie Auskunft, Löschung und Widerspruch) benennen und deren Bedeutung für den Einzelnen erläutern.
- Die wichtigsten Pflichten von Unternehmen (wie Privacy by Design, Technische und Organisatorische Maßnahmen und Meldepflichten) beschreiben und deren Zweck begründen.
- Die potenziellen Konsequenzen bei Datenschutzverstößen, insbesondere die Höhe möglicher Bußgelder, einordnen.
Überleitung
In diesem ersten Teil lernst du die fundamentalen Regeln kennen, die für jede Verarbeitung von personenbezogenen Daten gelten. Wir schauen uns die allgemeinen Datenschutzprinzipien an, die das Grundgerüst bilden, und die spezifischen rechtlichen Grundlagen, die eine Verarbeitung überhaupt erst erlauben. Diese beiden Bereiche sind entscheidend, um die Logik der DSGVO zu verstehen.
Die Grundprinzipien der Datenverarbeitung (Art. 5 DSGVO)
Du hast in der letzten Lerneinheit bereits die sieben zentralen Prinzipien der DSGVO kennengelernt. Diese musst du als verbindliche Grundregeln für jeden Umgang mit personenbezogenen Daten ansehen, da sie die Basis für alle weiteren Anforderungen bilden.
Wiederholen wir diese kurz:
| Prinzip | Kernaussage |
|---|---|
| Rechtmäßigkeit, Transparenz | Verarbeite Daten nur gesetzeskonform und informiere die Betroffenen stets klar über Zweck und Nutzung. |
| Zweckbindung | Nutze Daten ausschließlich für den festgelegten, legitimen Zweck. Keine nachträgliche Zweckänderung. |
| Datenminimierung | Erhebe nur die Daten, die tatsächlich für den angegebenen Zweck erforderlich sind. |
| Richtigkeit | Halte Daten korrekt und aktuell. Berichtige oder lösche fehlerhafte Daten umgehend. |
| Speicherbegrenzung | Speichere Daten nur so lange wie nötig. Lösche oder anonymisiere sie, sobald der Zweck entfällt. |
| Integrität & Vertraulichkeit | Schütze Daten aktiv vor unbefugtem Zugriff, Verlust und Zerstörung durch technische und organisatorische Maßnahmen. |
| Verantwortlichkeit (Accountability) | Weise jederzeit nach, dass du alle Datenschutz-Grundsätze einhältst (Dokumentationspflicht). |
Die Rechte der betroffenen Personen (Art. 15–22 DSGVO)
Nachdem du nun weißt, auf welchen Prinzipien die DSGVO beruht und wann eine Verarbeitung rechtmäßig ist, befassen wir uns mit den konkreten Auswirkungen.
Die Rechte der betroffenen Personen (Art. 15–22 DSGVO)
Die DSGVO stärkt die Position der Personen, deren Daten verarbeitet werden (die “Betroffenen”), indem sie ihnen eine Reihe von durchsetzbaren Rechten gewährt. Diese ermöglichen es ihnen, die Kontrolle über ihre eigenen Daten zu behalten und auszuüben.
-
Recht auf Auskunft Jede Person kann von dir eine Bestätigung darüber verlangen, ob du ihre Daten verarbeitest. Ist dies der Fall, hat sie Anspruch auf eine Kopie dieser Daten sowie auf detaillierte Informationen über Zweck, Empfänger und Speicherdauer.
-
Recht auf Berichtigung Betroffene können von dir verlangen, dass du unrichtige personenbezogene Daten unverzüglich korrigierst oder unvollständige Daten vervollständigst.
-
Recht auf Löschung („Recht auf Vergessenwerden“) Unter bestimmten Voraussetzungen müssen die Daten auf Verlangen der betroffenen Person gelöscht werden. Das ist zum Beispiel der Fall, wenn der Zweck der Verarbeitung entfällt, die Einwilligung widerrufen wird oder die Daten unrechtmäßig verarbeitet wurden.
Die Rechte der betroffenen Personen (Art. 15–22 DSGVO)
-
Recht auf Einschränkung der Verarbeitung In bestimmten Fällen kann eine Person verlangen, dass ihre Daten vorübergehend nur noch eingeschränkt verarbeitet (also gespeichert, aber nicht weiter genutzt) werden. Das gilt zum Beispiel, solange die Richtigkeit der Daten bestritten und geprüft wird.
-
Recht auf Datenübertragbarkeit Betroffene können verlangen, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie können auch fordern, dass du diese Daten direkt an einen anderen Verantwortlichen (z. B. einen neuen Anbieter) übermittelst.
-
Recht auf Widerspruch Jede Person kann jederzeit gegen die Verarbeitung ihrer Daten Widerspruch einlegen, wenn diese auf Grundlage eines berechtigten oder öffentlichen Interesses erfolgt. Nach einem Widerspruch darfst du die Daten in der Regel nicht mehr verarbeiten.
-
Recht auf Nichtunterworfenwerden einer ausschließlich automatisierten Entscheidung Personen dürfen keiner Entscheidung unterworfen werden, die ausschließlich auf einer automatisierten Verarbeitung (z. B. Profiling durch einen Algorithmus) basiert und eine rechtliche Wirkung für sie entfaltet oder sie erheblich beeinträchtigt.
Die Pflichten der Verantwortlichen
Aus den Prinzipien und Rechten ergeben sich für dich als Verantwortlichen konkrete Pflichten. Diese stellen sicher, dass der Datenschutz nicht nur auf dem Papier existiert, sondern in der Praxis konsequent umgesetzt wird.
-
Privacy by Design und Privacy by Default Du musst den Datenschutz von Beginn an in die Konzeption und Entwicklung von IT-Systemen und Geschäftsprozessen integrieren (Privacy by Design). Zudem müssen die Voreinstellungen deiner Systeme immer datenschutzfreundlich sein, sodass standardmäßig nur die für den Zweck unbedingt notwendigen Daten verarbeitet werden (Privacy by Default).
-
Dokumentations- und Nachweispflichten Du bist verpflichtet, alle deine Verarbeitungstätigkeiten zu dokumentieren, typischerweise in einem Verzeichnis von Verarbeitungstätigkeiten. Auf Anfrage musst du der Aufsichtsbehörde damit nachweisen können, dass du die Vorgaben der DSGVO einhältst.
Die Pflichten der Verantwortlichen
-
Meldepflichten bei Datenschutzverletzungen Wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt (z. B. durch einen Hackerangriff, Datenverlust oder unbefugten Zugriff), musst du diese Panne grundsätzlich innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden. Besteht ein hohes Risiko für die Betroffenen, musst du auch diese direkt informieren.
-
Informationspflichten Du musst betroffene Personen transparent, präzise und in leicht verständlicher Sprache über die Verarbeitung ihrer Daten informieren. Diese Informationen umfassen unter anderem deine Identität als Verantwortlicher, die Zwecke der Verarbeitung und die Rechte, die den Personen zustehen.
Verpflichtungen für Unternehmen nach DSGVO
Unternehmen müssen angemessene Maßnahmen ergreifen, um Datenschutz und Compliance mit der DSGVO zu gewährleisten. Die wichtigsten Anforderungen sind:
-
Technische und organisatorische Maßnahmen (TOMs, Art. 32 DSGVO):
- Unternehmen müssen geeignete Maßnahmen zum Schutz personenbezogener Daten implementieren (z. B. Verschlüsselung, Zugriffskontrolle, regelmäßige Backups und Wiederherstellungskonzepte).
- Beispiel: Der Zugriff auf sensible Kundendaten wird durch eine 2-Faktor-Authentifizierung und Verschlüsselung gesichert.
-
Einhaltung der Grundsätze der Datenverarbeitung (Art. 5 DSGVO):
- Verarbeitung personenbezogener Daten nur auf rechtmäßige, transparente und zweckgebundene Weise. Datenminimierung und Speicherbegrenzung müssen sichergestellt werden.
- Beispiel: Nur für einen konkreten Bewerbungsprozess erforderliche Daten werden erhoben und nach Abschluss gelöscht.
Verpflichtungen für Unternehmen nach DSGVO
-
Dokumentationspflichten (Art. 30 DSGVO):
- Unternehmen müssen ein Verzeichnis der Verarbeitungstätigkeiten führen. Dieses enthält unter anderem die Zwecke der Verarbeitung, Kategorien der Daten und Betroffenen, Löschfristen und technische sowie organisatorische Maßnahmen.
-
Datenschutz-Folgenabschätzung (DPIA, Art. 35 DSGVO):
- Bei Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen ist eine Folgenabschätzung durchzuführen (z. B. bei umfangreichem Profiling oder Verarbeitung sensibler Daten).
-
Benennung eines Datenschutzbeauftragten (DPO, Art. 37 DSGVO):
- Ein DPO muss bestellt werden, wenn die Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder ein systematisches Monitoring umfasst. Kleinere Unternehmen ohne diese Merkmale benötigen in der Regel keinen DPO.
Sanktionen bei Verstößen
Bußgelder (Art. 83 DSGVO):
- Schwere Verstöße: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
- Geringere Verstöße: Bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes.
Anwendungsbereich außerhalb der EU (Art. 3 DSGVO)
Die DSGVO gilt auch für Unternehmen außerhalb der EU, sofern sie Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten innerhalb der EU beobachten (Monitoring).
Beispiel: Ein US-Unternehmen betreibt eine Online-Plattform, die gezielt EU-Bürger anspricht oder ihr Nutzungsverhalten analysiert. Auch dieses Unternehmen muss die DSGVO einhalten.
Überleitung
Du hast bereits die Grundlagen der europaweit geltenden Datenschutz-Grundverordnung (DSGVO) kennengelernt. Nun schauen wir uns an, wie Deutschland diese europäischen Vorgaben ergänzt und konkretisiert. Hier kommt das Bundesdatenschutzgesetz (BDSG) ins Spiel, das zentrale Datenschutzgesetz für Deutschland, das seit dem 25. Mai 2018 in seiner neuen Fassung gilt.
Anwendungsbereich: Wann gilt das BDSG?
Das BDSG funktioniert als eine Art Ergänzung zur DSGVO. Die DSGVO ist das übergeordnete europäische Gesetz, aber sie enthält an vielen Stellen sogenannte Öffnungsklauseln. Diese Klauseln erlauben den EU-Mitgliedstaaten, für bestimmte Bereiche eigene, spezifischere Regeln zu erlassen. Das BDSG füllt genau diese Spielräume für Deutschland aus und gilt daher für öffentliche Stellen und private Unternehmen, die hierzulande personenbezogene Daten verarbeiten.
Wichtige Schwerpunkte des BDSG
Das BDSG konkretisiert einige allgemeine Anforderungen der DSGVO und setzt für Deutschland eigene Maßstäbe. Die folgenden Punkte sind besonders wichtig, um die Rolle des BDSG zu verstehen.
- Benennung von Datenschutzbeauftragten
Das BDSG legt fest, wann genau ein Unternehmen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen muss. Laut § 38 BDSG ist dies in der Regel der Fall, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
- Eine Pflicht zur Benennung besteht ebenfalls, wenn Verarbeitungen stattfinden, die eine Datenschutz-Folgenabschätzung erfordern, oder wenn besondere Kategorien von Daten (z. B. Gesundheitsdaten) geschäftsmäßig verarbeitet werden.
Wichtige Schwerpunkte des BDSG
-
Umgang mit besonderen Kategorien personenbezogener Daten Für besonders sensible Daten, wie Gesundheitsdaten oder Informationen zur sexuellen Orientierung, gelten ohnehin schon strenge Regeln. Das BDSG präzisiert diese Anforderungen weiter und definiert, unter welchen konkreten Bedingungen eine Verarbeitung dieser Daten in Deutschland zulässig ist.
-
Ergänzung der Betroffenenrechte Die DSGVO gewährt betroffenen Personen umfangreiche Rechte. Das BDSG ergänzt diese und trifft spezifische Regelungen, beispielsweise bei der Ausgestaltung von Informationspflichten oder der Ausübung von Widerspruchsrechten in bestimmten Kontexten.
-
Datenübermittlung in Drittstaaten Auch bei der Übermittlung von Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) macht das BDSG spezifische Vorgaben. Es bekräftigt die Regel, dass eine solche Weitergabe nur erlaubt ist, wenn im Zielland ein angemessenes Datenschutzniveau herrscht oder wenn spezielle Schutzmechanismen, wie zum Beispiel Standardvertragsklauseln, zum Einsatz kommen.
Nationale Besonderheiten und konkrete Anwendungsfälle
Nachdem du die allgemeine Funktion des BDSG kennengelernt hast, schauen wir uns nun ganz konkrete Bereiche an, in denen Deutschland von den Öffnungsklauseln der DSGVO Gebrauch gemacht hat. Diese nationalen Besonderheiten sind für die tägliche Praxis entscheidend, da sie spezifische Lebens- und Arbeitsbereiche betreffen.
Der Beschäftigtendatenschutz
Ein sehr wichtiger und praxisrelevanter Bereich ist der Datenschutz im Arbeitsverhältnis. Das BDSG regelt detailliert, wie personenbezogene Daten von Beschäftigten verarbeitet werden dürfen. Dies umfasst den gesamten Lebenszyklus eines Arbeitsverhältnisses, von der Verarbeitung von Bewerbungsunterlagen über die Durchführung bis hin zur Beendigung des Arbeitsverhältnisses.
Nationale Besonderheiten und konkrete Anwendungsfälle
Scoring und Bonitätsprüfung
Ein weiteres spezifisches Feld betrifft das Scoring. Wenn Unternehmen die Kreditwürdigkeit einer Person bewerten wollen, dürfen sie dafür nicht einfach beliebige mathematisch-statistische Verfahren anwenden. Das BDSG definiert klare Bedingungen, unter denen solche Verfahren zur Bonitätsprüfung zulässig sind, um die Rechte der betroffenen Personen zu wahren.
Videoüberwachung öffentlich zugänglicher Räume
Für die Videoüberwachung von Orten, die öffentlich zugänglich sind – wie zum Beispiel Bahnhöfe, Eingangsbereiche von Geschäften oder Einkaufszentren –, gelten nach dem BDSG ebenfalls besondere Regeln. Das Gesetz schränkt die Beobachtung ein und schreibt klare Transparenzpflichten vor, zum Beispiel durch gut sichtbare Hinweisschilder.
Einwilligung von Minderjährigen
Die DSGVO legt ein Einwilligungsalter von 16 Jahren fest, erlaubt den Mitgliedstaaten aber Abweichungen. Deutschland hat diese Möglichkeit nicht genutzt und bestätigt in § 8 BDSG das Mindestalter von 16 Jahren für eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten, zum Beispiel bei der Nutzung von Online-Diensten. Jugendliche unter 16 Jahren benötigen somit die Zustimmung ihrer Eltern.
Zusammenfassung und Ausblick
Zusammenfassung
Du hast in dieser Lerneinheit die zentralen Rechte, Pflichten und nationalen Besonderheiten des Datenschutzes kennengelernt. Damit verfügst du über das Wissen, um die praktische Umsetzung von Datenschutzanforderungen in Unternehmen nachzuvollziehen und einzuordnen.
Du kannst nun die entscheidenden Rechte der betroffenen Personen nach der DSGVO erklären. Dazu gehören:
- Das Recht auf Auskunft, um zu erfahren, ob und welche Daten verarbeitet werden.
- Das Recht auf Berichtigung bei fehlerhaften Daten.
- Das Recht auf Löschung, wenn der Zweck der Verarbeitung entfällt.
- Das Recht auf Einschränkung der Verarbeitung in bestimmten Situationen.
- Das Recht auf Datenübertragbarkeit, um Daten zu einem anderen Anbieter mitzunehmen.
- Das Widerspruchsrecht gegen bestimmte Verarbeitungen.
- Das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden.
Diesen Rechten stehen die Pflichten der Verantwortlichen gegenüber, die du jetzt benennen kannst. Du weißt, dass Datenschutz durch Privacy by Design (von Anfang an integriert) und Privacy by Default (datenschutzfreundliche Voreinstellungen) technisch und organisatorisch verankert sein muss. Zudem kennst du die Dokumentationspflichten (Verzeichnis von Verarbeitungstätigkeiten), die Meldepflichten bei Datenpannen und die umfassenden Informationspflichten gegenüber den Betroffenen.
Du verstehst außerdem die konkreten Anforderungen an Unternehmen:
- Die Notwendigkeit von Technischen und Organisatorischen Maßnahmen (TOMs) wie Verschlüsselung und Zugriffskontrollen.
- Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) bei riskanten Verarbeitungen.
- Die Kriterien zur Benennung eines Datenschutzbeauftragten (DSB).
- Die drastischen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bei schweren Verstößen.
Schließlich hast du gelernt, dass das Bundesdatenschutzgesetz (BDSG) die DSGVO nicht ersetzt, sondern ergänzt. Es nutzt Öffnungsklauseln der DSGVO, um spezifische Regeln für Deutschland festzulegen. Du kannst jetzt erklären, dass das BDSG beispielsweise die Schwelle für die Benennung eines Datenschutzbeauftragten auf 20 Personen festlegt und spezielle Regelungen für den Beschäftigtendatenschutz, das Scoring und die Videoüberwachung trifft.
Ausblick:
Nachdem du nun die Rechte der Betroffenen und die Pflichten der Unternehmen kennst, fragst du dich vielleicht, auf welcher Grundlage all diese Regeln beruhen. Die Antwort darauf kennst du bereits teilweise durch die Grundsätzen der Datenverarbeitung nach Art. 5 DSGVO. In der nächsten Lektion werden wir uns diese fundamentalen Prinzipien wie Zweckbindung, Datenminimierung und Speicherbegrenzung im Detail ansehen, denn sie sind die Basis für jede rechtmäßige Datenverarbeitung.