Änderungen in der praktischen sozialen Arbeit durch die DSGVO

Inhaltsverzeichnis

1. Einleitung

2. Historische Entwicklung des Datenschutzes

3. Die Datenschutzgrundverordnung

4. Datenschutzrechtliche Bestimmungen der DSGVO
4.1 Allgemeine Regelungen
4.2 Die Grundsätze

5. Fazit

Literaturverzeichnis

1. Einleitung

Datenschutz ist aufgrund der schnellen Fortschritte und Entwicklungen neuer technischer Innovationen sowie durch die fortschreitende Digitalisierung und korrespondierende Globalisierung ein sehr dynamisches Rechtsfeld.¹ Damit gehen große Herausforderung v.a. seitens der Unternehmen einher, ihre Organisationsstruktur, Prozesse und Dokumente an neue rechtliche Vorgaben anzupassen.²

Die Datenschutzgrundverordnung (DSGVO) hat ebenfalls so einen Prozess ausgelöst. Die DSGVO umfasst weitreichende Regelungen gekoppelt mit abstrakten Ausführungen mit nur wenigen weiterführenden Hinweisen durch die europäischen Datenschutzbehörden – diese sind ebenfalls abstrakt und daher wenig praxistauglich. Zudem liegt ihnen meistens eine (besonders) strenge Auslegung der DSGVO zugrunde, was die Anpassung weiter erschwert.³ Grundsätzlich zeichnet sich der Datenschutz durch die DSGVO im Moment also durch Umsetzungsdefizite aus.

Daraus ergibt sich Handlungsbedarf seitens der Gesetzgeber, der Gerichte sowie der Datenschutzaufsichtsbehörden, mit Entscheidungs-, Orientierungshilfen, Stellungnahmen, Urteilen und Beschlüssen zur Definition unbestimmter Rechtsbegriffe beizutragen und weitere Konkretisierungen zu schaffen, womit sie ihren Teil zur verbesserten Datenschutzpraxis und Entwicklung von „Best Practices“ beitragen werden.⁴ Aufgrund der Dauer dieser Verfahren wird die DSGVO uns daher noch lange beschäftigen. Bis die genannten Institutionen soweit sind, müssen Unternehmen, die ihre Prozesse an die DSGVO anpassen (müssen), in Eigenregie die Relevanz der eigenen Datenverarbeitung ermitteln und notwendige Anpassungen ableiten und umsetzen.⁵

Neben der staatlichen Verantwortung sowie der Verantwortung eines jeden Unternehmens ist es in der Praxis insbesondere Aufgabe der Datenschutzbeauftragten, Lösungen für diese Defizite zu erarbeiten, was sie vor enorme Herausforderung stellt: Sie müssen sich mit dem Fragenkomplex beschäftigen, wie die DSGVO am schnellsten, besten und nachhaltigsten, mit möglichst wenig negativen Unternehmensfolgen in Abhängigkeit von finanziellen und personellen Ressourcen unter Berücksichtigung der Akzeptanz der neu einzuführenden Vorschriften im Unternehmen umsetzbar ist. Im Klartext heißt das, schnell, günstige, passende, praxistaugliche Umsetzungsmöglichkeiten finden und einführen.⁶

Hierbei möchte ich unseren Datenschutzbeauftragten unterstützen. Nach einem kurzen Exkurs in die historische Entwicklung des Datenschutzes, wird im darauffolgenden Kapitel die DSGVO vorgestellt, gleichzeitig werden Gemeinsamkeiten und Unterschiede zu den vorherigen Regelungen herausgearbeitet. Vorgestellt werden allerdings nur die Regelungen, die im Rahmen der Forschung in Kapitel 5, und damit für die praktische Soziale Arbeit vor Ort, relevant sind. Abschließend wird ein Fazit gezogen.

2. Historische Entwicklung des Datenschutzes

Als Geburtsjahr des Datenschutzes gilt das Jahr 1890: Die britischen Juristen Samuel D. Warren und Louis Brandeis begründeten mit ihrem Artikel „The Right to Privacy“, welches im Bostoner Harvard Law Review erschien, ein „Recht auf Privatsphäre“.⁷ Darin forderten sie letztendlich die Berücksichtigung von Erforderlichkeit, Zweckbindung und Verhältnismäßigkeit bei der Datenerhebung und -Verarbeitung, die auch heute die Grundlagen des Datenschutzes bilden und daher in Kapitel 4.2 näher erläutert werden.

Die erste deutsche datenschutzrechtliche Verankerung fand 1919 statt: Durch die Weimarer Reichsverfassung wurden Eingriffe in den Kommunikationsverkehr, was damals auf die Post beschränkt war, untersagt.⁸ Fast 30 Jahre später wurde durch die Allgemeine Erklärung der Menschenrechte (AEMR), die insbesondere aufgrund des 2. Weltkrieges verabschiedet wurde, das Recht auf Privatsphäre auf internationaler Ebene implementiert: „Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden. Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen“⁹.

Zwei Jahre später wurde 1950 dieses Recht mit ähnlichem Wortlaut durch die Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK) in das europäische Recht aufgenommen. Der dort formulierte Art. 8 I EMRK trat 1953 in Kraft¹⁰ und ist seitdem von jedem EU-Bürger und von jedem EU-Mitgliedstaat beim Europäischen Gerichtshof für Menschenrechte (EGMR) einforderbar.¹¹

In Deutschland ist daran anschließend Hessen Vorreiter mit dem 1. (hessischen) Datenschutzgesetz aus dem Jahr 1970. Erst sieben Jahre darauf folgte das bundeseinheitliche Bundesdatenschutzgesetz (BDSG).¹² Auf Grundlage der Sozialdatenschutzentscheidung des Bundesverfassungsgerichts von 1983 wurde mit den Grundrechten der Menschenwürde¹³ und der freien Persönlichkeitsentfaltung¹⁴ später das Grundrecht auf informationelle Selbstbestimmung in Deutschland geschaffen.

In dem Urteil wurde das Recht auf informationelle Selbstbestimmung, was damals noch nicht so hieß, erstmalig als „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“¹⁵ (legal-) definiert. Dieses Grundrecht wiederum dient seitdem als Grundlage aller deutschen Datenschutzgesetze.¹⁶

Mit diesen Voraussetzungen auf internationaler, europäischer und vor Allem nationaler Ebene wurde 2010 der Vertrag von Lissabon über die Arbeitsweise der Europäischen Union (AEUV) geschlossen. Dieser verpflichtet die EU-Gesetzgeber u.a. zu umfassenden Datenschutzregelungen für die EU-Gemeinschaft¹⁷, die durch den globalen Datenverkehrsanstieg, die Verbreitung des Internets und durch technischen Fortschritt zunehmend an Bedeutung gewinnen.¹⁸ Dabei hielten sie fest, dass eine (Voll-) Harmonisierung der Mitgliedstaatengesetze notwendig und im Sinne aller Mitgliedstaaten sei, um einheitliche Wettbewerbsgrundsätze innerhalb des europäischen Marktes zu schaffen und um damit verbundenen steigenden Anforderungen an den Datenschutz gerecht zu werden.¹⁹

3. Die Datenschutzgrundverordnung

1958 wurde die EU als Wirtschaftsgemeinschaft gegründet. Eines der wichtigsten Ziele war somit die effektive Ausübung des gemeinsamen Binnenmarkts. Aufgrund der fortschreitenden Globalisierung und des technischen Fortschritts, der den Zugriff von Dritten auf personenbezogene Daten erweitert und erleichtert hat, gehen heutzutage damit jedoch erhebliche datenschutzrechtliche Bedenken einher: Einerseits soll der Datenaustausch zugunsten des Binnenmarktes (weiterhin) erleichtert werden, andererseits müssen dies regelnde Gesetze mit hohem Datenschutzniveau korrespondieren.²⁰ Dies ist dem Grundrecht der informationellen Selbstbestimmung geschuldet, welches besagt, dass natürliche Personen die Kontrolle über ihre Daten behalten sollen, was auf EU-Ebene durch einen soliden, kohärenten und vor allem klar durchsetzbaren Rechtsrahmen ermöglicht werden soll.²¹

Um dem Ziel der (Voll-) Harmonisierung der bis dahin individuellen nationalen Gesetze näher zu kommen wurde, vier Jahre nach dem ersten Entwurf, 2015 die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, allen bekannt als „Datenschutzgrundverordnung“ (DSGVO) in seiner jetzigen Fassung beschlossen. Nach der zweijährigen Übergangszeit trat sie im Mai 2018 in Kraft. In den Erwägungsgründen des Europäischen Parlamentes und des Rates zur DSGVO (EWG) werden die jeweiligen Gesetze der DSGVO zusätzlich gerechtfertigt und weiter ausgeführt.

In der Übergangszeit ist es dem deutschen Gesetzgeber (nur) gelungen, das BDSG an die DSGVO mit dem „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“²² anzupassen. Dieses Anpassungsgesetz wurde am 5. Juli 2017 veröffentlicht und trat, wie das dadurch angepasste BDSG, mit der DSGVO am 25. Mai 2018 in Kraft.²³ Das Niedersächsische Datenschutzgesetz (NDSG) wurde lediglich für öffentliche Behörden und Organe, und damit nur teilweise, angepasst. Damit einher ging eine Erklärung der Landesbeauftragten für den Datenschutz, dass bereits im Gesetzanpassungsverfahren erhebliche Lücken und Umsetzungsschwierigkeiten diesbezüglich sichtbar wurden.²⁴

In EWG (1) wird auf diverse europäische Regelungen verwiesen, die als Grundlage der DSGVO dienen. So auch auf das Grundrecht auf Schutz natürlicher Personen bei der Datenverarbeitung²⁵ sowie auf den Schutz von Daten allgemein²⁶. Hierin liegt die Grundlage für die EU-Ermächtigung zum Erlassung von Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung (ihrer) personenbezogenen Daten und zum freien Verkehr dieser²⁷ mit dem Zusatz, das die Einschränkung und der Verbot des freien Verkehrs von Daten nicht erlaubt ist²⁸, da das Funktionieren des Binnenmarktes vom Datenaustausch abhängig sei.²⁹

Durch die dadurch begünstigte globale Zunahme des Datenverkehrs müssen die Mitgliedstaaten zusammenarbeiten, um die datenschutzrechtlichen Aufgaben effektiv wahrzunehmen/übernehmen zu können. Hierzu verpflichtet die DSGVO,³⁰ sodass der Datenschutz unabhängig von der Staatsangehörigkeit, des Aufenthaltsortes und des Wohnsitzes im Sinne der EU- Freizügigkeit gewährleistet sein muss.³¹ Damit verliert der (Stand-) Ort der Datenverarbeitung an Relevanz – und die EU-Zugehörigkeit des betroffenen Menschen rückt in den Vordergrund.³²

Deshalb wurde darüber hinaus der Rechtscharakter der Verordnung³³ gewählt, sodass die DSGVO in jedem Mitgliedstaat unmittelbar gültig ist und die Mitgliedstaaten und betroffene Unternehmen direkt verpflichtet werden, gleiche Regeln für alle zu gewährleisten sowie ein gleichmäßiges, hohes, einheitliches Datenschutzniveau herzustellen und dies hemmende Regelungen abzubauen.³⁴

Dabei gilt die gesetzgeberische Zuständigkeit als geteilt: Mitgliedstaaten dürfen demnach nur gesetzgeberisch tätig werden, wenn die EU keine Zuständigkeit ausübt.³⁵ Der Vorrang der DSGVO vor dem BDSG ist auch im BDSG verankert.³⁶ Die DSGVO überlässt den nationalen Gesetzgebern dafür gewisse „Spielräume“, die durch ca. 80 gesetzlich festgelegte Öffnungsklauseln eingeräumt werden. So können die Mitgliedsstaaten spezifizierende Begleitgesetze oder Ausnahmeregelungen geltend machen, wenn diese zur besseren nationalen Verständlichkeit und Umsetzung beitragen, was jedoch gleichzeitig das EU-rechtspolitische Ziel des einheitlichen Datenschutzes schwächt.³⁷

Natürlich definiert die DSGVO Ausnahmen, welche spezifischen Themengebiete also nicht unter die Anwendung der DSGVO fallen, welche Gefahrenabwehr, Straftatenbekämpfung und Forschung umfassen.³⁸ Diese sind mit einem Verweis auf die entsprechende (EU-) Gesetzgebung versehen.

Trotz internationaler Vereinbarungen gibt es also auch weiterhin keinen einheitlichen internationalen Datenschutz. Die DSGVO der EU ist, neben dessen Vorreiter, der Richtlinie 95/46/EG (DSRL), der erste Versuch, zumindest EU-Standards einzuführen und vor allem, anders als bei der DSRL, diese auch effektiv durchzusetzen. Viele Grundsätze und Ziele der DSRL, die mit Inkrafttreten der DSGVO aufgehoben wurden³⁹, verloren nicht an Bedeutung und wurden daher wortgleich oder ähnlich übernommen. Trotzdem konnten diese vorherigen Regelungen die nationalen Unterschiede im Datenschutz nicht verhindern, was die vorherrschende Rechtsunsicherheit verfestigte. Dies resultiert(e) in den allgemeinen Konsens, dass die DSRL nicht genug sei, um den erheblichen Risiken (v.a. des Internets) entsprechend entgegenzuwirken.

Unter Datenschutzexperten gilt die DSGVO daher als Evolution des bekannten Datenschutzrechts mit bedeutsamen Änderungen zur Vereinheitlichung und konsequenteren Umsetzung der Vorschriften.⁴⁰ Diese umfassen Sanktionierungen v.a.⁴¹ in Form von Bußgeldern.⁴² Diese können in Millionenhöhen oder bis zu 4% des weltweiten Jahresumsatzes des Vorjahres⁴³ – je nachdem, (welcher Betrag höher ist,) um was für ein Vergehen und um welche Art der Daten es sich handelt und wie die Kooperation mit der zuständigen Aufsichtsbehörde⁴⁴ gestaltet war – ausfallen.⁴⁵ Auch das BDSG kannte vorher Sanktionierungsmaßnahmen, die aber jetzt mit Hilfe der DSGVO wesentlich härter ausfallen können.⁴⁶

So soll etwa Google als erster globaler internationaler Konzern in Frankreich mit 50 Mio. € zur Kasse gebeten werden, wogegen der Konzern allerdings in Berufung geht. Insgesamt seien europaweit 91 Bußgelder verhängt worden. Davon bis Ende Januar 2019 bereits 41 allein in Deutschland, darunter das bundesweit erste vom baden-württembergischen Landesbeauftragten für den Datenschutz gegen die Chatplattform „Knuddels“. Diese hatte Passwörter nicht nach den DSGVO-Vorgaben verschlüsselt. Gleichzeitig verhängte der baden-württembergische Datenschutzbeauftragte in einem anderen Fall das bis heute höchste Bußgeld von 80.000€ gegen ein Unternehmen, welches den Zugang zu Gesundheitsdaten nicht DSGVO-konform gestaltet hatte.⁴⁷

[...]

¹ Vgl. Moos; Schefzig; Arning (2018): 731.

² Vgl. ebd.: V.

³ Vgl. ebd.

⁴ Vgl. ebd.: 731, 734,737.

⁵ Vgl. ebd.: 1.

⁶ Vgl. Moos; Schefzig; Arning (2018): V,716.

⁷ Auslöser war ein Zeitungsartikel über die Hochzeit von Herrn Warren, welches er als „belastenden Eingriff in seine Privatsphäre“ empfand. Vgl. Moos; Schefzig; Arning (2018): 14.

⁸ Vgl. Moos; Schefzig; Arning (2018): 14.

⁹ Art. 12 AEMR

¹⁰ Vgl. Moos; Schefzig; Arning (2018): 15.

¹¹ Vgl. ebd.

¹² Vgl. ebd.

¹³ Art. 1 GG

¹⁴ Art. 2 I GG

¹⁵ Vgl. BVerfG 65, 1///BVerfG, Urteil vom 15. Dezember 1983, 1 BvR 209/83 – „Volkszählungsurteil“ – NJW 1984, 419

¹⁶ Vgl. Moos; Schefzig; Arning (2018): 20.

¹⁷ § 16 AEUV i.V.m. der Grundrechtecharta der EU (GrCh-EU)

¹⁸ Vgl. Moos; Schefzig; Arning (2018): 13,18.

¹⁹ Vgl. ebd.: 18. und EWG (3, 13) in Hülsmann (2017): 9.

²⁰ Vgl. EWG (6) in Hülsmann (2017): 8.

²¹ Vgl. EWG (4, 7) in ebd.

²² Datenschutzanpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU)

²³ § 8 I DSAnpUG-EU Vgl. Moos; Schefzig; Arning (2018): 3; 20.
Art. 99 II DSGVO i.V.m. Art. 8 I S. 2 G v. 30.6.2017 (BGBl. I S. 66; 2097)

²⁴ Die Landesbeauftragte für den Datenschutz Niedersachsen (2018).

²⁵ Art. 8 I GrCh-EU

²⁶ Art. 16 I AEUV

²⁷ Art. 1 DSGVO

²⁸ Art. 1 III DSGVO

²⁹ Vgl. EWG (13) in Hülsmann (2017): 9.

³⁰ Vgl. EWG (5) in ebd.: 8.

³¹ Vgl. EWG (2) in ebd. i.V.m. Art. 3 IIa und b DSGVO

³² Vgl. Moos; Schefzig; Arning (2018): 43.

³³ Art. 288 II AEUV

³⁴ Vgl. EWG (10) in Hülsmann (2017): 8.

³⁵ Art. 2 II S. 2 AEUV Vgl. Moos; Schefzig; Arning (2018): 2, 58.

³⁶ § 1 V BDSG

³⁷ Vgl. Moos; Schefzig; Arning (2018): 54.

³⁸ Art. 2 II DSGVO

³⁹ Art. 94 I DSGVO

⁴⁰ Vgl. Moos; Schefzig; Arning (2018): 1.

⁴¹ Art. 58 II DSGVO

⁴² Art. 83 Va DSGVO

⁴³ Art. 83 DSGVO

⁴⁴ Art. 58 II i DSGVO

⁴⁵ Vgl. Moos; Schefzig; Arning (2018): 116.

⁴⁶ Vgl. ebd.: 602.

⁴⁷ Vgl. Hesener, Britta (2019).