Zwei Jahre, nachdem sich die Mitgliedsstaaten der EU auf einen einheitlichen Rechtsrahmen geeinigt hatten, trat am 25. Mai 2018 die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Mit ihr wurde in Deutschland auch das Bundesdatenschutzgesetz (BDSG) überarbeitet, welches in seiner ursprünglichen Fassung bereits seit 1977 vorlag. Das neue BDSG trat zum gleichen Zeitpunkt wie die DSGVO in Kraft.

Stärkung der Rechte von Betroffenen

Die neue Verordnung ersetzte eine 20 Jahre alte Richtlinie, mit dem Ziel den EU-Binnenmarkt zu stärken und den EU-Bürgern mehr Kontrolle über ihre eigenen personenbezogenen Daten zu ermöglichen. Mit Einführung der DSGVO wurden die Betroffenenrechte sozusagen zu gesetzlich verankerten Grundrechten. In der DSGVO handelt es ich hierbei um die Artikel 12 – 23 DSGVO und schwerpunktmäßig um Nachfolgende:

• Recht auf Information / Auskunft
  Betroffene erhalten Information darüber, welche Daten von ihnen verarbeitet werden und zu welchem Zweck. Dieses Recht kann jederzeit gegenüber jedem Unternehmen ausgeübt werden. Hierbei spielt es keine Rolle, ob Sie diese Auskunft als Kunde, Lieferant oder als Mitarbeiter des Unternehmens verlangen – jeder hat gegenüber jedem Verantwortlichen ein Auskunftsrecht. Auf derartige Anfragen muss ein Unternehmen innerhalb von einem Monat antworten.
  Das Recht auf Information leitet auch die Informationspflichten gem. Art. 13 und 14 DSGVO ab. Hierbei sind Sie als Unternehmen verpflichtet, Betroffene (Kunden, Mitarbeiter, usw.) über die Datenverarbeitung in Ihrem Unternehmen zu informieren. Bei diesen ist vor allem darauf zu achten, dass sie in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen (Art. 12 Abs. 1 DSGVO).
  
  
• Recht auf Berichtigung
  Daten von Personen müssen richtig sein und selbst dann korrigiert werden, wenn dies für die betroffene Person nicht wichtig ist. Eine Berichtigung sollte seitens der Unternehmen immer schnellstmöglich erfolgen – auf Anfrage der betroffenen Person jedoch spätestens innerhalb von einem Monat.
  
  
• Recht auf Löschung oder Einschränkung der Verarbeitung
  Einer Anfrage auf Löschung muss generell immer stattgegeben werden. In einigen Fällen dürfen personenbezogene Daten trotzdem genutzt werden. Dies ist zum Beispiel der Fall, wenn ein Gesetz dies verlangt oder das Unternehmen die Daten benötigt, um Rechtsansprüche geltend zu machen.
  
  
• Recht auf Datenübertragbarkeit
  Betroffene haben ein Recht auf die Übertragung ihrer Daten, beispielsweise zu einem anderen Dienstleister, oder zur Bereitstellung eine Kopie. Die erste Kopie ist kostenlos und sollte in einem gebräuchlichen elektronischen Format bereitgestellt werden. Dies kann z. B. ein PDF-Dokument sein. Zu diesen Unterlagen gehören alle Daten zu der Person, auch wenn diese nicht zwingend den Personenbezug erkennen lassen.
  
  
• Recht auf Widerspruch
  Erfolgt die Verarbeitung der Daten einer Person im Rahmen des öffentlichen oder berechtigten Interesses oder gar im Rahmen von Direktwerbung oder Profiling, hat die Person ein Widerspruchsrecht. Dieses kann nur im Zuge von Rechtsansprüchen oder nachweisbaren zwingend schutzwürdigen Gründen verwehrt werden. Auch ist die Person explizit auf dieses Widerspruchsrecht hinzuweisen.

Rechtssicherheit für den EU-Raum

Anfangs gab es noch viel Interpretationsspielraum der DSGVO, da es zum neuen Gesetz keine Urteile gab. Somit wurden einige Themen von Unternehmen auf unterschiedlichste Weise gehandhabt.

Im Laufe der letzten Jahre wurden seitens der EU oder von nationalen Gerichten jedoch immer mehr Urteile gefällt, die bei der Auslegung und somit auch Anwendung der neuen Rechtsnorm Klarheit schaffen. Zwei der wohl bekanntesten EuGH-Urteile sind das Planet49 Urteil zu Cookies vom 01.10.2019 (C-673/17) und das sogenannte Schrems II Urteil zum Privacy Shield vom 16.07.2020 (C-311/18).

Planet49 Urteil

Zusammengefasst hatte der EuGH festgestellt, dass für nicht technisch erforderliche Cookies die Einwilligung des Nutzers einzuholen ist. Zudem stellte der EuGH klar, dass diese Einwilligung proaktiv durch den Nutzer erfolgen muss; somit die Check-Box in einem Cookie-Consent-Banner nicht voreingestellt sein darf. Ebenfalls wurde im Urteil entschieden, dass es bei den Cookies keine Rolle spielt, ob bei diesen ein Personenbezug vorliegt, sowie dass zur Angabe der Pflichtinformationen bei Cookies ebenfalls die Dauer und der Zweck mitzuteilen sind.

Viele Unternehmen sahen trotz dieser Vorgaben keinen Handlungsbedarf. Doch bereits am 28.05.2020 bestätigte der BGH das Urteil (ZR 7/16). Und mit der deutschen Umsetzung der e-Privacy Richtlinie zum 1. Dezember 2021 schuf der § 25 Abs. 1 TTDSG endgültig Klarheit zum Schutz von Betroffenen.

Schrems II Urteil

Bevor dieses EuGH-Urteil fallen konnte, ging bereits ein jahrelanger Kampf von Maximilian Schrems vorweg, welcher im sogenannten Schrems I Urteil vom 6.10.2015 (C‑362/14) sein Recht auf Auskunft gegenüber Facebook geltend machte.

Auf dieses Urteil folgte erst fünf Jahre später, am 16. Juli 2020, das Schrems II Urteil, in dem der EuGH feststellte, dass der Transfer von personenbezogenen Daten in die USA über das EU-US Privacy Shield ungültig ist. Seither ist die Übermittlung von personenbezogenen Daten für Unternehmen wesentlich schwieriger geworden und muss auf andere Rechtsgrundlagen gestützt werden. Ein neuer Angemessenheitsbeschluss ist zwischenzeitlich in Arbeit. Es ist jedoch noch nicht bekannt, ab wann dieser gelten soll und ob er final vor dem EuGH standhalten wird.

In den letzten fünf Jahren fielen einige Urteile, die direkte Auswirkungen sowohl auf den Geschäftsbetrieb von Unternehmen als auch für die Rechte von Betroffenen haben.

DSGVO – Fluch oder Segen?

Für EU-Bürger und -Bürgerinnen und damit von der Verarbeitung betroffene Personen hat sich bereits sehr deutlich gezeigt, dass die Stärkung ihrer Rechte gegenüber Verantwortlichen ausschließlich Vorteile mit sich bringt.  

Für Unternehmen jeglicher Größe kamen mit der Einführung der neuen Verordnung neue Herausforderungen hinzu, um diese umzusetzen und ihre Prozesse entsprechend datenschutzkonform anzupassen. Dies ist für viele mühselig und nur mit einem zusätzlichen Zeit- und Kapazitätsaufwand möglich. Erfolgt die Umsetzung nicht, kann es leicht zu einem Datenschutzverstoß oder einer Datenpanne kommen. Diese können auf unterschiedliche Weise zustande kommen, sei es durch falsche Handhabung, Unachtsamkeit oder gar einen Zugriff auf die Daten durch Externe in Form einer Cyberattacke . Doch gerade im Rahmen von Angriffen durch Externe zeigt sich, dass die Umsetzung von technisch-organisatorischen Maßnahmen (Art. 32 DSGVO) einen effektiven Schutzmechanismus darstellt. Hinzu kommt, dass Unternehmen nicht nur über personenbezogene Daten verfügen, die es zu schützen gilt. So sind auch Formeln, Patente oder Know-how für viele Unternehmen überlebensnotwendig. Diese ebenfalls sensiblen Schützens würdigen Daten werden zwar von den Vorgaben der DSGVO nicht erfasst, jedoch im Zuge des Schutzes von personenbezogenen Daten automatisch mitgesichert und vor unerwünschten Zugriffen geschützt. Und viele Kunden vertrauen einer Firma, die mit ihren personenbezogenen Daten sorgsam umgeht und diese schützt, weitaus mehr – was einen großen Wettbewerbsvorteil für den Betrieb darstellen kann.