Datenschutz-Grundverordnung, Symbolaufnahme
Bildrechte: IMAGO

Leichter leben | 24.05.2018 | 17:00 Uhr DSGVO: Antworten auf die wichtigsten Fragen

Haben Sie auch schon Mails zur neuen Datenschutzrichtlinie erhalten? Soziale Netzwerke wie Facebook & Co. verschicken seit Monaten entsprechende Vertragsanpassungen, und diverse Internet-Anwälte mahnen, rechtzeitig auch eigene Webseiten zu ändern, andernfalls drohten saftige Strafen. Viele Bürger sind deshalb verunsichert. Wer aber ist wirklich betroffen, und wer muss jetzt handeln? Antworten gibt es von unserem Rechtsexperten Gilbert Häfner.

Datenschutz-Grundverordnung, Symbolaufnahme
Bildrechte: IMAGO

Neue Datenschutzrichtlinien – was bedeuten Sie für Verbraucher?

Die neue Datenschutzgrundverordnung (DSGVO), die ab 25.5.2018 europaweit einheitlich gilt, verpflichtet diejenigen Unternehmen und Stellen, die personenbezogene Daten verarbeiten, die Betroffenen darüber zu informieren. In einigen Fällen bedarf es auch einer erneuten Einwilligung der Betroffenen. Was regelt diese Verordnung im Einzelnen und welche Bedeutung hat sie für jeden Einzelnen?

Für wen gilt die neue Datenschutzgrundverordnung (DSGVO)?

Die in allen Mitgliedsstaaten der EU unmittelbar geltende Datenschutz-Grundverordnung gilt grundsätzlich für jegliche Verarbeitung personenbezogener Daten (vergleiche Artikel 2 und 3 DSGVO). Sie verwirklicht das Grundrecht auf Schutz der personenbezogenen Daten aus Artikel 8 der Europäischen Grundrechtecharta.

Sowohl öffentliche (Behörden, Gerichte und andere öffentliche Stellen ungeachtet ihrer Rechtsform) als auch nicht-öffentliche (natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des Privatrechts, auch Vereine) Stellen haben die Anforderungen der Datenschutz-Grundverordnung zu beachten, wenn sie Informationen über eine identifizierte oder identifizierbare natürliche Person verarbeiten.

Nervöser Mann guckt in ein Computer-Code-Labyrinth.
Bildrechte: imago/Ikon Images

Ausnahmen gelten insbesondere

  • bei nicht automatisierterVerarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen - beispielsweise Akten und Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind
  • für natürliche Personen, die personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeiten - beispielsweise privater Schriftverkehr, Adressbücher oder die Nutzung sozialer Netzwerke und Online-Tätigkeiten im Rahmen persönlicher oder familiärer Zwecke
  • für Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen - insbesondere die nationale Sicherheit betreffende Tätigkeiten
  • für die Datenverarbeitung zum Zwecke der Strafverfolgung und Gefahrenabwehr durch die zuständigen Behörden. Hier gilt die zeitgleich mit der DSGVO verabschiedete Richtlinie (EU) 2016/680.

Auch Unternehmen außerhalb der Europäischen Union unterliegen der Datenschutz-Grundverordnung, wenn sie Waren oder Dienstleistungen in der Europäischen Union anbieten oder das Verhalten von Personen in der Europäischen Union beobachten (sog. Marktortprinzip).

Wann ist eine Verarbeitung personenbezogener Daten nach der DSGVO zulässig?

Wie schon bisher bedarf jegliche Verarbeitung personenbezogener Daten einer sie legitimierenden Rechtsgrundlage - unabhängig davon, ob von der Verarbeitung ein hohes oder geringes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht ("Verbot mit Erlaubnisvorbehalt").

Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig

  • mit der Einwilligung der betroffenen Person oder wenn die Verarbeitung erforderlich ist
  • für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen,
  • zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person,
  • zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen,
  • zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder
  • für die Wahrnehmung einer im öffentlichen Interesse liegenden oder in Ausübung hoheitlicher Gewalt erfolgenden Aufgabe des Verantwortlichen.

Diese Zulässigkeitstatbestände bilden ein abschließendes System; die Mitgliedstaaten dürfen jedoch in einigen Bereichen die Anforderungen an die Rechtmäßigkeit der Verarbeitung durch nationales Datenschutzrecht konkretisieren und präzisieren (Artikel 6 Absatz 2 und 3 Datenschutz-Grundverordnung). Viele Rechtsgrundlagen, insbesondere für die Verarbeitung personenbezogener Daten durch öffentliche Stellen, finden sich daher nach wie vor im allgemeinen oder besonderen Datenschutzrecht auf nationaler Ebene.

Bedarf es neuer Einwilligungserklärungen oder gelten die bereits erteilten Einwilligungen fort?

Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung entsprechen (Erwägungsgrund 171, Satz 3 DSGVO). Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen.

Informationspflichten nach Artikel 13 Datenschutz-Grundverordnung müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes sind.

Besondere Beachtung verdienen allerdings die folgenden Bedingungen der Datenschutz-Grundverordnung; sind diese Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort:

  •  Freiwilligkeit („Kopplungsverbot“, Artikel 7 Absatz 4 in Verbindung mit Erwägungsgrund 43 Datenschutz-Grundverordnung),
  • Altersgrenze: 16 Jahre (soweit im nationalen Recht nichts anderes bestimmt wird; Schutz des Kindeswohls, Artikel 8 Absatz 1 in Verbindung mit Erwägungsgrund 38 Datenschutz-Grundverordnung).


(Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich - Düsseldorfer Kreis am 13./14. September 2016)

Wann ist ein Datenschutzbeauftragter zu bestellen?

Die Voraussetzungen für die Bestellung, die Rechtsstellung und die Aufgaben der Datenschutzbeauftragten nach den Artikeln 37 bis 39 Datenschutz-Grundverordnung sind weitgehend mit der bisherigen Rechtslage in Deutschland vergleichbar.

Öffentliche Stellen haben wie bisher stets eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen. Nicht-öffentliche Stellen unterliegen nach Artikel 37 Absatz 1 Datenschutz-Grundverordnung einer Bestellpflicht, wenn ihre Kerntätigkeit

  • in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordert, oder
  • in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Ergänzend bestimmt § 38 BDSG 2018, dass nicht-öffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten auch dann zu bestellen haben, wenn sie

  • in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen,
  • Verarbeitungsvorgänge ausführen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

 In das Griffloch eines mit dem Wort Geheim bedruckten Aktenordners wird ein Schloss eingeführt
Bildrechte: dpa

Datenschutzbeauftragte müssen über das für die Erfüllung ihrer Aufgaben erforderliche Fachwissen verfügen. Sowohl die Bestellung eigener Mitarbeiter als auch die Ernennung einer externen Person ist zulässig. Auch ist die Bestellung gemeinsamer Datenschutzbeauftragter für eine Unternehmensgruppe oder mehrere Behörden möglich.

Die Aufgaben der Datenschutzbeauftragten sind in Artikel 39 Datenschutz-Grundverordnung festgelegt: Die Datenschutzbeauftragten unterrichten und beraten die Verantwortlichen und ihre Beschäftigten in datenschutzrechtlichen Fragen, insbesondere bei der Durchführung der Datenschutz-Folgenabschätzung nach Artikel 35. Sie überwachen die Einhaltung des Datenschutzrechts und die Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter.

Der Verantwortliche hat die Datenschutzbeauftragte oder den Datenschutzbeauftragten bei der Erfüllung ihrer oder seiner Tätigkeiten umfassend zu unterstützen. Er hat nach Artikel 38 insbesondere sicherzustellen, dass die Datenschutzbeauftragten

  • ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden,
  • über die für die Erfüllung ihrer Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen verfügen und
  • bei der Erfüllung ihrer Aufgaben keinen Weisungen bezüglich unterliegen.


§ 6 Absatz 3 bis 6 BDSG 2018 sichert die Stellung des Datenschutzbeauftragten in Fortführung der bisherigen Rechtslage weiter ab. Zur Gewährleistung ihrer Unabhängigkeit dürfen Datenschutzbeauftragte wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. Sie unterliegen wie bislang einem besonderen Kündigungs- und Abberufungsschutz, einer umfassenden Verschwiegenheitspflicht und einem Zeugnisverweigerungsrecht.

Warum verschicken so viele Unternehmen und Stellen Informationen zum neuen Datenschutzrecht?

Artikel 13 und 14 Datenschutz-Grundverordnung regeln die Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen. Im Vergleich zur bisherigen Rechtslage weitet sich nicht nur der Umfang, sondern auch der Anlass der Information aus. Die betroffenen Personen sind nicht nur bei der erstmaligen Erhebung, sondern grundsätzlich bei jeder beabsichtigten Weiterverarbeitung für andere Zwecke über die aufgeführten Aspekte zu unterrichten. Die Informationen hat der Verantwortliche eigeninitiativ, d.h. ohne einen Antrag der betroffenen Person, zur Verfügung zu stellen. Die Abgrenzung, ob Daten bei der betroffenen Person erhoben werden oder nicht, ist im Einzelfall nicht leicht.

Welche sonstigen Rechte räumt die Verordnung den Betroffenen ein?

Auf einer Fahne der EU liegt ein Zettel mit den Worten Datenschutz Grundverordnung.
Bildrechte: dpa

Neben den Informationspflichten steht der betroffenen Person nach Artikel 15 Datenschutz-Grundverordnung ein umfangreiches Auskunftsrecht über die sie betreffenden personenbezogenen Daten zu. Das Auskunftsrecht umfasst auch den Anspruch, eine unentgeltliche Kopie der verarbeiteten Daten zu erhalten.

Unter den Voraussetzungen der Artikel 16 bis 18 Datenschutz-Grundverordnung können die betroffenen Personen die Berichtigung, Löschung und Einschränkung der Verarbeitung verlangen. Das Recht auf Löschung umfasst zugleich das sog. "Recht auf Vergessen werden": Hat der Verantwortliche die personenbezogenen Daten öffentlich und damit anderen Verantwortlichen zugänglich gemacht, hat er im Falle einer Löschverpflichtung angemessene Maßnahmen zu treffen, um die anderen Verantwortlichen darüber zu informieren, dass eine betroffene Person die Löschung aller Links zu bzw. Vervielfältigungen dieser personenbezogenen Daten verlangt.

Artikel 20 räumt den betroffenen Personen erstmals das Recht auf Datenübertragbarkeit ein. Betroffene haben demnach in bestimmten Fällen das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format ausgehändigt zu erhalten, um sie von einem Verantwortlichen ohne Behinderung auf einen anderen (privaten) Anbieter übertragen zu lassen. Ausweislich der Norm geht es um die Daten, die der Betroffene "aktiv" bereitgestellt hat und nicht auch um solche, die der Verantwortliche erst erzeugt hat, wie z.B. Standortdaten. Bei dem Anspruch ist zu beachten, dass bei der Übertagung der Daten von einem auf einen anderen Verantwortlichen die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden dürfen. Dies kann z.B. der Fall sein, wenn auf einem Foto nicht nur die betroffene Person, sondern auch Dritte abgebildet sind.

Artikel 21 verleiht den betroffenen Personen das Recht, gegen eine (rechtmäßige) Datenverarbeitung aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch einzulegen.  Zudem besteht ein jederzeitiges Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung. Auf das Widerspruchsrecht sind die betroffenen Personen spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich hinzuweisen.

Die Betroffenenrechte gelten nicht, wenn die Datenschutz-Grundverordnung unmittelbare Ausnahmen vorsieht oder die Mitgliedstaaten über Artikel 23 Datenschutz-Grundverordnung Beschränkungen der Betroffenenrechte vorgesehen haben. Das ab dem 25. Mai 2018 geltende Bundesdatenschutzgesetz (BDSG 2018) enthält in den §§ 32-37 für den öffentlichen wie auch den nicht-öffentlichen Bereich weitere punktuelle Beschränkungen der Betroffenenrechte.

Was ändert sich mit der Datenschutzgrundverordnung für Fotografen?

Das Anfertigen von Fotografien wird sich auch zukünftig auf eine - wie bislang schon - jederzeit widerrufbare Einwilligung oder alternative Erlaubnistatbestände wie die Ausübung berechtigter Interessen (Art. 6 Abs. 1 lit. f) DSGVO) stützen können. Die Annahme, dass die DSGVO dem Anfertigen von Fotografien entgegenstehe, ist daher unzutreffend.

Für die Veröffentlichung von Fotografien bleibt das Kunsturhebergesetz auch unter der ab dem 25. Mai 2018 anwendbaren Datenschutz-Grundverordnung erhalten. Nach dessen § 23 dürfen Bildnisse ohne die nach § 22 grundsätzlich erforderliche Einwilligung in folgenden Fällen verbreitet und zur Schau gestellt werden:

1. Bildnisse aus dem Bereiche der Zeitgeschichte;
2. Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen;
3. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben;
4. Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient.

Unser Experte:

01802 / 15 15 17 – Der direkte Draht zu unseren Experten

01802 / 15 15 17 – Der direkte Draht zu unseren Experten

Sie möchten unsere Experten erreichen? Wählen Sie 01802 / 15 15 17*. Ab 16.20 Uhr für diskrete Fragen und ab 17.20 Uhr direkt ins Studio. *6 Cent/Anruf aus dem deutschen Festnetz, Mobilfunk maximal 42 Cent/Minute

Zuletzt aktualisiert: 28. Mai 2018, 12:34 Uhr