Dipl.-Volksw. Fritz Schmidt
Zusammenfassung
Dieser Beitrag vermittelt einen allgemeinen Überblick über den Datenschutz. Es werden zunächst die Rechtsgrundlagen für den Datenschutz in Deutschland und sodann die Grundbegriffe, die auch in den weiteren Beiträgen immer wieder verwendet werden, erläutert. Die Grundbegriffe sind nicht alphabetisch geordnet, sondern so, wie es zum Verständnis erforderlich ist. Im 3. Teil dieses Beitrags werden dann die Grundprinzipien des Datenschutzes erläutert, die in den übrigen Beiträgen anhand konkreter Fragestellungen tiefer erläutert werden.
1 Rechtsgrundlagen für den Datenschutz in Deutschland
Rechtsgrundlage für den Datenschutz in Deutschland sind für privatrechtlich organisierte Wohnungsunternehmen die EU-Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).
Die EU-Datenschutz-Grundverordnung regelt unmittelbar den Datenschutz in der gesamten Europäischen Union (Art. 288 Abs. 2 AEUV). Die DSGVO ist zwingendes Recht, das in allen Mitgliedstaaten der EU anzuwenden ist. Teilweise bestehen Öffnungsklauseln für nationale Regelungen.
Neben der DSGVO regelt das BDSG den Datenschutz in der Bundesrepublik Deutschland. Dabei ist zu beachten, dass nur die Teile 1 und 2 (§§ 1 bis 44) für nichtöffentliche Stellen zu beachten sind. Der Teil 3 (§§ 45 bis 85) setzt die EU-Richtlinie 2016/680 um und hat mit der DSGVO nichts zu tun. Die EU-Richtlinie 2016/680 regelt den Datenschutz für Polizei und Justiz und ist deshalb für Wohnungsunternehmen nicht anwendbar. Dennoch ergeben sich aus Teil 3 teilweise gesetzliche Präzisierungen (z. B. bei den technischen und organisatorischen Maßnahmen), die in der DSGVO und auch im BDSG nicht so klar definiert sind. Deshalb kann es durchaus hilfreich sein, die Paragrafen des 3. Teils für die Auslegung der DSGVO heranzuziehen, auch wenn dieser Teil für Wohnungsunternehmen nicht zwingend anzuwenden ist.
Gesetzliche Regelungen für nicht-öffentliche Stellen
2 Grundbegriffe des Datenschutzes
2.1 Personenbezogene Daten (Art. 4 Nr. 1 DSGVO)
Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Betroffener") beziehen. Identifizierbar ist eine natürliche Person, wenn sie direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Onlinekennung oder einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Nach der Rechtsprechung des Europäischen Gerichtshofs ist der Begriff der personenbezogenen Daten weit auszulegen.
2.2 Besondere Kategorien personenbezogener Daten
Weiter gehenden Schutz genießen die besonderen Kategorien personenbezogener Daten ("sensible Daten"). Nach Art. 9 DSGVO handelt es sich dabei um personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Ebenso fallen darunter genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person.
2.3 Betroffener (Art. 4 Nr. 1 DSGVO)
"Betroffener" ist eine natürliche Person, deren personenbezogene Daten verarbeitet werden. Unternehmen fallen nicht in den Schutzbereich des Datenschutzes, sind also nicht Betroffene.
2.4 Unternehmen (Art. 4 Nr. 18 DSGVO) und Unternehmensgruppe (Art. 4 Nr. 19 DSGVO)
"Unternehmen" ist eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform.
Eine "Unternehmensgruppe" ist eine Gruppe von Unternehmen, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Jedes Unternehmen der Unternehmensgruppe wird als eigenständige Einheit behandelt und hat für sich die Verpflichtungen aus der DSGVO zu erfüllen.
Erleichterungen für Unternehmensgruppen bestehen nur nach Art. 37 Abs. 2 DSGVO und Erwägungsgrund 48. So darf die Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern er von jeder Niederlassung aus leicht erreicht werden kann (Art. 37 Abs. 2 DSGVO), und es dürfen personenbezogene Daten (einschließlich Kunden- und Beschäftigtendaten) innerhalb der Unternehmensgruppe für interne Verwaltungszwecke übermittelt werden. Für alle anderen Verarbeitungen innerhalb der Unternehmensgruppe gelten die allgemeinen Regelungen der DSGVO.
2.5 Empfänger (Art. 4 Nr. 9 DSGVO)
"Empfänger" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden.
2.6 Verantwortlicher (Art. 4 Nr. 7 DSGVO)
"Verantwortlicher" ist derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). Bei Kapitalgesellschaften oder Genossenschaften ist Verantwortlicher das Unternehmen, nicht die Geschäftsleitung. Das Geschäftsführungsorgan bestimmt zwar im Rahmen der Geschäftsführungsbefugnis die Organisation und die Betriebsmittel, doch sind dies die Betriebs- und Organisationsmittel der Kapitalgesellschaft. Scheidet das Geschäftsführungsorgan aus, bleiben die Betriebs- und Organisationsmittel der Kapitalgesellscha...