I. Allgemeines
Tz. 1
Stand: EL 137 – ET: 06/2024
Die Datenschutzgrundverordnung (im Folgenden DSGVO) gilt seit dem 25.05.2018. Sie ist eine EU-Verordnung (s. Verordnung (EU) 2016/679), die nicht wie Richtlinien in nationales Gesetz umgesetzt werden muss. Sie ersetzt die EU-Datenschutzrichtlinie (95/46/EG), auf der auch das Bundesdatenschutzgesetz basiert. Mit Geltung der DSGVO wurde gleichzeitig eine neue Fassung des BDSG (im Folgenden BDSG-alt oder BDSG-neu) eingeführt. Das BDSG-neu konkretisiert und erweitert die Vorgaben der DSGVO. Das BDSG-neu enthält bspw. detaillierte Regelungen zum Beschäftigtendatenschutz (s. § 26 BDSG-neu), zur Videoüberwachung (s. § 4 BDSG-neu) und zum Profiling (s. § 54 BDSG-neu – Automatisierte Einzelentscheidung). Darüber hinaus haben die Bundesländer aufgrund von Öffnungsklauseln eigene Landesdatenschutzgesetze erlassen.
Die DSGVO gilt in allen EU-Mitgliedstaaten und hat als Unionsrecht Vorrang vor nationalem Recht (s. § 1 Abs. 5 BDSG-neu). Trotzdem besteht kein europaweit geltendes einheitliches Datenschutzrecht, da die Mitgliedstaaten viel Raum für eigene Vorschriften erhalten haben.
In Deutschland stimmen sich die Aufsichtsbehörden über verschiedene Gremien wie die Datenschutzkonferenz (im Folgenden: DSK) und den Düsseldorfer Kreis ab und veröffentlichen sog. Kurzpapiere und Orientierungshilfen. Auf europäischer Ebene besteht mit dem Europäischen Datenschutzausschuss (früher die "Artikel-29-Gruppe") ein ähnliches Gremium. Auch der Europäische Gerichtshof (EuGH) bestimmt das europäische Datenschutzrecht mit. Zur Auslegung der Bestimmungen wird verstärkt auf die vom Europäischen Parlament niedergelegten 173 Erwägungsgründe zum Erlass der DSGVO (im Folgenden nur "Erwägungsgrund") zurückgegriffen.
Grundsatz der DSGVO ist das generelle Verbot der Verarbeitung personenbezogener Daten. Eine Datenverarbeitung ist also nur erlaubt, wenn es einen Ermächtigungsgrund gibt. Diese Rechtsgrundlage kann sich aus Gesetz (also der DSGVO, dem sonstigen Unionsrecht, dem Recht der Mitgliedstaaten, BDSG-neu, Ländergesetz) oder aufgrund Einwilligung des Betroffenen ergeben. (Art. 6 Abs. 1 DSGVO; Erwägungsgrund 40). Die DSGVO unterscheidet nicht mehr zwischen öffentlichen und nicht-öffentlichen Stellen, so dass in Vereinen/Verbänden die gesamte DSGVO zur Anwendung kommt.
Die DSK hat am 06.05.2024 eine Orientierungshilfe zum Thema "Künstliche Intelligenz und Datenschutz Version 1.0" zum datenschutzkonformen Einsatz von KI-Anwendungen veröffentlicht.
II. Begriffsbestimmung
1. Personenbezogene Daten (Art. 4 Nr. 1 DSGVO)
Tz. 2
Stand: EL 137 – ET: 06/2024
Der Anwendungsbereich der DSGVO ist nur eröffnet, wenn personenbezogene Daten betroffen sind. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es reicht somit aus, wenn die Informationen unter Zuhilfenahme weiterer verfügbarer Daten und technischer Mittel einer bestimmten Person zugeordnet werden können. In Betracht kommen hierfür Telefonnummern, Kfz-Kennzeichen, Kundennummern, IP-Adressen, Standortdaten. Erfasst sind daher z. B. Eigentums- oder Besitzverhältnisse, persönliche Interessen, Mitgliedschaften in Organisationen, Datum des Vereinsbeitritts, sportliche Leistungen, Platzierung bei einem Wettbewerb und dergleichen.
Nicht von der DSGVO geschützt werden Angaben über Verstorbene, wie etwa in einem Nachruf für ein verstorbenes Vereinsmitglied im Vereinsblatt oder die Nennung auf einer Liste der Verstorbenen (Erwägungsgrund 27).
Beachte!
Auch Fotos oder Videos stellen personenbezogene Daten der abgebildeten Personen dar, solange sie noch erkennbar und als eine bestimmte Person identifizierbar erfasst sind. Das gilt bereits, wenn der Rückschluss auf eine Person mit Rechercheaufwand möglich ist. Die Zuordnung kann insbesondere anhand einer Kennung wie einem Namen oder einer Telefonnummer (s. Art. 4 Nr. 1 DSGVO) erfolgen. Beispielsweise genügt zur Identifizierung eines Gesprächspartners eines Telefonats die Kenntnis der Telefonnummer. Werden von einem Entsorgungsunternehmen Angaben zu Mülltonnen erfasst, ist der in seinem Entsorgungsverhalten überprüfte Grundstückseigentümer über Grundbuchdaten ermittelbar, so dass Personenbeziehbarkeit besteht (vgl. Gola, DS-GVO, 3. Aufl. 2022, Art. 4 Rn. 9; OVG NW, Urt. vom 19.10.2017, 16 A 770/17).
Tz. 3
Stand: EL 137 – ET: 06/2024
Strengere Regeln bestehen für grundrechtssensible Bereiche. Art. 9 Abs. 1 DSGVO regelt in einem – (derzeit) abschließenden – Katalog besondere Kategorien von Daten, aus denen hervorgehen:
die rassische und ethnische Herkunft; hierzu zählen ggf. auch Hautfarbe und regional begrenzte Sprache;
die politische Meinung;
die religiöse oder weltanschauliche Überzeugung;
die Gewerkschaftszugehörigkeit;
genetische Daten (s. Art. 4 Nr. 13 DSGVO);
biometrische Daten zur eindeutigen Identifizierung natürlicher Personen (s. Art. 4 Nr. 14 DSGVO);
Gesundheitsdaten (s. Art. 4 Nr. 15 DSGVO) oder
Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Beachte!
Nicht erfasst sind weiterhin Daten über das Alt...