Datenschutz personenbezogener Daten

Beim Datenschutz handelt es sich um den „Schutz der personenbezogenen Daten“ – zum Beispiel vor unerwünschten Veröffentlichungen im Internet. Wie Sie gegen Datenschutzverstöße vorgehen können und welche Daten als personenbezogen gelten, erfahren Sie hier.

Das Wichtigste in Kürze

• Als personenbezogene Daten werden alle Informationen gewertet, die eindeutig Aufschluss über eine natürliche Person geben.
• Im Rahmen der DSGVO (Datenschutz-Grundverordnung) wurden die Richtlinien zum Umgang mit personenbezogenen Daten europaweit festgelegt.
• Datenschutzverstöße und Datenmissbrauch können von Unternehmen und Privatpersonen begangen werden.
• Ein Datenschutzverstoß kann neben hohen Bußgeldern auch Schadensersatzansprüche oder Freiheitsstrafen nach sich ziehen.
• Ein KLUGO Partner-Anwalt hilft Ihnen dabei, Ihr Recht auf den Schutz der personenbezogenen Daten durchzusetzen. und eventuelle Verstöße dagegen juristisch zu verfolgen.

Was zählt zu den „personenbezogenen Daten“?

Die Daten eines Menschen müssen bestmöglich geschützt werden. Hier sind sich Gesetzgeber, Juristen und Einwohner in ganz Europa weitestgehend einig. Aber was genau sind eigentlich diese „personenbezogene Daten“, die so besonders geschützt werden müssen? Auch hier gibt es eine europaweit fest etablierte Definition dazu, welche Informationen und Daten zu den personenbezogenen Daten zählen: Als personenbezogene Daten werden alle Informationen gewertet, die tiefe Einblicke in die Identität einer natürlichen Person ermöglichen. Als natürliche Person zählen dabei alle Menschen, nicht jedoch Unternehmen, Geschäfte oder andere juristische Personen.

Dennoch unterscheidet man hier weitergehend. Neben den personenbezogenen Daten, die im Datenschutz eine besonders wichtige Rolle spielen, gibt es auch noch die personenbeziehbaren Daten. Diese Daten können nur im Zusammenspiel mit weiteren Informationen eindeutig einer bestimmten Person zugeordnet werden. Beide Arten personenbezogener Daten sind jedoch Bestandteil der Gesetzgebung rund um den Datenschutz.

Lange Zeit war der Schutz unserer Daten im Bundesdatenschutzgesetz geregelt, das inzwischen nicht mehr gültig ist. Im Jahr 2018 hat die sogenannte DSGVO in allen europäischen Staaten das offiziell gültige Datenschutzgesetz ersetzt. Da es sich um eine europäische Richtlinie handelt, ist das DSGVO automatisch der nationalen Gesetzgebung übergeordnet – und damit auch in Ländern gültig, die andere Richtlinien vorsehen. In vielen Fällen hat das DSGVO die Bestandteile aus dem früheren Bundesdatenschutzgesetz übernommen, lediglich einige Ausformulierungen wurden verdeutlicht und erweitert.

Welche Regeln gelten im Umgang mit personenbezogenen Daten?

Die DSGVO hat in Art. 5 Abs. 1 die allgemeinen Grundsätze für die Verarbeitung und Speicherung von personenbezogenen Daten festgehalten:

Die Verarbeitung muss rechtmäßig erfolgen: Um personenbezogene Daten verarbeiten zu dürfen, muss die Rechtmäßigkeit der Verarbeitung gegeben sein. Dies ist immer dann der Fall, wenn eine Rechtsgrundlage für die Datenverarbeitung vorliegt. Dazu zählt zum Beispiel die Einwilligung der betroffenen Personen oder eine gesetzeskonforme Rechtsgrundlage.

Verarbeitung nach Treu und Glauben: Hierbei handelt es sich um eine vergleichsweise ungenaue Definition im DSGVO. Rechtlich ist die Verarbeitung nach Treu und Glauben bei personenbezogenen Daten schwer einzuschätzen und muss bei Zweifeln mit Hinblick auf alle Umstände des Einzelfalls betrachtet werden.

Gebunden an einen bestimmten Zweck: Auch die Nutzung personenbezogener Daten im Rahmen einer bestimmten Zweckbindung ist möglich. Heißt konkret, die personenbezogenen Daten müssen zu einem bestimmten Zweck erhoben und verarbeitet werden. Unter Umständen ist auch eine Weiterverarbeitung der Daten möglich, sofern diese nicht mit dem ursprünglichen Erhebungszweck in Konflikt steht und eine Rechtsgrundlage für die Weiterverarbeitung gegeben ist.

Daten möglichst minimieren: Werden personenbezogene Daten erhoben, muss man sich auf die Daten fokussieren, die für den Zweck erheblich sind. Es dürfen keine personenbezogenen Daten erhoben werden, die über dieses Maß hinausgehen – es sei denn, die betroffene Person ist damit einverstanden.

Bei der Datenverarbeitung auf Richtigkeit achten: Personenbezogene Daten sollten nach Möglichkeit jederzeit auf dem aktuellen Stand der Information gehalten werden. Veraltete Informationen, die als unrichtig angesehen werden können, müssen unverzüglich gelöscht werden (Art. 17 DSGVO).

Speicherung nur für die Dauer der Notwendigkeit: Personenbezogene Daten dürfen nur so lange gespeichert und für die Identifikation der Person genutzt werden, wie dies für die Verarbeitung der Informationen notwendig ist. Ist die Speicherung der personenbezogenen Daten nicht mehr notwendig, müssen diese unverzüglich gelöscht werden. Alternativ müssen die Daten so verändert werden, dass eine Identifizierung der Person nicht mehr möglich ist.

Hohe Sicherheit für personenbezogene Daten: Bei der Verarbeitung von personenbezogenen Daten spielt die Vertraulichkeit eine große Rolle. Sensible Daten, die die Identifikation einer Person zulassen, müssen stets mit angemessener Sicherheit verarbeitet werden. Besonders wichtig ist dabei der Schutz vor einer unbefugten und unrechtmäßigen Verbreitung oder Verarbeitung der Daten, aber auch der unbeabsichtigte Verlust oder die Zerstörung der Daten muss bestmöglich verhindert werden. Dafür schreibt die DSGVO einige Maßnahmen vor s. Art. 32 DSGVO.

Personenbezogene Daten dürfen nur für bestimmte Zwecke genutzt werden, denen die betroffene Person im Vorfeld zugestimmt haben muss. Dabei zählt natürlich auch ein stillschweigendes Einverständnis, das zum Beispiel bei einer Online-Bestellung ausgesprochen wird, bei der die Kontaktdaten zwingendermaßen beim Versand verarbeitet werden müssen.

Wo melde ich einen Verstoß gegen den Datenschutz?

Wo ein Datenschutzverstoß gemeldet werden muss, hängt maßgeblich davon ab, wo der Datenschutzverstoß stattgefunden hat. Wer einen DSGVO-Verstoß melden möchte, sollte sich an den Landesdatenschutzbeauftragten wenden. Hier hat jedes Bundesland einen eigenen Ansprechpartner, der auf der Webseite des Bundeslandes eingesehen und kontaktiert werden kann. Achten Sie dabei darauf, dass immer der Ort des Verstoßes Grundlage dafür ist, welcher Landesdatenschutzbeauftragte tätig werden muss. Bei besonders schweren Fällen ist unter Umständen auch der Bundesdatenschutzbeauftragte oder eine spezielle Datenschutzbehörde (vor allem bei Verstößen im EU-Ausland) zuständig. Als Betroffener hat man zudem die Möglichkeit, sich direkt an den Datenschutzbeauftragten eines Unternehmens zu wenden, wenn man den Verdacht hat, dass eine Verletzung des Datenschutzes stattgefunden hat.

Aber auch juristisch lässt sich gegen Datenschutzverstöße vorgehen. Ist man selbst Betroffener, zum Beispiel durch die Veröffentlichung privater Bilder oder Chatverläufe, kann man sich mit einer anwaltlichen Abmahnung, einer einstweiligen Unterlassungsverfügung oder einer zivilgerichtlichen Klage dagegen zur Wehr setzen. Private Chats zu veröffentlichen gilt dabei ebenso als strafbarer Datenschutzverstoß wie das Veröffentlichen privater Bilder. Hier sollte eine Anzeige der Polizei in Erwägung gezogen werden.

Wie melde ich einen Verstoß gegen den Datenschutz?

Zunächst einmal liegt die Meldepflicht für Datenschutzverstöße nicht zwangsläufig beim Betroffenen. Kam es zum Beispiel auf einer Webseite zu einem Verlust, einer unrechtmäßigen Löschung, einer Veränderung, Speicherung, Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten, muss dieser Vorgang umgehend dem zuständigen Landesdatenschutzbeauftragten gemeldet werden. Verantwortlich ist hier der Betreiber der Plattform, auf der die Daten gespeichert wurden. Alle meldepflichtigen Vorfälle müssen dabei innerhalb von 72 Stunden nach Feststellung der Datenschutzverletzung an die zuständige Behörde gemeldet werden.

Wie man einen Verstoß gegen den Datenschutz meldet, hängt davon ab, ob man selbst Betroffener ist – also eine Person, deren Daten veröffentlicht/weitergegeben wurden – oder ein Unternehmen, das von einer Datenpanne betroffen ist.

Wer als Privatperson einen Verstoß gegen den Datenschutz melden möchte, kann auf mehrere Arten vorgehen:

• Bei Veröffentlichung von privaten Chatverläufen oder Bildern sollte eine Anzeige bei der Polizei gegen den Verursacher erfolgen. Datenmissbrauch ist strafbar und kann mit hohen Geldbußen oder Freiheitsentzug bestraft werden.
• Um eine zivilrechtliche Klage anzustreben, sollte man zusätzlich auf die Unterstützung durch einen Fachanwalt setzen, der umfassend zu den Möglichkeiten und Erfolgschancen berät.
• Auch für Privatpersonen ist der Landesdatenschutzbeauftragte der richtige Ansprechpartner, falls es zu Datenschutzverstößen kam. Geben Sie bei der Meldung so viele Informationen wie möglich an, damit der Sachverhalt präzise geprüft werden kann.

Wer als Unternehmen einen Verstoß gegen den Datenschutz melden möchte, sollte dabei einige Punkte beachten:

• Gehen Sie so detailliert wie möglich auf die Art des Verstoßes gegen die DSGVO ein, damit sich die zuständige Behörde/ der zuständige Datenschutzbeauftragte bestmöglich der Sache annehmen kann. Dabei sollte auch darauf eingegangen werden, wie groß die Zahl der möglichen Betroffenen ist.
• Geben Sie bei der Meldung des Datenschutzverstoßes Ihre Kontaktdaten an, damit sich die Datenschutzbeauftragten bei Ihnen melden können.
• Die möglichen Folgen der Datenschutzverletzung sollten schon jetzt abgeschätzt werden, um diese bestmöglich zu vermeiden.
• Gehen Sie genau darauf ein, welche Maßnahmen zur Eindämmung des Schadens Sie bereits ergriffen haben und welchen Erfolg Sie sich davon versprechen.
• Prüfen Sie genau, ob Sie als Unternehmen die betroffenen Personen kontaktieren müssen. Der Datenschutzbeauftragte hilft Ihnen gern bei dieser Einschätzung.
• Suchen Sie sich juristischen Beistand, um zum Beispiel auf Klagen der Betroffenen vorbereitet zu sein.

Wie kann ich mich als Betroffener von Datenmissbrauch wehren?

Wie man sich als Betroffener von Datenmissbrauch wehrt, hängt maßgeblich von der Art des Datenschutzverstoßes ab. Häufig ist die Ursache von Datenmissbrauch ein zu lascher Umgang mit den eigenen Daten. So werden bei Gewinnspielen, Rabattaktionen und anderen Werbemaßnahmen häufig sehr freigiebig die eigenen Daten genutzt, was nicht selten in einer Flut aus Werbe-Post und Spam-Mails endet. Möchte man sich als Betroffener gegen diese Form des Datenmissbrauchs zur Wehr setzen, ist dies häufig nur schwer möglich. Grundsätzlich kann man allen Unternehmen die Nutzung der eigenen Daten untersagen. Dies ist mit einem einfachen Anschreiben möglich, in dem die Nutzung und/oder Weitergabe der eigenen Daten untersagt wird. Gibt das Unternehmen die Daten dennoch nachweislich weiter, besteht die Möglichkeit des Klageweges.

Etwas anders sieht es dagegen aus, wenn Privatpersonen Datenmissbrauch begehen. Weitergeleitete oder veröffentliche Chatverläufe, privat zugesandte Bilder, die im Anschluss öffentlich im Internet präsentiert werden – die Liste der möglichen Datenmissbräuche ist lang. Wer sich dagegen zur Wehr setzen möchte, sollte daher unbedingt Strafanzeige bei der Polizei gegen den Verursacher stellen. Ist dieser nicht bekannt, kann auch eine Anzeige gegen Unbekannt geschaltet werden. Eine Veröffentlichung von privaten Chatverläufen oder Fotos verletzt das allgemeine Persönlichkeitsrecht und gilt damit als Straftat. Neben einem Recht auf Löschung der Bilder steht Ihnen unter Umständen auch Schadensersatz zu. Ein Partner-Anwalt von KLUGO berät Sie gern rund um Ihre Möglichkeiten und unterstützt Sie dabei, aktiv gegen den Datenmissbrauch vorzugehen.

Welche Rechte hat man rund um seine personenbezogenen Daten?

Als Bürger hat man natürlich weitestgehend die Kontrolle über seine eigenen Daten. Kommt es über einen Datenschutzverstoß dazu, dass diese Daten missbraucht werden, hat man dennoch weiterhin die Rechte an allen personenbezogenen Daten.

Betroffene Bürger und Privatpersonen haben z. B. folgende Rechte:

• Das Recht auf informationelle Selbstbestimmung, d. h. alle personenbezogenen Daten sind das Eigentum der Person und kann selbst entscheiden, für welche Zwecke diese Daten genutzt werden dürfen – und für welche nicht;
• Das Recht auf Auskunft, d. h. jeder Bürger hat das Recht, auf Nachfrage darüber informiert zu werden, bei welchen Unternehmen und Behörden die Daten hinterlegt sind und für welche Zwecke diese genutzt werden;
• Das Recht auf Löschung, Sperrung und Berichtigung von Daten, d. h. man kann selbst darüber entscheiden, inwiefern die bei Unternehmen und Behörden hinterlegten Daten verwendet oder abgeändert werden sollen bzw. wann die Daten gelöscht werden sollen.

Welche Ansprüche hat man bei der Veröffentlichung personenbezogener Daten?

Kam es zu einer Veröffentlichung personenbezogener Daten, hat jede Person, die wegen eines Verstoßes gegen die DSGVO einen „materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“ (Art. 82 Abs. 1 DSGVO). Besonders ist dabei hervorzuheben, dass auch immaterieller Schaden explizit genannt wird. Dabei handelt es sich zum Beispiel um die Verletzung von Körper, Freiheit oder Ehre – zum Beispiel durch das widerrechtliche Veröffentlichen privater Fotos oder Chatverläufe. Die Auslegung eines immateriellen Schadens ist jedoch immer eine sehr subjektive Einschätzung der Situation, sodass mithilfe eines Anwalts besprochen werden sollte, ob ein solcher Schaden vorliegt.

Natürlich hat man als Betroffener von Datenmissbrauch nicht nur Anspruch auf Schadenersatz, widerrechtlich veröffentlichte personenbezogene Daten müssen auf Verlangen auch gelöscht werden. Auch hier unterstützt ein Partner-Anwalt von KLUGO Sie gern mit einer Abmahnung gegen den Verursacher.

Wie hoch ist die Strafe beim Veröffentlichen privater Daten?

Welche Rechtsfolgen Datenschutzverstöße haben können, hängt immer vom individuellen Fall ab. Grundsätzlich sieht der Bußgeldkatalog der DSGVO empfindliche Strafen von bis zu 20 Millionen Euro vor. Vor allem für Unternehmen handelt es sich dabei um ernstzunehmende Beträge, denn die zuständige Aufsichtsbehörde für Datenschutz darf bei Unternehmen und Betrieben Bußgelder von bis zu vier Prozent des weltweit erzielten Jahresumsatzes als Geldbuße verhängen, wenn es zu einem Datenschutzverstoß kam. Die Höhe des Bußgeldes bemisst sich anhand mehrerer Faktoren, die vom Landesdatenschutzbeauftragten berücksichtigt werden müssen. Die Größe des Unternehmens spielt dabei eine untergeordnete Rolle.

Aber: Neben Bußgeldern für Unternehmen können auch Freiheitsstrafen und hohe Schadensersatzzahlungen die direkte Folge von Datenmissbrauch sein. Vor allem bei Privatpersonen, die ohne Erlebnis private Bilder, Chatverläufe oder andere private Daten weiterleiten oder veröffentlichen, sieht der Gesetzgeber mögliche Freiheitsstrafen von bis zu einem Jahr vor. Bei einer schwerwiegenden Verletzung des Persönlichkeitsrechts, zum Beispiel durch die Verbreitung intimer Fotos, kann man als Betroffener eine Schadensersatzklage anstreben. Das gilt vor allem dann, wenn die privaten Bilder für die kommerzielle Nutzung verwendet wurden.

So hilft Ihnen ein KLUGO Partner-Anwalt weiter

Bei Datenschutzverstößen und Datenmissbrauch ist es immer sinnvoll, auf die Beratung eines Fachanwalts zu setzen. Dieser kennt nicht nur die rechtlichen Grundlagen des Datenschutzes, sondern auch alle Wege, wie man gegen einen Datenschutzverstoß vorgehen kann. Der KLUGO Partner-Anwalt hilft Ihnen dabei, den Sachverhalt einzuschätzen und listet Ihnen die möglichen Optionen auf – von Abmahnverfahren über Schadensersatzklagen bis hin zum Strafverfahren. Auch den teilweise sehr umfangreichen Schriftverkehr, der diesen Prozessen vorausgeht, übernimmt unser Partner-Anwalt gern für Sie. Setzen Sie mit einem KLUGO Partner-Anwalt Ihr Recht durch und erlangen Sie die Kontrolle über Ihre personenbezogenen Daten zurück.