Beim Datenschutz handelt es sich um den „Schutz der personenbezogenen Daten“ – zum Beispiel vor unerwünschten Veröffentlichungen im Internet. Wie Sie gegen Datenschutzverstöße vorgehen können und welche Daten als personenbezogen gelten, erfahren Sie hier.
Die Daten eines Menschen müssen bestmöglich geschützt werden. Hier sind sich Gesetzgeber, Juristen und Einwohner in ganz Europa weitestgehend einig. Aber was genau sind eigentlich diese „personenbezogene Daten“, die so besonders geschützt werden müssen? Auch hier gibt es eine europaweit fest etablierte Definition dazu, welche Informationen und Daten zu den personenbezogenen Daten zählen: Als personenbezogene Daten werden alle Informationen gewertet, die tiefe Einblicke in die Identität einer natürlichen Person ermöglichen. Als natürliche Person zählen dabei alle Menschen, nicht jedoch Unternehmen, Geschäfte oder andere juristische Personen.
Dennoch unterscheidet man hier weitergehend. Neben den personenbezogenen Daten, die im Datenschutz eine besonders wichtige Rolle spielen, gibt es auch noch die personenbeziehbaren Daten. Diese Daten können nur im Zusammenspiel mit weiteren Informationen eindeutig einer bestimmten Person zugeordnet werden. Beide Arten personenbezogener Daten sind jedoch Bestandteil der Gesetzgebung rund um den Datenschutz.
Lange Zeit war der Schutz unserer Daten im Bundesdatenschutzgesetz geregelt, das inzwischen nicht mehr gültig ist. Im Jahr 2018 hat die sogenannte DSGVO in allen europäischen Staaten das offiziell gültige Datenschutzgesetz ersetzt. Da es sich um eine europäische Richtlinie handelt, ist das DSGVO automatisch der nationalen Gesetzgebung übergeordnet – und damit auch in Ländern gültig, die andere Richtlinien vorsehen. In vielen Fällen hat das DSGVO die Bestandteile aus dem früheren Bundesdatenschutzgesetz übernommen, lediglich einige Ausformulierungen wurden verdeutlicht und erweitert.
Die DSGVO hat in Art. 5 Abs. 1 die allgemeinen Grundsätze für die Verarbeitung und Speicherung von personenbezogenen Daten festgehalten:
Die Verarbeitung muss rechtmäßig erfolgen: Um personenbezogene Daten verarbeiten zu dürfen, muss die Rechtmäßigkeit der Verarbeitung gegeben sein. Dies ist immer dann der Fall, wenn eine Rechtsgrundlage für die Datenverarbeitung vorliegt. Dazu zählt zum Beispiel die Einwilligung der betroffenen Personen oder eine gesetzeskonforme Rechtsgrundlage.
Verarbeitung nach Treu und Glauben: Hierbei handelt es sich um eine vergleichsweise ungenaue Definition im DSGVO. Rechtlich ist die Verarbeitung nach Treu und Glauben bei personenbezogenen Daten schwer einzuschätzen und muss bei Zweifeln mit Hinblick auf alle Umstände des Einzelfalls betrachtet werden.
Gebunden an einen bestimmten Zweck: Auch die Nutzung personenbezogener Daten im Rahmen einer bestimmten Zweckbindung ist möglich. Heißt konkret, die personenbezogenen Daten müssen zu einem bestimmten Zweck erhoben und verarbeitet werden. Unter Umständen ist auch eine Weiterverarbeitung der Daten möglich, sofern diese nicht mit dem ursprünglichen Erhebungszweck in Konflikt steht und eine Rechtsgrundlage für die Weiterverarbeitung gegeben ist.
Daten möglichst minimieren: Werden personenbezogene Daten erhoben, muss man sich auf die Daten fokussieren, die für den Zweck erheblich sind. Es dürfen keine personenbezogenen Daten erhoben werden, die über dieses Maß hinausgehen – es sei denn, die betroffene Person ist damit einverstanden.
Bei der Datenverarbeitung auf Richtigkeit achten: Personenbezogene Daten sollten nach Möglichkeit jederzeit auf dem aktuellen Stand der Information gehalten werden. Veraltete Informationen, die als unrichtig angesehen werden können, müssen unverzüglich gelöscht werden (Art. 17 DSGVO).
Speicherung nur für die Dauer der Notwendigkeit: Personenbezogene Daten dürfen nur so lange gespeichert und für die Identifikation der Person genutzt werden, wie dies für die Verarbeitung der Informationen notwendig ist. Ist die Speicherung der personenbezogenen Daten nicht mehr notwendig, müssen diese unverzüglich gelöscht werden. Alternativ müssen die Daten so verändert werden, dass eine Identifizierung der Person nicht mehr möglich ist.
Hohe Sicherheit für personenbezogene Daten: Bei der Verarbeitung von personenbezogenen Daten spielt die Vertraulichkeit eine große Rolle. Sensible Daten, die die Identifikation einer Person zulassen, müssen stets mit angemessener Sicherheit verarbeitet werden. Besonders wichtig ist dabei der Schutz vor einer unbefugten und unrechtmäßigen Verbreitung oder Verarbeitung der Daten, aber auch der unbeabsichtigte Verlust oder die Zerstörung der Daten muss bestmöglich verhindert werden. Dafür schreibt die DSGVO einige Maßnahmen vor s. Art. 32 DSGVO.
Personenbezogene Daten dürfen nur für bestimmte Zwecke genutzt werden, denen die betroffene Person im Vorfeld zugestimmt haben muss. Dabei zählt natürlich auch ein stillschweigendes Einverständnis, das zum Beispiel bei einer Online-Bestellung ausgesprochen wird, bei der die Kontaktdaten zwingendermaßen beim Versand verarbeitet werden müssen.
Nach Artikel 4 DSGVO sind personenbezogene Daten “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen“. Die Strafen bei Datenverstößen hängen vom individuellen Fall ab. Sollten Sie selbst betroffen sein, kann Ihnen ein Rechtsexperte weiterhelfen."Pierre Torster
Wo ein Datenschutzverstoß gemeldet werden muss, hängt maßgeblich davon ab, wo der Datenschutzverstoß stattgefunden hat. Wer einen DSGVO-Verstoß melden möchte, sollte sich an den Landesdatenschutzbeauftragten wenden. Hier hat jedes Bundesland einen eigenen Ansprechpartner, der auf der Webseite des Bundeslandes eingesehen und kontaktiert werden kann. Achten Sie dabei darauf, dass immer der Ort des Verstoßes Grundlage dafür ist, welcher Landesdatenschutzbeauftragte tätig werden muss. Bei besonders schweren Fällen ist unter Umständen auch der Bundesdatenschutzbeauftragte oder eine spezielle Datenschutzbehörde (vor allem bei Verstößen im EU-Ausland) zuständig. Als Betroffener hat man zudem die Möglichkeit, sich direkt an den Datenschutzbeauftragten eines Unternehmens zu wenden, wenn man den Verdacht hat, dass eine Verletzung des Datenschutzes stattgefunden hat.
Aber auch juristisch lässt sich gegen Datenschutzverstöße vorgehen. Ist man selbst Betroffener, zum Beispiel durch die Veröffentlichung privater Bilder oder Chatverläufe, kann man sich mit einer anwaltlichen Abmahnung, einer einstweiligen Unterlassungsverfügung oder einer zivilgerichtlichen Klage dagegen zur Wehr setzen. Private Chats zu veröffentlichen gilt dabei ebenso als strafbarer Datenschutzverstoß wie das Veröffentlichen privater Bilder. Hier sollte eine Anzeige der Polizei in Erwägung gezogen werden.
Zunächst einmal liegt die Meldepflicht für Datenschutzverstöße nicht zwangsläufig beim Betroffenen. Kam es zum Beispiel auf einer Webseite zu einem Verlust, einer unrechtmäßigen Löschung, einer Veränderung, Speicherung, Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten, muss dieser Vorgang umgehend dem zuständigen Landesdatenschutzbeauftragten gemeldet werden. Verantwortlich ist hier der Betreiber der Plattform, auf der die Daten gespeichert wurden. Alle meldepflichtigen Vorfälle müssen dabei innerhalb von 72 Stunden nach Feststellung der Datenschutzverletzung an die zuständige Behörde gemeldet werden.
Wie man einen Verstoß gegen den Datenschutz meldet, hängt davon ab, ob man selbst Betroffener ist – also eine Person, deren Daten veröffentlicht/weitergegeben wurden – oder ein Unternehmen, das von einer Datenpanne betroffen ist.
Wer als Privatperson einen Verstoß gegen den Datenschutz melden möchte, kann auf mehrere Arten vorgehen:
Wer als Unternehmen einen Verstoß gegen den Datenschutz melden möchte, sollte dabei einige Punkte beachten:
Wie man sich als Betroffener von Datenmissbrauch wehrt, hängt maßgeblich von der Art des Datenschutzverstoßes ab. Häufig ist die Ursache von Datenmissbrauch ein zu lascher Umgang mit den eigenen Daten. So werden bei Gewinnspielen, Rabattaktionen und anderen Werbemaßnahmen häufig sehr freigiebig die eigenen Daten genutzt, was nicht selten in einer Flut aus Werbe-Post und Spam-Mails endet. Möchte man sich als Betroffener gegen diese Form des Datenmissbrauchs zur Wehr setzen, ist dies häufig nur schwer möglich. Grundsätzlich kann man allen Unternehmen die Nutzung der eigenen Daten untersagen. Dies ist mit einem einfachen Anschreiben möglich, in dem die Nutzung und/oder Weitergabe der eigenen Daten untersagt wird. Gibt das Unternehmen die Daten dennoch nachweislich weiter, besteht die Möglichkeit des Klageweges.
Etwas anders sieht es dagegen aus, wenn Privatpersonen Datenmissbrauch begehen. Weitergeleitete oder veröffentliche Chatverläufe, privat zugesandte Bilder, die im Anschluss öffentlich im Internet präsentiert werden – die Liste der möglichen Datenmissbräuche ist lang. Wer sich dagegen zur Wehr setzen möchte, sollte daher unbedingt Strafanzeige bei der Polizei gegen den Verursacher stellen. Ist dieser nicht bekannt, kann auch eine Anzeige gegen Unbekannt geschaltet werden. Eine Veröffentlichung von privaten Chatverläufen oder Fotos verletzt das allgemeine Persönlichkeitsrecht und gilt damit als Straftat. Neben einem Recht auf Löschung der Bilder steht Ihnen unter Umständen auch Schadensersatz zu. Ein Partner-Anwalt von KLUGO berät Sie gern rund um Ihre Möglichkeiten und unterstützt Sie dabei, aktiv gegen den Datenmissbrauch vorzugehen.
Als Bürger hat man natürlich weitestgehend die Kontrolle über seine eigenen Daten. Kommt es über einen Datenschutzverstoß dazu, dass diese Daten missbraucht werden, hat man dennoch weiterhin die Rechte an allen personenbezogenen Daten.
Betroffene Bürger und Privatpersonen haben z. B. folgende Rechte:
Kam es zu einer Veröffentlichung personenbezogener Daten, hat jede Person, die wegen eines Verstoßes gegen die DSGVO einen „materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“ (Art. 82 Abs. 1 DSGVO). Besonders ist dabei hervorzuheben, dass auch immaterieller Schaden explizit genannt wird. Dabei handelt es sich zum Beispiel um die Verletzung von Körper, Freiheit oder Ehre – zum Beispiel durch das widerrechtliche Veröffentlichen privater Fotos oder Chatverläufe. Die Auslegung eines immateriellen Schadens ist jedoch immer eine sehr subjektive Einschätzung der Situation, sodass mithilfe eines Anwalts besprochen werden sollte, ob ein solcher Schaden vorliegt.
Natürlich hat man als Betroffener von Datenmissbrauch nicht nur Anspruch auf Schadenersatz, widerrechtlich veröffentlichte personenbezogene Daten müssen auf Verlangen auch gelöscht werden. Auch hier unterstützt ein Partner-Anwalt von KLUGO Sie gern mit einer Abmahnung gegen den Verursacher.
Welche Rechtsfolgen Datenschutzverstöße haben können, hängt immer vom individuellen Fall ab. Grundsätzlich sieht der Bußgeldkatalog der DSGVO empfindliche Strafen von bis zu 20 Millionen Euro vor. Vor allem für Unternehmen handelt es sich dabei um ernstzunehmende Beträge, denn die zuständige Aufsichtsbehörde für Datenschutz darf bei Unternehmen und Betrieben Bußgelder von bis zu vier Prozent des weltweit erzielten Jahresumsatzes als Geldbuße verhängen, wenn es zu einem Datenschutzverstoß kam. Die Höhe des Bußgeldes bemisst sich anhand mehrerer Faktoren, die vom Landesdatenschutzbeauftragten berücksichtigt werden müssen. Die Größe des Unternehmens spielt dabei eine untergeordnete Rolle.
Aber: Neben Bußgeldern für Unternehmen können auch Freiheitsstrafen und hohe Schadensersatzzahlungen die direkte Folge von Datenmissbrauch sein. Vor allem bei Privatpersonen, die ohne Erlebnis private Bilder, Chatverläufe oder andere private Daten weiterleiten oder veröffentlichen, sieht der Gesetzgeber mögliche Freiheitsstrafen von bis zu einem Jahr vor. Bei einer schwerwiegenden Verletzung des Persönlichkeitsrechts, zum Beispiel durch die Verbreitung intimer Fotos, kann man als Betroffener eine Schadensersatzklage anstreben. Das gilt vor allem dann, wenn die privaten Bilder für die kommerzielle Nutzung verwendet wurden.
Bei Datenschutzverstößen und Datenmissbrauch ist es immer sinnvoll, auf die Beratung eines Fachanwalts zu setzen. Dieser kennt nicht nur die rechtlichen Grundlagen des Datenschutzes, sondern auch alle Wege, wie man gegen einen Datenschutzverstoß vorgehen kann. Der KLUGO Partner-Anwalt hilft Ihnen dabei, den Sachverhalt einzuschätzen und listet Ihnen die möglichen Optionen auf – von Abmahnverfahren über Schadensersatzklagen bis hin zum Strafverfahren. Auch den teilweise sehr umfangreichen Schriftverkehr, der diesen Prozessen vorausgeht, übernimmt unser Partner-Anwalt gern für Sie. Setzen Sie mit einem KLUGO Partner-Anwalt Ihr Recht durch und erlangen Sie die Kontrolle über Ihre personenbezogenen Daten zurück.
Dann nutzen Sie einfach die KLUGO Erstberatung. Die Erstberatung ist ein Telefongespräch mit einem zertifizierten Anwalt aus unserem Netzwerk.
Beitrag juristisch geprüft von der KLUGO-Redaktion
Der Beitrag wurde mit großer Sorgfalt von der KLUGO-Redaktion erstellt und juristisch geprüft. Dazu ergänzen wir unseren Ratgeber mit wertvollen Tipps direkt vom Experten: Unsere spezialisierten Partner-Anwälte zeigen auf, worauf es beim jeweiligen Thema ankommt.