Personenbezogene Daten: Datenschutzverordnungen

Als Datenverarbeitung (DV) bezeichnet man im Allgemeinen den organisierten Umgang mit Datenmengen mit dem Bestreben, Informationen über diese Datenmengen zu gewinnen bzw. diese Datenmengen zu verändern. Die Datenverarbeitung begleitet immer mehr Auflagen.

Der Begriff der Datenverarbeitung wurde bereits weit vor der Einführung von Computersystemen verwendet. Die allgemeine Datenverarbeitung ist heute tägliche Grundlage bei der Nutzung von Computer, Software und Medien und kann über vielseitige technische Bahnen und Komponenten erfolgen. Dieser Aspekt soll in diesem Abschnitt auch nicht beleuchtet werden. Vielmehr die Schutzvorschriften der Verarbeitung an sich; v.a. der personenbezogenen Daten.

Der Datenschutz ist innerhalb der EU vereinheitlicht. Grundlage ist die General Data Protection Regulation (GDPR), EU Regulation 2016/679, welche auch die deutsche Datenschutz-Grundverordnung (DSVGO) abbildet. Die EU Regelung kann in 24 Sprachen als PDF- oder HTML-Version bezogen werden >>> General Data Protection Regulation (GDPR, EU Datenschutz-Grundverordung). Des Weiteren bildet den Schutz des Bürgers in der EU der Digital Services Act (DSA) ab, der als verbindliches EU-Regelwerk für Online-Plattformen Gültigkeit hat und insbesondere illegale Inhalte im Internet bekämpft und Nutzerrechte stärkt. Auch dieses Regelwerk wird von dem EU-Portal in 24 Sprachen zur allgemeinen Kenntnisnahme angeboten >>> EU Digital Services Act (DSA) - Deutsche Fassung.

Grundlegendes zu personenbezogene Daten

Der tägliche Umgang mit Datenmengen, dessen Erhebung und Speicherung unterliegt nicht dem individuellen Belieben. Für den Datenaustausch im Wirtschafsleben und innerhalb der Internetgesellschaft und öffentlichen Leben gibt es klare Regelungen und Bedingungen. Sie unterliegen der Datenschutzgrundverordnung innerhalb der Bundesrepublik Deutschland. Gemäß des Artikels 4, Nummer 2 der Datenschutzgrundverordnung (DSGVO) wird diesbezüglich der Begriff "Verarbeitung" von Daten definiert als:

"jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung"
Quelle: Art. 4 Nr. 2 DSGVO

Besonderem Schutz kommen dabei personenbezogenen Daten zu. Hier werden in der Datenschutzgrundverordnung verpflichtende Regeldsätze für das Erheben und Verarbeiten von diesbezüglichen Daten genannt. Die Verarbeitung muss v. a. den folgenden Grundsätze entsprechen  (Art. 5 Nr. 1 DSGVO):

• Sie muss der Rechtmäßigkeit unterliegen, Verarbeitung nach Treu und Glauben und bei gegebener Transparenz
• Daten können nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht zweckentfremdet weiterverarbeitet werden
• Sie unterliegt der Datenminimierung. Daher dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt. 
• Sie muss die Richtigkeit gewährleisten und auf dem neusten Stand sein.
• Die Form der Datenspeicherung dard die Identifizierung der betroffenen Personen nur so lange ermöglichen, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
• Sowie die Integrität und Vertraulichkeit gewährleisten. Ihre Speicherung muss geschützt sein vor Verlust, unbefugter oder unrechtmäßiger Verarbeitung als auch unbeabsichtigter Schädigung oder Zerstörung.

Bei größeren Datenmengen ist die Beratung durch einen externen Datenschutzbeauftragten/-Beraters sinnvoll, da Verstöße gegen Verordnungen mit Sanktionen belegt sind.

Datenverarbeitung im Rahmen von Auftragsverwaltung

Sollten Daten im Auftrag eines Geschäftspartners verarbeitet werden, müssen Verantwortlicher und Auftragsnehmer dies in einen gesonderten Vertrag (AV-Vertrag mit Kundendienstbüro oder Callcenter) über die Datenverarbeitung beschließen. Dieser muss inhaltlich ebenso den weiterführenden Anforderungen der Datenschutzgrundverordnung entsprechen. Ziel ist die Garantie dafür, dass:

"... geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."
Quelle Art. 28 (1) DSGVO

Einer Rechtsgrundlage bedarf auch der Datenaustausch innerhalb von Konzernen. Untergeordnete Gesellschaften werden ähnlich mit Regelwerken belegt, wie ein fremdes Unternehmen. 

Bei dem Betrieb von Webseiten bzw. von Dienstsystemen, gleich ob kommerziell oder nicht-kommerziell, müssen in Deutschland strenge Datenschutzanforderungen eingehalten werden, die primär durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) geregelt sind. Das TDDDG löst das alte Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) ab.
Die DSGVO lehnt sich an die EU-Verordnung EU 2016/679 an. So soll ein einheitliches Datenschutzniveau in der EU gewährleistet werden. Das TDDDG ist hingegen seit 2021 ein deutsches Bundesgesetz, welches auch Vorgaben der europäischen ePrivacy-Richtlinie umsetzt. Das TDDDG regelt vor allem Vorgaben zur technischen Umsetzung von Cookies, Tracking und Endgerätezugriffe im Internet, gemäß §25 TDDDG. Es setzt dabei die europäische ePrivacy-Richtlinie 2002/58/EG um. Das TDDDG ergänzt dabei die DSGVO im Bereich digitale Dienste.

DSGVO und TDDDG regeln unterschiedliche Schutzbereiche.

So schützt zum Beispiel die DSVGO die personenbezogenen Daten und das TDDDG das Endgerät. Während das DSVGO EU-weit gültig ist, ist das TDDDG ein Deutsches Umsetzungsgesetz. In der Praxis müssen beide Gesetze (DSVGO und TDDDG) gleichzeitig berücksichtigt werden. 

⇛  Der Schutz personenbezogener Daten durch die DSGVO

Während das TDDDG schon Relevanz hat bevor wesentlich personenbezogene Daten verarbeitet werden, gibt die DSGVO die Richtlinien vor, wenn personenbezogene Daten verarbeitet werden. Es beantwortet die Frage, ob gewisse Daten dabei überhaupt verarbeitet werden dürfen, wie:

• Name, E-Mail-Adresse des Verbrauchers
• IP-Adressen des Verbrauchers
• Standortdaten des Verbrauchers
• Kundendaten im System des Anbieters
• Zum Newsletter-Versand verwendete Daten 
• Tracking und Auswertung mit Personenbezug

So ist die DSVGO allgemeine Rechtsgrundlagen der Datenverarbeitung, der Informationspflicht, Datenschutz-Folgenabschätzung und Auftragsverarbeitung sowie Bußgelder. Die DSVGO beinhaltet auch grundlegende Betroffenenrechte, wie die Auskunft, Löschung oder Ergänzung personenbezogener Daten.  

⇛  Das ergänzende Bundesdatenschutzgesetz (BDSG)

Das Bundesdatenschutzgesetz (BDSG) ist ein Bundesgesetz der Bundesrepublik Deutschland. Es ergänzt die Datenschutz-Grundverordnung (DSGVO) um Bestimmungen, die den nationalen Regelungen der einzelnen Mitgliedsstaaten der europäischen Union (EU) überlassen sind. Wirkungsbereich des BDSG sind öffentlicher Stellen des Bundes und der Länder (v.a. Ämter), soweit hier keine landesrechtliche Regelung gegeben ist, sowie nicht-öffentliche Stellen (Unternehmen der Privatwirtschaft).
Rechtsbereiche sind hier insbesondere der Beschäftigtendatenschutz, Regelungen zur Videoüberwachung, Datenschutzbeauftragte sowie spezielle Regelungen für Behörden und öffentliche Verwaltungsstellen.

⇛  Verbraucherschutz durch das TDDDG

Das TDDDG richtet sich an Anbieter von digitalen Diensten. Gemeint damit ist jede natürliche oder juristische Person, die Dienstleistungen innerhalb der Informationsgesellschaft bietet. Dies trifft vor allem auf jene Diensleitster zu, die gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers Dienstleistungen erbringen. Explizit betrifft dies vor allem Webhoster, Telekommunikationsanbieter (VoIP-Telefonie, Messenger-Dienste, Chats Videokonferenzsysteme ...) und Online Shops, über die direkt Waren und/oder Dienstleistungen online bestellt werden können. Keine digitalen Dienste sind in diesem Sinne Dienste, die der Verbraucher vor Ort an einem Gerät in Anspruch nimmt, Z.B. Fahrkartenautomat oder Bankautomat.
Das TDDDG ergänzt die DSGVO im Online-Bereich und betrifft das Speichern und/oder Auslesen von Informationen auf dem Endgerät des Verbrauchers. Dies ist nur mit dessen Einwilligung möglich und erlaubt! Das TDDDG bestimmt, ob:

• Cookies gesetzt werden dürfen (Einwilligungspflicht). Hier vor allem Rechtsgrundlage für Cookie-Banner
• Zugriff auf den lokalen Speicher erfolgen darf
• Zugriff auf Geräteinformationen des Verbrauchers erfolgen darf
• Grundlegend Tracking von Nutzerdaten erfolgen darf, wie E-Mail-Öffnungen, anderen Seitenanmeldungen oder Analysen zum Surfverhalten

So erweitern sich die Grundbereiche des Datenschutz bei Telekommunikationsdiensten auch um das Fernmeldegeheimnis.

⇛  Das Digitale-Dienste-Gesetz (DDG)

Das DDG löste 2024 das Telemediengesetz (TMG) ab. Wie sein Vorgänger, bestimmt das Digitale-Dienste-Gesetz allgemein die rechtlichen Pflichten von Anbietern digitaler Dienste im Internet, es dient der Inhalte & Plattformverantwortung. Wie zum Beispiel:

• Bestehende Impressumspflicht - jeder Anbieter von digitalen Diensten muss ersichtlich seine Kontaktdaten auf der Webpräsenz hinterlegen
• Haftungsregeln -  Diensteanbieter müssen Inhalte Dritter nicht aktiv überwachen oder nach Rechtsverstößen durchsuchen. Auch haften Telekommunikationsabieter nicht für übermittelte Informationen, wenn Sie diese Übergabe nicht selbst veranlassen oder den Empfänger wählen. So haftet ein Forenbetreiber nicht automatisch für ein verwerfliches Kommentar eines Dritten, solange er davon keine Kenntnis hatte.

Auch das DDG setzt EU-Verordungen um - Hier den EU-Digital Services Act (DSA). Das DDG dient nicht primär dem Datenschutz, vielmehr der Plattformregulierung. 

⇛  Weitere Gesetzte: BFSG

Dieses Regelwerk hat zwar nichts mit Datenschutz zu tun, kann aber als zusätzliches Beispiel für die ständig steigenden Anforderungen an Internetpräsenzen genannt werden. Das Barrierefreiheitsstärkungsgesetz, abgekürzt BFSG, ist ein Deutsches Bundesgesetz. Das Gesetz und sein Geltungsbereich wurde 2021 eingeführt und ist ab Mitte 2025 voll anwendbar und verpflichtend. Das BFSG bestimmt seither, dass Produkte und Dienstleistungen in Deutschland barrierefrei gestaltet sein müssen. Dies umfasst auch digitale Produkte und Dienstleistungen sowie tragende Internetpräsenzen. Das Ziel des Regelwerkes ist es, Menschen mit Behinderungen (z.B. Sehbehinderte) gleichberechtigten Zugang zu Ressourcen zu ermöglichen und die Teilnahme an der digitalen Gesellschaft zu fördern. So verpflichtet das Gesetz zum Beispiel zu beschreibenden Alternativtexten bei Grafiken (digital vorlesbar).

Mit dem Barrierefreiheitsstärkungsgesetz wurde die europäischen Richtlinie (EU) 2019/882 umgesetzt.

Resultierende Anforderungen an Internetpräsenzen

1. Ein Impressum (DDG) und Datenschutzerklärung (DSGVO)

Ein Impressum ist für unternehmerische Zwecke verpflichtend. Ebenso, wenn ein Einsatz als Affiliate (Werbepartner) erfolgt. Das Impressum und die Datenschutzerklärung muss von jeder Website aus abrufbar, sichtbar und verständlich sein. Während das Impressum den verantwortlichen für die Internetpräsenz selbst ausweist, nennt die Datenschutzerklärung des Verantwortlichen des Datenschutzes. 

Die Datenschutzerklärung muss Informationen enthalten zu:

• Art der erhobenen Daten: Darlegung welche Daten erhoben werden, Z.B.  Name, IP-Adressen, Cookies usw.
• Zweck der Datenverarbeitung: Es muss der Grund offengelegt werden, warum die Daten überhaupt erhoben werden.
• Die notwendigen Rechtsgrundlagen: Der Einwilligung, Erklärung des berechtigten Interesses
• Darlegung einer Weitergabe an Dritte, z. B. an Hosting-Dienste oder Tracking-Dienste
• Einhergehende Rechte der Nutzer, z.B. Auskunft über erhobene Daten, Beantragung einer Löschung und Widerspruchsrecht
• Kontaktinformationen des Datenschutzbeauftragten als kontinuierlicher Ansprechpartner

Die Datenschutzerklärung muss aktuell sein und auch den aktuellen Anforderungen angepasst werden. Rechtlich, wie technisch. Technische Modifikationen der Internetpräsenz müssen sich in der Datenschutzerklärung wiederfinden, sofern diese die Datenschutzbestimmungen betreffen. 

2. Zustimmungsbox (Cookie-Banner) und Einwilligung zur Datenaufnahme

Sollten Cookies nicht technisch notwendig sein (sog. optionalen Cookies) dürfen diese erst nach ausdrücklicher Zustimmung gesetzt werden. Diese Cookies können sich auf das Tracking (systematisches Bewegen eines Nutzers), Marketing- bzw. Vertriebszwecke (Werbeeinblendungen, nutzungsbasierte Vorauswahlen) oder Analysezwecke beziehen. Ein DSGVO-konformer Cookie-Banner muss diesbezüglich:

• Transparente Informationen liefern
• Eine aktive Einwilligung einholen (Opt-in)
• Eine schlichte Möglichkeit zum Widerruf bieten (Opt-out), vor allem für die Daten-Weitergabe an Dritte
• Tracking-Tools dürfen nur verwendet werden, wenn eine rechtskonforme Einwilligung vorliegt. Die IP-Adressen des Nutzers müssen dabei anonymisiert werden. 

3. Angaben zur automatisierten Kommunikation: Z.B.  über integrierte Kontaktformulare, Newsletter, Forum und Shoutboxen.

Nutzer müssen gerade hier über die Datenverarbeitung und deren Folgen informiert werden sowie einwilligen.

4. Auftragsverarbeitungsverträge (AV-Verträge)

Wie bereits in diesem Artikel angesprochen, gibt es hierzu ebenso klare Regelungen. Wenn personenbezogene Daten an Partner zur Zwecke der Weiterbearbeitung übergeben werden (Auftragsverarbeitungsvertrag), muss dies absolut DSGVO-konform geschehen. Das heißt, der Nutzer muss entsprechend informiert und seine Zustimmung zur Auftragsverarbeitung gegeben haben. Sehr verbreitet hier der Dienst Google Analytics, welcher auf Webseiten diverse Analysetechniken walten lässt und personenbezogene Daten extern auswertet. Auch hier werden Daten im Rahmen eines Auftragsverarbeitungsvertrags (AVV) an eine externe Stelle Daten weitergegeben; so muss dies explizit auch in der Datenschutzerklärung aufgeführt sein.

5. Einbinden von Drittseitenressourcen stellt erweiterte Anforderungen an die Datenschutzerklärung

Um datenschutzkonform zu bleiben, muss die Datenschutzerklärung illustrieren, wenn externe Inhalte technisch eingebunden sind. Dies gilt insbesonders für eingebettete YouTube-Videos, digitale Karten (z.B. Google Maps), Feeds von Internetplattformen, Plugins von sozialen Netzwerken (wie Facebook oder Instagram) und externe Schriftarten (z.B. nachgeladene Google Fonts). Hier werden beim Laden der Seite häufig bereits personenbezogene Daten, wie die IP-Adresse des Nutzers an Dritte weitergegeben.

Während das Verlinken auf eine Drittseite per Textlink hier keine besondere Relevanz hat (sofern kein Tracking oder Setzen von Cookies damit verbunden), so ergibt sich aber das Einbinden von externen grafischen Bannern als bedeutend. Denn hier werden Fremdinhalte auf der eigenen Seite platziert! In Folge muss die Einbindung in der Datenschutzerklärung erwähnt sein und der Drittanbieter genannt. Darüber hinaus muss erklärt werden, welche Daten an Dritte übertragen werden. 

6. Verschlüsselung über Secure Sockets Layer (SSL)

Eine sichere HTTPS-Verbindung ist seit 2018 praktisch Pflicht. Daten sollen beim Transport bestmöglich geschützt sein.

---

Datenschutz-Grundverordnung (DSGVO)

General Data Protection Regulation (GDPR) | EU Regulation 2016/679

Digitale-Dienste-Gesetz (DDG)

Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)