Datenschutz 2020. Regina Mühlich
Unterlagen jedes Steuerpflichtigen sind u. a. in § 147 Abgabenordnung (AO) aufgelistet. Grundsätzlich sind sämtliche Bücher und Aufzeichnungen aufzubewahren, soweit diese für die Besteuerung von Bedeutung sind.
• | Eine zehnjährige Aufbewahrungsfrist (§ 147 Abs. 2 i. V. m. Abs. 1 Nr. 1, 4 und 4a AO, § 14b Abs. 1 UStG) gilt z. B. für Jahresabschlüsse, Inventare, Buchungsbelege und Rechnungen. |
• | Eine sechsjährige Aufbewahrungsfrist gilt für alle anderen aufbewahrungspflichtigen Geschäftsunterlagen wie z. B. empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe und sonstige Unterlagen, soweit diese für die Besteuerung von Bedeutung sind. |
Integrität {Grundsätze des Datenschutzes, Integrität} und Vertraulichkeit {Grundsätze des Datenschutzes, Vertraulichkeit} Dieses Prinzip erfordert, dass die Integrität der Daten und auch deren Vertraulichkeit zu schützen sind.
Integrität {Integrität} und Vertraulichkeit {Vertraulichkeit} sind Begriffe aus der Informationssicherheit (
Die Grundsätze des Datenschutzrechts sind erhalten geblieben, auch wenn es im Detail erhebliche Änderungen gegeben hat, z. B. der Wegfall der Direkterhebung oder die Datenrichtigkeit. Die allgemeinen Leitplanken des Datenschutzrechts sind jedoch auch nach der DSGVO im Wesentlichen die gleichen.
1.8.1 Betroffenenrechte im Überblick
{Betroffenenrechte}
Mit Kap. III der DSGVO werden die Rechte der betroffenen Person (
Die wichtigsten Rechte für die betroffene Person sind:
Bild 5: Betroffenenrechte (Quelle: © 2020 Regina Mühlich)
Bei allem gilt der Grundsatz gem. Art. 5 Abs. 1 DSGVO (ErwG 39 DSGVO): „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“. Im Rahmen des Art. 12 Abs. 1 DSGVO trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person alle Informationen, die sich auf die Verarbeitung beziehen, „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten“ (Informationspflichten).
In der DSGVO nimmt, im Gegensatz zum BDSG, der Kinder- und Jugendschutz eine wichtige Rolle ein. Die zentrale Norm hierfür ist Art. 6 DSGVO, soweit es um die Beurteilung der Rechtmäßigkeit einer Datenverarbeitung geht. Wichtigster Auffangtatbestand ist Art. 6 Abs. 1 lit. f DSGVO, der die Datenverarbeitung auf Basis von berechtigten Interessen der Unternehmen erlaubt:
Art. 6 Abs. 1 DSGVO
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]
f) | die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. |
Artikel 8 DSGVO hat eine Altersgrenze eingeführt: Ab 16 Jahre können Kinder und Jugendliche {Betroffenenrechte, Kinder} in die Verarbeitung ihrer personenbezogenen Daten wirksam einwilligen. Ansonsten, also bei Kindern und Jugendlichen unter 16 Jahre, ist eine Einwilligung der Erziehungsberechtigten erforderlich. Nach der DSGVO muss ein Erziehungsberechtigter seine Einwilligung erteilen, wenn es sich um ein Angebot von Diensten einer Informationsgesellschaft handelt, das einem Kind oder Jugendlichen direkt gemacht wird (Art. 8 Abs. 1 DSGVO). Die DSGVO definiert allerdings nicht, was unter „Angebot von Diensten der Informationsgesellschaft“ zu verstehen ist.
Art. 8 DSGVO – Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
(1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.
(2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.
(3) Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.
Der ErwG 38 DSGVO gibt hier weitere Anhaltspunkte für die Beurteilung:
ErwG 38 DSGVO
Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.
Die DSGVO stellt Unternehmen bei der Verarbeitung von personenbezogenen Daten von Kindern und Jugendlichen vor besondere Herausforderungen. Im Zentrum steht das besondere Schutzbedürfnis von Kindern, welchem Rechnung zu tragen ist. Artikel 40 Abs. 2 lit. g DSGVO sagt hierzu noch:
Art. 40 Abs. 2 lit. g DSGVO
Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
Neu
Im Hinblick auf die Bestimmung des Alters eines Kindes konnte der nationale Gesetzgeber von seiner nationalen Regelungsbefugnis Gebrauch machen. Im BDSG hat der deutsche Gesetzgeber nicht darauf zurückgegriffen. Die zulässige Einwilligung durch einen Minderjährigen kann lt. DSGVO erst ab dem 16. Lebensjahr erbracht werden.
In der EU gelten z. B. folgende Altersgrenzen (Stand: 20.12.2019)[1]:
Belgien: | 13 Jahre | Malta: | 13 Jahre |
Bulgarien: | 14 Jahre | Niederlande: | 16 |