Was ist Datenschutz? Wir erklären es Ihnen ausführlich
Was ist Datenschutz?

Was ist Datenschutz?

2018 wird das Datenschutzjahr: Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) verbindlich für alle Unternehmen in Europa. Zum selben Zeitpunkt aktualisiert der Gesetzgeber auch das Bundesdatenschutzgesetz (BDSG): Mit dem BDSG-neu werden Ergänzungen zur DSGVO auf Unternehmen zukommen. Zu guter Letzt wird ebenfalls mit dem 25. Mai 2018 die ePrivacy-Verordnung gelten, die besonders auf den Datenschutz in der elektronischen Kommunikation abzielt.

All diese Änderungen sind Anlass genug, Euch über den Datenschutz, über neue und bestehende Pflichten aufzuklären.

 

Was bedeutet Datenschutz eigentlich?

Unter Datenschutz werden Maßnahmen zusammengefasst, die dem Schutz personenbezogener Daten vor Missbrauch dienen. Häufig fällt der Begriff Datenschutz auch zusammen mit dem der Privatsphäre. Ziel des Datenschutzes ist es, das Grundrecht jedes Einzelnen auf informationelle Selbstbestimmung sicherzustellen. Das Datenschutzgesetz besagt, dass jeder Einzelne selbst bestimmen können soll, wem er wann welche Daten zu welchem Zweck aushändigt.

Die weltweite Vernetzung bringt es mit sich, dass Daten auch über Landesgrenzen hinweg transferiert werden. Hier greifen andere Datenschutzgesetze, die nicht immer dem europäischen Niveau entsprechen, welches mit der kommenden DSGVO hergestellt werden soll. Deshalb trifft das Thema Datenschutz mittlerweile nicht nur technische Hilfsmittel, sondern das effektive Durchsetzen von Datenschutz.

Was sind personenbezogene Daten?

Man unterscheidet im Datenschutz personenbezogene Daten von sensiblen Daten. Zu den personenbezogenen Daten zählen Name, Alter, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse, aber auch Konto- und Ausweisnummer, Krankendaten sowie der Familienstand. Zu den sensiblen Informationen zählen beispielsweise die ethnische Herkunft, religiöse Überzeugungen, konkrete Angaben zur Gesundheit oder zum Sexualleben sowie politische Meinungen.

Welche Punkte regelt das Datenschutzrecht?

Das Datenschutzgesetz ist sehr umfangreich. Im Folgenden stellen wir Euch die wesentlichen Punkte des in Deutschland praktizierten Datenschutzes nach dem BDSG zusammen:

  • 4 BDSG gibt jedem Bürger das Recht, selbst bestimmen zu können, wem welche persönlichen Daten preisgegeben werden und wie oder wann diese genutzt werden. Daraus folgt, dass es grundsätzlich der Einwilligung des Betroffenen bedarf, wenn Daten erhoben oder verarbeitet werden.
  • Insbesondere die §§ 19, 34 BDSG definieren die Rechte von Betroffenen: Bei nach BDSG zulässigen Datenerhebungen und/ oder -verarbeitungen hat jeder Betroffene das Recht, die über ihn gespeicherten Daten einzusehen. Neben den Daten selbst erhält der Auskunftsuchende auch Informationen zu den Empfängern der Daten sowie zum Zweck der Datenspeicherung.
  • 3 Abs 9 BDSG beschäftigt sich mit besonders schützenswerten personenbezogenen Daten; den oben bereits erwähnten sensiblen Daten. Diese unterliegen strengeren Regelungen und dürfen nur in den wenigsten Fällen gespeichert und verarbeitet werden.
  • Die §§ 20, 35 BDSG nehmen öffentliche und nicht öffentliche Stellen in die Pflicht: Gespeicherte Daten müssen gelöscht, gesperrt oder berichtigt werden, wenn diese nicht korrekt sind, nicht gebraucht werden oder das Speichern bereits unzulässig war. Diese Regelung betrifft insbesondere die besonders schützenswerten Daten.
  • Das Prinzip der Datensparsamkeit ist in § 3a BDSG geregelt: Nur so wenige personenbezogene Daten sind zu erheben, wie es für den jeweiligen Zweck notwendig ist. Lässt der Verwendungszweck dies zu, sollten Daten anonymisiert und pseudonymisiert werden.
  • Verstöße gegen den Datenschutz nach BDSG werden mit Bußgeldern von bis zu 50.000 Euro (§ 43 Abs 1 BDSG) bzw. bis zu 300.000 Euro (§ 43 Abs 2 BDSG) geahndet. Mit der kommenden DSGVO werden diese Bußgelder bis hin zu existenzvernichtenden Höhen ansteigen.

Mit dem 27. April 2017 wurde das neue deutsche Datenschutzgesetz verabschiedet. Es bedurfte einiger Neuerungen, denn das BDSG-neu soll die kommende EU-Datenschutz-Grundverordnung ergänzen. Die DSGVO trat bereits am 24. Mai 2016 in Kraft. Bis zum Stichtag, dem 25.05.2018, haben Unternehmen Zeit, die Regelungen der DSGVO anzuwenden bzw. bestehende Datenschutzkonzepte entsprechend anzupassen.

Gibt es ein Recht auf Datenschutz?

Tatsächlich ist das Datenschutzrecht ein grundlegendes Persönlichkeitsrecht. Wörtlich heißt es im Bundesdatenschutzgesetz: „Zweck … ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ Kurzum: Jeder Einzelne soll selbst entscheiden können, wann er wem welche persönlichen Daten zu welchem Zweck zur Verfügung stellt.

Das Bundesverfassungsgericht sieht den Datenschutz als Grundrecht an: Vom „Recht auf informationelle Selbstbestimmung“ sprechen die Verfassungsrichter. Weiter finden sich in zehn Landesverfassungen Regelungen zum Datenschutz. Es existieren keine in den Bundesländern Hamburg, Baden-Württemberg, Hessen, Schleswig-Holstein, Niedersachsen und Bayern. Jedoch existieren hier Landesdatenschutzgesetze.

Mit der Datenschutz-Grundverordnung werden die Rechte der Betroffenen noch einmal deutlich gestärkt. Unter anderem ist das „Recht auf Vergessenwerden“ eine der Neuerungen: Betroffene erhalten das Recht, dass sämtliche Informationen über sie gelöscht werden. Auch die Datenportabilität wird viele Unternehmen treffen: Betroffene können verlangen, von Anbieter A nach Anbieter B umzuziehen. Dabei müssen sämtliche Daten lesbar übertragen werden – dem Betroffenen dürfen keine Steine in den Weg gelegt werden. Unternehmen müssen mit existenzvernichtenden Bußgeldern rechnen, wenn die Rechte der Betroffenen verletzt werden.

Welche Datenschutzgesetze gibt es?

Noch bis zum 24. Mai 2018 gilt das Bundesdatenschutzgesetz in seiner bisherigen Form. Mit dem 25. Mai 2018 bekommt die EU-Datenschutz-Grundverordnung Gültigkeit. Das BDSG-neu wird ergänzen, was der DSGVO noch fehlt. Hinzu kommt die ePrivacy-Verordnung, die sich derzeit im Entwurfsstadium befindet. Jedoch ist ihr Inkrafttreten ebenfalls am 25.05.2018 geplant.

Während die EU-DSGVO den Datenschutz EU-weit einheitlich regelt, wird das BDSG-neu auf nationales Recht abzielen. Die ePrivacy-VO kümmert sich insbesondere um den Datenschutz in der elektronischen Kommunikation. Wenn sich Regelungsbereiche der DSGVO und der ePrivacy-VO überschneiden, erhält die letzte den Vorrang. Mit der ePrivacy-VO werden die Cookie-Richtlinie und die ePrivacy-Richtlinie ersetzt, die derzeit im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt sind.

Wie kann ich mich als Privatperson absichern?

Datenschutz betrifft jeden – auch Euch als Privatperson. Nahezu sämtliche Handlungen – besonders die im Internet – haben einen datenschutzrechtlichen Bezug. Das trifft auch scheinbar neutrale Handlungen, etwa das bloße Besitzen eines Mobiltelefons oder jeder Vertragsabschluss. Die beste Absicherung für Privatpersonen besteht tatsächlich darin, so wenig wie möglich preiszugeben. Da jedoch das Handeln mit Daten heutzutage Alltag ist, hilft dieser Tipp nur bedingt. Mit den folgenden Tipps geht Ihr besser mit Euren eigenen Daten um:

  • Sichere Passwörter: Nutzt für jeden Service ein eigenes sicheres Passwort, das aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen besteht.
  • Korrekte Angaben: Nicht in jedem Internet-Portal sind zwingend korrekte Angaben vonnöten. Wird kein rechtlich relevantes Verhältnis begründet, wie etwa bei Bestellungen in Online-Shops oder bei Abonnements, dürft Ihr beim Ausfüllen des Formulars auch schummeln.
  • Wegwerf-E-Mail-Adresse: Damit Ihr Spam und andere betrügerische E-Mails verhindert, lohnt sich das Anlegen einer Wegwerf-E-Mail-Adresse, die Ihr ausschließlich für Registrierungen verwendet.
  • Daten auf dem eigenen Rechner sind durch Verschlüsselung, eine Firewall und ein aktuelles Antiviren-Programm zu schützen. Die Verschlüsselung der eigenen Daten schützt vor Datenausspähung. So reduziert Ihr Gefahren auf ein Minimum.
  • Macht euch bewusst: Weder in der Fußgängerzone noch im World Wide Web gibt es etwas umsonst. Zahlt Ihr kein Geld, so zahlt Ihr höchstwahrscheinlich mit Euren Daten – das wohl beste Beispiel dafür ist Facebook.
  • Schützt das heimische WLAN mit einem starken Passwort. Verhindert die Nutzung von offenem WLAN in Cafés, denn selbst Laien ist es möglich, binnen wenigen Sekunden auf fremde Geräte in offenen Netzwerken zuzugreifen.
  • Gebt Zugangsdaten, insbesondere Passwörter, nie weiter. Kein Bankmitarbeiter, kein seriöser Online-Shop oder andere Stellen würden je Eure Passwörter abfragen.
  • Nutzt für vertrauenswürdige Kommunikationen ausschließlich vertrauenswürdige Dienste. Tipps dazu findet Ihr im Internet, beispielsweise bei uns: Hier gelangt Ihr zum Messenger-Test, hier zum E-Mail-Anbieter-Test.
  • Verbindet Eure Mobilgeräte wie Smartphones, Tablets, externe Festplatten oder USB-Sticks nicht wahllos mit fremden Rechnern.

Es existiert keine gesetzliche Pflicht zum Schutz Eurer eigenen Daten. Jedoch sind Vorkehrungen sehr empfehlenswert, um Missbrauch und daraus resultierende Schäden zu verhindern. Kommt es doch zum Datenverlust, variieren die Folgen und die Vorgehensweise von Fall zu Fall. Wurden etwa Bankdaten gestohlen und kommt es hier zu fälschlichen Belastungen, können diese in aller Regel rückgängig gemacht werden.

Mit der Datenschutz-Grundverordnung erhalten Privatpersonen jedoch neue Rechte. Allen voran das „Recht auf Vergessenwerden“ (Art. 17 DSGVO): Es handelt sich hierbei um ein umfassendes Recht auf Löschung. Dies ist nicht neu, jedoch gibt es zahlreiche Neuerungen zu beachten. Um das Recht wahrzunehmen, muss der Betroffene zunächst Kenntnis über die gespeicherten Daten haben. Hier greift das Auskunftsrecht nach Art. 15 DSGVO.

Anschließend kann der Betroffene einen Löschantrag beim Verantwortlichen stellen. Dies erfolgt idealerweise schriftlich oder per E-Mail. Sollte die Löschung abgelehnt werden, hat der Betroffene die Möglichkeit, Beschwerde bei einer Aufsichtsbehörde einzureichen. Den Aufsichtsbehörden wird überhaupt mehr Verantwortung zugetragen: Privatpersonen können sich im Falle eines Verdachts auf Datenschutzverletzungen an sie wenden.

Warum wird der Datenschutz in Unternehmen ein so wichtiges Thema?

Ab dem 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung für sämtliche Akteure in der EU. Das macht diverse Anpassungen aktueller Prozesse unabdingbar. So werden beispielsweise Datenschutzfolgeabschätzungen verpflichtend, falls mit bestimmten Risiken für die Rechte und Freiheiten Betroffener zu rechnen ist. Diese Datenschutzfolgeabschätzungen müssen der zuständigen Datenschutzbehörde mitgeteilt werden.

Im Zusammenhang mit der EU-DSGVO werden immer wieder die horrenden, existenzvernichtenden Bußgelder erwähnt. Und das ist auch dringend notwendig: Bei Datenschutzverstößen drohen Unternehmen Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welche Summe höher ausfällt! Sanktionen sollen laut Gesetzgeber „empfindlich treffen“ und das dürfte mit diesen Summen gelingen.

Im Falle eines Datenverlusts besteht eine Informationspflicht; Verheimlichungen sind nicht mehr möglich. Datenverluste müssen an die verantwortliche Behörde sowie an die Betroffenen kommuniziert werden. Hierzulande ist das BSI der erste Ansprechpartner, aber auch die lokalen Datenschutzbeauftragten der Bundesländer nehmen die Informationen entgegen.

Insgesamt führt die DSGVO dazu, dass IT-Sicherheit als grundlegendes Konzept, als Prozess angesehen wird. So sind Security-by-Design sowie Security-by-Default wichtige Schlagworte: Nicht erst im Nachhinein sind Schutzmechanismen zu implementieren; sie müssen als Basis bereits vorhanden sein. Im Falle eines Verstoßes kann es zu den bereits erwähnten Sanktionen kommen.

Bußgelder fallen immer dann an, wenn keine bußgeldmindernden Prozesse eingeführt werden. Das können End-to-End-Sicherheitsmechanismen sein, aber auch Zertifikationen schützen vor den existenzvernichtenden Sanktionen. Die Zahlen sind immens hoch und setzen Unternehmen unter Druck. Jedoch lässt sich die DSGVO auch als Chance begreifen, die IT-Sicherheitsstandards langfristig zu erhöhen und damit im Wettbewerb vorn zu liegen.

 

Was Unternehmen im Datenschutz tun sollten

Spätestens jetzt ist es also an der Zeit, sich mit dem Thema Datenschutz im Allgemeinen und der DSGVO im Besonderen auseinanderzusetzen. Um das eigene Unternehmen auf Datenschutz zu trimmen, lohnt sich immer eine Ist-Analyse: Wo steht Ihr aktuell? Welche Details aus der DSGVO müsst Ihr noch umsetzen? Existieren schon jetzt Verfahrensaufzeichnungen, die Euch bei der Umsetzung der DSGVO helfen? Vor allem die folgenden Punkte solltet Ihr bereits umsetzen:

Datenschutzerklärung integrieren

Der Gesetzgeber fordert eine „vollständige“ und „verständliche“ Datenschutzerklärung. Was fast widersprüchlich klingt, haben wir für Euch bereits aufgearbeitet: in unserem Beitrag „Betroffenenrechte & Datenschutzerklärung nach DSGVO“ erhaltet Ihr viele Tipps zur Integration Eurer Datenschutzerklärung. Weitere Tipps zur Umsetzung der DSGVO erfahrt Ihr im Beitrag „EU-DSGVO: Gut geplant ist halb geschützt„.

Datenschutzbeauftragten ernennen

Unternehmen, deren Tätigkeit einer besonderen Kontrolle bedarf (s. Art. 35 ff. DSGVO), müssen bis spätestens Mai 2018 einen betrieblichen Datenschutzbeauftragten (DSB) bestellt haben. Neben jenen Unternehmen können alle anderen Firmen ebenfalls freiwillig einen DSB bestellen.

Unternehmen, die eine solche Tätigkeit ausführen, sind vielschichtig: Auskunfteien oder Adresshändler sind noch offensichtlich. Jedoch sind beispielsweise auch Krankenhäuser betroffen, die Gesundheitsdaten verarbeiten. Auch das Verarbeiten personenbezogener Daten zu Werbezwecken fällt in diesen Bereich.

Besteht für ein Unternehmen eine „Benennungspflicht“, so ist eine schriftliche Bestellung nicht erforderlich. Art. 37 Abs. 7 DSGVO sieht jedoch vor, dass die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und diese Daten der zuständigen Aufsichtsbehörde mitgeteilt werden.

Eine Besonderheit nennt Art. 37 Abs. 2 DSGVO: „Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.“ Um eine solche Erreichbarkeit zu gewährleisten, hat der DSB bei Konzernen mit Gesellschaften außerhalb der EU idealerweise in einer der Gesellschaften innerhalb der EU.

Ob die Position des betrieblichen Datenschutzbeauftragten intern oder extern besetzt wird, bleibt dem Unternehmen vorbehalten. Damit eigene Ressourcen besser genutzt werden und um vom Fachwissen profitieren zu können, entscheiden sich immer mehr Unternehmen für externe DSB. Versäumen Unternehmen die Bestellung eines Datenschutzbeauftragten, so sieht Art. 83 Abs. 4 lit. A DSGVO Geldbußen von bis zu 10 Mio Euro oder 2 % des weltweiten Jahresumsatzes vor.

Datenschutzverhältnis zwischen Arbeitgeber und Arbeitnehmer klären

Nicht nur die Daten von Kunden, Lieferanten und Geschäftspartnern sollen mit der DSGVO geschützt werden, auch die Daten der Arbeitnehmer spielen eine große Rolle. Schon beim Durchsehen von Bewerbungsunterlagen werden Daten verarbeitet. Mit der DSGVO sind Arbeitgeber in der Pflicht, Arbeitnehmer ausführlich über die erhobenen Daten aufzuklären.

Das Überwachen der Arbeitnehmer per Videokamera ist grundsätzlich unzulässig. Auch dürfen Arbeitgeber nicht die E-Mails der Arbeitnehmer lesen, wenn das hauseigene E-Mail-Programm mehr als nur geschäftsinterne Kommunikation erlaubt.

Es empfiehlt sich, einheitliche Internet- und E-Mail-Policy einzuführen. So werden allgemeine Verhaltensregeln aufgestellt, an die sich Mitarbeiter und Arbeitgeber bindend halten müssen.

Das trifft übrigens auch auf andere Bereiche zu: Um Compliance in der gesamten Mitarbeiterschaft zu verbreiten, helfen feste Regeln im Umgang mit Daten. Zertifizierungen sind ein probates Mittel, um Compliance im gesamten Unternehmen zu schaffen und die horrenden Bußgelder vermeiden zu können.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA

*