Was ist Datenschutz?

Datenschutz verstehen –  Was ist Datenschutz?

Slider
 

Eine Datenschutz-Definition lässt sich bereits begrifflich ableiten: Es handelt sich um den Schutz von Daten, genauer von personenbezogenen Daten. Dieser Schutz ist dann erforderlich, wenn verantwortliche Stellen im Sinne der Datenschutzgrundverordnung personenbezogene Daten verarbeiten. Ohne die Einhaltung des Datenschutzes werden maßgebliche europäische und nationale Gesetze verletzt. Verstöße gegen diese Bestimmungen können zu Bußgeldern in Millionenhöhe führen.

 

Das Video zu: Was ist Datenschutz?

Keine Lust zu lesen? Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Dieser Inhalt wurde blockiert. Durch das laden akzeptieren Sie unsere Datenschutzerklärung.
 

Was ist Datenschutz?

Für den Begriff Datenschutz existiert keine spezielle Definition. Vielmehr geht es im Wesentlichen darum, Informationen zu schützen, die nicht für die Allgemeinheit bestimmt sind. Im Datenschutz stehen dabei Informationen im Fokus, die in einem unmittelbaren bzw. mittelbaren Zusammenhang zu einer bestimmten Person stehen.

Hierzu gehören beispielsweise persönliche und private Daten. Insbesondere Kontaktdaten wie Name, Telefonnummer, Anschrift, E-Mail-Adresse oder auch das Geburtsdatum oder die IP-Adresse. Ebenfalls generell formulierte Daten gehören dazu, wie zum Beispiel bestimmte Verhältnisse und Beziehungen, welche den Kategorien der personenbezogenen Daten unterfallen. Datenschutz beschränkt sich allerdings nicht nur auf den Schutz von personenbezogenen Daten selbst, sondern beinhaltet darüber hinaus den Schutz der Freiheit des einzelnen Menschen, selbst darüber zu bestimmen, was mit den eigenen Daten passiert und wann diese verarbeitet werden.

Einfach erklärt umschreibt Datenschutz den Schutz vor missbräuchlicher Datenverarbeitung und den im Grundgesetz verankerten Schutz des Rechts auf informationelle Selbstbestimmung.

Unter Datenschutz versteht man also den Schutz des Persönlichkeitsrechts (Art. 2 Abs.1 i.V.m. Art. 1 Abs.1 GG) bei der Datenverarbeitung und den Schutz der eigenen Privatsphäre eines Menschen. Mit Datenschutz-Maßnahmen werden diese Persönlichkeitsrechte geschützt und die Privatsphäre gewahrt. Der Schutz von Daten ist immer dann relevant und verpflichtend, wenn personenbezogene Daten i.S.d. der DSGVO und des BDSG-neu verarbeitet werden. Zwischen der DSGVO und dem BDSG-neu herrschen Unterschiede, welche unbedingt beachetet werden sollten, daher lesen Sie hier mehr.

 

Datenschutz Definition

Datenschutz in Deutschland ist hauptsächlich durch  zwei Gesetze geprägt: Die Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz. Beide Gesetze regeln u.a. Vorgaben für eine rechtmäßige Datenverarbeitung und bestimmen darüber hinaus Sanktionsmöglichkeiten für Verstöße gegen gesetzliche Vorgaben. 

Vor Anwendbarkeit der DSGVO (25. Mai 2018) galt in Deutschland das alte Bundesdatenschutzgesetz. Zeitgleich mit Anwendbarkeit der DSGVO ist auch die neue Fassung des Bundesdatenschutzgesetzes in Kraft getreten. Die Datenschutzbestimmungen und Datenschutzprinzipien für Deutschland ergeben sich somit aus der DSGVO und dem BDSG-neu.

Inhalt dieser Datenschutzbestimmungen für Deutschland sind auch diverse Grundsätze des Datenschutzes:

  • Zum einen müssen Daten rechtmäßig und transparent verarbeitet werden und den Grundsätzen von Treu und Glauben entsprechen (Art. 5 Abs. 1 lit. a) DSGVO).
  • Darüber hinaus dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden (Art. 5 Abs. 1 lit. b) DSGVO).
  • Die Verarbeitung muss mit diesen Zwecken vereinbar sein, sog. Grundsatz der Zweckbindung. Außerdem existiert der Grundsatz der Datenvermeidung und -sparsamkeit (Art. 5 Abs. 1 lit. c) DSGVO). Hiernach dürfen nur die Daten verarbeitet werden, die auch tatsächlich erforderlich und dem Zweck nach angemessen sind.

Falls darüber hinaus noch weitere Daten von Kunden verarbeitet werden sollen, benötigen verantwortliche Stellen beispielsweise eine Einwilligung der betroffenen Personen. Neben diesen genannten Grundsätzen existiert auch der Grundsatz der Richtigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. d) DSGVO): Hiernach müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Andernfalls müssen betroffene Daten unverzüglich gelöscht oder berichtigt werden.

Zum anderen dürfen Daten nicht erhoben werden, solange keine gesetzliche Anordnung zur Erhebung der Daten vorliegt, sog. Erlaubnisvorbehalt. Nach dem Trennungsgrundsatz dürfen Kundendaten z.B. bei Nutzung mehrerer Internetdienste von den Unternehmen nicht zusammengefasst werden, damit Kunden vor der Entstehung eines umfangreichen Profils mit den privaten Daten der Kunden im Internet geschützt werden. Ferner müssen hiernach beispielsweise Daten verschiedener Kunden bzw. Mandanten getrennt verarbeitet werden.

Grundsätze des Datenschutzes

Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO) besagt, dass die Verarbeitung von personenbezogenen Daten nur so lange stattfinden darf, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Nach dem Grundsatz der Integrität muss die Art und Weise der Verarbeitung von personenbezogenen Daten eine angemessene Sicherheit gewährleisten, vgl. Art. 5 Abs. 1 lit. f) DSGVO. Diese Sicherheit soll unter anderem durch sog. technisch-organisatorische Maßnahmen gem. Art. 32 DSGVO etabliert werden.

Darüber hinaus ist in der neuen Datenschutzgrundverordnung im Vergleich zu früher das sog. Prinzip der Beweislastumkehr geregelt: Gem. Art. 5 Abs. 2 DSGVO muss nämlich der Verantwortliche für die Einhaltung der Grundsätze verantwortlich und ist die Einhaltung auch nachweisen können (sog. Rechenschaftspflicht). Aus dieser Rechenschaftspflicht ergeben sich die zahlreichen Dokumentationspflichten für verantwortliche Stellen.

 

Wann darf ich Daten verarbeiten?

Die Anforderungen an eine rechtskonforme Datenverarbeitung sind in der DSGVO und im BDSG-neu geregelt. So ist eine Datenverarbeitung immer dann rechtmäßig, wenn eine spezielle Rechtsgrundlage existiert, so z.B. Art. 88 DSGVO, § 26 BDSG-neu für das Beschäftigungsverhältnis.

Darüber hinaus bildet auch eine rechtskonforme Einwilligung eine geeignete Rechtsgrundlage für die Datenverarbeitung, Art. 6 Abs. 1 lit. a), Art. 7 DSGVO. Für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen dürfen Daten gem. Art. 6 Abs. 1 lit. c) DSGVO ebenfalls verarbeitet werden.

Wenn lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person geschützt werden sollen, kann Art. 6 Abs. 1 lit. d) DSGVO als Rechtsgrundlage dienen. Falls die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, ist als Rechtsgrundlage Art. 6 Abs. 1 lit. e) DSGVO einschlägig.

Zu guter Letzt dürfen personenbezogene Daten verarbeitet werden, wenn dies zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, vgl. Art. 6 Abs. 1 lit. f) DSGVO.

Sie möchten mehr zu dem Thema Datenschutz erfahren?

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Slider
 

Wie wichtig ist Datenschutz wirklich? – Die Bedeutung des Datenschutzes

Durch den enormen technologischen Fortschritt der letzten Jahre bzw. Jahrzehnte ergeben sich ungeahnte Möglichkeiten, dadurch aber auch ungeahnte Gefahren. Während früher Daten ausschließlich analog aufgenommen wurden, geschieht das alles heutzutage digital und autonom. Personenbezogene Daten werden erhoben, selbst wenn niemand der Beteiligten dies möchte oder überhaupt weiß. Beispielsweise werden auf Websites ständig Daten erhoben, ohne dass der Nutzer zwangsläufig davon wissen muss. Diese Daten können sehr wertvoll sein, sei es aus persönlichen Gründen (Vertrauliche Daten) oder wirtschaftlichen Gründen (Konsumentenverhalten, unfassbar wertvoll für entsprechende Unternehmen). 

Dabei sind diese im Internet nicht zwangsläufig sicher, Profis können sich problemlos Zugang zu den Daten verschaffen, und somit große wirtschaftliche Vorteile ziehen. Deshalb müssen die Daten, welche sie erheben, stets optimal geschützt sein. Einerseits weil die Daten der Kunden bestmöglich geschützt werden sollen, andererseits weil ihr Unternehmen sich sonst angreifbar für potenziell empfindliche Strafen macht.

Besonders brisant sind dabei die besonderen personenbezogenen Daten (z.B. ethnische Herkunft, biometrische Daten), welche noch stärker geschützt werden müssen. Auch wichtig sind beispielsweise Bankdaten, welche bei bargeldlosen Zahlungsverfahren erhoben werden, oder was genau mit den Daten einer Videoüberwachung passiert.

Durch den stetigen Fortschritt der Technologie wird auch der Anspruch an den Datenschutz immer weiter steigen. Es wird immer bessere, autonome Technologie geben, welche immer mehr Daten gleichzeitig erhebt. Deshalb ist es wichtig stets optimal informiert zu sein und in der Lage zu sein, sich an neue Gegebenheiten anzupassen.  Denn der Datenschutz wird immer wichtiger, je mehr Daten erhoben werden.

Problemfall: Mangelndes Bewusstsein für den Schutz personenbezogener Daten

Viele Menschen können die Bedeutung der DSGVO noch nicht entsprechend einordnen. Das liegt einerseits daran, dass das Gesetz noch verhältnismäßig jung ist und somit noch nicht alle zu 100 % mit diesem vertraut sind, andererseits dreht es sich auch um Abläufe, die von vielen nicht groß hinterfragt werden. Dann wird der Laptop mal kurz stehen gelassen oder die Akten morgen erst weggeräumt. Dabei können sehr schnell empfindliche Strafen drohen, welche das Unternehmen natürlich nicht auf sich nehmen will. Weiterhin besteht die Gefahr bei nicht entsprechen der DSGVO wegen wettbewerbswidrigen Verhaltens abgemahnt zu werden. Zwar gibt es noch keine eindeutige Rechtsprechung zu dem Thema, trotzdem besteht die Möglichkeit.

Die abstrafenden Behörden nehmen auch langsam Fahrt auf, wurden in 2018 42 Bußgelder verhängt, waren es 2019 schon 187. Diese Zahl wird vermutlich erstmal ansteigen, bis sich alle Unternehmen DSGVO konform absichern und vor allem ihre Mitarbeiter entsprechend schulen.

Die Brisanz dieser Daten ist noch nicht allen klar. Das dies sehr gefährlich sein kann, ist den meisten Mitarbeitern und sogar einigen Führungspersonen gar nicht bewusst. Die Daten, die im Internet erhoben bzw. verarbeitet werden sind praktisch unmöglich zu löschen. Dieser Fakt muss jedem bewusst werden. Wenn die Daten nämlich Datenschutzkonform erhoben und verarbeitet werden, minimiert dies die Chance, dass die Daten in falsche Hände geraten können und somit ihr Unternehmen angreifbar ist.

 

Verstöße gegen Datenschutz: Beispiele für Bußgelder

Ein Verstoß gegen Datenschutz (z.B. gegen die vorgenannten Grundsätze und gesetzlichen Vorschriften) kann einschneidende Konsequenzen nach sich ziehen. Die maßgeblichen Bestimmungen für die Sanktionierung von Datenschutzverstößen sind in Art. 77 ff. DSGVO geregelt.

Nach diesen Vorschriften liegt ein Verstoß gegen Datenschutz vor, wenn beispielsweise betroffene Personen nicht über die Erhebung ihrer Daten informiert wurden (vgl. Art. 83 Abs. 4 lit. a) DSGVO) oder der gesamten Datenverarbeitung nicht zugestimmt haben (vgl. Art. 83 Abs. 5 lit. a) DSGVO).

Ein Verstoß gegen Datenschutzvorschriften kann zu hohen Bußgeldern führen: Diese können bei bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes der verantwortlichen Stelle liegen, je nachdem, welcher der Beträge höher ist. Gem. § 42 BDSG-neu ist sogar eine Freiheitsstrafe von bis zu drei Jahren möglich.

Die höchsten Bußgelder wurden verhängt an (Stand September 2020):

  • AOK (1.200.000 €)
  • 1&1 (9.500.000 €)
  • Deutsche Wohnen SE (14.500.000 €)

Allein beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), das die Einhaltung des Datenschutzrechts in privaten Wirtschaftsunternehmen, bei Freiberuflern, in Vereinen und Verbänden sowie im Internet überwacht, laufen derzeit 85 Bußgeldverfahren nach der DSGVO.

Um die aktuellen Bußgelder, Urteile und Stellungnahmen zu verfolgen Sie am besten unseren Bereich Aktuelles im Datenschutz.

 

Datenschutz in der Geschichte: Die Entwicklung des Datenschutzes

Der Datenschutz hatte seine Anfänge schon in den 60er Jahren. Damals war der Grundgedanke, dass der bzw. seine Privatsphäre geschützt werden sollte. Tatsächlich verabschiedete Hessen 1970 das weltweit(!) erste Datenschutzgesetz, worauf bald das Bundesdatenschutzgesetz (BDSG) im Jahre 1977 folgte. Dieses war lange maßgebend in Deutschland und hatte das Ziel als Schutz des Persönlichkeitsrechts bei der Verarbeitung personenbezogener Daten zu wirken (§ 1 BDSG). Das BDSG wurde über die Jahre vor allem durch EU-Richtlinien immer wieder angepasst, bis es von der EU-Datenschutz-Grundverordnung (DSGVO) größtenteils verdrängt wurde, weshalb das BDSG neu verfasst wurde und in dieser Form seit Einführung der DSGVO am 25. Mai 2018 neben dieser existiert, und eher (aber nicht nur) auf öffentliche Stellen ausgerichtet ist.

Die Einführung der DSGVO, welche EU-weit gilt, war der wohl bisher größte Meilenstein in der Datenschutzgeschichte. Durch die internationalisierte Wirtschaft ist es wichtig, gleiche Regeln für alle zu haben, was diese Verordnung unter anderem so wichtig macht. Trotzdem steht immer noch eine große Entwicklung bevor, weil sich erst durch die Rechtsprechung der nächsten Jahre ergeben wird, wie genau die DSGVO anzuwenden ist, da es einige unbestimmte Rechtsbegriffe gibt. Es ist nicht unwahrscheinlich, dass es immer Grenzfälle geben wird, da es vermutlich immer neue Technologie und somit neue Wege personenbezogene Daten zu erheben und zu verarbeiten geben wird.

 

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Die Definition von Datensicherheit weist einen Unterschied zum Begriff Datenschutz auf:

Während es bei dem Begriff Datenschutz ganz allgemein um den Schutz personenbezogener Daten geht, liegt der Fokus bei der Datensicherheit bei Maßnahmen, die den Schutz der Daten, u.a. vor Missbrauch und Verlust, gewährleisten soll. Die Mittel für diese Maßnahmen sind in Art. 32 DSGVO geregelt: Die technisch-organisatorischen Maßnahmen (TOM).

Hierzu gehören gem. Art. 32 DSGVO die Pseudonymisierung und Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a) DSGVO), die dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung (Art. 32 Abs. 1 lit. b) DSGVO), die rasche Wiederherstellbarkeit der Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall (Art. 32 Abs. 1 lit. c) DSGVO) und ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d) DSGVO).

Weitere technisch-organisatorische Maßnahmen sind auch in anderen Normen in der DSGVO zu finden, wie z.B. die Vorgabe für datenschutzfreundliche Voreinstellungen in Art. 25 Abs. 2 DSGVO.

Zwar gilt § 64 BDSG-neu nur für die Datenverarbeitung öffentlicher Stellen bei Straf- und Ordnungswidrigkeitenverfahren, allerdings kann der detaillierte Katalog für technisch-organisatorische Maßnahmen in § 64 Abs. 3 BDSG-neu als Orientierungshilfe für die Einrichtung von technisch-organisatorischen Maßnahmen dienen, da diese Vorgaben an dieser Stelle konkreter als in Art. 32 DSGVO formuliert sind.

Folgende Kontrollfragen erleichtern die Differenzierung Datenschutz vs. Datensicherheit:
Darf ich diese personenbezogenen Daten erheben und verarbeiten? (Datenschutz)
Wie schütze ich Daten vor einem Zugriff durch Unbefugte? (Datensicherheit).

Folgende Kontrollfragen erleichtern die Differenzierung Datenschutz vs. Datensicherheit:

Bei dem Datenschutz geht es darum, ob personenbezogenen Daten erhoben und verarbeitet werden dürfen, oder nicht. Dies hängt erstmal davon ab, ob es sich um normale personenbezogene oder besondere personenbezogene Daten handelt. Personenbezogene Daten dürfen gemäß Art. 6 DSGVO verarbeitet werden, sobald eine der in Abs. 1 genannten Bedingungen vorliegt. Die Verarbeitung von besonderen personenbezogenen Daten ist prinzipiell gemäß Art. 9 DSGVO Abs. 1 untersagt, sobald nicht eine Ausnahme gemäß Abs. 2 vorliegt.

Bei der Datensicherheit hingegen dreht sich allem um die Frage, wie die Daten am besten gegen einen Zugriff durch Unbefugte geschützt werden kann. Das fängt bei einfachen, analogen Sachen an wie z.B. Datenträger (Laptop, Stick) richtig zu sichern oder Akten mit sensiblen Daten sofort wegzuräumen, wenn sie nicht mehr gebraucht werden, und geht bis zum DSGVO konformen absichern der Cloud oder dem sicheren Verfahren mit Daten auf der entsprechenden Kommunikationsplattform ihres Unternehmens.

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

3 Kommentare. Hinterlasse eine Antwort

  • Theo Schumacher
    8. Mai 2020 17:20

    Die Informationen, die Sie hier zum Thema Datenschutz mitteilen, sind sehr übersichtlich. Jetzt sollte ich eine bessere Entscheidung treffen können. Meiner Meinung nach sollte man dies immer auf eine gut informierte Weise tun.

    Antworten
  • Ab wann ist es Datenschutz, schon oder wenn ich nur den Namen angebe oder Firma und Namen und Abteilung um nachvollziehen zu können das ich etwas außerhalb der Norm tue oder ein Gegenstand leihe um zu arbeiten usw.

    Ich finde den Datenschutz für richtig, wenn ich sämtliche Daten erfasse und vor anderen schützen muss bzw. nicht weiter geben darf.
    Selbst wenn ich auf einem PC diese Daten erfasse so muss derjenige doch seine Einwilligung geben dass dies mit seiner Zustimmung gilt.

    Antworten
    • Wir befinden uns tatsächlich sehr schnell im Bereich des Datenschutzes. Sobald personenbezogene Daten oder personenbeziehbare Daten (KFZ-Kennzeichen) verarbeitet werden, so müssen wir die Anforderungen der DSGVO vollständig erfüllen. Bei weiteren Fragen, vereinbaren Sie einfach ein kostenfreies Erstgespräch.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN