Datenschutz verstehen – Was ist Datenschutz?
Kurze Zusammenfassung
- Datenschutz beschreibt den Schutz vor der missbräuchlichen Verarbeitung personenbezogener Daten sowie den Schutz des Rechts auf informationelle Selbstbestimmung.
- Der Datenschutz in Deutschland wird hauptsächlich durch die zwei Gesetze Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG-neu) geprägt.
- Für die rechtmäßige Verarbeitung personenbezogener Daten ist eine Rechtsgrundlage gemäß DSGVO oder eine Einwilligungserklärung der betroffenen Personen notwendig.
- Datenschutz ist nicht gleich Datensicherheit.
- Leitfrage Datenschutz: Darf ich diese personenbezogenen Daten erheben und verarbeiten?
- Leitfrage Datensicherheit: Wie schütze ich Daten vor einem Zugriff durch Unbefugte?
- Verstöße gegen den Datenschutz werden mit Bußgeldern von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes der verantwortlichen Stelle bestraft. Auch eine Freiheitsstrafe von bis zu 3 Jahren ist möglich.
Eine Datenschutz-Definition lässt sich bereits begrifflich ableiten: Es handelt sich um den Schutz von Daten, genauer von personenbezogenen Daten. Dieser Schutz ist dann erforderlich, wenn verantwortliche Stellen im Sinne der Datenschutz-Grundverordnung personenbezogene Daten verarbeiten. Ohne die Einhaltung des Datenschutzes werden maßgebliche europäische und nationale Gesetze verletzt. Verstöße gegen diese Bestimmungen können zu Bußgeldern in Millionenhöhe führen.
Inhalt
- Das Video zu: Was ist Datenschutz?
- Was ist Datenschutz?
- Datenschutz Definition
- Grundsätze des Datenschutzes
- Grundprinzipien des Datenschutzes
- Warum Datenschutz wichtig ist
- Verstöße gegen Datenschutz: Beispiele für Bußgelder
- Wann darf ich Daten verarbeiten?
- Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Das Video zu: Was ist Datenschutz?
Keine Lust zu lesen? Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen. Alternativ können Sie für einen intensiveren Einblick den Datenschutz diesen Beitrag lesen.
Was ist Datenschutz?
Für den Begriff Datenschutz existiert keine spezielle Definition. Vielmehr geht es im Wesentlichen darum, Informationen zu schützen, die nicht für die Allgemeinheit bestimmt sind. Im Datenschutz stehen dabei Informationen im Fokus, die in einem unmittelbaren bzw. mittelbaren Zusammenhang zu einer bestimmten Person stehen.
Hierzu gehören beispielsweise persönliche und private Daten. Insbesondere Kontaktdaten wie Name, Telefonnummer, Anschrift, E-Mail-Adresse oder auch das Geburtsdatum oder die IP-Adresse. Ebenfalls generell formulierte Daten gehören dazu, wie zum Beispiel bestimmte Verhältnisse und Beziehungen, welche den Kategorien der personenbezogenen Daten unterfallen. Datenschutz beschränkt sich allerdings nicht nur auf den Schutz von personenbezogenen Daten selbst, sondern beinhaltet darüber hinaus den Schutz der Freiheit des einzelnen Menschen, selbst darüber zu bestimmen, was mit den eigenen Daten passiert und wann diese verarbeitet werden.
Einfach erklärt umschreibt Datenschutz den Schutz vor missbräuchlicher Datenverarbeitung und den im Grundgesetz verankerten Schutz des Rechts auf informationelle Selbstbestimmung.
Unter Datenschutz versteht man also den Schutz des Persönlichkeitsrechts (Art. 2 Abs.1 i.V.m. Art. 1 Abs.1 GG) bei der Datenverarbeitung und den Schutz der eigenen Privatsphäre eines Menschen. Mit Datenschutz-Maßnahmen werden diese Persönlichkeitsrechte geschützt und die Privatsphäre gewahrt. Der Schutz von Daten ist immer dann relevant und verpflichtend, wenn personenbezogene Daten i.S.d. der DSGVO und des BDSG-neu verarbeitet werden. Zwischen der DSGVO und dem BDSG-neu herrschen Unterschiede, welche unbedingt beachetet werden sollten, daher lesen Sie hier mehr.
Datenschutz Definition
Datenschutz in Deutschland ist hauptsächlich durch zwei Gesetze geprägt: Die Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz. Beide Gesetze regeln u.a. Vorgaben für eine rechtmäßige Datenverarbeitung und bestimmen darüber hinaus Sanktionsmöglichkeiten für Verstöße gegen gesetzliche Vorgaben.
Vor Anwendbarkeit der DSGVO (25. Mai 2018) galt in Deutschland das alte Bundesdatenschutzgesetz. Zeitgleich mit Anwendbarkeit der DSGVO ist auch die neue Fassung des Bundesdatenschutzgesetzes in Kraft getreten. Die Datenschutzbestimmungen und Datenschutzprinzipien für Deutschland ergeben sich somit aus der DSGVO und dem BDSG-neu.
Inhalt dieser Datenschutzbestimmungen für Deutschland sind auch diverse Grundsätze des Datenschutzes:
- Zum einen müssen Daten rechtmäßig und transparent verarbeitet werden und den Grundsätzen von Treu und Glauben entsprechen (Art. 5 Abs. 1 lit. a) DSGVO).
- Darüber hinaus dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden (Art. 5 Abs. 1 lit. b) DSGVO).
- Die Verarbeitung muss mit diesen Zwecken vereinbar sein, sog. Grundsatz der Zweckbindung. Außerdem existiert der Grundsatz der Datenvermeidung und -sparsamkeit (Art. 5 Abs. 1 lit. c) DSGVO). Hiernach dürfen nur die Daten verarbeitet werden, die auch tatsächlich erforderlich und dem Zweck nach angemessen sind.
Falls darüber hinaus noch weitere Daten von Kunden verarbeitet werden sollen, benötigen verantwortliche Stellen beispielsweise eine Einwilligung der betroffenen Personen. Neben diesen genannten Grundsätzen existiert auch der Grundsatz der Richtigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. d) DSGVO): Hiernach müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Andernfalls müssen betroffene Daten unverzüglich gelöscht oder berichtigt werden.
Zum anderen dürfen Daten nicht erhoben werden, solange keine gesetzliche Anordnung zur Erhebung der Daten vorliegt, sog. Erlaubnisvorbehalt. Nach dem Trennungsgrundsatz dürfen Kundendaten z.B. bei Nutzung mehrerer Internetdienste von den Unternehmen nicht zusammengefasst werden, damit Kunden vor der Entstehung eines umfangreichen Profils mit den privaten Daten der Kunden im Internet geschützt werden. Ferner müssen hiernach beispielsweise Daten verschiedener Kunden bzw. Mandanten getrennt verarbeitet werden.
Grundsätze des Datenschutzes
Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO) besagt, dass die Verarbeitung von personenbezogenen Daten nur so lange stattfinden darf, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Nach dem Grundsatz der Integrität muss die Art und Weise der Verarbeitung von personenbezogenen Daten eine angemessene Sicherheit gewährleisten, vgl. Art. 5 Abs. 1 lit. f) DSGVO. Diese Sicherheit soll unter anderem durch sog. technisch-organisatorische Maßnahmen gem. Art. 32 DSGVO etabliert werden.
Darüber hinaus ist in der neuen Datenschutz-Grundverordnung im Vergleich zu früher das sog. Prinzip der Beweislastumkehr geregelt: Gem. Art. 5 Abs. 2 DSGVO muss nämlich der Verantwortliche für die Einhaltung der Grundsätze verantwortlich und ist die Einhaltung auch nachweisen können (sog. Rechenschaftspflicht). Aus dieser Rechenschaftspflicht ergeben sich die zahlreichen Dokumentationspflichten für verantwortliche Stellen.
Was sind die Grundprinzipien des Datenschutzes?
Die Grundprinzipien des Datenschutzes sind in verschiedenen Rechtsvorschriften, insbesondere in der Europäischen Datenschutz-Grundverordnung (DSGVO), festgelegt. Sie beinhalten unter anderem:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht
Was zählt nicht zu den Grundprinzipien des Datenschutzes?
- Datensammlung: Es gibt kein Prinzip, das besagt, dass Unternehmen oder Organisationen so viele Daten wie möglich sammeln sollten. Tatsächlich fördert die Datenminimierung genau das Gegenteil.
- Freier Datenfluss: Während es wünschenswert ist, dass Daten frei zwischen Systemen fließen können, steht dies nicht im Widerspruch zum Datenschutz. Datenübertragungen müssen immer sicher und im Einklang mit den Datenschutzprinzipien erfolgen.
- Zugriff durch Dritte: Ein Prinzip, dass Dritten automatisch der Zugriff auf personenbezogene Daten gewährt wird, existiert nicht. Der Zugriff sollte eingeschränkt und nur denjenigen gewährt werden, die ihn für legitime Zwecke benötigen.
- Datenaufbewahrung auf unbestimmte Zeit: Das Prinzip der Speicherbegrenzung stellt sicher, dass Daten nicht länger aufbewahrt werden, als es für den ursprünglichen Zweck notwendig ist.
Es ist wichtig, sich bewusst zu sein, dass die spezifischen Prinzipien je nach Rechtsordnung und Regelung leicht variieren können, aber die oben genannten Punkte sind generell nicht Teil der Datenschutzprinzipien in den meisten Regelungen.
Wann darf ich Daten verarbeiten?
Die Anforderungen an eine rechtskonforme Datenverarbeitung sind in der DSGVO und im BDSG-neu geregelt. So ist eine Datenverarbeitung immer dann rechtmäßig, wenn eine spezielle Rechtsgrundlage existiert, so z.B. Art. 88 DSGVO, § 26 BDSG-neu für das Beschäftigungsverhältnis.
Darüber hinaus bildet auch eine rechtskonforme Einwilligung eine geeignete Rechtsgrundlage für die Datenverarbeitung, Art. 6 Abs. 1 lit. a), Art. 7 DSGVO. Für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen dürfen Daten gem. Art. 6 Abs. 1 lit. c) DSGVO ebenfalls verarbeitet werden.
Wenn lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person geschützt werden sollen, kann Art. 6 Abs. 1 lit. d) DSGVO als Rechtsgrundlage dienen. Falls die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, ist als Rechtsgrundlage Art. 6 Abs. 1 lit. e) DSGVO einschlägig.
Zu guter Letzt dürfen personenbezogene Daten verarbeitet werden, wenn dies zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, vgl. Art. 6 Abs. 1 lit. f) DSGVO.
Warum Datenschutz wichtig ist
Durch den enormen technologischen Fortschritt der letzten Jahre bzw. Jahrzehnte ergeben sich ungeahnte Möglichkeiten, dadurch aber auch ungeahnte Gefahren. Während früher Daten ausschließlich analog aufgenommen wurden, geschieht das alles heutzutage digital und autonom. Personenbezogene Daten werden erhoben, selbst wenn niemand der Beteiligten dies möchte oder überhaupt weiß. Beispielsweise werden auf Websites ständig Daten erhoben, ohne dass der Nutzer zwangsläufig davon wissen muss. Diese Daten können sehr wertvoll sein, sei es aus persönlichen Gründen (vertrauliche Daten) oder wirtschaftlichen Gründen (Konsumentenverhalten, unfassbar wertvoll für entsprechende Unternehmen).
Dabei sind diese im Internet nicht zwangsläufig sicher, Profis können sich problemlos Zugang zu den Daten verschaffen, und somit große wirtschaftliche Vorteile ziehen. Deshalb müssen die Daten, welche sie erheben, stets optimal geschützt sein. Einerseits weil die Daten der Kunden bestmöglich geschützt werden sollen, andererseits weil ihr Unternehmen sich sonst angreifbar für potenziell empfindliche Strafen macht.
Besonders brisant sind dabei die besonderen personenbezogenen Daten (z.B. ethnische Herkunft, biometrische Daten), welche noch stärker geschützt werden müssen. Auch wichtig sind beispielsweise Bankdaten, welche bei bargeldlosen Zahlungsverfahren erhoben werden, oder was genau mit den Daten einer Videoüberwachung passiert.
Durch den stetigen Fortschritt der Technologie wird auch der Anspruch an den Datenschutz immer weiter steigen. Es wird immer bessere, autonome Technologie geben, welche immer mehr Daten gleichzeitig erhebt. Deshalb ist es wichtig stets optimal informiert zu sein und in der Lage zu sein, sich an neue Gegebenheiten anzupassen. Denn der Datenschutz wird immer wichtiger, je mehr Daten erhoben werden. Aus diesem Grund setzen einige Unternehmen mittlerweile auf ein Datenschutz-Management-System.
Problemfall: Mangelndes Bewusstsein für den Schutz personenbezogener Daten
Viele Menschen können die Bedeutung der DSGVO noch nicht entsprechend einordnen. Das liegt einerseits daran, dass das Gesetz noch verhältnismäßig jung ist und somit noch nicht alle zu 100 % mit diesem vertraut sind, andererseits dreht es sich auch um Abläufe, die von vielen nicht groß hinterfragt werden. Dann wird der Laptop mal kurz stehen gelassen oder die Akten morgen erst weggeräumt. Dabei können sehr schnell empfindliche Strafen drohen, welche das Unternehmen natürlich nicht auf sich nehmen will. Weiterhin besteht die Gefahr bei nicht entsprechen der DSGVO wegen wettbewerbswidrigen Verhaltens abgemahnt zu werden. Zwar gibt es noch keine eindeutige Rechtsprechung zu dem Thema, trotzdem besteht die Möglichkeit.
Die abstrafenden Behörden nehmen auch langsam Fahrt auf, wurden in 2018 42 Bußgelder verhängt, waren es 2019 schon 187. Diese Zahl wird vermutlich erstmal ansteigen, bis sich alle Unternehmen DSGVO-konform absichern und vor allem ihre Mitarbeiter entsprechend schulen.
Die Brisanz dieser Daten ist noch nicht allen klar. Das dies sehr gefährlich sein kann, ist den meisten Mitarbeitern und sogar einigen Führungspersonen gar nicht bewusst. Die Daten, die im Internet erhoben bzw. verarbeitet werden sind praktisch unmöglich zu löschen. Dieser Fakt muss jedem bewusst werden. Wenn die Daten nämlich datenschutzkonform erhoben und verarbeitet werden, minimiert dies die Chance, dass die Daten in falsche Hände geraten können und somit ihr Unternehmen angreifbar ist. Hierzu müssen Unternehmen ihre Beschäftigten regelmäßig schulen mit einer Datenschutz-Schulung.
Verstöße gegen Datenschutz: Beispiele für Bußgelder
Ein Verstoß gegen Datenschutz (z.B. gegen die vorgenannten Grundsätze und gesetzlichen Vorschriften) kann einschneidende Konsequenzen nach sich ziehen. Die maßgeblichen Bestimmungen für die Sanktionierung von Datenschutzverstößen sind in Art. 77 ff. DSGVO geregelt.
Nach diesen Vorschriften liegt ein Verstoß gegen Datenschutz vor, wenn beispielsweise betroffene Personen nicht über die Erhebung ihrer Daten informiert wurden (vgl. Art. 83 Abs. 4 lit. a) DSGVO) oder der gesamten Datenverarbeitung nicht zugestimmt haben (vgl. Art. 83 Abs. 5 lit. a) DSGVO).
Ein Verstoß gegen Datenschutzvorschriften kann zu hohen Bußgeldern führen: Diese können bei bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes der verantwortlichen Stelle liegen, je nachdem, welcher der Beträge höher ist. Gem. § 42 BDSG-neu ist sogar eine Freiheitsstrafe von bis zu drei Jahren möglich.
Die höchsten Bußgelder wurden verhängt an (Stand September 2020):
- AOK (1.200.000 €)
- 1&1 (9.500.000 €)
- Deutsche Wohnen SE (14.500.000 €)
Allein beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), das die Einhaltung des Datenschutzrechts in privaten Wirtschaftsunternehmen, bei Freiberuflern, in Vereinen und Verbänden sowie im Internet überwacht, laufen derzeit 85 Bußgeldverfahren nach der DSGVO.
Um die aktuellen Bußgelder, Urteile und Stellungnahmen zu verfolgen Sie am besten unseren Bereich Aktuelles im Datenschutz.
Datenschutz in der Geschichte: Die Entwicklung des Datenschutzes
Der Datenschutz hatte seine Anfänge schon in den 60er Jahren. Damals war der Grundgedanke, dass der bzw. seine Privatsphäre geschützt werden sollte. Tatsächlich verabschiedete Hessen 1970 das weltweit(!) erste Datenschutzgesetz, worauf bald das Bundesdatenschutzgesetz (BDSG) im Jahre 1977 folgte. Dieses war lange maßgebend in Deutschland und hatte das Ziel als Schutz des Persönlichkeitsrechts bei der Verarbeitung personenbezogener Daten zu wirken (§ 1 BDSG). Das BDSG wurde über die Jahre vor allem durch EU-Richtlinien immer wieder angepasst, bis es von der EU-Datenschutz-Grundverordnung (DSGVO) größtenteils verdrängt wurde, weshalb das BDSG neu verfasst wurde und in dieser Form seit Einführung der DSGVO am 25. Mai 2018 neben dieser existiert, und eher (aber nicht nur) auf öffentliche Stellen ausgerichtet ist.
Die Einführung der DSGVO, welche EU-weit gilt, war der wohl bisher größte Meilenstein in der Datenschutzgeschichte. Durch die internationalisierte Wirtschaft ist es wichtig, gleiche Regeln für alle zu haben, was diese Verordnung unter anderem so wichtig macht. Trotzdem steht immer noch eine große Entwicklung bevor, weil sich erst durch die Rechtsprechung der nächsten Jahre ergeben wird, wie genau die DSGVO anzuwenden ist, da es einige unbestimmte Rechtsbegriffe gibt. Es ist nicht unwahrscheinlich, dass es immer Grenzfälle geben wird, da es vermutlich immer neue Technologie und somit neue Wege personenbezogene Daten zu erheben und zu verarbeiten geben wird.
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Die Definition von Datensicherheit weist einen Unterschied zum Begriff Datenschutz auf:
Während es bei dem Begriff Datenschutz ganz allgemein um den Schutz personenbezogener Daten geht, liegt der Fokus bei der Datensicherheit bei Maßnahmen, die den Schutz der Daten, u.a. vor Missbrauch und Verlust, gewährleisten soll. Die Mittel für diese Maßnahmen sind in Art. 32 DSGVO geregelt: Die technisch-organisatorischen Maßnahmen (TOM).
Hierzu gehören gem. Art. 32 DSGVO die Pseudonymisierung und Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a) DSGVO), die dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung (Art. 32 Abs. 1 lit. b) DSGVO), die rasche Wiederherstellbarkeit der Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall (Art. 32 Abs. 1 lit. c) DSGVO) und ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d) DSGVO).
Weitere technisch-organisatorische Maßnahmen sind auch in anderen Normen in der DSGVO zu finden, wie z.B. die Vorgabe für datenschutzfreundliche Voreinstellungen in Art. 25 Abs. 2 DSGVO.
Zwar gilt § 64 BDSG-neu nur für die Datenverarbeitung öffentlicher Stellen bei Straf- und Ordnungswidrigkeitenverfahren, allerdings kann der detaillierte Katalog für technisch-organisatorische Maßnahmen in § 64 Abs. 3 BDSG-neu als Orientierungshilfe für die Einrichtung von technisch-organisatorischen Maßnahmen dienen, da diese Vorgaben an dieser Stelle konkreter als in Art. 32 DSGVO formuliert sind.
Klassischerweise werden die Anforderungen der Datensicherheit und des Datenschutzes in Unternehmen durch ein sogenanntes Datenschutz-Management-System organisiert. Hierdurch können fortlaufend die Einhaltungen der Maßnahmen kontrolliert und verbessert werden.
Folgende Kontrollfragen erleichtern die Differenzierung Datenschutz vs. Datensicherheit:
Folgende Kontrollfragen erleichtern die Differenzierung Datenschutz vs. Datensicherheit:
Bei dem Datenschutz geht es darum, ob personenbezogenen Daten erhoben und verarbeitet werden dürfen, oder nicht. Dies hängt erstmal davon ab, ob es sich um normale personenbezogene oder besondere personenbezogene Daten handelt. Personenbezogene Daten dürfen gemäß Art. 6 DSGVO verarbeitet werden, sobald eine der in Abs. 1 genannten Bedingungen vorliegt. Die Verarbeitung von besonderen personenbezogenen Daten ist prinzipiell gemäß Art. 9 DSGVO Abs. 1 untersagt, sobald nicht eine Ausnahme gemäß Abs. 2 vorliegt.
Bei der Datensicherheit hingegen dreht sich allem um die Frage, wie die Daten am besten gegen einen Zugriff durch Unbefugte geschützt werden kann. Das fängt bei einfachen, analogen Sachen an wie z.B. Datenträger (Laptop, Stick) richtig zu sichern oder Akten mit sensiblen Daten sofort wegzuräumen, wenn sie nicht mehr gebraucht werden, und geht bis zum DSGVO konformen absichern der Cloud oder dem sicheren Verfahren mit Daten auf der entsprechenden Kommunikationsplattform ihres Unternehmens.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.