Datenschutz-Akademie » Datenschutz-Wiki » Datenschutz Grundlagen
Datenschutz Grundlagen nach DSGVO
Die fortschreitende Digitalisierung bringt neben zahlreichen Annehmlichkeiten auch erhebliche Herausforderungen für Behörden, Organisationen und Unternehmen mit sich. Während persönliche Daten früher primär in lokalen Registern geführt wurden, können sie heute dank des Internets global und in kürzester Zeit verbreitet werden. Vielen Menschen ist dabei das Ausmaß der bereits online zirkulierenden Informationen über sie nicht bewusst. Von Online-Einkäufen über Bankdaten bis hin zu persönlichen Präferenzen lassen sich detaillierte Profile erstellen. Der oft sorglose Umgang mit diesen Daten unterstreicht die wachsende Notwendigkeit des Datenschutzes.
Denn gelangen sensible Informationen in unbefugte Hände, können erhebliche Schäden entstehen. Der Datenschutz hat die Aufgabe, dies zu verhindern. In Deutschland und vielen anderen europäischen Ländern regelt die Datenschutz-Grundverordnung (DSGVO) das Recht jedes Bürgers, selbst über die Verwendung seiner personenbezogenen Daten zu bestimmen.
Inhalt zum Thema Datenschutz Grundlagen nach DSGVO:
Definition: Was ist Datenschutz?
Durch die Datenschutz-Grundverordnung, welche am 25. Mai 2018 in Kraft getreten ist, soll das Grundrecht auf informationelle Selbstbestimmung gesichert werden. Dies bedeutet, dass Personen selbst bestimmen wie mit ihren Daten umgegangen wird und wer welche Informationen erhalten darf. Basierend auf dem Recht der informationellen Selbstbestimmung, regelt die DSGVO die Erhebung, Verwendung, Speicherung und Weitergabe personenbezogener Daten.
Datenschutz schützt Personen vor missbräuchlicher Datenverarbeitung und garantiert Privatsphäre. Ohne Rechtsgrundlage oder Einwilligung ist die Verarbeitung personenbezogener Daten verboten. Es sollen nur notwendige Daten mit Kenntnis des Betroffenen erhoben, zweckgebunden verarbeitet und bei Wegfall des Zwecks gelöscht werden. Technische Maßnahmen gegen Missbrauch sind Pflicht. Betroffene haben Auskunfts-, Widerspruchs-, Berichtigungs- und Löschrechte. Datenschutz wird in Deutschland primär durch DSGVO und BDSG geregelt, die u.a. Rechtmäßigkeit, Zweckbindung, Datensparsamkeit und Richtigkeit vorschreiben. Datenschutz verhindert unerlaubte Datenerhebung, -verarbeitung und -weitergabe, um Identitätsdiebstahl zu vermeiden und das Recht auf informationelle Selbstbestimmung zu sichern.
Welche Datenschutzgesetze gibt es?
Das Bundesdatenschutzgesetz (kurz BDSG) ist ein zentrales Datenschutzgesetz in Deutschland, welches den Datenschutz auf nationaler Ebene regelt, wenn die DSGVO durch Öffnungsklauseln in der Umsetzung des Datenschutzes einen gewissen Spielraum gewährt. Es dient der Ergänzung und Konkretisierung der DSGVO und greift mit ihren besonderen Bestimmungen nur ein, wenn die DSGVO nicht angewendet werden kann.
Das Telemediengesetz (kurz TMG) ist ein zentrales Recht im Bereich des Internetrechts und die wichtigste gesetzliche Vorschrift, seit Telemediendienst und Mediendienststaatsvertrag außer Kraft sind. Es beinhaltet Regelungen und Pflichten der Anbieter von Telemedien. Darunter zählen elektronische Informations- und Kommunikationsdienste, die nicht dem Rundfunkstaatsvertrag oder dem Telekommunikationsgesetz unterstehen. Allgemein gelten die Regelungen für private, öffentliche oder gewerbstätige Anbieter von Telemedien. Ein Beispiel für Pflichten welche im TMG geschrieben stehen ist die Impressumspflicht.
Was bedeutet Datenschutz für Unternehmen?
Unternehmen müssen Datenschutz-Grundlagen beachten, um DSGVO-Konformität zu gewährleisten. Dies umfasst:
- Datenschutzbeauftragter: Die Bestellung eines internen oder externen Datenschutzbeauftragten ist in bestimmten Fällen Pflicht und dient der sicheren und effizienten Umsetzung der Datenschutzvorgaben im Unternehmen.
- Verarbeitungstätigkeiten: Die detaillierte Führung eines Verzeichnisses von Verarbeitungstätigkeiten ist unerlässlich. Dieses Verzeichnis muss klare Verantwortlichkeiten festlegen, die Art der verarbeiteten Daten und die jeweiligen Löschfristen definieren, um Transparenz gegenüber Betroffenen und Aufsichtsbehörden zu gewährleisten.
- Datenschutzerklärung: Jede betroffene Person hat das Recht auf Information über die Verarbeitung ihrer Daten. Daher müssen Unternehmen eine leicht zugängliche und verständliche Datenschutzerklärung bereitstellen, insbesondere Website-Betreiber auf ihrer Seite. Dieses Recht basiert auf dem Recht auf informationelle Selbstbestimmung, welches durch die Datenschutzgrundverordnung (EU-DSGVO) gestärkt wird.
- Datenschutzgeheimnis: Alle Personen, die im Unternehmen mit personenbezogenen Daten in Berührung kommen, müssen schriftlich zur Wahrung des Datenschutzgeheimnisses und zur Vertraulichkeit der unternehmensbezogenen Daten verpflichtet werden. Der Verantwortliche im Unternehmen trägt hierfür Sorge.
- Auftragsverarbeitungsvertrag (AVV): Wenn externe Dienstleister im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten, ist der Abschluss eines rechtskonformen Auftragsverarbeitungsvertrags (AVV) notwendig, um die Rechte und Pflichten beider Parteien klar zu regeln und die Sicherheit der Daten zu gewährleisten. HeyData bietet hierzu Unterstützung.
- Datenschutzmaßnahmen: Die Implementierung geeigneter technisch-organisatorischer Maßnahmen (TOM) ist entscheidend, um die Sicherheit der Daten gemäß den Anforderungen der DSGVO zu gewährleisten. Dies erfordert die Entwicklung eines umfassenden Unternehmenskonzepts, das beispielsweise sichere Zugangscodes, Benutzerkonten und klare betriebliche Arbeitsabläufe umfasst.
- Datenschutz-Folgenabschätzung (DSFA): Bei Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, ist die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich, um diese Risiken zu bewerten und Maßnahmen zu deren Minimierung festzulegen.
- Löschkonzept: Unternehmen müssen ein Löschkonzept entwickeln und implementieren, das festlegt, wann und wie personenbezogene Daten zu löschen oder zu anonymisieren sind, sobald der Zweck der Verarbeitung entfallen ist und keine gesetzlichen Aufbewahrungspflichten mehr bestehen.
- Sensibilisierung der Belegschaft: Datenschutz kann nur funktionieren, wenn er von allen Mitarbeitern gelebt wird. Regelmäßige Schulungen und Sensibilisierungsmaßnahmen durch den internen oder externen Datenschutzbeauftragten sind unerlässlich, um das Bewusstsein für den Schutz personenbezogener Daten zu stärken und die Einhaltung der Datenschutzgrundlagen zu fördern. Zudem müssen Prozesse für den Umgang mit Datenschutzpannen etabliert sein.
Gibt es branchenspezifische Unterschiede beim Datenschutz?
Spätestens seit der Einführung der DSGVO gibt es eine einheitliche Verordnung zum Datenschutz. Wer also mit personenbezogene Daten innerhalb der Europäischen Union arbeitet, findet in der DSGVO Regelungen und Pflichten, die zu befolgen sind. Ergänzend dazu kann es für bestimmte Branchen spezielle Rechtsgrundlagen geben, die es zu beachten gilt. Ebenso greift die DSGVO bei Verkäufern aus dem Nicht-EU-Ausland (sogenannten Drittländern), sobald der Kunde aus der Europäischen Union stammt.
Was bringt Datenschutz bzw. warum ist Datenschutz so wichtig?
Technologische Fortschritte bringen neben ungeahnten Möglichkeiten auch viele ungeahnte Gefahren mit sich. So erheben Webseiten Daten von Nutzern, ohne deren zwangsläufige Wissen. Diese Daten können aus persönlichen oder wirtschaftlichen Gründen sehr wertvoll sein.
Die Verarbeitung von Daten im Internet birgt die Gefahr, dass sich Unbefugte Zugriff auf diese verschaffen. Um Kunden vor Datenmissbrauch zu schützen, aber auch zum Schutz Ihres Unternehmens vor Angreifern und Bußgeldern, sollten Sie dafür sorgen, dass personenbezogenen Daten DSGVO-konform verarbeitet werden und optimal geschützt sind.
Wie profitieren Verbraucher vom Datenschutz?
Datenschutz verpflichtet Unternehmen Kundendaten etc. sorgsam zu behandeln. Dabei bietet der Datenschutz, insbesondere seit der Einführung der DSGVO, zusätzliche Möglichkeiten für Einzelpersonen an. Sind Ihre Daten in einem Verzeichnis nicht mehr aktuell bzw. fehlerhaft oder möchten Sie nicht, dass Ihre personenbezogenen Daten weiterhin in einem Online-Shop gespeichert sind, so wurde dies nun explizit in der DSGVO geregelt. Mittels Auskunftsersuchen müssen diverse Firmen und Dienstleister alle gespeicherten Daten einer Person aushändigen und auf Wunsch bearbeiten oder löschen.
Regelmäßige Kontrollen und Überprüfungen
Für den durchschnittlichen Verbraucher ist es leider oft schwierig nachzuvollziehen, inwiefern die Unternehmen in der Realität ihren Verpflichtungen in Sachen Datenschutz nachkommen. Aus diesem Grund wurde bereits vor längerer Zeit sogenannte Datenschutz-Aufsichtsbehörden ins Leben gerufen, die eben solche Kontrollen durchführen und bei Verdachtsmomenten die möglichen Verstöße untersucht. In Deutschland gibt es neben dem Bundesbeauftragten für Datenschutz und Informationssicherheit, je einen Landesdatenschutzbeauftragten pro Bundesland. Insgesamt verfügt Deutschland über 17 eigene Aufsichtsbehörde für den Datenschutz.
Unternehmen jeder Größe– vom Kleinstunternehmen bis zum großen Konzern – sind verpflichtet eine Datenschutz-Dokumentation gemäß DSGVO zu führen und im Falle eine Überprüfung durch die Aufsichtsbehörden vorweisen können. Deshalb empfiehlt es sich eine Person im Unternehmen auszuwählen, unabhängig ob diese aufgrund der Unternehmensgröße vorgeschrieben ist, die sich um Datenschutzbelange aller Art kümmert.
Was kostet ein Verstoß gegen den Datenschutz?
Stellen Sie sich selbst die Frage, ob Sie in irgendeiner Form mit personenbezogenen Daten, wie Name, Adresse, Geburtsdatum etc. von Kunden oder anderen Geschäftspersonen zu tun haben. Lautet die Antwort auf diese Frage ja, dann sind Sie verpflichtet eben jenen Datenschutz den Vorschriften entsprechend umzusetzen. Aufgrund der hohen Strafen, die bei Datenschutz-Verstößen drohen, sollten Sie sich rechtzeitig um diese Belange kümmern. Die Datenschutz-Grundverordnung sieht für Datenschutzverstöße Bußgelder vor. Diese können bis zu 20 Millionen Euro beziehungsweise 4% des weltweiten Jahresumsatzes eines Unternehmens betragen, entscheidend ist, welcher Betrag höher ist. Aber auch Freiheitsstrafen von bis zu 3 Jahren sind möglich, wenn gegen die Datenschutzbestimmungen verstoßen wird.
Wer haftet bei Verstößen gegen das Datenschutzgesetz?
Viele Unternehmen bestellen in ihrer Firma einen sogenannten Datenschutzbeauftragten und lassen das Thema fortan hinter sich. Ein solches Verhalten entlastet aber nicht von einer Haftung im Schadensfall. Denn die Ernennung zum Datenschutzbeauftragten bedeutet nicht zwangsläufig die vollständige Übernahme der Haftung. Bei einfachen Verstößen wird nach wie vor der Geschäftsführer oder eine andere Führungsperson zur Verantwortung gezogen.
Der Datenschutzbeauftragte oder ein sonstiger Mitarbeiter sind nur dann zur Rechenschaft zu ziehen, wenn absichtliches oder grob fahrlässiges Verhalten im Umgang mit personenbezogenen Daten nachgewiesen werden kann. Als Unternehmer sind Sie daher stets gut beraten, wenn Sie sich ab und an selbst ein Bild darüber machen, ob die Datenschutzbestimmungen in Ihrem Unternehmen bestmöglich eingehalten werden.
Video: Datenschutz-Management-System mit Robin Data ComplianceOS® umsetzen
Datenschutz-Management-System mit Robin Data ComplianceOS® umsetzen
Organisationen müssen zahlreichen Pflichten nachkommen, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu gewährleisten. Oft sind beträchtliche Zeit- und Kostenaufwände nötig, um das notwendige Fachwissen aufzubauen, den Datenschutz ganzheitlich zu überblicken und ein Datenschutz-Management-System (DSMS) aufzubauen.
In den Robin Data Hacks zum Thema Datenschutz-Management-System, zeigen wir Ihnen, wie Sie Ihren Datenschutz digital umsetzen und die gesetzlich geforderten Maßnahmen im Umgang mit personenbezogenen Daten systematisch steuern, kontrollieren und dokumentieren können.
Bei dem Video handelt es sich um die Aufzeichnung des Robin Data Hacks. Die Robin Data Hacks finden online statt, die Teilnahme ist kostenfrei. Weitere Informationen, Termine und die Möglichkeit zur Anmeldung.
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Der Unterschied zwischen Datenschutz und Datensicherheit liegt darin, dass der Datenschutz auf die informationelle Selbstbestimmung und den Schutz der Privatsphäre begrenzt ist. Dabei liegt der Fokus auf den personenbezogenen Daten. Im Gegensatz dazu ist die Datensicherheit weiter gefasst und betrifft alle Datenarten, welche vor unbefugtem Zugriff, Missbrauch und Verlust zu schützen sind. Die Mittel für diese Maßnahmen sind in den TOM geregelt, so zum Beispiel die Pseudonymisierung. Zusammenfassen lassen sich Datenschutz und Datensicherheit mit folgenden Fragen:
- Datenschutz: Dürfen personenbezogene Daten erhoben und verarbeitet werden?
- Datensicherheit: Wie beziehungsweise mit welchen Maßnahmen werden Daten am besten vor unbefugten Zugriff geschützt?
- KI-Verordnung: Regulierung von künstlicher Intelligenz - 27. Januar 2025
- Continuous Auditing & Monitoring - 20. Januar 2025
- Internes Kontrollsystem: Beispiele &Checkliste - 10. September 2024