Seit einiger Zeit schreitet das Thema „Datenschutz“ zielstrebig in den Vordergrund der Diskussion um administrative Aufgaben für Unternehmen, auch in den Medien wird immer öfter über diesbezügliche wichtige Neuerungen und neue Rechtsrahmen berichtet. Dabei steht aktuell vor allem die EU-Datenschutzgrundverordnung – kurz EU-DSGVO – im Fokus, die im Mai 2018 die bestehenden nationalen Datenschutz-Gesetze in ihrem Wirkkreis endgültig ablöst.
Bevor man aber mutmaßt, was sich nun faktisch für das eigene Unternehmen ändert, ist es wichtig, das Thema Datenschutz zunächst einmal korrekt einzuordnen. Denn noch zu oft wird es mit anderen Aspekten verwechselt oder vermischt wie beispielsweise IT-Sicherheit, Urheberrecht oder dem Dienstgeheimnis. Bringen wir Licht ins Dunkel:
Begriffserklärung Datenschutz
Datenschutz kann heutzutage je nach Betrachtungsweise definiert werden als Schutz vor missbräuchlicher Datenverarbeitung, Schutz des Rechts auf informationelle Selbstbestimmung, Schutz des Persönlichkeitsrechts bei der Datenverarbeitung und auch Schutz der Privatsphäre. Somit ist der heute gängige Begriff abzugrenzen vom früheren primären Verständnis des Datenschutzes als Schutz von Daten vor Verlust.
In der europäischen Rechtsordnung ist der Datenschutz als „Recht [jeder Person] auf Schutz der sie betreffenden personenbezogenen Daten“ als ein zentrales Grundrecht verankert, im BDSG als „Schutz des Persönlichkeitsrechts bei der Verarbeitung personenbezogener Daten.“
Was bedeutet Datenschutz?
Die rasant fortschreitende Entwicklung der Digitaltechnik macht Datensicherheit, Datenhaltung, Datenverarbeitung, Datenerfassung, Datenweitergabe und Datenanalyse immer einfacher. Technische Entwicklungen wie Internet, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden schaffen für Unternehmen und öffentliche Institutionen neue Möglichkeiten zur Datenerfassung. Dieser Entwicklung steht eine gewisse Gleichgültigkeit großer Teile der Bevölkerung gegenüber, in deren Augen der Datenschutz keine oder nur geringe praktische Bedeutung hat.
Quasi als Gegenpol zu dieser potenziell gefährlichen Situation bedeutet „Datenschutz“ also die Summe aller Vorgaben und Maßnahmen, um den Schutz personenbezogener Daten vor Missbrauch durch Organisationen zu ermöglichen und zu stärken. Es geht beim Datenschutz konkret also nicht um Regelungen zwischen Privatleuten sondern um einen Handlungsrahmen für Organisationen zum Schutz natürlicher Personen und ihrer Daten.
Die Geschichte des Datenschutzes
Im Zuge einer in den USA in den 1960er Jahren intensiv geführten Diskussion über den zunehmend notwendigen Schutz von Persönlichkeitsrechten („Privacy“), die auch den Weg nach Europa fand, wurde 1970 in Hessen das weltweit erste Datenschutzgesetz erlassen. 1977 folgte mit dem Bundesdatenschutzgesetz BDSG dann eine nationale Regelung. Die Schwerpunkte lagen damals in der Bestimmung der Voraussetzung für die Einführung von Datenschutzbeauftragten und der Vorrangstellung des Schutzes personenbezogener Daten insbesondere bei gesetzlich nicht legitimierter Datenverarbeitung.
Wegweisend für die Weiterentwicklung des Rechtsverständnisses war Anfang der 1980er Jahre das sogenannte „Volkszählungsurteil“ des Bundesverfassungsgerichts, das klarstellte, dass ein missbräuchlicher Eingriff in die Grundrechte von Betroffenen auch durch eine gesetzlich legitimierte Datenverarbeitung geschehen kann. Seither versteht man Datenschutz insbesondere als das Recht auf informationelle Selbstbestimmung.
1995 wurde die Europäische Datenschutzrichtlinie 1995/46/EG verabschiedet. In den Jahren 2001 und 2006 folgten Novellierungen des BDSG. Die letzten drei Novellen stammen vom 29. Mai 2009, 2. und 3. Juli 2009.
Mit der unmittelbaren und umfassenden Geltung der EU-DSGVO (und in Deutschland dem ergänzenden BDSG(neu)) beginnt am 25. Mai 2018 die Phase der europaweiten Harmonisierung der Datenschutz-Rechtslage.
Wie funktioniert Datenschutz?
Eine offensichtliche Komponente bei der Umsetzung von Datenschutz im Unternehmen hängt mit der technischen Sicherung relevanter Daten vor missbräuchlichem Zugriff zusammen: Die eingesetzten IT-Systeme, mit denen personenbezogene Daten verarbeitet werden, müssen in der Lage sein, diese Daten entsprechend vor Unbefugten zu schützen. Neben Aspekten wie Rechtevergaben und klar definierten und abgesicherten Nutzerprofilen sind aber auch weitere technische Lösungen notwendig, etwa Archivierungs- und Löschroutinen. Schließlich helfen bestimmte Tools dabei, Einwilligungen von Kommunikationsempfängern zu managen und etwaige Widersprüche umgehend zu verarbeiten.
Neben der rein technischen Komponente „passiert“ Datenschutz aber primär durch Organisation und geeignete Prozesse. Ein Verarbeiter von personenbezogenen Daten muss durch speziell ausgerichtete Verfahren über alle Abteilungen hinweg sicherstellen, dass im Rahmen des normalen Geschäftsbetriebs die Verarbeitung rechtmäßig erfolgt und etwaige Verletzungen des Datenschutzes umgehend identifiziert und behoben werden können. Die Verankerung des Datenschutzes in den Geschäftsprozessen ist dabei Aufgabe der obersten Managementebene. Diese wird bei der täglichen Überprüfung und fallweisen Anpassung durch eine definierte Rolle unterstützt, den Datenschutzbeauftragten.
Die Funktionsfähigkeit des Datenschutzes muss schließlich entsprechend dokumentiert werden, um zum einen sauberen Nachweis gegenüber Betroffenen oder Behörden führen zu können, zum anderen aber auch, um das betriebsinterne Know-how rund um den gelebten Datenschutz abzusichern.
Warum Datenschutz wichtig ist?
Auch wenn sich viele dessen vielleicht nicht bewusst sind: Der Schutz ihrer persönlichen Daten ist ein Grundrecht, das sie genauso wertschätzen müssten wie das Recht auf freie Ausübung einer Religion oder das Recht auf körperliche Unversehrtheit. Eine höhere Wichtigkeit als den Schutz eines Grundrechts kann es kaum geben.
Die bereits erwähnte steigende Komplexität der Umwelt durch die immer schneller voranschreitende technische Entwicklung insbesondere im Datenverarbeitungsbereich macht diesen Schutz zunehmend schwieriger. In einer digitalisierten und globalisierten Welt werden Daten über unsere Person tagtäglich erfasst und verarbeitet, und die vernetzten Systeme vergessen diese nicht ohne weiteres.
Da persönliche Informationen zudem ein immer werthaltigeres Gut und damit immer attraktiver für öffentliche Stellen und private Unternehmen werden, steigt zugleich die Nachfrage nach Daten, oftmals auch zu umfassend und ohne direkten Bezug zur jeweils eigentlichen Transaktion.
Diese beiden Bewegungen – das immer leichtere technische „Können“ in der Datenverarbeitung und das zunehmende „Wollen“ – führen also zu einer potenziellen Gefährdung der freien informationellen Selbstbestimmung. Eine effektive Eindämmung dieser Gefahr kann es demnach nur geben, wenn Datenschutz rechtlich tief verankert ist und zugleich aktiv angewendet wird. Deswegen ist Datenschutz wichtig.
Welche Daten unterliegen dem Datenschutz?
Datenschutz im hier zugrunde liegenden Sinne befasst sich mit dem Schutz personenbezogener Daten von natürlichen Personen im weitesten Sinne, sofern sie automatisiert verarbeitet und/oder in einem Dateisystem gespeichert werden (sollen).
Bei personenbezogenen Daten handelt es sich somit um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar wird eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen. Die Daten, um die es dabei geht, sind Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person.
Konkrete Beispiele relevanter Daten sind natürlich der Name, die Augenfarbe, der Geburtsort, die Kontonummer oder die Rentenversicherungsnummer, aber auch das Kfz-Kennzeichen oder ein Nutzername einer Online-Anwendung.
Besondere weil hochsensible Datenkategorien, die unter die Datenschutzbestimmungen fallen, sind beispielweise Gesundheitsinformationen, die religiöse Ausrichtung oder die sexuelle Orientierung. Für diese Kategorien gelten besonders strenge Regelungen im Datenschutzrecht.
Die Einschränkung auf den Bezug zu natürlichen Personen in Deutschland wird im Übrigen nicht überall angewendet, in manchen Ländern fallen daher auch Daten zu juristischen Personen unter das Datenschutzrecht.
Kosten des Datenschutzes
Datenschutz verschafft leider nicht nur ein höheres Maß an Vorbeugung von Missbrauch, sondern er verursacht natürlich auch Kosten. Diese liegen primär in den Bereich Technik, Prozesse und Organisation:
- Bestellung eines Datenschutzbeauftragten und seine Organisation (z. B. Sachmittel, Mitarbeiterschulungen)
- Höhere Anforderungen an die betrieblichen Datenverarbeitung durch den Datenschutz (z. B. Zugriffsrechtverwaltung, Lösch-, Archivierungs- und Sperrfunktionen)
- Ressourcenaufwand für die Bearbeitung der Anfragen von Dritten über gespeicherte Daten und Korrektur- oder Löschforderungen
- Ressourcenaufwand für Dokumentation und Prüfung der vorgenommenen Maßnahmen des Datenschutzes
- Indirekte Kosten, etwa durch Mehrfacheingaben von Daten, wenn eine automatisierte Datenübernahme unzulässig ist, oder durch eine aufgrund von Datenschutz nicht zulässige Nutzung von Daten, die zu Geschäftschancen führen
Dem gegenüber stehen nur begrenzte Einsparmöglichkeiten durch gelebten Datenschutz:
- Geringere Datenmengen aufgrund des Prinzips der Datensparsamkeit
- Effizientere EDV-Systeme aufgrund systematischerer DV-Organisation und -Dokumentation
In jedem Fall jedoch ist zu beachten, dass die Kosten eines fehlenden Datenschutzes deutlich höher sein können: Gerade mit der EU-DSGVO kommen spürbar höhere Bußgeldzahlungen im Falle eines geahndeten Datenschutzverstoßes auf das Unternehmen zu, die gesetzlich gewünscht „wirksam, verhältnismäßig und abschreckend“ sein sollen. So können laut der Verordnung Geldbußen von bis zu 20 Mio. EUR bzw. bis zu 4% des Gesamtumsatzes eines Geschäftsjahres verhängt werden!
Auch wenn die Wahrscheinlichkeit einer solch drastischen Ahndung gering ist, muss diese potenzielle finanzielle Schädigung bei der Ausplanung der Datenschutzaktivitäten mit ins Kalkül gezogen werden.
Was ist der Zweck des Datenschutzrechts?
Der Zweck – also die Aufgabe – des EU-Datenschutzrechts beschreibt die Grundsätze, die durch die diversen Regelungen (v.a. EU-DSGVO und BDSG(neu)) etabliert werden sollen.
Der primäre Grundsatz orientiert sich am zuvor beschriebenen Grundrecht, dem Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Die aktuelle Rechtsprechung fokussiert sich also darauf Aktivitäten zu regeln, die zu einem Missbrauch in der Nutzung der Daten von Individuen führen könnten.
Ein weiterer Grundsatz des Datenschutzrechts ist allen Rechtsnormen gleich: Sie sollen einen eindeutigen Rechtsrahmen und damit eine Vertrauensbasis bieten, um Organisationen und Behörden ihre zielgerichtete Arbeit zu ermöglichen, ihnen Planungssicherheit zu verschaffen und dabei zugleich die Akzeptanz der Bürger zu maximieren.
Im Datenschutzrecht spielen Betroffenenrechte und Transparenzgebote eine wichtige Rolle. Ein Zweck des Datenschutzrechts ist demnach, diese Rechte möglichst klar und verständlich für beide Seiten zu regeln und durch möglichst weitgehende Offenlegung – soweit sie andere zentrale Rechte nicht behindert – Ansatzpunkte für Missbrauch zu verhindern.
Insbesondere die neue EU-DSGVO verfolgt natürlich auch Harmonisierungszwecke innerhalb der Europäischen Union. Im Grundsatz geht es bei dieser Norm auch darum, unionsweit ein gleichwertiges Datenschutzrecht durchzusetzen – bei der gleichzeitigen Ermöglichung nationaler Spielräume. Es soll also ein hoch angesiedeltes Mindestmaß an Schutz gewährleistet werden, mit „weiterem Potenzial nach oben aber eben nicht nach unten“.
Schließlich muss ein Rechtsrahmen, der ein solch breites Feld bedient, den größtmöglichen Einklang mit anderen Rechten anstreben. Ein wichtiger Zweck des Datenschutzrechts ist es also, nicht Datenschutz-relevante Regelungen in anderen EU- und nationalen Gesetzen zu konterkarieren – sicher auch ein Grund dafür, dass die Verabschiedung des neuen EU-Rechts so lange gedauert hat.
Was sind die Ziele des Datenschutzes?
Warum brauchen wir also den Datenschutz? Die Ziele des Datenschutzes müssen sich an dem Spannungsfeld orientieren, die Individualrechte zu sichern und zugleich ein wirtschaftliches und organisatorisches Miteinander mit dem Ziel der Wohlstandssicherung und –mehrung zu ermöglichen.
Oberstes Ziel des Datenschutzes ist – analog zum Zweck des Datenschutzrechts – die Absicherung der Grundrechte des Einzelnen in der EU mit Bezug zu ihren personenbezogenen Daten. Konkret geht es dabei um den Schutz der Individualsphäre, der Privatsphäre und der Intimsphäre.
Daneben soll der Datenschutz die – in den meisten Fällen absolut notwendige – Verarbeitung von Daten nur dort einschränken, wo sie dem eigentlichen Ziel nicht dienlich ist. Ein klassisches Ziel aus dem Datenschutz ist demnach nicht komplett Datenvermeidung sondern konkreter die Datensparsamkeit, d.h. es sollen nur die Daten erhoben, verarbeitet, gespeichert und übermittelt werden, die für den Zweck der Verarbeitung notwendig sind. Einschränkungen in der Verarbeitung sollen also nicht den – vom Individuum eigentlich auch gewünschten – Zweck behindern oder gar verhindern.
Ein weiteres Ziel des Datenschutzes ist es, den grundsätzlich wünschenswerten unionsweit freien Verkehr von Daten nicht zu unterbinden sondern adäquat steuern (ihm also quasi „Datenschutz-Leitplanken“ bereitzustellen). Dadurch wird effizient und effektiv das Ziel ermöglicht, ein hohes Datenschutzniveau zu gewährleisten.
Schließlich sollte der Datenschutz das Ziel verfolgen, eine umfassende Durchgängigkeit zu bieten, d.h. es sollte keine weißen Flecken oder Schlupflöcher dadurch geben, dass bestimmte Themenbereiche bewusst ausgeklammert werden oder durch das fehlende Zusammenspiel von Rechtsnormen unreguliert bleiben. Aus diesem Grund ist das Datenschutzrecht bspw. in Form des BDSG(neu) auch ein sogenanntes Auffanggesetz, dass dann „einspringt“ wenn andere Regelungen zu viel Interpretationsspielraum zu Datenschutz-Fragen lassen.
DSM-Online ist das Portal von Datenschutz-Profis für den Mittelstand. Sie sehen sofort was getan werden muss und können einen angemessenen Datenschutz auch ohne Fachwissen und umfassende Unterstützung von Experten selber aufbauen. DSM Online unterstützt Sie außerdem dabei, die Ziele eines sinnvollen Datenschutzes zu verfolgen und ist auf Grund seiner enthaltenen Automatisierungs-Logiken und der darin berücksichtigten Normen klar den Zwecken des Datenschutzrechts verschrieben