Wenn man von Datenschutz redet, dann denkt man an den Schutz von personenbezogenen Daten. Doch wann sind Daten personenbezogen? Und warum sind diese schützenswert und worauf muss ich als Unternehmer achten?
Zunächst einmal geht es um Datenschutz darum, die freie Entfaltung der Persönlichkeit eines Menschen zu gewährleisten. Jeder Mensch soll selbst darüber bestimmen, was mit den eigenen Daten passiert und wann diese verarbeitet werden. Es geht also um den Schutz der Freiheit des einzelnen Menschen.
Man könnte auch sagen, es geht darum, in Ruhe gelassen zu werden und keine unangenehmen Überraschungen zu erleben.
Inhaltsverzeichnis
Entstehung des Datenschutzrechts
Um die Frage, „was ist Datenschutz?“, zu beantworten, lohnt sich ein kurzer Blick in die Entstehungsgeschichte.
Datenschutz ist ein Grundrecht. Wenn man ins Grundgesetz hereinschaut, findet man das nicht so ausdrücklich geschrieben. 1983 leitete das Bundesverfassungsgericht das Datenschutzrecht aus Art. 2 Abs. 1 und Art. 1 Abs. 1 des Grundgesetzes ab und prägte den etwas sperrigen Begriff ‚Das Recht auf informationelle Selbstbestimmung‘.
Heute finden wir Datenschutz als Grundrecht auch in Art. 6 Grundrechte Charta der Europäischen Union.
Tatsächlich gab es das erste Datenschutzgesetz weltweit in Deutschland: nämlich 1970 in Hessen. Kurze Zeit später trat das Bundesdatenschutzgesetz 1977 in Kraft. Seit 2018 gibt es ein europäisches, einheitliches Datenschutzgesetz: die Europäische Datenschutz-Grundverordnung (DSGVO).
Noch nie war es so einfach waren, Dienstleistungen, und Gelder innerhalb der Europäischen Union zu tauschen. Das Ganze merken wir daran, dass es keine Grenzkontrollen mehr gibt. (na ja, theoretisch), wir europaweit einkaufen können, ohne dafür Extragebühren zu bezahlen, uns in einem anderen europäischen Land niederlassen können und dank der eingeführten IBAN Nummern europaweit Geld überweisen können: praktischerweise sogar in einer einheitlichen Währung. Wo waren Dienstleistungen, Geld und auch Menschen in Austausch treten, da hängen automatisch auch deren personenbezogene Daten mit dran.
Um auch die Daten frei fließen zu lassen, wurde sich auf eine europaweite, einheitliche Datenschutzverordnung geeinigt. Eine EU-Verordnung wirkt unmittelbar in allen europäischen Ländern.
Für die Unternehmen bedeutet dies, Sie müssen sich seit 2018 nicht mehr mit 26 verschiedenen Datenschutzgesetzen auseinandersetzen und für jeden Kunden dann die richtigen Gesetze in 20 verschiedenen Sprachen anwenden, sondern Sie müssen „nur noch“ ein Gesetz beherrschen: die Europäische Datenschutz-Grundverordnung.
(Na gut, es gibt natürlich noch das nationale Datenschutzgesetz: in Deutschland, das BDSG, das für besondere Fälle).
Was sind personenbezogene Daten?
Datenschutz ist also der Schutz der Persönlichkeitsentfaltung, die damit auch die Entscheidung über seine eigenen personenbezogenen Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen und über die diese mittelbar oder unmittelbar identifiziert oder identifizierbar ist. Hierzu gehören beispielsweise der Name, Telefonnummer, Anschrift, E-Mail-Adresse, das Geburtsdatum, IP-Adresse, aber auch das Bild und die Stimme.
Wer muss sich daran halten?
In der DSGVO gibt es verschiedene Akteure: die verantwortliche Stelle, die betroffene Person, der Auftragsverarbeiter, der gemeinsame Verantwortliche.
Verantwortlicher ist, wer über die Zwecke und Mittel der Verarbeitung entscheidet. Das ist in der Regel derjenige, der zur Party einlädt, den Anlass der Party bestimmt und wo diese stattfindet. Das ist auch derjenige, der, wenns mal wieder zu laut geworden, in der Regel die Tür aufmacht, wenn die Polizei klingelt und fragt: „Wer ist denn hier der Verantwortliche?“.
Daran kann man sehr gut sehen, dass stets eine verantwortliche Stelle bestimmt wird. Denn als weiteren Akteur gibt es in der DSG VO auch noch die Aufsichtsbehörden, die Datenschutz Verstöße wird bis zu 20 Millionen € oder 4 % des jährlichen Umsatzes (je nachdem, was höher ist) als Bußgeld ahnden können.
Grundsätze der DSGVO
Um einen guten und schnellen Überblick der DSGVO zu erhalten, lohnt es sich, sich mit den Grundsätzen auseinander zu setzen.
Diese müssen bei allen Datenverarbeitung eingehalten werden. Es lohnt sich auch deswegen diese zu beherrschen, weil Verstöße gegen die Grundsätze den höheren Bußgeldrahmen eröffnen.
Die Grundsätze lauten wie folgt:
1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,
2. Transparenz
3. Zweckbindung
4. Datenminimierung
5. Richtigkeit
6. Speicherbegrenzung
7. Integrität und Vertraulichkeit
Hinsichtlich dieser Grundsätze unterliegt der Verantwortliche einer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Das bedeutet, er ist für die Einhaltung dieser Grundsätze verantwortlich und muss dessen Einhaltung nachweisen können. Manche Gerichte gehen in dem Zusammenhang sogar von einer Beweislastumkehr aus. D.h. der Verantwortliche muss vor Gericht selbst beweisen, dass er die Grundsätze eingehalten hat. Ob sich diese Meinung verfestigen wird, bleibt offen.
Die Grundsätze der DSGVO werden daher auch die sieben goldenen Regeln im Datenschutzrecht genannt. Sie helfen bei der Auslegung des Gesetzes, vor allem, wenn man auf einen unbekannten Sachverhalt trifft. D.h., wenn du mal keine Ahnung hast und auch durch Googeln nicht schlauer wirst, wirst du mithilfe der Grundsätze vermutlich eine Lösung finden.
Der Grundsatz der Rechtmäßigkeit – wann darf ich Daten verarbeiten?
Ob ich Daten verarbeiten darf, richtet sich danach, ob ich eine sogenannte Rechtsgrundlage hierfür habe. Die DSGVO nennt hier die Einwilligung (Art. 6 Abs. 1 lit. a), die bestimmt jeder von uns aus eigener Erfahrung kennt.
Natürlich ist die Verarbeitung auch für die Erfüllung eines Vertrages oder zur Durchführung vor vertraglicher Maßnahmen erlaubt (Art. 6 Absatz lit. b).
Wenn ich gesetzlich dazu verpflichtet bin, Person bezogene Daten zu bearbeiten, dann wäre Art. 6 Abs. 1, lit. c) die richtige Rechtsgrundlage.
Auch häufig anzutreffen ist das berüchtigte „berechtigte Interesse“ gemäß Art. 6 Abs. 1lit. f) DSGVO, was sehr gut definiert und gegenüber den Grundrechten der Betroffenen Person abzuwägen ist. Denn dieses berechtigte Interesse muss der Bericht betroffenen Person vor der Verarbeitung mitgeteilt werden. Und damit ist diese Rechtsgrundlage auch ein großes Fettnäpfchen.
Grundsatz der Transparenz
Der Grundsatz der Transparenz ist allgegenwärtig. Er soll die betroffene Person davor bewahren, überrascht zu werden. Als verantwortliche Stelle muss ich die betroffene Person nämlich informieren und auf die Art und Weise der Datenverarbeitung hinweisen. Dies passiert in den berühmten Datenschutz hinweisen.
Das Prinzip ist einfach: Klartext reden und halten, was man verspricht. Keine versteckten Klauseln, keine Tricksereien.
Imagebildung durch Datenschutzkonzept: Dein Schlüssel zu Vertrauen und Erfolg
Weniger ist mehr- Die Datenminimierung
Durch den Grundsatz der Datenminimierung wird sichergestellt, dass nur solche Daten erhoben werden, die für den Zweck unbedingt erforderlich sind. Das Motto lautet: Weniger ist mehr. Das gilt auch im Datenschutz. Unternehmen sollten das als Vorteil sehen, ganz egal, was das Marketing sagt. Denn was nicht vorhanden ist, kann auch nicht gestohlen werden. Das ist wie mit dem Bargeld unter der Matratze. Wenn eingebrochen wird kann das, was nicht da ist, auch nicht geklaut werden. Das bewahrt dich unter Umständen vor einem Image-Verlust.
Datenschutz vs. Datensicherheit – das ist der Unterschied
Datenschutz ist nicht gleich Datensicherheit. Sie gehen von Hand in Hand, sind aber verschiedene Bereiche. Während es beim Datenschutz um den Schutz der Persönlichkeit eines Menschen geht, so geht es bei der Datensicherheit um den Schutz der Daten im technischen Sinne. Also unter anderem vor Missbrauch und Verlust der Daten durch technische und organisatorische Maßnahmen (TOM). Diese sind, wer hätte es gedacht, ein Grundsatz in der DSGVO und auch in Art. 32 genannt.
Dazu gehören Maßnahmen wie Pseudonymisierung, Verschlüsselung und die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung. Ebenso wichtig ist die schnelle Wiederherstellbarkeit personenbezogener Daten bei einem physischen oder technischen Zwischenfall – das Stichwort hierbei lautet: Back-ups.
Auch gehören zur Datensicherheit Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung, der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Privacy by design and by default
Die DSGVO enthält auch Vorgaben für datenschutzfreundliche Voreinstellungen nach Art. 25 Abs. 2. Softwarehersteller sind dazu verpflichtet, die Datenschutzeinstellungen bereits von Anfang an so zu konfigurieren, dass die DSGVO eingehalten wird.
Security by Design bei Default
Steht zwar so in der DSGV noch nicht drin, wird aber durch andere Gesetze jedenfalls kommen: Die Rede ist von Security bei design and by default. Gemeint ist, dass Softwarehersteller bereits bei der Programmierung die höchstmögliche Sicherheit der Software nach dem aktuellen Stand der Technik berücksichtigen müssen.
Klingt eigentlich selbstverständlich und sollte unter Image Gesichtspunkten aktiv gelebt werden.
Verstöße gegen Datenschutz
Die DSGVO sieht für Datenschutzverstöße verschiedene Sanktionen vor, die erhebliche Auswirkungen auf Unternehmen haben können. Aufsichtsbehörden sind befugt, diese Verstöße zu verfolgen (Art. 77 ff. DSGVO). Die Bandbreite reicht von Verwarnungen bis hin zu vor-Ort-Prüfungen und Bußgeldern, die bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem welcher Betrag höher ist.
Verteidigung – 3 Wahrheiten, die deine Verteidigung zum Erfolg führen
Abschließend zeigt sich, wie essentiell Datenschutz in unserer vernetzten Welt ist. Es ist nicht nur eine rechtliche Verpflichtung, sondern auch ein Zeichen von Respekt gegenüber den individuellen Rechten und der Privatsphäre jedes Einzelnen. Als Unternehmer*in ist es daher unerlässlich, die Grundsätze der DSGVO zu verstehen und in die täglichen Abläufe zu integrieren. Wenn du mehr darüber erfahren möchtest oder Unterstützung benötigst, stehe ich gerne zur Verfügung.
Lass uns gemeinsam an einem sicheren und vertrauenswürdigen Umgang mit Daten arbeiten!
Nimm jetzt mit mir Kontakt auf:
„Datenschutz macht Spaß.
Denn bei mir bekommst du Datenschutz mit Humor.
Praxisnah?
Na logo!“
– Johannes Rauchfuss,
Rechtsanwalt für Datenschutz
