Was ist mit Datenschutz eigentlich gemeint?

Datenschutz bezieht sich auf den Schutz personenbezogener Daten vor unbefugtem Zugriff, Missbrauch, Verlust oder Zerstörung.
Es umfasst sowohl den Schutz der Privatsphäre als auch den Schutz vor potenziellen Schäden, die durch den Verlust von sensiblen Daten entstehen können.

Es gibt verschiedene Arten von Datenschutz, einschließlich:

1. Technischer Datenschutz: Dies beinhaltet die Verwendung von Verschlüsselung, Firewalls und anderen Technologien, um Daten vor unbefugtem Zugriff zu schützen.
2. Organisatorischer Datenschutz: Dies beinhaltet die Einführung von Regeln, Verfahren und Prozessen, um sicherzustellen, dass personenbezogene Daten korrekt verarbeitet und gespeichert werden.
3. Rechtlicher Datenschutz: Dies bezieht sich auf die Einhaltung von Gesetzen und Vorschriften zum Schutz personenbezogener Daten, wie zum Beispiel die EU-Datenschutzgrundverordnung (DSGVO).

Der Datenschutz hat eine große Wichtigkeit für Unternehmen und Organisationen, da sie verpflichtet sind, personenbezogene Daten ihrer Kunden und Mitarbeiter zu schützen und sich an die geltenden Gesetze und Vorschriften zu halten.

Warum ist es für Unternehmen wichtig?

• Sensibilisierung aller für Datenschutz und damit verbundene Prozesse
• Jeder Mitarbeiter ist für die Einhaltung des Datenschutzes und die Verarbeitung der personenbezogenen Daten für seine Bereiche persönlich mitverantwortlich.

Welches Ziel wird damit verfolgt?

• Schutz vor missbräuchlicher Datenverarbeitung   personenbezogener Daten.
• Schutz des Persönlichkeitsrechts bei Verarbeitung   personenbezogener Daten.
• Schutz der Privatsphäre.
• Recht auf informationelle Selbstbestimmung, jeder Einzelne kann grundsätzlich selber über die Angabe und Verwendung seiner personenbezogenen Daten bestimmen.

Das bedeutet im täglichen Arbeitsprozess

• Zugang für Dritte zu Daten sperren,
  • am PC abmelden,
  • Sperrbildschirm aktivieren
• Sichere Passwörter nutzen
  • Passwort-Richtlinie einhalten
  • Passwörter regelmäßig tauschen
  • Passwörter nicht aufschreiben und weitergeben
• Betriebsinformationen schützen, z.B.
  • Arbeitsplatz aufräumen (keine Dokumente und Datenträger offen liegen lassen)
    • Unterlagen wegsperren und Schränke, Roll-Container etc. abschließen
• Keine Weitergabe von personenbezogenen Daten
  • E-Mails verschlüsseln
  • Keine mobilen Datenträger (USB) nutzen
• Rechte-/Rollen-Konzepte einrichten
  • Zugangsrechte zu Systemen managen

In Deutschland wird der Datenschutz durch 16 Landesbehörden für Datenschutz und Informationsfreiheit (LfDI) für den nicht-öffentlichen Bereich gesteuert.
Hinzu kommt der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI), der für den öffentlichen Bereich und Telekommunikation zuständig ist.

In anderen EU-Ländern gibt es eine nationale Aufsichtsbehörde für  Datenschutz und Informationsfreiheit, welche sowohl für den öffentlichen als auch nicht-öffentlichen Bereich zuständig ist.

European Data Protection Board

• Aufgaben und Pflichten des Europäischen Datenschutzausschuss:
  • allgemeine Leitlinien zu Datenschutzbestimmungen geben
  • die Europäische Kommission in allen Fragen beraten, die in Zusammenhang mit dem Schutz personenbezogener Daten und mit neuen vorgeschlagenen Rechtsvorschriften in der Europäischen Union stehen
  • in grenzüberschreitenden Datenschutzfällen zur Wahrung einer einheitlichen Anwendung der DSGVO, Beschlüsse und Stellungnahmen fassen
  • die Zusammenarbeit und den wirksamen Austausch von Informationen und bewährten Verfahrensweisen zwischen nationalen Datenschutzbehörden fördern

 

Verstöße im Datenschutz

• DSGVO bisher vielfach noch ohne sog. „Enforcement“
• Aber: „Türöffner“ für/bei Aufsichtsbehörden
• Höhe von Sanktionen richtet sich nach dem Umsatz, der Schwere des Vorfalls und der Auswirkungen
  auf den Betroffenen
• Verstöße müssen nicht ausschließlich Geldbußen als Sanktion nach sich ziehen:
  • Ausübung der bestimmten Verarbeitungstätigkeit wird untersagt
  • Technologien oder Anbieter dürfen nicht mehr eingesetzt werden
  • Technologien oder Anbieter müssen gewechselt werden, z. B. US-Anbieter auf EU-Anbieter
  • Leichte Vorfälle führen nicht direkt zur Verhängung von Strafen
  • Schwere Verstöße müssen
    • a)der Aufsichtsbehörde gemeldet werden (Selbstanzeige)
    • b)öffentlich gemacht werden, in Form einer Benachrichtigung der einzelnen Betroffenen oder sogar über Pressemitteilungen à Imageschaden!

Konsequenzen aus Datenschutzverstößen

• Die DSGVO kann Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Bruttojahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, je nachdem, welcher der Beträge höher ist. Hinzu kommen ggf. Schadensersatzforderungen von Betroffenen
• Daraus resultieren
  • Beeinträchtigung von Geschäftsprozessen
  • Hohe Aufwände
  • Finanzielle Einbußen
  • Image- und Vertrauensverlust der Kunden und Interessenten

Personenbezogene Daten

• Personenbezogene Daten sind alle Informationen oder Daten, durch die eine Person identifiziert, wiedererkannt oder bestimmt werden kann.
• Alle Daten, die auf eine Person zurückführen können.
  • Beispiele

  • Vor- und Nachname	Customer IDs
    Adresse	gehashte E-Mail-Adressen und IDs
    Geburtsdatum	Standortdaten
    E-Mail-Adresse	Werbe-IDs
    IP-Adresse	Fotos
    Cookie IDs	KFZ-Kennzeichen
    Order IDs	Kreditkartennummer

 

Verantwortlicher ist jeder, der über die Zwecke und Mittel der Verarbeitung entscheidet.

• Verantwortlicher ist jeder, der darüber entscheidet „Warum“ und „Wie“ personenbezogene Daten verarbeitet werden.

Betroffener, eine betroffene Person ist jede bestimmte bzw. bestimmbare natürliche Person, deren personenbezogene Daten verarbeitet werden.

• Jeder Mensch, dessen personenbezogene Daten verarbeitet werden, ist eine betroffene Person.

Auftragsverarbeiter ist jeder, der personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

• Die Verarbeitung findet nur auf dokumentierte Weisung des Verantwortlichen gegenüber dem Auftragsverarbeiter statt.

Verarbeitung, jede Verwendung von personenbezogenen Daten ist auch Verarbeitung con Daten. Der Begriff „Verarbeitung“ bezieht sich, im Zusammenhang mit der Datenverarbeitung nach der DSGVO, immer auf die “Verarbeitung von personenbezogenen Daten“. Alles was mit personenbezogenen Daten getan werden kann, von Erheben über Speichern bis hin zur Datenübermittlung und Löschung oder wofür personenbezogene Daten verwendet werden, ist eine Verarbeitung.

Personenbezogene Daten dürfen verarbeitet werden, wenn

•  eine Einwilligung vorliegt.
  • Art. 6 (1)  a DSGVO: Der Betroffene hat seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten für einen oder mehrere Zwecke gegeben.
• ein Vertrag geschlossen wurde
  • Art. 6 (1)  b DSGVO: Personenbezogene Daten dürfen für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen mit einem Betroffenen verarbeitet werden, z. B. Vertragsverhandlungen oder Versand der Waren
• ein berechtigtes Interesse vorliegt
  • Art. 6 (1) f DSGVO: Der Verantwortliche hat ein Interesse daran personenbezogene Daten zu verarbeiten, der Betroffene daran, dass seine Daten nicht verarbeitet werden. Die Interessen müssen gegeneinander abgewogen werden und die Grundrechte und Grundfreiheiten des Betroffenen, die den Schutz personenbezogener Daten erfordern, dürfen dabei nicht überwiegen (z. B. Verhinderung von Betrug).
• Rechte der betroffenen Person
  • Eines der erklärten Ziele der Datenschutz-Grundverordnung (DSGVO) ist eine faire und transparente Verarbeitung von personenbezogenen Daten.
  • Die DSGVO hat daher die Rechte der Betroffenen gegenüber dem alten Bundesdatenschutzgesetz deutlich verstärkt.
  • Für einen Betroffenen muss die Datenverarbeitung nachvollziehbar sein. Daraus ergeben sich für den Verantwortlichen Pflichten, die er durch die Rechte der Betroffenen erfüllen muss.
  • Die interne Datenschutzorganisation muss diese Betroffenenrechte umsetzen können.