Datenschutz

Was ist Datenschutz und was muss man beachten?

Jedes Unternehmen, welches Daten speichert und verarbeitet muss den Datenschutz beachten, doch was genau bedeutet das überhaupt? Welche Daten werden geschützt, worurch werden die Daten geschützt und warum sind die Daten schützenswert?

Der Datenschutz sieht sich in der Pflicht die Sicherung des Grundrechts auf informationelle Selbstbestimmung sicherzustellen. Ein wichtiger Bestandteil ist außerdem, dass der Schutz von personenbezogenen Daten, vor missbräuchlicher Verarbeitung sowie der Privatsphäre sichergestellt ist.

Gewisse staatliche bzw. kommunale Organisationen oder private Unternehmen können diese Freiheit der Verarbeitung von Daten gefährden. Bestimmte Regelungen des Datenschutzes kommen deshalb je nach Betrieb unterschiedlich und je nach Verarbeitung der Daten zum Tragen. So gelten zum Beispiel im Bereich des Gesundheitswesens, der Presse und bei Religionsgemeinschaften bzw. Kirchen andere oder ergänzende Vorschriften als in anderen Betrieben.

Der Datenschutz sorgt dafür, dass die Freiheit des Menschen zur Selbstbestimmung darüber, wem man wann welche Daten zu welchem Zweck zur Verfügung stellt, gewährleistet ist. Datenschutzgesetze, wie die DSGVO und das BDSG (werden zur Erklärung verlinkt), regeln die Erhebung, Speicherung sowie Verwendung von Daten und welchen Rahmenbedingungen diese Vorgänge unterliegen.

Der Datenschutz ist in Deutschland im generellen in zwei Gesetze unterteil. Das ist einmal die Datenschutzgrundverordnung, auch bekannt als DSGVO. Die DSGVO ist seit dem 25.05.2018 in Kraft und alle europäischen Mitgliedsstaaten müssen sich an die Maßgaben halten und sie anwenden. Außerdem gibt es noch das Bundesdatenschutzgesetz oder auch BDSG, welches vor allem die DSGVO in Nationales Recht verankert.

Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25.05.2018 in Kraft und gilt für alle Mitgliedsstaaten der EU. Die Verordnung regelt die Verarbeitung personenbezogener Daten von öffentlichen Stellen und privaten Unternehmen. Zugleich soll sie gewährleisten, dass ein freier Datenverkehr innerhalb der europäischen Union möglich ist. Die DSGVO sorgt dafür, dass User in der EU mehr Rechte zur informationellen Selbstbestimmung besitzen und gibt ihnen die Möglichkeit zu erfahren, welche Daten bestimmte Unternehmen über sie speichern. Zudem sorgt sie für eine Vereinheitlichung des Datenschutzes im europäischen Binnenraum.

Für Unternehmen werden durch die DSGVO die Grenzen dessen, wie sie die vorliegenden Daten weiterverarbeiten dürfen gesetzt. Die personenbezogenen Daten dürfen laut DSGVO nur noch zu dem vorher festgelegten Zweck gespeichert und verarbeitet werden. Außerdem dürfen nur noch so viele Daten wie nötig, aber so wenig Daten wie möglich erhoben werden. Es besteht also ein Gebot der Datenminimierung. Die DSGVO etabliert darüber hinaus eine erweiterte Rechenschaftspflicht, nach der einzelne Vorgänge von den Betreibern in Verzeichnissen dokumentiert werden müssen. Größere Unternehmen müssen sogar fortlaufende Risikoabschätzungen aller Datenverarbeitungsprozesse durchführen.

Generell soll die DSGVO also Unternehmen zwingen transparenter mit ihren Datenspeicherungs- und Datenverarbeitungsprozessen umzugehen und ihren Kunden bzw. Nutzern die Kontrolle über ihre Daten zu überlassen.

Das Recht zur informationellen Selbstbestimmung entstand erst 1983 aus einem Volkszählungs-Urteil des Bundesverfassungsgerichts. Es ist somit ein noch junges allgemeines Persönlichkeitsrecht, welches mittlerweile eine eigenständige Bedeutung hat. Das Bundesverfassungsgericht erkannte schon damals, dass die von Personen gesammelten Daten missbraucht werden könnten und dies so weit gehen kann, dass ein vollständiges Persönlichkeitsprofil der Person erstellt werden kann.

Wie man heute weiß, hat das Bundesverfassungsbericht recht behalten: Wir hinterlassen überall Daten und mit der voranschreitenden Digitalisierung werden es jeden Tag mehr persönliche Informationen, die gesammelt, gespeichert und verarbeitet werden. Hierdurch ist bereits ein etabliertes Geschäftsmodell mit dem Handel von Daten entstanden. Personenbezogene Informationen zählen zu den kostbarsten Ressourcen der Welt – nicht umsonst gehören datengetriebene Unternehmen zu den global wertvollsten Firmen.

Das Recht auf informationelle Selbstbestimmung besteht nun darin, dass jeder Mensch selbst entscheiden kann, wie mit seinen personenbezogenen Daten umgegangen wird: Wer darf die Daten speichern? Wann dürfen diese Daten gespeichert werden? Und wie werden diese Daten verarbeitet?

Die DSGVO sowie das BDSG legen anhand unterschiedlicher Gründe fest, ab wann eine Firma einen Datenschutzbeauftragten im Unternehmen haben muss:

Nach BDSG muss ein Datenschutzbeauftragter dann bestimmt werden, wenn:

Amtlich bezeichnet wird der Bundesdatenschutzbeauftragte als Bundesbeauftragter für Datenschutz und Informationssicherheit. Hinter dem Namen verbirgt sich die oberste Behörde für Datenschutz in Deutschland, mit Sitz in Bonn. Der Bundesdatenschutzbeauftragte wird vom Bundestag gewählt, nachdem die Regierung ihn vorgeschlagen hat. Der Bundedatenschutzbeauftragte hat eine Amtszeit von 5 Jahren, welche um eine zweite Amtszeit verlängert werden kann.

Tätig ist die Behörde allerdings hauptsächlich in beratender Funktion und als Kontrolleur für andere Bundesbehörden, da die Themen im Bezug auf Datenschutz in den Händen der Landesdatenschutzbeauftragten liegen.

Kontrolliert wird der Datenschutz durch die Landesdatenschutzbeauftragten der jeweiligen Länder. Sie verhängen auch Sanktionen, bei nicht Einhaltung der Datenschutzbestimmungen. Diese Institutionen haben zusätzliche eine beratende Funktion.

Oft wird man von Webseiten darüber informiert, dass die Seite Cookies sammelt oder gefragt, welche Cookies sie sammeln dürfen. Aber was sind eigentlich Cookies und warum speichern Webseiten diese?

Cookies sind Daten, die Webseiten auf einem bestimmten Computer zwischenspeichern. Dabei werden zum Beispiel E-Mail-Adressen und Passwörter gespeichert, damit man sich nicht alle paar Sekunden erneut anmelden muss. Im Grunde helfen Cookies also das Surferlebnis zu verbessern bzw. zu vereinfachen. Die Cookies werden gelöscht, wenn die Seite geschlossen wird oder man sich abmeldet, da diese speziellen Cookies nur für eine Sitzung gelten, deshalb werden diese auch als „Session-Cookies“ bezeichnet.

Die Tracking-Cookies bilden die zweite Art von Cookies. Mit diesen Cookies wird das User-Verhalten „getrackt“, also verfolgt. Mit den Tracking-Cookies ist es Webseiten-Betreibern möglich dem User personalisierte Werbung auszuspielen und zusätzlich ihre Website zu optimieren. Zum Beispiel verbessert sich der Google-Suchalgorithmus kontinuierlich, je öfter ein bestimmter User die Plattform für seine Suchanfragen benutzt. Ein Tracking-Cookie lässt sich auf den meisten Webseiten schon über den Datenschutz-Cookie-Banner ausschalten. Hier wird der User beim Öffnen der Website gefragt, ob nur die benötigten (Session-Cookies) oder alle Cookies gespeichert werden dürfen.

In der öffentlich einsehbaren Datenschutzerklärung einer Webseite muss der Betreiber dem User genau offenlegen, wofür er die Cookies verwendet.

Bereits mit Blick auf die Regelungsbereiche von Datenschutz und Datensicherheit kristallisieren sich elementare Unterschiede heraus. Dabei stellt der „Personenbezug“ die größte Differenz dar. Denn während sich der Datenschutz lediglich auf Daten beschränkt, die sich unmittelbar auf eine natürliche Person beziehen, betrifft die Datensicherheit, neben Datenschutzangelegenheiten, auch sämtliche andere Arten von Daten, die in einem Unternehmen anfallen. Das sind beispielswiese interne Informationen, Betriebsgeheimnisse oder Konstruktionspläne.

Die vorrangige Aufgabe der Datensicherheit ist es jegliche Daten auf technische Art und Weise gegen Bedrohungen von außerhalb zu schützen (gemäß §9 BDSG). Dazu zählen unter anderem die unberechtigte Kenntnisnahme, der Diebstahl oder die Manipulation durch Dritte. Hingegen ist der Datenschutz dafür verantwortlich die Privatsphäre des Einzelnen zu schützen sowie das Recht auf informationelle Selbstbestimmung zu gewährleisten.