In unserer heutigen digitalen Welt ist der Datenschutz wichtiger denn je. Unabhängig davon, ob Sie eine betroffene Person, ein Unternehmen oder eine öffentliche Stelle sind, ist es wichtig, die Grundlagen des Datenschutzes zu verstehen. Ganz gleich, ob Sie gerade erst mit dem Datenschutz beginnen oder eine Auffrischung bestehender Kenntnisse benötigen.
In diesem Leitfaden erklären wir den Datenschutz so, dass er sowohl für die Betroffenen, als auch für die Verantwortlichen leicht verständlich ist. Wir gehen auf viele Bereiche ein. Angefangen von der Frage, was Datenschutz einfach erklärt ist, über die Geschichte des Datenschutzes, bis hin zu der Frage, wie Sie sicherstellen können, dass Sie im beruflichen aber auch im privaten Umfeld datenschutzkonform handeln.
Datenschutz einfach erklärt - Was ist das?
Datenschutz allgemein meint den Schutz personenbezogener Daten vor Missbrauch sowie den Schutz der Rechte und Freiheiten von Betroffenen. Personenbezogene Daten sind persönliche Daten und Informationen natürlicher Personen, die diese identifizierbar machen. Natürliche Personen, deren Daten verarbeitet werden, kennt die Datenschutz-Grundverordnung als Betroffene (hierbei handelt es sich nicht um eine juristische Person).
Die Anforderungen an den angemessenen Schutz personenbezogener Daten werden in Deutschland in der Europäischen Datenschutz-Grundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG-neu) festgelegt. Diese Gesetze wurden in Kraft gesetzt, um die Privatsphäre von Betroffenen zu schützen.
Die zentrale Aufgabe des Datenschutzes ist die Sicherung des Rechts auf informationelle Selbstbestimmung, ein Grundrecht das jedem Menschen zusteht. Einfach erklärt bedeutet informationelle Selbstbestimmung, dass jeder Mensch selbst entscheiden kann, wem er welche persönlichen Informationen über sich preisgibt.
Warum ist Datenschutz wichtig? - Sinn und Zweck des Datenschutzes
In der heutigen digitalen Welt erleben wir in den letzten Jahren enorme Entwicklungen durch den technologischen Fortschritt. Alltägliche Dinge wie z.B. das Surfen im Internet oder das kontaktlose Bezahlen im Supermarkt sind ohne elektronischen Datenaustausch undenkbar. Personenbezogene Daten werden tagtäglich in großen Mengen von Unternehmen, Organisationen oder Behörden verarbeitet. Teilweise wissen wir nicht einmal mehr, wo und welche persönlichen Informationen über uns erfasst, gespeichert und für Big-Data-Analysen verwendet werden.
Neben den unzähligen Möglichkeiten, die sich uns (sowohl für Privatpersonen als auch für Unternehmen) durch den digitalen Fortschritt eröffnen, sind mit der Digitalisierung auch zahlreiche Risiken für persönliche Daten verbunden. Mit der voranschreitenden Digitalisierung wächst auch die Cyberkriminalität im Netz. Cyberkriminelle und kriminelle Organisationen nutzen den hohen Datenaustausch, um personenbezogene Daten auszuspähen und diese für illegale Zwecke zu missbrauchen. Es liegt also nahe, dass durch die digitale Vernetzung auch die Anforderungen an den Datenschutz wachsen und der Datenschutz zunehmend an Bedeutung gewinnt.
Der Sinn und Zweck des Datenschutzes liegt also in dem Schutz unserer personenbezogenen Daten. Gäbe es keinen gesetzlich geregelten Datenschutz, könnte jeder Zugriff auf unsere Daten erhalten und sie gegen uns verwenden. Betroffene würden keine transparenten Auskünfte zu ihren Daten erhalten und hätten auch nicht das Recht, diese löschen zu lassen. Die Bedeutung des Themas Datenschutz ist u.a. im Rahmen des Cambridge Analytica Skandals deutlich geworden. Das Unternehmen hatte sich auf die Bildung von psychologischen Nutzerprofilen spezialisiert und damit offenbar in verschiedene Wahlen, darunter die US-Präsidentschaftswahl 2016 und den Brexit eingegriffen. Ein Großteil der Daten stammte dabei wohl von Meta, die in der Folge zu einem Bußgeld von 5 Milliarden US-Dollar verurteilt wurden. Trotzdem ist Mikrotargeting im politischen Kontext bis heute auf Facebook möglich.
Der Datenschutz hängt aus diesem Grund stark mit dem Verbraucherschutz in der EU zusammen. Durch einheitliche Regelungen soll die Menge der verarbeiteten Daten minimiert werden, um die Persönlichkeitsrechte der Betroffenen zu schützen. Das ist durch den Grundsatz des "Verbots mit Erlaubnisvorbehalt" in der DSGVO verankert. Konkret meint dieses Prinzip, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, es liegt eine ausdrückliche Erlaubnis zur Verarbeitung vor, die sich zum Beispiel aus einem Gesetz oder einer Einwilligung des Betroffenen ergibt. Die Betroffenenrechte und die Informationspflichten des Verantwortlichen (Art. 12 bis 22 DSGVO) sichern uns den Schutz unserer Rechte und Freiheiten in Bezug auf unsere persönlichen Daten zu. Deshalb wird die Datenschutz-Grundverordnung auch als "Verbraucherschutzgesetz" bezeichnet.
Geschichte und Entwicklung des Datenschutzes
Die Geschichte des Datenschutzes geht zurück bis ins Jahr 1970, in dem das weltweit erste Datenschutzgesetz vom Bundesland Hessen ins Leben gerufen wurde. Wenige Jahre später gab es die erste Fassung des nationalen Bundesdatenschutzgesetzes (BDSG), in dem sich inhaltlich einige Regelungen aus dem Landesdatenschutzgesetz Hessens wiederfanden.
Einer der wichtigsten Meilensteine in der Geschichte und Entwicklung des Datenschutzes war das Volkszählungsurteil aus dem Jahr 1983. Die deutsche Regierung plante für 1983 eine Volkszählung, bei der detaillierte Informationen über die Familien- und Wohnsituation sowie über die berufliche Ausbildung und die Erwerbstätigkeit gesammelt werden sollten. Diese Datenverarbeitung ging für viele Menschen zu weit, sodass mehrere Beschwerden beim Verfassungsgericht eingereicht wurden. Die Verfassungsbeschwerden führten letztendlich zum Volkszählungsurteil, welches den Grundstein für unser Recht auf informationelle Selbstbestimmung legte. Sieben Jahre später wurde das Bundesdatenschutzgesetz in Deutschland novelliert.
Um mehr Einheit in Sachen Datenschutz in der Europäischen Union zu schaffen, wurde 1995 die erste EU-Datenschutz-Richtlinie (95/46/EG) erlassen, die für alle EU-Mitgliedsstaaten galt. Im Jahr 2016 wurde die berühmte Europäische Datenschutz-Grundverordnung, wie wir sie heute kennen, erlassen - mit einer zweijährigen Umsetzungsfrist für die europäischen Mitgliedsstaaten. Das Bundesdatenschutzgesetz wurde in den 2000er Jahren mehrmals angepasst und novelliert, bis schließlich 2018 das BDSG-neu, gemeinsam mit der DSGVO, in Kraft trat.
Gesetzliche Grundlagen zum Datenschutz
Der Datenschutz bei uns in Deutschland ist gesetzlich in der Europäischen Datenschutz-Grundverordnung und im deutschen Bundesdatenschutzgesetz verankert. Die DSGVO regelt den Datenschutz in Europa und soll ein einheitliches, angemessenes Datenschutzniveau in allen Mitgliedsstaaten gewährleisten. Dabei ist die DSGVO vorrangig vor den nationalen Gesetzen zu behandeln. Das BDSG-neu ergänzt und konkretisiert bestimmte Regelungsbereiche (wie bspw. den Personaldatenschutz) aus der DSGVO, speziell für Deutschland. Darüber hinaus hat jedes Bundesland in Deutschland ein eigenes Landesdatenschutzgesetz, welches ebenfalls seit Mai 2018 für das jeweilige Bundesland gilt.
Wichtige Gesetze zum Datenschutz neben der DSGVO
Neben den zentralen Datenschutzgesetzen DSGVO und BDSG gibt es weitere Gesetze, die den Datenschutz in bestimmten Bereichen tangieren, so etwa das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, ehemals TTDSG bis Mai 2024), das Gesetz gegen den unlauteren Wettbewerb (UWG) sowie Handels- und Steuergesetze. Die Regelungen dieser mitgeltenden Gesetze müssen neben den Datenschutzgesetzen in gleichem Maße eingehalten werden.
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) etwa, welches als nationale Umsetzung der bisherigen ePrivacy-Richtlinie fungiert, spielt eine wichtige Rolle für den Datenschutz in Deutschland, insbesondere im Bereich der digitalen Dienste und der Telekommunikation. Das TDDDG ergänzt die DSGVO und adressiert spezifische Datenschutzanforderungen im Bereich der elektronischen Kommunikation. Ziel ist es, die Privatsphäre der Nutzerinnen und Nutzer im digitalen Raum besser zu schützen. Eine der wichtigsten Neuerungen ist die gesetzliche Verankerung der Einwilligungspflicht für Cookies und ähnliche Tracking-Technologien. § 25 TDDSG legt fest, dass für die meisten Cookies eine ausdrückliche Einwilligung des Nutzers erforderlich ist - es sei denn, es gelten spezielle Ausnahmen (siehe § 25 Abs. 2 TDDDG).
Eine weitere Verordnung, die in Zukunft eine einheitlichere Gesetzesgrundlage für die Datenverarbeitung in der Europäischen Union schaffen soll, ist die E-Privacy-Verordnung. Diese soll die bisherige nationale E-Privacy-Richtlinie ersetzen und die Datenschutz-Grundverordnung um den Bereich der Datenverarbeitung im Rahmen elektronischer Kommunikation ergänzen. Laut dem Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) soll das Ziel der E-Privacy-Verordnung sein, die Regelungen zur elektronischen Kommunikation an die Regeln der DSGVO anzunähern, ohne dabei über diese hinauszugehen. Bisher ist die E-Privacy-Verordnung aber noch nicht in Kraft getreten und ein genaues Datum für das Inkrafttreten ist aktuell nicht absehbar. Die ePrivacy-Verordnung wird aber (sobald sie in Kraft tritt) als unmittelbar geltendes EU-Recht in den Mitgliedsstaaten gelten.
Datenschutz und KI: Die neue KI-Verordnung
Auch in der sich schnell entwickelnden Welt der künstlichen Intelligenz (KI) steht der Datenschutz im Fokus. Die neue KI-Verordnung der Europäischen Union, die am 1. August 2024 in Kraft getreten ist, stellt einen wichtigen Meilenstein in der Regulierung von KI-Systemen dar und ergänzt die bestehenden Datenschutzvorschriften der Datenschutz-Grundverordnung.
Die KI-Verordnung verfolgt einen risikobasierten Ansatz, der KI-Systeme in verschiedene Risikokategorien einteilt. Von unannehmbaren Risiken über hohe und begrenzte Risiken bis hin zu geringen Risiken werden unterschiedliche Anforderungen an die Entwicklung und den Einsatz von KI-Systemen gestellt.
Es ist wichtig zu betonen, dass die KI-Verordnung die Datenschutz-Grundverordnung nicht ersetzt, sondern ergänzt. Die DSGVO bleibt uneingeschränkt anwendbar, wenn es um die Verarbeitung personenbezogener Daten geht. Die KI-Verordnung fügt jedoch spezifische Regelungen hinzu, die auf die besonderen Herausforderungen von KI-Systemen zugeschnitten wie etwa ChatGPT sind.
Wer muss sich an die Datenschutzgesetze halten?
Die Datenschutz-Grundverordnung gilt unmittelbar für alle (öffentliche und nicht-öffentliche) Unternehmen und Vereine in der Europäischen Union und solche, die personenbezogenen Daten von Betroffenen aus der EU verarbeiten. Vorgenannte definiert der europäische Gesetzgeber als Verantwortliche für die Datenverarbeitung im Sinne der DSGVO.
Im Gegensatz zur DSGVO werden im BDSG-neu gesetzliche Regelungen für öffentliche und nicht-öffentliche Stellen unterschieden.
Sie interessieren sich für Datenschutz-Themen und möchten immer auf dem neuesten Stand sein?
Melden Sie sich zu unserem kostenfreien Compliance-Newsletter an und erhalten Sie regelmäßig wichtige Updates und interessante Fachartikel zum Thema Datenschutz.
Wie wird Datenschutz einfach erklärt gewährleistet?
Vereinfacht erklärt wird der Datenschutz gewährleistet, indem eine natürliche Person (gilt nicht für eine juristische Person), selbstständig über die Verarbeitung ihrer personenbezogenen Daten durch Dritte bestimmen kann. Damit die natürliche Person, die auch als der oder die Betroffene bekannt ist, über die Verarbeitung ihrer Daten bestimmen kann, ist es einerseits notwendig, dass sie ordnungsgemäß und transparent über die Datenverarbeitung und ihre daraus entstehenden Rechte, Pflichten und ggf. deren Folgen gemäß der DSGVO aufgeklärt wird. Im Anschluss an eine Aufklärung über einen bestimmen Verarbeitungsvorgang muss die Person dann dieser Datenverarbeitung zustimmen. Idealerweise sollte das so geschehen, dass die verantwortliche Stelle diese Zustimmung ordentlich dokumentiert, falls es mal zu Rückfragen durch Betroffene oder Behörden kommt und der Verantwortliche dann seiner Rechenschaftspflicht nachkommen muss.
Die Gewährleistung des Datenschutzes am Beispiel eines Cookie-Banners
Ein Beispiel, dem mittlerweile jeder beim Surfen im Internet begegnet, ist das Erscheinen und Anklicken eines sogenannten Cookie-Banners beim Besuch einer Website. Da Websitebetreiber häufig eine ganze Reihe von Auswertungs- und Tracking-Tools nutzen, um ihre (in der Regel) kommerziellen Angebote fortlaufend zwecks Umsatzsteigerung zu optimieren, kommen im Hintergrund beim Surfen im Netz jede Menge personenbezogener Daten zusammen. Sobald diese personenbezogenen Daten zusammengefasst werden, ergeben sie ein klares Benutzerprofil einer natürlichen Person. Nicht selten spricht man mittlerweile deshalb vom gläsernen Menschen oder den Datenkraken, die uns besser kennen als wir uns selbst. Hier kommen die Cookie-Banner ins Spiel.
Diese sollen natürliche Personen vorher über die Verarbeitungsvorgänge von personenbezogenen Daten auf einer Website aufklären, um dann im nächsten Schritt durch das Anwählen einer jeweiligen Option (z.B. "Alle Cookies akzeptieren" oder "Nur notwendige Cookies akzeptieren") eine Einwilligung des Betroffenen zur Datenverarbeitung einzuholen. Auf diese Weise wird der Datenschutz auf der Website bereits grundlegend gewährleistet. Darüber hinaus muss der Datenschutz natürlich auch im weiteren Verlauf des Verarbeitungsvorganges eingehalten werden.
Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO Erklärung)
Um den Datenschutz bei der Datenverarbeitung zu gewährleisten, gibt es außerdem die Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 der DSGVO. Die Grundsätze des Datenschutzes haben eine essenzielle Bedeutung in der Datenschutz-Grundverordnung, denn sie werden auch als "Grundregeln" für die Datenverarbeitung bezeichnet. Werden die Grundsätze nicht eingehalten, ist die Verarbeitung personenbezogener Daten nicht rechtmäßig und es liegt ein Verstoß gegen die DSGVO vor.
Sicherheit der Datenverarbeitung
Neben der Einhaltung der Grundsätze, gehört es ebenfalls zu den Pflichten des Verantwortlichen im Datenschutz, die Sicherheit der Verarbeitung zu gewährleisten.
Hierzu schreibt die Datenschutz-Grundverordnung in Artikel 32 vor, dass der Verantwortliche, geeignete technische und organisatorische Maßnahmen (kurz auch TOM genannt) treffen muss, um ein "dem Risiko angemessenes Schutzniveau" für die personenbezogenen Daten zu gewährleisten. Die Sicherheitsmaßnahmen werden implementiert, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der IT-Systeme und damit verbunden, der verarbeiteten Daten im Unternehmen, sicherzustellen.
Um geeignete Maßnahmen für ein verantwortliches Unternehmen auszuwählen, sollte man sich an dem aktuellen Stand der Technik, den Implementierungskosten für die Maßnahmen, der Art und dem Umfang der Datenverarbeitung sowie der Risikobewertung für die Betroffenen orientieren. Typische technisch-organisatorische Maßnahmen sind beispielsweise die Verschlüsselung von Daten, die Entwicklung von Rollen- und Berechtigungskonzepten oder Abschlüsse von Auftragsverarbeitungsverträgen (AVV) mit externen Dienstleistern, wenn diese personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.
Datenschutzfreundliche Voreinstellungen: "Privacy by Design" und "Privacy by Default"
Diese Prinzipien sind nicht nur theoretische Konstrukte, sondern konkrete, gesetzlich geregelte Ansätze, um den Datenschutz in der Praxis zu gewährleisten und die Anforderungen der DSGVO umzusetzen (siehe Art. 25 DSGVO "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen").
Privacy by Design bedeutet, dass der Datenschutz bereits bei der Entwicklung und Gestaltung von Produkten, Dienstleistungen und Geschäftsprozessen berücksichtigt wird. Es geht darum, den Datenschutz von Anfang an mitzudenken und in Systemen und Prozessen zu integrieren. Dieser proaktive Ansatz soll sicherstellen, dass Datenschutz nicht nachträglich "aufgesetzt" wird, sondern dass der Datenschutz aktiv gelebt wird und ein fester Bestandteil jeder Lösung ist. Beispiele für Privacy by Design sind etwa Einsatz von Verschlüsselungstechnologien, die Minimierung der Datenerhebung auf das notwendige Maß oder die automatische Löschung von Daten nach Ablauf der Aufbewahrungsfrist.
Privacy by Default hingegen bezieht sich auf datenschutzfreundliche Voreinstellungen. Dieses Prinzip verlangt, dass die höchsten Datenschutzeinstellungen automatisch aktiviert werden, wenn ein Nutzer einen Dienst oder ein Produkt zum ersten Mal verwendet. Der Nutzer muss also nicht aktiv werden, um seine Privatsphäre zu schützen. Typische Beispiele für die Umsetzung von Privacy by Default sind die standardmäßige Deaktivierung von Tracking-Funktionen auf Websites und die standardmäßige Aktivierung von Datenschutzeinstellungen in sozialen Netzwerken wie Facebook oder Instagram.
Was passiert, wenn der Datenschutz nicht eingehalten wird?
Wird der Datenschutz nicht eingehalten, besteht eine Gefahr für die Rechte und Freiheiten der Betroffenen und der Schutz der personenbezogenen Daten kann nicht mehr gewährleistet werden. Unternehmen, die den Datenschutz nicht einhalten, verstoßen somit gegen die gesetzlichen Regelungen der Datenschutz-Grundverordnung. Zu typischen Datenschutzverstößen (wie zum Beispiel der Verlust eines mobilen Datenträgers oder der Versand einer E-Mail mit offenem Verteilerkreis) kommt es in Unternehmen leider zu häufig.
Wenn es in Ihrem Unternehmen zu einem Datenschutzverstoß kommt, dürfen Sie nicht zögern, proaktiv Maßnahmen zur Risikominimierung einzuleiten. Sie als Verantwortlicher müssen den Vorfall innerhalb von 72 Stunden nach Kenntnisnahme an die zuständige Datenschutzbehörde und in einigen Fällen auch an die Betroffenen melden. Für die Meldung von Datenschutzverstößen bieten die Datenschutzbehörden Meldeformulare und Muster auf ihren Websites an, die die Meldung für Sie so einfach wie möglich gestalten sollen.
Betroffene hingegen können Anzeige erstatten wegen Datenschutzverletzungen. Dies geschieht allerdings nicht wie im Falle von gängigen Straftaten bei der Polizei, sondern der jeweiligen, verantwortlichen Landesdatenschutzbehörde.
Welche Folgen drohen bei Datenschutzverstößen?
Verstöße gegen den Datenschutz können enorme Konsequenzen für die verantwortlichen Unternehmen haben, darunter zum Beispiel Imageschaden. Die Unternehmen werden sich dadurch zunehmend bewusst, dass sie die persönlichen Daten ihrer Kunden und Mitarbeiter schützen müssen, um einen vertrauenswürdigen Ruf bei (potenziellen) Kunden zu wahren. Datenschutzverstöße werden außerdem mit hohen Bußgeldern sanktioniert. Geldstrafen bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten, weltweit erzielten, Jahresumsatzes des vorangegangenen Geschäftsjahres sind in der DSGVO für Verstöße vorgesehen - und bei vorsätzlichem Handeln gegen die Regelungen der DSGVO können sogar Freiheitsstrafen verhängt werden. Zusätzlich können Betroffene, deren Rechte durch Nichteinhaltung des Datenschutzes eingeschränkt werden, Schadensersatzforderungen einreichen, die zu noch mehr Kosten für Unternehmen führen können.
Bußgelder bei Datenschutzverstößen
Die Anzahl der Bußgelder häuften sich in den letzten Jahren. Der Datenschutz gewinnt zunehmend an Relevanz und die Aufsichtsbehörden nehmen ihre Aufgabe, für die Einhaltung der Datenschutzgesetze zu sorgen, sehr ernst. Durch das Verhängen von Bußgeldern sollen Verantwortliche sanktioniert und andere Unternehmen abgeschreckt werden, um so das Bewusstsein für die rechtmäßige Verarbeitung personenbezogener Daten zu stärken. Im Jahr 2020 erhielt das Bekleidungsunternehmen H&M das bisher höchste Bußgeld für ein deutsches Unternehmen. Die Höhe des Bußgeldes betrug stolze 35,5 Millionen Euro. Im DSGVO-Portal werden alle Geldbußen von Unternehmen für DSGVO-Verstöße und für Verletzungen anderer Datenschutzgesetze veröffentlicht.
Wenn die zuständige Aufsichtsbehörde eine Meldung über einen Datenschutzverstoß erhält, leitet diese ein Bußgeldverfahren gegen das verantwortliche Unternehmen ein. Das Bußgeldverfahren läuft in der Regel so ab, dass die Behörde nach Erhalt der Meldung Kontakt zu dem Unternehmen aufnimmt, um die Umstände des Vorfalls zu klären. Das Unternehmen hat hier die Möglichkeit, Stellung zu der Meldung zu beziehen und die Situation zu erklären. Hierfür ist die regelmäßige Dokumentation aller Datenschutzvorgänge im Unternehmen besonders wichtig. Für diese Schritte sollte das betroffene Unternehmen den Datenschutzbeauftragten zu Rate ziehen. Die zuständige Aufsichtsbehörde wird die Erklärung des Unternehmens prüfen, um festzustellen, ob hier ein Datenschutzverstoß vorliegt bzw. ob von einem erhöhten Risiko für die Rechte und Freiheiten der betroffenen Personen auszugehen ist. In diesem Fall kann durch die Behörde ein Bußgeld gegen das Unternehmen verhängt werden. Kommt die Behörde zu dem Entschluss, dass es sich hierbei nicht um einen Verstoß gegen die DSGVO handelt, wird das Bußgeldverfahren wieder eingestellt.
Aktuelle Beispiele für Datenschutzverstöße und verordnete Bußgelder
Im Folgenden haben wir für Sie einige aktuelle Beispiele für begangene Datenschutzverstöße und verordnete Bußgelder in der EU aufgelistet:
Wie können Datenschutzverstöße verhindert werden?
Wie Sie sehen, sollten Unternehmen auch zu ihrem eigenen Schutz mit allen Mitteln dafür sorgen, dass die datenschutzrechtlichen Regelungen eingehalten werden. Um die Einhaltung zu gewährleisten, können Unternehmen Maßnahmen ergreifen, um das Risiko für Datenschutzverstöße zu minimieren. Neben der Bestellung eines externen Datenschutzbeauftragten, der das Unternehmen mit seinem Expertenwissen zum Datenschutz unterstützt, ist es wichtig, ein ordentliches Datenschutz-Management-System (DSMS) im Unternehmen zu führen und sorgfältig zu dokumentieren. Dadurch kommt der Verantwortliche nämlich seiner gesetzlichen Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nach.
Eine der wichtigsten Maßnahmen zur Vorbeugung von Datenschutzvorfällen ist jedoch die Sensibilisierung der Mitarbeiter. Die Datenschutzschulung Ihrer Mitarbeiter schärft das Bewusstsein für die Thematik im Unternehmen und sorgt dafür, dass Ihre Mitarbeiter im Tagesgeschäft auftretende Situationen mit Relevanz für den Datenschutz korrekt einordnen können.
exkulpa Akademie
eLearning-Angebote für Mitarbeiter & Entscheidungsträger
Erhalten Sie einen kostenlosen Test-Account für unsere Onlineschulung im Datenschutz!
Datenschutz im Betrieb einfach erklärt
Wie bereits erwähnt, müssen Unternehmen in der Europäischen Union die Regeln des Datenschutzes einhalten, wenn sie personenbezogene Daten verarbeiten. Und das trifft auf fast alle Unternehmen zu, da es sich bei Kundendaten oder Personaldaten von Mitarbeitern ebenfalls um personenbezogene Daten handelt.
Für den Datenschutz im Betrieb und die Einhaltung der Datenschutz-Grundverordnung ist der Verantwortliche, also der Geschäftsführer des Unternehmens verantwortlich. Ein externer Datenschutzbeauftragter unterstützt den Verantwortlichen bei der Überwachung der Einhaltung der DSGVO. Auch die Mitarbeiter spielen eine zentrale Rolle für den Datenschutz im Betrieb. Denn sie müssen bei ihrer täglichen Arbeit mit personenbezogenen Daten darauf achten, dass sie alle wichtigen Maßnahmen zum Schutz dieser Daten treffen.
Damit der Datenschutz im Unternehmen gelingt, sollten Verantwortliche Ihre wesentlichen Pflichten erfüllen, die sich aus der Datenschutz-Grundverordnung ergeben. Hierzu gehören unter anderem folgende Punkte:
Benennung eines Datenschutzbeauftragten:
Die Benennung eines internen oder externen Datenschutzbeauftragten entlastet Sie als Verantwortlichen bei der Umsetzung des Datenschutzes in Ihrem Betrieb. Unter Umständen sind Sie gesetzlich sogar zur Bestellung eines Datenschutzbeauftragten verpflichtet.
Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten:
Als Verantwortlicher sind Sie dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu erstellen und kontinuierlich zu pflegen. In dem Verzeichnis von Verarbeitungstätigkeiten (kurz VVT) werden alle Verarbeitungsvorgänge von personenbezogenen Daten dokumentiert, inklusive weiterer Informationen wie z.B. die Zwecke, zu denen die Daten verarbeitet werden und die Kategorien von personenbezogenen Daten, Betroffenen und Empfängern der Daten.
Erstellung einer korrekten Datenschutzerklärung für die Website:
Im Sinne der Informationspflichten (Art. 13 und 14 DSGVO) sind Websitebetreiber dazu verpflichtet, eine korrekte und vollständige Datenschutzerklärung auf ihrer Website zu veröffentlichen, um Betroffene (in dem Fall Websitebesucher) über die Verarbeitungsvorgänge personenbezogener Daten auf der Website zu informieren.
Bei der Erstellung einer Datenschutzerklärung für Ihre Website können Ihnen Checklisten behilflich sein.
Fragen Sie sich ob ihre Homepage DSGVO-konform ist, ist es außerdem sinnvoll, die Webseite nach Cookies von Drittanbietern zu scannen.
Implementierung geeigneter technischer und organisatorischer Maßnahmen:
Um die Sicherheit der personenbezogenen Daten zu gewährleisten, muss der Verantwortliche geeignete Schutzmaßnahmen, sogenannte technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO treffen.
Durchführung einer Datenschutz-Folgenabschätzung:
Wenn ein Verarbeitungsvorgang im Betrieb ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt, muss der Verantwortliche die Risiken in einer sogenannten Datenschutz-Folgenabschätzung (kurz DSFA) nach Art. 35 DSGVO abwägen. Ein typisches Beispiel für eine Verarbeitung personenbezogener Daten im Betrieb, die einer DSFA bedarf, ist die Videoüberwachung. Sofern ein Datenschutzbeauftragter für Ihr Unternehmen bestellt ist, hilft Ihnen dieser bei der Erstellung einer Datenschutz-Folgenabschätzung. Hier finden Sie ein Muster einer Datenschutz-Folgenabschätzung.
Schulung und Sensibilisierung der Mitarbeiter:
Um die Einhaltung des Datenschutzes im Betrieb zu gewährleisten, ist der Verantwortliche indirekt dazu verpflichtet, seine Mitarbeiter im Bereich Datenschutz zu schulen und zu sensibilisieren. Mitarbeiter, die geschult und sensibilisiert sind, entwickeln ein besseres Verständnis dafür, wie Daten im Unternehmen geschützt werden. Sie sind sich den Unregelmäßigkeiten in diesen Prozessen bewusster, wodurch das Risiko einer Datenschutzverletzung minimiert wird. Darüber hinaus müssen Mitarbeiter bei der Verarbeitung personenbezogener Daten wichtige Anforderungen der DSGVO einhalten, wie z.B. die Verpflichtung, Datenschutzverletzungen zu melden, die Verpflichtung, betroffene Personen zu informieren und die Vorschriften zu den Löschpflichten. Die Datenschutzschulung informiert die Mitarbeiter über diese Anforderungen und darüber, wie sie diese einhalten können.
Datenschutz bei Unternehmensprofilen in sozialen Medien
Wenn Unternehmen öffentliche Unternehmensprofile in Social-Media-Kanälen wie Facebook, Instagram, LinkedIn oder X (ehemals Twitter) betreiben, gibt es einige Datenschutzanforderungen, die Verantwortliche in Bezug auf den Datenschutz für Unternehmen in sozialen Medien beachten müssen. So müssen Unternehmen u.a. umfangreiche Informationspflichten erfüllen (indem sie eine Datenschutzerklärung für Social Media aufsetzen und in den Profilen einfügen), datenschutzfreundliche Voreinstellungen implementieren und die Betroffenenrechten wahren.
Dokumentation des Datenschutz-Managements-Systems:
Mithilfe eines Datenschutz-Management-Systems (kurz DSMS) können der Datenschutz und die Anforderungen der Datenschutz-Grundverordnung im Unternehmen umgesetzt werden. Im DSMS werden alle getroffenen Maßnahmen zu den datenschutzrechtlichen Vorschriften strukturiert und dokumentiert. Somit kommt der Verantwortliche auch seiner gesetzlichen Nachweispflicht nach.
Externer Datenschutzbeauftragter
Ein externer Datenschutzbeauftragter wird für ein verantwortliches Unternehmen bestellt, um dieses bei der Umsetzung und Überwachung der Einhaltung der Datenschutz-Grundverordnung zu unterstützen und den Geschäftsführer (den Verantwortlichen) zu entlasten.
Wenn ein Unternehmen 20 oder mehr Mitarbeiter hat, die regelmäßig mit personenbezogenen Daten arbeiten, ist es gesetzlich verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen. Wenn das Unternehmen besondere Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO - sogenannte "sensible Daten" (z.B. politische Meinungen oder Gesundheitsinformationen) - verarbeitet oder wenn das Hauptgeschäft des Unternehmens in der Verarbeitung personenbezogener Daten liegt, muss es auch dann einen Datenschutzbeauftragten ernennen, wenn es weniger als 20 Mitarbeiter beschäftigt.
Neben dem externen Datenschutzbeauftragten hat der Verantwortliche auch die Möglichkeit, einen eigenen Mitarbeiter zum internen Datenschutzbeauftragten zu benennen. Doch auch wenn die Beauftragung eines externen Dienstleisters auf den ersten Blick mit mehr Kosten verbunden zu sein scheint, gibt es einige gute Gründe für das Outsourcing und die Bestellung eines externen Datenschutzbeauftragten. Denn ein eigener Mitarbeiter, der als interner Datenschutzbeauftragter benannt werden soll, muss umfangreiche Aus- und Weiterbildungen absolvieren, um den Anforderungen an einen Datenschutzbeauftragten gerecht werden zu können. Diese Weiterbildungen kosten Unternehmen viel Geld und wertvolle Ressourcen, da der Mitarbeiter während dieser Zeit und auch während seiner Tätigkeit als DSB nicht seiner Kerntätigkeit im Unternehmen nachgehen kann. Diese Kosten übersteigen das Honorar eines externen Datenschutzbeauftragten schnell.
Hinzu kommt, dass ein Mitarbeiter, der seine Ausbildung zum DSB innerhalb weniger Tage absolviert und dann den Datenschutz im Unternehmen überwachen soll, in der Regel nicht über dasselbe Maß an Erfahrung verfügen wird, welches ein externer Datenschutzbeauftragter durch seine Praxistätigkeiten als DSB vorweisen kann.
Ein weiterer wichtiger Grund für die Auslagerung der Überwachung der Datenverarbeitung ist, dass ein interner Datenschutzbeauftragter Kündigungsschutz im Unternehmen genießt. Wenn Sie mit Ihrem externen Dienstleister unzufrieden sind, können Sie ihn leicht ersetzen. Wenn Sie jedoch mit der Arbeit Ihres internen Mitarbeiters als Datenschutzbeauftragter unzufrieden sind, müssen Sie im schlimmsten Fall ein langwieriges Verfahren durchlaufen.
Externer Datenschutzbeauftragter: Stellung, Qualifikation und Aufgaben
Bei der Auswahl eines geeigneten DSB ist vor allem auf die Qualifikation des externen Datenschutzbeauftragten zu achten. Aus Art. 37 Abs. 5 DSGVO ergeben sich drei essenzielle Voraussetzungen für die Benennung des Datenschutzbeauftragten.
Der externe Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikationen ernannt. Er sollte über Fachwissen im Datenschutzrecht sowie in der Datenschutzpraxis verfügen und in der Lage sein, die in Artikel 39 der DSGVO aufgeführten Aufgaben auszuführen.
Externe Datenschutzbeauftragte müssen eine Ausbildung absolvieren, um diese für ihre Arbeit erforderlichen Datenschutzkenntnisse zu erwerben. Darüber hinaus ist es für einen externen Datenschutzbeauftragten empfehlenswert, weitere hilfreiche Kompetenzen wie etwa grundlegende Kenntnisse zu anderen Gesetzen, die den Datenschutz tangieren oder grundlegende EDV-Kenntnisse zu erlangen.
Der Datenschutzbeauftragte genießt in dem Unternehmen, für das er bestellt wird, eine besondere Stellung.
Er untersteht der Geschäftsleitung, muss dieser stets Bericht über den Datenschutz im Betrieb erstatten und ist verpflichtet, Informationen des Unternehmens vertraulich zu behandeln. Er unterliegt nicht den Weisungen der Geschäftsleitung, kann aber wiederum auch keine Weisungen an die Mitarbeiter erteilen.
Um den Verantwortlichen bei der Umsetzung des Datenschutzes zu unterstützen, werden dem externen Datenschutzbeauftragten bestimmte Aufgaben in seiner Rolle zugewiesen. Die Aufgaben des Datenschutzbeauftragten werden in Art. 39 DSGVO genau definiert. Darunter zählen die Unterrichtung und Beratung des Verantwortlichen und seiner Mitarbeiter, die Überwachung der Einhaltung der DSGVO und der Maßnahmen, die der Verantwortliche im Datenschutz ergreift, die Beratung im Zusammenhang mit der Erstellung und Führung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, die Kooperation mit der Aufsichtsbehörde und die Tätigkeit als Anlaufstelle bzw. Ansprechpartner für die Behörde. Zur Erfüllung dieser Aufgaben ist der externe Datenschutzbeauftragte gesetzlich verpflichtet. Darüber hinaus kann er in Absprache mit dem Verantwortlichen weitere Aufgaben übernehmen, die vorher auf Basis eines Dienstleistungsvertrages festgelegt werden sollten. In der Praxis übernimmt der externe Datenschutzbeauftragte oft auch Aufgaben wie z.B. die Prüfung von Auftragsverarbeitungsverträgen (Art. 28 DSGVO), die Pflege eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) oder die Schulung der Mitarbeiter, um den Verantwortlichen noch mehr zu entlasten.
Externer Datenschutzbeauftragter: Kosten und Haftung
Die Kosten für die Bestellung eines externen Datenschutzbeauftragten lassen sich nicht pauschal bestimmen, da der Umfang der Beratung von Unternehmen zu Unternehmen sehr unterschiedlich ist. Der Aufwand für die Beratung und die Höhe der damit verbundenen Kosten hängen von vielen verschiedenen Faktoren ab, wie etwa die Größe des Unternehmens, die Anzahl der Standorte und Niederlassungen sowie die Art bzw. der Umfang der verarbeiteten Daten natürlicher Personen.
Bezüglich der Haftung des externen Datenschutzbeauftragten gilt Folgendes: Sollte es trotz aller Schutzmaßnahmen zu einem Datenschutzverstoß kommen, haftet in der Regel der Geschäftsführer des Unternehmens, da dieser als Verantwortlicher die Pflicht für die Einhaltung des Datenschutzes trägt. Für den externen Datenschutzbeauftragten besteht in der Regel kein Haftungsrisiko, es sei denn, er handelt im Rahmen seiner Beratung des Verantwortlichen fahrlässig oder sogar vorsätzlich. In einem solchen Fall würde der Datenschutzbeauftragte die volle Haftung für den entstandenen Schaden übernehmen müssen.
Unterschied Datenschutz und Datensicherheit
Die Begriffe Datenschutz und Datensicherheit werden oft fälschlicherweise synonym verwendet, obwohl sie jeweils unterschiedliche Bedeutungen haben. Während Datenschutz einfach erklärt, den Schutz personenbezogener Daten sowie der Rechte und Freiheiten natürlicher Personen bedeutet, bezieht sich die Datensicherheit auf den Schutz von Daten im allgemeinen - hierbei muss es sich nicht zwingend um personenbezogene Daten handeln. Das Ziel der Datensicherheit ist es, die Sicherheit der Daten vor Missbrauch oder Diebstahl zu gewährleisten. Hierzu werden technische Maßnahmen ergriffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Daten sichern sollen. Konkret zählen hierzu Maßnahmen, wie etwa die Verschlüsselung der Daten oder Virenschutz für die IT-Systeme.
Ein weiterer Bereich, der mit dem Datenschutz Hand in Hand geht, ist die IT-Sicherheit als ein Teil der Informationssicherheit. Die IT-Sicherheit verfolgt das Ziel, die Infrastruktur und die Systeme eines Unternehmens vor Bedrohungen und Angriffen zu schützen. Für einen erfolgreichen Datenschutz müssen auch bestimmte IT-Sicherheitsmaßnahmen getroffen werden. Denn nur mit sicheren IT-Systemen können personenbezogene Daten vor dem unbefugten Zugriff durch Dritte geschützt werden.
Zusammenfassung: Überblick über den Datenschutz einfach erklärt
Datenschutz ist einfach erklärt, der Schutz personenbezogener Daten und der Schutz der Rechte und Freiheiten von Betroffenen. Dabei ist der Datenschutz nicht gleichzusetzen mit der Datensicherheit, bei der es darum geht, Daten im Allgemeinen zu schützen. Der Sinn und Zweck des Datenschutzes liegt in der Sicherung des Rechts auf informationelle Selbstbestimmung und dem Schutz der Privatsphäre von natürlichen Personen. Personenbezogene Daten sollen vor Missbrauch und Angriffen durch Cyberkriminelle geschützt werden.
Die gesetzlichen Grundlagen zum Datenschutz finden sich in der Europäischen Datenschutz-Grundverordnung (DSGVO), an die sich alle Unternehmen der europäischen Mitgliedsstaaten halten müssen, und für Deutschland zusätzlich in dem Bundesdatenschutzgesetz (BDSG-neu). Die DSGVO soll den Datenschutz in der EU gewährleisten. Konkret geschieht dies, indem Betroffenen grundlegende Rechte zugeschrieben werden und sie selbstständig über die Verarbeitung ihrer personenbezogenen Daten bestimmen können. Des Weiteren schreibt das Gesetz die Einhaltung der Grundsätze für die Datenverarbeitung und die Auswahl technischer und organisatorischer Maßnahmen für die Sicherheit der Verarbeitung vor, um den Datenschutz zu sichern.
Werden die Regelungen der DSGVO nicht eingehalten, liegt unter Umständen ein meldepflichtiger Datenschutzverstoß vor, welcher hohe Bußgelder, Imageschäden und Schadensersatzforderungen für Unternehmen zur Folge haben kann. Um solche Datenschutzverstöße zu verhindern und den Datenschutz im Betrieb zu gewährleisten, müssen Verantwortliche bestimmte Maßnahmen ergreifen und ihre Pflichten im Datenschutz erfüllen. Hierunter zählen unter anderem die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die Durchführung einer Datenschutz-Folgenabschätzung, die Schulung und Sensibilisierung der Mitarbeiter, die ordentliche Dokumentation in einem Datenschutz-Management-System und die Bestellung eines (externen) Datenschutzbeauftragten, der den Verantwortlichen entlasten und Unternehmen bei der Umsetzung des Datenschutzes unterstützen soll.
Jenny Weigandt