Datenschutz-Grundlagen
Der Schutz personenbezogener Daten gehört zu den Grundrechten innerhalb der Europäischen Union, wurde in der Richtlinie 95/46/EG festgeschrieben und im Jahr 2001 in nationales Recht der Bundesrepublik Deutschland umgesetzt. Zusätzlich gelten noch eine Vielzahl weiterer Vorgaben zum Datenschutz.
Die Geschichte des Datenschutzes
Geschaffen wurde der Begriff in den 1970er Jahren; 1977 fand er Eingang in die BRD-Gesetzgebung. In den USA machte man sich in den 1960er Jahren – in der Regierungszeit von John F. Kennedy – Gedanken über die Schaffung eines nationalen Datenzentrums. Das sollte Unternehmen und Behörden in den USA erleichtern, Daten von Bürgern zu sammeln und aufzubewahren. 1974 wurde der Privacy Act beschlossen, der Regeln für die Bundesbehörden festlegte. Der private Datenschutz sollte demgegenüber durch den Wettbewerb geregelt werden. Mit fatalen Folgen: In den USA gibt es bis heute keine Möglichkeit, gesammelte Daten einzusehen, falsche Informationen korrigieren zu lassen oder überhaupt in Erfahrung zu bringen, welche Daten gespeichert werden. Dies gilt aber nur für US-Bürger bzw. länger in den USA lebende Ausländer.
In der Bundesrepublik Deutschland wurde bereits 1970 durch das Bundesland Hessen das erste Datenschutzgesetz erlassen. Sieben Jahre später wurde das Bundesdatenschutzgesetz (BDSG) am 27. Januar 1977, in der Fassung der Bekanntmachung vom 1. Februar 1977 (BGBl. I Nr. 7 S. 201) erlassen. Dieses Gesetz ist ab 1. Januar 1978 in Kraft.
Aufgabe und Gegenstand des Datenschutzes
Aufgabe des Datenschutzes ist es, durch den Schutz personenbezogener Daten vor Missbrauch bei ihrer Speicherung, Übermittlung, Veränderung und Löschung (Datenverarbeitung) der Beeinträchtigung schutzwürdiger Belange der Betroffenen entgegenzuwirken.
Dieses Gesetz schützt personenbezogene Daten, die
- von Behörden oder sonstigen öffentlichen Stellen (§ 7),
- von natürlichen oder juristischen Personen, Gesellschaften oder anderen Personenvereinigungen des privaten Rechts für eigene Zwecke (§ 22),
- von natürlichen oder juristischen Personen, Gesellschaften oder anderen Personenvereinigungen des privaten Rechts geschäftsmäßig für fremde Zwecke (§ 31)
in Dateien gespeichert, verändert, gelöscht oder aus Dateien übermittelt werden. Für personenbezogene Daten, die nicht zur Übermittlung an Dritte bestimmt sind und in nicht automatisierten Verfahren verarbeitet werden, gilt von den Vorschriften dieses Gesetzes nur § 6.
Dieses Gesetz schützt personenbezogene Daten nicht, die durch Unternehmen oder Hilfsunternehmen der Presse, des Rundfunks oder des Films ausschließlich zu eigenen publizistischen Zwecken verarbeitet werden; § 6 Abs. 1 bleibt unberührt.
1980 wurden gemeinsam mit allen anderen OECD-Staaten „Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Data“ verfasst, die die Datenschutzbestimmungen der einzelnen Länder auf ein gemeinsames Niveau anheben sollten. Ein Jahr später veröffentliche der Europarat die „Europäische Datenschutzkonvention“, die von insgesamt 46 Staaten ratifiziert wurde und noch immer Gültigkeit besitzt.
Welche Bereiche umfasst der Datenschutz?
Zum Datenschutz zählen u.a. die Erfassung, die Speicherung, die Weiterverarbeitung, aber auch das Sperren und Löschen anfallender personenbezogener Daten. So müssen beispielsweise Steuerdaten, aber auch ärztliche Befunde, Röntgenaufnahmen, MRT- und CT-Aufnahmen bis zu zehn Jahre gespeichert werden. Der Personenkreis, der auf diese Daten zugreifen kann, ist besonders einzuschränken. Sind Daten nicht mehr aktuell, müssen aber noch gespeichert bleiben, sind sie zu sperren.
Zu den personenbezogenen Daten gehören u.a. der vollständige Name, Geburtsdatum und Geburtsort, sämtliche Wohnanschriften, Familienstand, Bankverbindungen inklusive PIN, TAN etc., Steuernummer, eventuelle Eintragungen ins Führungszeugnis, gewährte Kredite (Schufa-Auskunft), Sparguthaben, Aktienbesitz, eventuelle Vorstrafen und dergleichen mehr. Besteht beispielsweise die Gefahr einer Straftat, dürfen Telefongespräche erst nach richterlicher Genehmigung abgehört werden. Zugleich müssen Mobilfunk- und Festnetzanbieter Telefondaten über ein halbes Jahr speichern und den Untersuchungsbehörden zur Verfügung stellen. Da es sich hierbei aber um einen erheblichen Eingriff in die Persönlichkeitsrechte handelt, dürfen diese Maßnahmen erst nach richterlicher Anordnung durchgeführt werden.
Jeder Nutzer kann selbst zu seiner persönlichen Datensicherheit beitragen und seine persönlichen Daten im Internet schützen. So ist es beispielsweise sinnvoll, Waren nicht durch Vorkasse, sondern auf Rechnung oder per Nachnahme zu erwerben. Ist nur eine Zahlung per Vorkasse möglich, sollten Bezahlverfahren wie PayPal, Sofortüberweisung oder den Online-Bezahldienst deutscher Banken und Sparkassen genutzt werden. Zudem sollten im Internet – und hier vor allem in den sozialen Netzwerken – wenig private Informationen (am besten gar keine) preisgegeben werden. Nicht nur Facebook, Google, Twitter und andere Plattformen sammeln Unmengen an Daten, um z.B. auf den Nutzer zugeschnittene Werbung anzuzeigen, sondern auch Geheimdienste, staatliche Behörden und Arbeitgeber machen sich diese Daten zunutze.
Datenschutz im beruflichen Umfeld
Auch im beruflichen Umfeld muss der Datenschutz eingehalten werden. Dem steht das Interesse der Arbeitgeber an einer möglichst effizienten Nutzung der Arbeitszeit, aber auch der Kostenkontrolle und -reduzierung gegenüber. Als Stichwort seien hier nur Begriffe wie Arbeitnehmerkontrolle und Einhaltung der Pausenzeiten genannt. Der Begriff „Datenschutz“ ist in den 1970er Jahren entstanden, erfuhr seitdem aber verschiedene Interpretationen. Ursprünglich verstand man hierunter den Schutz der Daten vor Verlust, Diebstahl, Änderungen und dergleichen mehr. Heutzutage wird – je nach Betrachtungsweise – der Schutz vor Datenweitergabe an Dritte, das Recht der informellen Selbstbestimmung, der Schutz der Privatsphäre oder aber des Persönlichkeitsrechts mit der Bezeichnung „Datenschutz“ verbunden
Die Wichtigkeit des Datenschutzes
Da immer mehr Daten per Computer erhoben und weitergeleitet werden, soll der Datenschutz das Ausufern von Überwachungsmaßnahmen – sei es durch Staaten, deren Geheimdienste oder nichtstaatlicher Organisationen, Verbände, Internetplattformen etc. – entgegengewirkt werden. Das Volkszählungsurteil des Bundesverfassungsgerichtes(1982) leitete das „Recht auf informelle Selbstbestimmung“ aus den allgemeinen Persönlichkeitsrechten ab und war richtungsweisend. Seit dieser Zeit ist Datenschutz als „Schutz des Rechts auf informelle Selbstbestimmung“ beziehungsweise als „Schutz des Persönlichkeitsrechts bei der Verarbeitung personenbezogener Daten“ zu verstehen.
Persönliche Daten schützen
Gerade in Zeiten weiter zunehmender Vernetzung ist es wichtig, auf seine persönlichen Daten zu achten. So ist es z.B. wenig sinnvoll, in öffentlichen Netzwerken Urlaubsfotos zu veröffentlichen und auf diese Weise potentielle Einbrecher über die eigene Abwesenheit vom Wohnort zu informieren. Auch Kinderfotos, die in öffentlichen Netzwerken veröffentlicht werden, stehen dem Recht auf informelle Selbstbestimmung des Kindes entgegen. Bankverbindungsdaten gehören ebenfalls zu den schützenswerten Informationen. Diese sollten nur in besonders sicheren Internetportalen mit Trusted Shop-Siegel in die Kundenstammdaten eingetragen werden.
Computerviren wurden früher nur genutzt, um Schwachstellen aufzudecken. Heute sind sie allerdings wesentlich gefährlicher. Sie können nicht nur Nutzerkonten angreifen, Phishing-Mails verschicken und den Rechner lahmlegen, sondern zu weitaus größerem finanziellen Schaden führen. Deshalb ist es unter anderem sinnvoll, auf jedem Computer und jedem Smartphone ein Antivirenprogramm zu installieren. (Gerade bei Smartphones wird dies oft in sträflicher Weise vernachlässig). Online-Shops und andere Webseiten nutzen für die sichere Datenübertragung, beispielsweise während des Log-ins, das SSL-Verfahren (Secure-Socket-Layer-Verfahren). Mit diesem Verfahren werden die Daten zuerst verschlüsselt, dann an den jeweiligen Server übertragen und hier auf ihre Unversehrtheit überprüft. Erst wenn die Angaben korrekt übermittelt wurden, kommt eine Verbindung mit dem Rechner zustande.
Sensible Daten verschlüsseln
Sensible Daten, zu denen unter anderem die Bankdaten, PIN, TAN und Passwörter gehören, müssen verschlüsselt übertragen werden. Deshalb wird den Webseiten die Bezeichnung https vorangestellt – als Hinweis auf eine abhörsichere Datenübertragung. Beim Eingeben dieser Kennzeichnungen ist darauf zu achten, dass die Eingabe nicht unter Beobachtung Dritter erfolgt.
Behörden und Unternehmen beschäftigen einen Datenschutzbeauftragten
In jedem größeren Unternehmen gibt es einen Datenschutzbeauftragten oder einen Datenschutz ADV-Auditor. Diese wachen über die Einhaltung der datenrechtlichen Kriterien, dienen aber auch als Ansprechpartner bei entsprechenden Fragen und Problemen und können auch von Kunden des Unternehmens kontaktiert werden.
Was bedeutet das für Unternehmen, die mit Kundendaten arbeiten?
Unternehmen müssen in größerem Umfang als bisher Auskunft über die Speicherung von Daten geben. Der Auskunftsanspruch, den deutsche Unternehmen bereits aus dem Paragrafen 34 BDSG kennen, wird durch erweiterte Informationspflichten gegenüber den Betroffenen deutlich ausgedehnt. So soll etwa eine Informationspflicht über die Dauer der Datenspeicherung eingeführt werden. Insbesondere im Online-Bereich – etwa im Zusammenhang mit verhaltensorientierter Internetwerbung oder den Datenschutzhinweisen – hat die EU erweiterte Informationspflichten in den Entwurf eingebracht.
Recht auf Löschung
Die Rechte der Betroffenen, insbesondere auf Löschung, sollen gestärkt und ein umfassendes Verbot der Datenweitergabe (insbesondere ins Ausland) ohne rechtliche Grundlage geschaffen werden. Ursprünglich im Entwurf enthalten und konkretisiert wurde das Recht auf Vergessen werden, das sogenannte „right to be forgotten“, nach dem Daten eines Einzelnen nach Ablauf der Zweckbindung zur Erhebung nicht mehr verarbeitet werden dürfen, etwa in den Fällen, in denen der Betroffene seine Zustimmung nachträglich wiederruft. Das Recht wurde allerdings für die Abstimmung am 21. Oktober 2013 aus dem Entwurf entfernt und auf das Recht auf Löschung beschränkt. Anstatt eines „Rechts auf Vergessen werden“, wie es im Kommissionsentwurf noch vorgesehen war, sieht Art. 17 der DSGVO nur noch ein leicht erweitertes Recht auf Berichtigung und Löschung vor. Aus diesem Recht resultieren Löschungsverpflichtungen der verantwortlichen Stelle. Soweit die verantwortliche Stelle Daten des Betroffenen öffentlich gemacht hat, verpflichtet Art. 17 Nr. 2 DSGVO die verantwortliche Stelle darüber hinaus dazu, alle vernünftigen Maßnahmen zu ergreifen, um diese Daten auch bei Dritten löschen zu lassen. Des Weiteren wird nach dem Entwurf den Betroffenen ein Recht auf Datenübertragbarkeit eingeräumt. Dies wird beispielsweise bei der Nutzung von Social Media relevant, denn es beinhaltet das Recht des Einzelnen, seine Daten aus einem sozialen Netzwerk zurückzuholen und sie in ein anderes soziales Netz zu übertragen. Dieses Recht lässt sich aber auch auf andere Funktionen und Bereiche übertragen, so dass sich hieraus auch Konsequenzen für andere Wirtschaftszweige ergeben können.
Compliance-Nachweise
Datenverantwortliche Stellen sollen nach Art. 22 Nr. 1 der DSGVO Datenschutz-Policies und geeignete technische und organisatorische Maßnahmen vorhalten müssen, um die Einhaltung der DSGVO nachzuweisen. Zudem ist nach Art. 23 darauf zu achten, dass sowohl die Systeme, mit denen personenbezogene Daten verarbeitet werden, als auch die entsprechenden Arbeitsabläufe datenschutzfreundlich gestaltet sind. Diese Verpflichtung gilt auch für einen Auftragsdatenverarbeiter. Die DSGVO würde die Unternehmen dazu zwingen, ihre internen Datenschutzrichtlinien und diesbezügliche Maßnahmen erheblich auszuweiten und anzupassen. So ist nicht nur eine bloße Verpflichtung der Unternehmen vorgesehen, geeignete technische und organisatorische Richtlinien und Maßnahmen zu entwickeln. In Art. 22 DSGVO ist auch die Verpflichtung enthalten, diese alle 2 Jahre zu überarbeiten.
Definition personenbezogener Daten
Es soll eine zukunftstaugliche Definition personenbezogener Daten eingeführt werden: Alle Informationen, die direkt oder indirekt einer Person zugeordnet werden oder dafür benutzt werden können, eine Person aus einer Menge von Menschen herauszufiltern, gelten als personenbezogene Daten und müssen nach dem Richtlinienvorschlag geschützt werden. Dies ist gerade in Zeiten von „Big Data“ wichtig, in denen mehr und mehr Datensätze zusammengeführt, kombiniert und ausgewertet werden können.
Abschaffung der Meldepflicht / Durchführung von Folgenabschätzungen
Die bisher in § 4d BDSG enthaltene Meldepflicht soll durch die DSGVO abgeschafft werden. Als Ersatz hierfür werden sowohl die datenverantwortliche Stelle als auch der Auftragsdatenverarbeiter nach Art. 32a ff. DSGVO verpflichtet, im Vorfeld der geplanten Datenverarbeitung Risikoanalysen und datenschutzrechtliche Folgenabschätzungen durchzuführen. Werden hierbei besondere Risiken festgestellt, wäre evtl. die zuständige Datenschutzaufsichtsbehörde zu konsultieren, die die geplante Datenverarbeitung ggf. sogar untersagen kann. Diese Verpflichtung geht über die bisherige Vorabkontrolle, wie sie schon bisher von den Datenschutzbeauftragten bei bestimmten Verarbeitungsverfahren durchzuführen ist, weit hinaus. Insbesondere sollen die Risikoanalysen und Folgenabschätzungen laufend im Sinne eines kontinuierlichen „Lifecycle Datenschutz-Management“ überprüft und auditiert werden.
Was geschieht bei Verstößen?
Unternehmen sollen bei Verstößen einen Höchstbetrag von 100 Millionen EUR oder bis zu fünf Prozent ihres Jahresumsatzes zahlen, wenn sie gegen das neue Gesetz verstoßen. Dies kann bei großen Konzernen mit einem erheblichen finanziellen Risiko einhergehen und soll verhindern, dass Unternehmen Datenschutzverletzungen einfach einkalkulieren. Darüber hinaus räumt der Entwurf den Betroffenen ausdrücklich das Recht ein, auch immateriellen Schadensersatz zu verlangen. Unternehmen könnten sich also künftig bei Verstößen gegen das Datenschutzrecht neben sehr hohen Geldbußen ebenso erheblichen Schadensersatzforderungen ausgesetzt sehen.
Einheitliche Rechtsdurchsetzung
Eine europäische Datenschutzaufsicht soll europäisches Datenschutzrecht effektiver durchsetzen und Entscheidungen treffen dürfen, die bisher in den Händen der nationalen Datenschutzbehörden lagen – wie es auch im EU-Wettbewerbsrecht und bei der EU-Bankenaufsicht ist. Damit ist ein „Race to the Bottom“ in Mitgliedsstaaten mit schwacher Rechtsdurchsetzung in Zukunft nicht mehr möglich. Der neue EU-Datenschutzausschuss soll die nationalen Aufsichtsbehörden aber auch unterstützen können. Datenschutzbehörden brauchen mehr Personal und mehr Geld.
Ein fester Ansprechpartner für ganz Europa
Der „one-stop-shop“-Ansatz bedeutet: Kunden und Unternehmen sollen sich EU-weit nur noch an eine Datenschutzbehörde als Ansprechpartnerin wenden müssen. Für die Betroffenen bedeutet das, dass sie ihre Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat richten können. Unternehmen müssen ebenfalls nur noch mit der Datenschutzbehörde des Mitgliedstaats zusammenarbeiten, in dem sich der Hauptsitz des Unternehmens befindet. Bei strittigen Fragen soll der neu gegründete Europäische Datenschutzausschuss das letzte Wort haben und nicht die Europäische Kommission. So soll die Unabhängigkeit der Datenschutzbehörden gewahrt werden.
Was bringen die nächsten Jahre?
Der Rat der Europäischen Union, die Kommission und das Parlament haben sich zuletzt auf eine EU-Datenschutz-Grundverordnung ab dem Jahr 2018 verständigt. Die langjährigen Verhandlungen über die EU-Datenschutz-Grundverordnung (Datenschutz-GrundVO) sind nun zu einem vorläufigen Abschluss gekommen. Der Rat der Europäischen Union, die Kommission und das Parlament haben sich über die Regelungen einer Datenschutz-GrundVO geeinigt, die am 25. Mai 2018 in Kraft getreten ist. Die Datenschutz-GrundVO bezweckt, europaweit einen verbindlichen, einheitlichen Datenschutzstandard zu schaffen, eine Verordnung, die jetzt ein unmittelbares und zwingendes Recht für ganz Europa ist.
Grundsätzliches Verbot ohne Erlaubnis
Die Datenschutz-GrundVO wird der Systematik des Bundesdatenschutzgesetzes (BDSG) ähnlich sein. Die Datenschutz-GrundVO ist als „Verbotsgesetz mit Erlaubnisvorbehalt“ ausgestaltet. Dies bedeutet, dass der Umgang mit personenbezogenen Daten untersagt ist, außer die Verordnung, eine andere gesetzliche Grundlage oder eine Einwilligung des Betroffenen erlauben dies. Art. 6 der Datenschutz-GrundVO sieht vor, dass die Nutzung personenbezogener Daten für die Durchführung eines Arbeitsverhältnisses zulässig ist. Weiter ist die Datenverarbeitung erlaubt, wenn dies für den legitimen Zweck des Unternehmens oder eines Dritten notwendig ist. Dabei ist der Zweck mit dem Persönlichkeitsrecht des Arbeitnehmers abzuwägen. Auch nach dem derzeit maßgeblichen § 32 BDSG ist die Datennutzung für die Durchführung des Arbeitsverhältnisses erlaubt. Dies bedeutet, dass Unternehmen weiterhin Daten der Mitarbeiter speichern dürfen, die zum Beispiel für die Lohnabrechnung, Führung einer elektronischen Personalakte oder für die Abwicklung des Arbeitsverhältnisses erforderlich sind.
Einführung eines Konzernprivilegs
Neu wird das Konzernprivileg sein, das bislang nach deutschem Datenschutzrecht nicht existiert. Danach ist für die Übermittlung von Arbeitnehmerdaten an eine andere Konzerngesellschaft eine besondere Rechtfertigungsgrundlage nötig. Das BDSG selbst erlaubt die Datenübermittlung innerhalb des Konzerns nicht. Die Datenschutz-GrundVO will die Datenübermittlung an andere Konzernunternehmen allerdings erleichtern. Es soll möglich sein, personenbezogene Daten innerhalb einer Unternehmensgruppe für interne administrative Zwecke zu übermitteln. Ebenfalls soll die Übermittlung von Arbeitnehmerdaten zugunsten einer zentralen Personalverwaltung möglich sein. Auf diese Weise wäre eine konzernweite Personaldatenverwaltung erlaubt, was für viele Arbeitgeber in Konzernstrukturen eine deutliche Erleichterung darstellen würde. Unternehmen sollten sich zeitnah mit den Gesetzesänderungen auseinandersetzen. Insbesondere sind die bisherigen arbeitsvertraglichen Regelungen sowie Betriebsvereinbarungen an die neue Datenschutz-GrundVO anzupassen. Der Strafkatalog der Datenschutz-GrundVO sieht bei Verstößen erhebliche Sanktionen vor. Aufgrund des steigenden Schadensrisikos sollten viele Unternehmen die betrieblichen Datenschutzstrukturen ausbauen, um sich auf die erhöhten Anforderungen der neuen datenschutzrechtlichen Regelungen einzustellen.