Das Wichtigste in Kürze
- Beim Datenschutz geht es um den Schutz der Menschen hinter den Daten.
- Für die Erhebung und Verarbeitung von personenbezogenen Daten, also Informationen, die einer natürlichen Person zugeordnet werden können, gelten gewisse Spielregeln.
- Gesetzlich sind diese in der EU vornehmlich in der DSGVO geregelt, doch auch andere Gesetze finden Anwendung.
- Neben technologischen Neuerungen bringt auch die Globalisierung Herausforderungen an den Datenschutz mit sich uns sorgt dafür, dass sich Anforderungen und Maßnahmen zur Umsetzung laufend im Wandel befinden.
- Am Datenschutz gibt es auch Kritik: Er sei nicht mehr zeitgemäß, nicht zukunftsfähig, bremse Unternehmenswachstum und sei vielleicht gar überflüssig.
- Doch Konsumenten, Geschäftspartner und Investoren legen zunehmend Wert auf fundierte Datenschutzmaßnahmen. Daher führt für Unternehmen kein Weg am Datenschutz vorbei.
In diesem Artikel
- Definition Datenschutz
- Personenbezogene Daten
- Die Gesetzesgrundlage für Datenschutz in Europa
- Viele Gesetze und viele Fragezeichen: die Herausforderungen an Datenschutz heute
- Warum ist Datenschutz wichtig? Pro und Contra
- Ohne geht’s nicht: Datenschutz für Unternehmen
- Zusammenfassung
Definition: Was ist Datenschutz
Datenschutz beschreibt den Schutz personenbezogener Daten zum Zwecke des Schutzes der Menschen, denen diese gehören. Er leitet sich aus dem Recht auf informationelle Selbstbestimmung ab, das als Ausprägung des allgemeinen Persönlichkeitsrechts und der Menschenwürde seit 1983 als Grundrecht gilt (vgl. BVerfG, Urteil vom 15. Dezember 1983).
Es geht also weniger um den Schutz der Daten an sich. Hier greift die Daten- bzw. Informationssicherheit an, die sich mit dem Schutz von Daten und Unternehmenswerten befasst und dabei ungewollten, selbstverschuldeten Störfällen sowie Angriffen von außen entgegenwirkt.
Personenbezogene Daten
Doch was sind das eigentlich –personenbezogene Daten? Die meisten denken an Angaben wie Name, Adresse und Geburtsdatum. Gemäß Art. 4 Abs. 1 DSGVO sind personenbezogene Daten alle Informationen, die einer natürlichen Person zugeordnet werden können. Das Bundesdatenschutzgesetz (BDSG) liefert eine Definition mit einigen Beispielen. So heißt es in §46 Zif. 1:
„[P]ersonenbezogene Daten [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann.“
Personenbezogene Daten sind demnach:
- Allgemeine Personendaten wie Name, Geburtsort, Alter und Geburtsdatum oder Kontaktdaten (Telefonnummer, E-Mail-Adresse, Anschrift)
- Kennnummern wie die Steueridentifikationsnummer, die Sozialversicherungsnummer, die Krankenversicherungs-Nummer, Matrikelnummer oder die Nummer des Personalausweises
- Kontonummern, Kontostände, Kreditinformationen und andere Bankdaten
- IP-Adressen, Standortdaten und andere Online-Daten
- Besitzmerkmale wie Immobilien- und Fahrzeugeigentum, Kfz-Kennzeichen, Zulassungsdaten oder Grundbucheintragungen
- Kundendaten wie Adressdaten, Kontodaten oder Bestellungen
- Arbeits- und Schulzeugnisse sowie andere Werturteile
Daneben nennt der Gesetzgeber noch weitere, besondere Kategorien personenbezogener Daten, die einem noch höheren Schutz unterliegen:
- Angaben über die ethnische und rassische Herkunft
- Politische Meinungen
- Philosophische und religiöse Überzeugungen
- Zugehörigkeit zu Gewerkschaften
- Genetische und biometrische Daten
- Gesundheitsbezogene Angaben
- Daten zur Sexualität und sexuellen Orientierung
Ihr Unternehmen erhebt und verarbeitet personenbezogene Daten? Hier eine Anleitung, wie Sie dabei datenschutzkonform vorgehen.
Die Gesetzesgrundlage für Datenschutz in Europa
Europa ist bekannt für besonders strenge Datenschutzgesetze. Und Deutschland gehört innerhalb Europas zu den Ländern, die EU-Gesetze wiederum am strengsten auslegen. Dabei greifen beim Datenschutz verschiedene Gesetze gewissermaßen ineinander. Doch an dem Gesetzes-Flickenteppich gibt es auch Kritik.
Denn mehr Gesetze sorgen nicht gerade für mehr Klarheit. Datenschutz in Deutschland ist nicht definitiv „Work in Progress“. So sind in den letzten fünf Jahren verschiedene neue Gesetz hinzugekommen, um auf technologischen Fortschritt und damit einhergehende neue Herausforderungen zu reagieren.
#0 Die EU-Grundrechtecharta
Verbürgt ist das Recht auf informationelle Selbstbestimmung in Artikel 8 der EU-Grundrechtecharta. Das deutsche Grundgesetzt erwähnt ein Datenschutzgrundrecht nicht explizit, dennoch ist es laut Bundesverfassungsgericht gegeben und aus dem Allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG ableitbar.
Der Schutz personenbezogener Daten ist zentral für das Recht auf informationelle Selbstbestimmung. Aus Sicht des EU-Parlaments bestand aufgrund von Entwicklungen wie der Digitalisierung, Big Data und Cloud-Computing die Notwenigkeit für einen neuen und konkretisierten Rechtsrahmen für den Datenschutz – die Datenschutzgrundverordnung war geboren.
#1 Die Datenschutzgrundverordnung (DSGVO)
Die DSGVO ist seit dem 25. Mai 2018 in allen EU-Staaten das offizielle Datenschutzgesetz und der nationalen Gesetzgebung übergeordnet. Das bedeutet: Alle Unternehmen und öffentlichen Einrichtungen, die personenbezogene Daten verarbeiten, müssen die neuen EU-Regeln zum Datenschutz befolgen und entsprechende Maßnahmen umsetzen. Damit wurde erstmals eine europaweite Harmonisierung des Datenschutzrechtes erreicht.
Die wichtigsten Rechtsprinzipien der DSGVO:
- Verbot mit Erlaubnisvorbehalt
- Zweckbindung
- Speicherbegrenzung
- Richtigkeit
- Datensparsamkeit
- Transparenz
- Vertraulichkeit
Wir haben zum Geburtstag der DSGVO im Mai 2021 Bilanz gezogen. Wo steht die DSGVO heute, als wie wirksam hat sie sich bewiesen? Lesen Sie unsere Einschätzung hier.
Wissenswertes zur Umsetzung der DSGVO finden Sie in folgenden Beiträgen:
- Technische und organisatorische Maßnahmen
- Datenschutzbeauftragter
- Datenschutzfolgeabschätzung
- Löschkonzept
- Verzeichnis von Verarbeitungstätigkeiten
#2 Das Bundesdatenschutzgesetz (BDSG)
Das BDSG regelt den Umgang mit personenbezogenen Daten auf Bundesebene und wird durch die Datenschutzgesetze der Länder (Landesdatenschutzgesetze) ergänzt. Das BDSG greift nur dort, wo die DSGVO nicht unmittelbar gilt. Sogenannte Öffnungsklauseln ermöglichen es den Mitgliedstaaten dann, weitgehende Regeln, wie in Deutschland bspw. die Benennungspflicht bei mehr als 20 Mitarbeitern, treffen zu können.
#3 Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
Das neue TTDSG fasst die bestehenden datenschutzrechtlichen Vorschriften aus dem Telekommunikationsgesetzes (TKG) und dem Telemediengesetz (TMG) in einem Gesetz zusammen. Es dient also der Vereinfachung und soll es Unternehmen leichter machen, den Überblick über Anforderungen rund um das Fernmeldegeheimnis und den Datenschutz bei Telekommunikations- und bei Telemediendiensten zu behalten.
Dabei verweist es in einigen wichtigen Punkten, zum Beispiel zum Thema Cookies, wiederum auf die DSGVO.
#4 Die ePrivacy-Verordnung
Die Europäische Union will mit der ePrivacy-Verordnung den Datenschutz intensiver regulieren und die Privatsphäre der Verbraucher online stärken.Dabei legt die E-Privacy-Verordnung ihren Schwerpunkt laut Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit auf „die Vertraulichkeit der Kommunikation, die Verarbeitung von Kommunikationsdaten und das Speichern und Auslesen von Informationen auf Endeinrichtungen (z.B. Cookies).“
Außerdem soll es strengere Regeln für das Telefonmarketing geben. Es soll künftig nur dann erlaubt sein, wenn die Rufnummer des Anrufenden offenbart wird oder wenn ein verbindlicher Code signalisiert, dass es sich um einen Anruf zu Werbezwecken handelt.
Ursprünglich sollte die E-Privacy-Verordnung zusammen mit der DSGVO in Kraft treten. Sie befindet sich jedoch weiterhin im Rechtssetzungsverfahren und soll nach aktueller Aussage des Gesetzgebers frühestens 2022 verabschiedend werden. Danach ist eine 24-monatige Übergangsfrist geplant.
Viele Gesetze und viele Fragezeichen: die Herausforderungen an Datenschutz heute
Mindestens vier Gesetze beschäftigen sich in Deutschland mit dem Thema Datenschutz. Das liegt unter anderem am rasanten technischen Fortschritt, der den Schutz von Privatsphäre und informationeller Selbstbestimmung auf immer neue Proben stellt.
Das erste Datenschutzgesetz weltweit wurde im Oktober 1970 in Hessen verabschiedet. Insgesamt ist das Thema Datenschutz also recht neu. Cookies wurden Mitte er 90er geboren, Cloud-Dienste und Social-Media-Plattformen, wie wir sie heute kennen, kamen erst in den frühen 00er Jahren dazu. Und die Geschwindigkeit neuer Entwicklungen nimmt rasant zu. Das stellt Gesetzgeber natürlich vor große Herausforderungen.
Neben technologischen Neuerungen bringt auch die Globalisierung Dynamik in den Datenschutz. Länder, die einmal als sichere Drittländer galten, behalten diesen Status nicht automatisch für immer –siehe die USA. Datenschutzgesetze sind also nie „fertig“. Genauso wie die Unternehmen, die dieses umsetzen.
Mehr zum Thema Datenschutz und internationaler Datenaustausch finden Sie hier:
- Datenübermittlung in Drittländer für Unternehmen
- Datenschutz nach dem Brexit
- Internationaler Datenaustausch mit Binding Corporate Rules (BCRS)
- Europäischer Gerichtshof kippt EU-US Privacy Shield im Fall „Schrems II“
Bevor wir einen Blick auf Datenschutz für Unternehmen werfen, klären wir allerdings die Frage: Lohnt sich das alles überhaupt? Warum brauchen wir Datenschutz –und wäre es nicht besser, Unternehmen den Weg für Wachstum freizumachen, statt sie auszubremsen?
Warum ist Datenschutz wichtig? Pro und Contra
Vielleicht haben Sie es schon gesehen: Wir bei DataGuard helfen Unternehmen dabei, Datenschutzanforderungen umzusetzen und haben es uns zum Ziel gemacht, so die Menschen hinter den Daten zu schützen. Wir sind also befangen. So viel vorab: Datenschutz ist enorm wichtig und kein Auslaufmodell.
Trotzdem beleuchten wir hier beide Seiten. Denn die Contra-Seite hat ein paar interessante Argumente im Angebot:
|
Contra |
Gegenargument |
|
Datenschutzkonzepte können mit technischen Entwicklungen nicht schritthalten. Spätestens Big Data macht Datenschutz unmöglich. |
Die Gesetzgebung hinkt in der Tat etwas hinterher. Allerdings werden wie beispielsweise mit Schrems II bahnbrechende Entscheidungen getroffen, die richtungsweisend für den Datenschutz der Zukunft sind. Auch wenn der Gesetzgeber zeitlich versetzt reagiert, so sind die Entscheidungen doch weiterhin sehr relevant. |
|
Unsere Privatsphäre werden wir sowieso langfristig nicht schützen können. Wir können uns also auch einfach damit abfinden. |
Der ehemalige Amazon-Chefwissenschaftler Andreas Weigend hält Datenschutz für eine Illusion. Und es lässt sich nicht bestreiten, dass die erfolgreichsten Unternehmen unserer Zeit hinter der Fassade von oberflächlichen Datenschutzmaßnahmen eher als Datenkraken agieren. Doch in den letzten Jahren haben Gesetzgeber und datenschutzorientierte Konkurrenzunternehmen nachgelegt. Wenn wir Datenschutz als vertane Liebesmüh sehen, wird es in Zukunft eng für den Schutz unserer Privatsphäre. Stattdessen ist die aktuelle Zeit weichenstellend. Und zum Aufgeben ist es zu früh. |
|
Wer nichts zu verbergen hat, braucht auch keinen Datenschutz. |
Vielleicht – aber wer hat schon nichts zu verbergen? Würden Sie zum Beispiel einen guten Freund oder Ihren Partner durch Ihr Smartphone und alle Dateien auf Ihrem Laptop sowie Ihren gesamten Suchverlauf gucken lassen – inkl. der „Inkognito-Tabs“? Wie wäre es mit einer Webcam in Ihrem Wohnzimmer, die 24/7 live an die Regierung Ihres Landes sendet? Wahrscheinlich ist Ihnen Ihre Privatsphäre wichtig. Datenschutz bewahrt diese auch in der Online-Welt. |
|
Mehr Datenpunkte über einen Nutzer ermöglichen besseren Service und relevantere Werbeanzeigen, also eine Win-Win-Situation. |
Wenn Nutzer sich personalisierte Werbeanzeigen wünschen, können sie Trackingmethoden explizit zustimmen. Allerdings sollte das Abgreifen von Daten nicht unter dem Radar passieren. Aktuell gehen viele Menschen mit ihren Daten aus Unwissen, wie diese von Dritten genutzt werden können, leichtfertig um.Deswegen braucht es Aufklärung –und Schutz durch den Gesetzgeber. |
|
Datenschutz hindert Digitalisierung. |
Vielmehr sollte Digitalisierung auf Datenschutzprinzipien aufbauen. Anstatt einer Hürde sind Datenschutzvorgaben eher als Wegweiser zu verstehen, die dabei helfen, ein insgesamt nachhaltigeres Setup zu finden. |
|
Datenschutz hindert Wachstum und mindert den Geschäftserfolg. |
Unternehmenswachstum und Geschäftserfolg sind in einer sozialen Marktwirtschaft nicht die einzigen Maxime, nach denen es sich für Unternehmen zu streben lohnt. Sie dürfen nie über Grund- und Persönlichkeitsrechte gestellt werden. |
|
Datenschutz mindert das Potenzial für Werbeeinnahmen. Doch Dienste wie Google und Facebook basieren komplett auf Werbung. Wenn wir Datenschutz ausweiten, schränken wir Einnahmen ein und diese Dienste können nicht länger kostenlos bleiben. |
Der Medientheoretiker und Schriftsteller Douglas Rushkoff war einer der ersten, der bereits 2011 darauf hingewiesen hat: Bei „kostenlosen“ Diensten wie Facebook sind Konsumenten das Produkt, nicht der Kunde. Facebook und Google finanzieren sich über Werbeeinnahmen, die deswegen so lukrativ sind, weil Anzeigen „personalisiert“ ausgespielt werden. Das geht nur, indem zahllose Datenpunkte über eine Person gesammelt werden. Ohne Werbung sind kostenlose Dienste wohl unwahrscheinlich –es sei denn, sie wechseln von privater in öffentliche Hand und finanzieren sich über staatliche Einnahmen. Doch Werbung muss nicht auf Nutzerprofilen basieren. Mehr dazu in unserem Beitrag über Alternativen zum Third Party-Cookie-Tracking. |
Ohne geht’s nicht: Datenschutz für Unternehmen
Datenschutz ist für die meisten Unternehmen spätestens seit Inkrafttreten der DSGVO im Mai 2018 ein Thema.Anfangs war die Panik groß und es wurden E-Mail-Postfächer für Datenschutzanfragen eingerichtet, eine mit heißer Nadel genähte Datenschutzerklärung auf der Website platziert und Cookie-Banner eingerichtet. Das Ziel war meist, den gesetzlichen Anforderungen ohne großen Mehraufwand zu gerecht zu werden. Dies reicht heute jedoch bei Weitem nicht mehr.
Denn Konsumenten, Geschäftspartner und Investoren legen zunehmend Wert auf fundierte Datenschutzmaßnahmen, die transparent nach außen kommuniziert und konsequent intern durchgesetzt werden.
Zuletzt bewies das medienwirksam der Fall WhatsApp: Datenschutzbedenken durch ein Update der Nutzungsbedingungen kosteten das Unternehmen Anfang 2021 Millionen von Nutzer.
Übrigens: Wie Sie Investoren mit Datenschutz und Informationssicherheit überzeugen können, verraten wir in diesem Beitrag.
Wenn Sie sich im Prozess befinden, Ihr Unternehmen in Sachen Datenschutz auf Vordermann zu bringen, empfehlen wir folgende Ressourcen:
Die Basics für junge Unternehmen oder Datenschutzneulinge
Es gibt keine Schritt-für-Schritt-Anleitung zur Implementierung von Datenschutzmaßnahmen in der DSGVO – auch wenn das ihre Umsetzung vielleicht erleichtern würde. Das Gesetz muss allerdings für jedes Unternehmen und jede Organisation anwendbar sein. Daher lebt es von einer gewissen Abstraktion und enthält wenig konkrete Aussagen.
Wir versuchen, hier Licht ins Dunkel zu bringen. Ganz elementar sind folgende Aspekte:
- Technische und organisatorische Maßnahmen
- Datenschutzbeauftragter
- Datenschutzfolgeabschätzung
- Löschkonzept
- Verzeichnis von Verarbeitungstätigkeiten
- Datenschutzbestandsaufnahme: Risiken erkennen
Hilfreiches Hintergrundwissen zu der Implementierung von Datenschutzvorgaben finden Sie hier:
- Pseudonymisierung und Anonymisierung
- Personenbezogene Daten erheben
- Datenschutzverstoß: Alles Wissenswerte im Überblick
Eine Liste mit allen Datenschutzdokumentationen, die in der DSGVO gefordert werden, können Sie hier herunterladen.
Sie haben noch keinen externen Datenschutzbeauftragten oder brauchen zusätzliche Unterstützung? Dann buchen Sie noch heute einen Termin mit unserem Team.
Für Fortgeschrittene Datenschützer
Wenn die Anforderungen der DSGVO grundsätzlich bereits im Unternehmen verankert sind, können Sie sich daran begeben, den Datenschutz systematischer aufzustellen, an einzelnen Stellen zu verbessern und Tools für den Geschäftsalltag zu re-evaluieren:
Für einen verlässlichen Datenschutzprozess:
Für DSGVO-konformes Marketing:
Konkrete Tools und Hilfen für den Geschäftsalltag:
- Datenschutzkonforme Cloud-Speicher
- Zoom-Alternativen: Welche Videochat-Tools sind DSGVO-konform?
- YouTube datenschutzkonform einbinden
- 8 Tipps für datenschutzkonformes Homeoffice
Zusammenfassung
Datenschutz bewegt sich in einem Spannungsfeld zwischen Politik, Wirtschaft und Persönlichkeitsrechten. Es geht um nichts Geringeres als den Schutz der Privatsphäre von Menschen weltweit. Und dass Verbrauchern ihre Privatsphäre nicht egal ist, zeigen Entwicklungen wie die Nutzerabwanderung von Diensten wie Facebook und WhatsApp. Auch der Suchmaschinengigant Google muss sich seinen Marktanteil an Suchanfragen zunehmend mit datenschutzfreundlicheren Alternativen wie DuckDuckGo teilen.
Wir bei DataGuard unterstützen Unternehmen bei der Umsetzung von gesetzlichen Datenschutzanforderungen und helfen dabei, den Datenschutz von einer störenden Hürde zum echten Wettbewerbsvorteil zu verwandeln. Wir sind davon überzeugt, dass die Zukunft dem Datenschutz gehört.
Sie haben Fragen zur Einhaltung der DS-GVO oder zu weiteren Datenschutzspezifischen Themen?
Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:
- Geprüfter & zertifizierter DSGVO-Experte
- Branchenspezifische Datenschutzexpertise
- Persönliche und individuelle Beratung
Erfahren Sie mehr zu unserem Leistungsumfang und Kosten
Unverbindliches Beratungsgespräch buchen
