Fachwissen Datenschutz

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Jedes Detail, das direkt oder indirekt zur Identifizierung einer Person verwendet werden kann, fällt unter diese Kategorie. In der heutigen digitalen Ära, in der solche Daten leicht zu sammeln, zu analysieren und zu verbreiten sind, ist es unerlässlich, Richtlinien und Verfahren zum Schutz dieser Informationen zu etablieren.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die im Mai 2018 in Kraft getreten ist, bildet die rechtliche Grundlage für den Datenschutz in Europa. Sie setzt Maßstäbe für die Datenverarbeitung, -sicherheit und -übertragbarkeit und stärkt die Rechte der Einzelpersonen hinsichtlich ihrer persönlichen Daten. Die DSGVO verlangt von Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, Transparenz in ihren Verarbeitungsaktivitäten und garantiert Individuen das Recht auf Information, Zugang, Berichtigung und Löschung ihrer Daten.

Datenschutzkompetenz ist daher eine Schlüsselqualifikation, die jedem dabei hilft, die eigenen Rechte zu kennen und zu nutzen.

In Deutschland bildet das Bundesdatenschutzgesetz (BDSG) die rechtliche Grundlage für den Datenschutz und gilt als eines der ältesten Datenschutzgesetze weltweit. Seit seinem Inkrafttreten Ende der 1970er Jahre hat das BDSG das Ziel verfolgt, die Privatsphäre der Bürger zu schützen und den Umgang mit personenbezogenen Daten zu regulieren.

Das BDSG war eine Reaktion auf die wachsende Sorge um den Schutz personenbezogener Daten im Zuge der zunehmenden Computerisierung. Es wurde konzipiert, um eine Balance zwischen dem Recht auf informationelle Selbstbestimmung und den Bedürfnissen der Daten verarbeitenden Stellen zu schaffen. In seinen verschiedenen Novellierungen hat das Gesetz sich stets weiterentwickelt, um auf neue technologische Herausforderungen und gesellschaftliche Veränderungen zu reagieren.

Mit der Einführung der Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union im Mai 2018 wurde das BDSG entsprechend angepasst, um Konformität mit den europäischen Vorgaben zu gewährleisten. Die DS-GVO setzt ein hohes Datenschutzniveau in allen EU-Mitgliedstaaten durch und fördert den freien Datenverkehr innerhalb des Binnenmarktes.

Das BDSG fungiert in Deutschland als Ergänzung zur DS-GVO und regelt spezifische nationale Angelegenheiten, die von der DS-GVO offen gelassen werden. Beispielsweise enthält das BDSG detaillierte Vorschriften zum Datenschutzbeauftragten, zur Verarbeitung von Beschäftigtendaten und zu den Befugnissen der Aufsichtsbehörden.

Das BDSG schützt das Persönlichkeitsrecht der Einzelnen durch die Etablierung klarer Regeln für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Es stellt sicher, dass Daten nur unter strengen Bedingungen und mit der erforderlichen Transparenz verarbeitet werden. Darüber hinaus gibt das BDSG den betroffenen Personen umfangreiche Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch gegen die Verarbeitung ihrer Daten.

Datenschutz ist tatsächlich ein Konzept, das weit vor der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 existierte. Die DSGVO hat die öffentliche Aufmerksamkeit für Datenschutzbelange erhöht und einen einheitlichen Rahmen für den Schutz personenbezogener Daten innerhalb der Europäischen Union geschaffen. Sie harmonisiert Datenschutzgesetze in ganz Europa, stärkt die Rechte der Einzelnen und legt strenge Pflichten für Datenverarbeiter fest.

Die Datenschutzkonvention des Europarates, auch bekannt als Konvention 108, wurde bereits 1981 unterzeichnet und 1985 in Kraft gesetzt. Sie war das erste internationale Vertragswerk, das den Datenschutz regelte und ist bis heute ein wichtiges Instrument zum Schutz personenbezogener Daten.

In Deutschland wurde der Datenschutz schon seit Ende der 1970er Jahre durch das Bundesdatenschutzgesetz (BDSG) geregelt. Dieses Gesetz legte fest, wie personenbezogene Daten durch öffentliche und private Stellen zu verarbeiten sind. Es schützt das Persönlichkeitsrecht der Einzelnen und stellt sicher, dass personenbezogene Daten nicht ohne Einwilligung oder gesetzliche Grundlage verarbeitet werden dürfen.

Neben der DSGVO und dem BDSG gibt es in Deutschland weitere spezifische Datenschutzregelungen:

• Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG)
  Dieses Gesetz regelt den Datenschutz im Bereich der Telekommunikation und der Telemedien, inklusive spezieller Vorschriften für die elektronische Kommunikation und Online-Dienste.

Die Beachtung datenschutzrechtlicher Vorgaben ist immer dann erforderlich, wenn personenbezogene Daten im Rahmen der geschäftlichen oder beruflichen Aktivitäten verarbeitet werden. Dies gilt unabhängig davon, ob die Verarbeitung automatisiert erfolgt oder im Rahmen eines nicht-automatisierten Verfahrens, das in einem Dateisystem gespeichert wird oder werden soll.

Der sachliche Anwendungsbereich der DSGVO ist eröffnet, sobald personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das bedeutet, dass jegliche Information, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Identifikationsnummer, Standortdaten oder zu einer Online-Kennung, die Identität einer natürlichen Person offenlegen kann, unter diesen Begriff fällt.

Anonymisierte Daten, bei denen der Bezug zu einer identifizierbaren Person irreversibel entfernt wurde, fallen nicht unter die DSGVO. Die Anonymisierung muss jedoch so erfolgen, dass die Personen nicht mehr identifizierbar sind, und dies muss mit einer dauerhaften und irreversiblen Methode erfolgen. Sollten Daten so verarbeitet werden, dass Personen identifizierbar sind, unterliegt dies den Regelungen der DSGVO.

Der räumliche Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) ist in Artikel 3 definiert und bestimmt, unter welchen Umständen die DSGVO auf die Verarbeitung personenbezogener Daten Anwendung findet, unabhängig davon, ob die Verarbeitung innerhalb der EU stattfindet.

Es gibt drei Hauptkriterien, nach denen die DSGVO räumlich angewendet wird:

• Niederlassung in der EU
  Die DSGVO gilt für Verarbeitungen personenbezogener Daten, die im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU durchgeführt werden, unabhängig davon, ob die Verarbeitung in der EU stattfindet.
  
• Angebot von Waren oder Dienstleistungen in der EU
  Die DSGVO findet auch auf Verantwortliche oder Auftragsverarbeiter Anwendung, die nicht in der EU ansässig sind, wenn sie Waren oder Dienstleistungen Personen in der EU anbieten oder das Verhalten von Personen beobachten, sofern dieses Verhalten in der EU stattfindet.
  
• Beobachtung des Verhaltens
  Schließlich gilt die DSGVO für Unternehmen außerhalb der EU, wenn sie das Verhalten von Personen in der EU beobachten, soweit dieses Verhalten innerhalb der EU stattfindet.

Der Sitz des Verantwortlichen oder des Auftragsverarbeiters ist ein wesentliches Kriterium für die Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO). Wenn der Sitz eines Unternehmens, das personenbezogene Daten verarbeitet, im Europäischen Wirtschaftsraum (EWR) liegt, unterliegt es unabhängig vom Ort der physischen Datenverarbeitung den Bestimmungen der DSGVO. Das bedeutet, dass ein Unternehmen mit Sitz im EWR, das Daten in einem Rechenzentrum außerhalb des EWR, beispielsweise in den USA, verarbeitet, dennoch die Datenschutzvorgaben der DSGVO einhalten muss.

Die Datenschutz-Grundverordnung (DSGVO) erweitert ihren Anwendungsbereich nicht nur auf Unternehmen und Organisationen, die ihren Sitz innerhalb des Europäischen Wirtschaftsraums (EWR) haben, sondern auch auf solche außerhalb der EU, sofern sie personenbezogene Daten von innerhalb des EWR befindlichen Personen verarbeiten. Diese Regelung gilt speziell, wenn die Datenverarbeitung zum Zweck des Angebots von Waren oder Dienstleistungen an diese Personen oder zur Beobachtung ihres Verhaltens erfolgt.

Anwendbarkeit auf Nicht-EU-Unternehmen

Ein Unternehmen mit Sitz außerhalb der EU, das beispielsweise eine Website betreibt, die sich gezielt an Verbraucher in der EU richtet oder das Verhalten von Personen innerhalb des EWR analysiert, muss die Vorschriften der DSGVO einhalten. Dies schließt unter anderem die Einholung einer gültigen Einwilligung zur Datenverarbeitung, die Bereitstellung von transparenten Informationen über die Datenverarbeitung und die Gewährleistung von Datenschutzrechten ein.

Zweck der Regelung

Diese Bestimmung zielt darauf ab, ein hohes Schutzniveau für die personenbezogenen Daten von in der EU ansässigen Personen sicherzustellen, unabhängig davon, wo die verarbeitenden Unternehmen ihren Sitz haben. Es trägt der Globalisierung und der digitalen Natur des heutigen Handels Rechnung, indem es sicherstellt, dass EU-Bürger überall denselben Schutz ihrer Daten genießen.

Auswirkungen für Unternehmen

Für Unternehmen außerhalb der EU bedeutet dies, dass sie möglicherweise ihre Datenverarbeitungspraktiken überprüfen und anpassen müssen, um die Konformität mit der DSGVO sicherzustellen, wenn sie sich an den europäischen Markt wenden oder das Verhalten europäischer Nutzer beobachten. Dies kann die Implementierung von Maßnahmen zur Datensicherheit, die Benennung eines EU-Datenschutzbeauftragten oder die Etablierung von Verfahren zur Einhaltung der Betroffenenrechte umfassen.

Beispiel: Ein US-amerikanisches Unternehmen, das personenbezogene Daten von Personen innerhalb der Europäischen Union verarbeitet, ist gemäß der Datenschutz-Grundverordnung (DSGVO) zur Einhaltung ihrer Bestimmungen verpflichtet, sobald diese Datenverarbeitung im Kontext der Bereitstellung von Dienstleistungen erfolgt.

Der betriebliche Datenschutzbeauftragte spielt eine entscheidende Rolle in der Gewährleistung des Datenschutzes innerhalb eines Unternehmens. Seine Aufgaben, die aus der Datenschutz-Grundverordnung (DSGVO) hervorgehen, umfassen eine breite Palette an Verantwortlichkeiten, die darauf abzielen, das Unternehmen bei der Einhaltung der Datenschutzgesetze zu unterstützen und das Bewusstsein für Datenschutzfragen zu schärfen. Hier sind einige der wichtigsten Zuständigkeiten und Verantwortlichkeiten eines Datenschutzbeauftragten:

1. Unterrichtung und Beratung
   Der Datenschutzbeauftragte informiert und berät das Unternehmen und seine Mitarbeiter über ihre Pflichten gemäß der DSGVO und anderen Datenschutzvorschriften. Diese Beratung deckt alle Aspekte des Datenschutzes ab, von der Datenerfassung bis zur Datenverarbeitung.
   
   
2. Sensibilisierung und Schulung
   Die Durchführung von Schulungs- und Sensibilisierungsprogrammen für die Mitarbeiter des Unternehmens ist eine weitere wesentliche Aufgabe. Der Datenschutzbeauftragte arbeitet daran, das Bewusstsein für Datenschutzprinzipien zu stärken und sicherzustellen, dass die Mitarbeiter die Bedeutung des Datenschutzes verstehen.
   
   
3. Überwachung der Einhaltung
   Der Datenschutzbeauftragte überwacht die Einhaltung der DSGVO und anderer Datenschutzgesetze durch das Unternehmen. Dies umfasst die Überprüfung der Datenschutzpraktiken und -verfahren sowie die Bewertung der Wirksamkeit der getroffenen Datenschutzmaßnahmen.
   
   
4. Prüfung der Datenschutz-Strategien
   Der Datenschutzbeauftragte bewertet die Datenschutzstrategien des Unternehmens, um sicherzustellen, dass sie mit den gesetzlichen Anforderungen übereinstimmen und das Datenschutzniveau des Unternehmens verbessern.
   
   
5. Prüfung der Auftragsdatenverarbeitung
   Die Überprüfung von Verträgen und Vereinbarungen zur Auftragsdatenverarbeitung ist ebenfalls Teil der Zuständigkeiten. Der Datenschutzbeauftragte stellt sicher, dass die Verarbeitung personenbezogener Daten durch Dritte den Datenschutzstandards entspricht.
   
   
6. Ansprechpartner für Betroffene
   Für Personen, deren Daten verarbeitet werden, fungiert der Datenschutzbeauftragte als Ansprechpartner. Er bearbeitet Anfragen und Beschwerden und unterstützt bei der Ausübung der Betroffenenrechte.
   
   
7. Zusammenarbeit mit der Datenschutzbehörde
   Der Datenschutzbeauftragte arbeitet mit der zuständigen Datenschutzaufsichtsbehörde zusammen und dient als Kontaktstelle für Fragen im Zusammenhang mit der Datenverarbeitung.
   
   
8. Meldung von Datenschutzverletzungen
   Im Falle einer Datenschutzverletzung ist der Datenschutzbeauftragte dafür verantwortlich, die Verletzung gemäß den gesetzlichen Anforderungen an die Aufsichtsbehörde zu melden.
   
   
9. Überwachung bei Datenschutz-Folgenabschätzungen
   Bei Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, berät und überwacht der Datenschutzbeauftragte das Unternehmen bei der Durchführung von Datenschutz-Folgenabschätzungen