Ein Überblick zum Datenschutz

Verfolgt man die Medien, so wird man bemerken, dass der Begriff Datenschutz eine immer größere Rolle spielt und auch aus unserem Alltagsleben nicht mehr wegzudenken ist. Bei einem Arztbesuch, bei einem Vertragsabschluss und im Bereich des Onlineshoppings – überall wird einem Menschen der Datenschutz über den Weg laufen. Aber Datenschutz war nicht immer so präsent, wie in der heutigen Zeit und besonders die fortschreitende Digitalisierung wirft immer mehr Fragen auf und stellt den Menschen vor neue Herausforderungen. Besonders für Unternehmen kann die Einhaltung des Datenschutzes eine große Aufgabe darstellen und aus diesem Grund werden immer mehr professionelle Datenschützer gesucht, welche Unternehmen bei der Einhaltung der Vorgaben aus der Datenschutzgrundverordnung unterstützen. Auch externe Datenschützer wie heydata werden gerne von Unternehmen kontaktiert, um das Thema Datenschutz näher zu beleuchten und Lösungswege aufzuzeigen. Was ist Datenschutz eigentlich und wie hat sich dieser entwickelt?

Der Datenschutz – ein Blick in die Vergangenheit

Betrachtet man den Datenschutz in Deutschland und Europa, so ist festzustellen, dass das Thema Datenschutz im Jahre 1970 erstmalig behandelt wurde. In diesem Jahr wurde im Bundesland Hessen das erste Datenschutzgesetz verabschiedet und somit konnte Hessen eine weltweite Vorreiterrolle beanspruchen. Das verabschiedete Gesetz ist nicht vergleichbar mit der heutigen Rechtslage, aber bereits in 1970 wurde mit der Verabschiedung des Gesetzes die Datenverarbeitung innerhalb öffentlicher Stellen geregelt. Betrachtet man die damalige Rechtsprechung, so beinhaltetet das erste Datenschutzgesetz schon viele Punkte, welche sich heutzutage auch in der aktuellen Datenschutzgrundverordnung vorfinden.

Unternehmen arbeiten heutzutage mit einem Verarbeitungsverzeichnis, aber schon im Jahr 1977 hatte ein Verantwortlicher ein Verzeichnis über die Verarbeitungstätigkeiten zu führen. Die Anforderungen an das damalige Verzeichnis waren zwar nicht so hoch, wie man es aus der Gegenwart kennt und es wurden somit weniger Angaben benötigt, aber ein erster Schritt wurde getätigt und es konnte eine Sensibilisierung erzielt werden. Weiterhin wurde ab dem Jahr 1977 auch die Auftragsverarbeitung in das Gesetz aufgenommen, welche als „Geschäftsmäßige Datenverarbeitung nicht-öffentlicher Stellen für fremde Zwecke“ definiert wurde.

Das Jahr 1983 – das Volkszählungsurteil

Das Thema Datenschutz wurde im Jahr 1983 erstmalig für die Bevölkerung relevant. Mit der geplanten Volkszählung, welche von April bis Mai 1983 geplant war, wurde die Bevölkerung wachgerüttelt und das Thema Datenschutz bekam eine völlig neue Wertigkeit. Die Volkszählung wurde von vielen Menschen kritisch betrachtet, da das neue Volkszählungsgesetz die Angabe von vielen personenbezogenen Daten vorsah, welche beispielsweise die Bereiche Familie, Ausbildung, Wohnsituation, Beruf und Arbeitsweg beinhaltete. Gegen die geplante Volkszahlung gab es massive Widerstände, welche sich in Verfassungsbeschwerden äußerten – gleichzeitig wurde die Thematik von den Medien dankbar aufgenommen und ausführlich diskutiert. Aus den Verfassungsbeschwerden resultierte das Volkszählungsurteil vom 15. Dezember 1983, welches das Volkszählungsgesetz für rechtswidrig erklärte. Dieses Urteil kann man als Meilenstein in Bezug auf den Datenschutz ansehen, da das Grundrecht auf informationelle Selbstbestimmung bestätigt wurde. Als Reaktion auf dieses bahnbrechende Urteil wurden von Bund und Ländern viele Datenschutzgesetze neu überdacht und es wurden entsprechende bereichsspezifische Datenschutzgesetze etabliert. Auf dieser Grundlage könnte die Volkszählung im Jahr 1987 letztendlich durchgeführt werden, da eine datenschutzkonforme Ausführung gewährleistet werden konnte.

Der Datenschutz in Europa

Auch der Datenschutz innerhalb von Europa verlangte nach einer gewissen Einheitlichkeit, der den innereuropäischen Verkehr vereinfachen sollte. Aus diesem Grund einigte man sich im Jahr 1995 auf eine europäische Richtlinie, die den Schutz von natürlichen Personen im Bereich der Verarbeitung von personenbezogenen Daten gewährleisten sollte und den freien Datenverkehr beinhaltete. Das entstandene Gesetz sollte sich an die technische Entwicklung anpassen und diese berücksichtigen – da eine technische Entwicklung einen fortlaufenden Prozess darstellt, war das Gesetz im Endeffekt nie auf dem neusten Stand. Im Zuge der neuen Rechtsprechung wurde die „Artikel-29-Datenschutzgruppe“ gegründet, welche aus Personen der einzelnen Mitgliedsstaaten bestand. Die Aufgabe diese Gruppe bestand aus Stellungnahmen, welche direkten Einfluss auf die Auslegung der Datenschutzregelungen hatten. Die damalige Datenschutzgruppe ist heutzutage durchaus mit dem europäischen Datenschutzausschuss vergleichbar.

In Bezug auf den Alltag hatte die im Jahr 2002 verabschiedete Datenschutzrichtlinie zur elektronischen Kommunikation große Auswirkungen und somit setzte diese ePrivacy- beziehungsweise Cookie-Richtlinie neue Maßstäbe im Bereich der digitalen Kommunikation. Bezugnehmend auf diese Richtlinie wurde im Jahr 2004 das bestehende Telekommunikationsgesetz in Deutschland erneuert und angepasst. Im Jahr 2009 wurde der Bereich der ePrivacy nochmals überarbeitet. Besonders Datenschützer sahen in diesem Bereich großen Diskussionsbedarf, da es strittig war, ob die rechtlichen Vorgaben korrekt beachtet wurden. Diese Diskussion führte zu einem weiteren Urteil, welches als Cookie-Einwilligung II bekannt ist. Im Nachgang werden im Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und den Telemedien weitere Bestandteile nachgereicht.

Ein großer Schritt im Bereich des Datenschutzes ist die Verabschiedung der Europäischen Datenschutzgrundverordnung. Aus der Verabschiedung im Jahr 2016 erfolgte die Umsetzung der DSGVO zum 25. Mai 2018 und sorgt für eine Gleichschaltung des Datenschutzes in allen Mitgliedsstaaten. Ein Vorteil der DSGVO ist, dass diese eine unmittelbare Gültigkeit besitzt und ein nationaler Umsetzungsakt entfällt.

Wie kann Datenschutz definiert werden?

Der Bereich Datenschutz ist von verschiedenen Perspektiven zu betrachten. Datenschutz kann den Schutz der Privatsphäre beinhalten, aber auch die Bereiche der Datenverarbeitung und die Entscheidung über die Nutzung von Daten müssen genannt werden. Fragt man einen Datenschützer, so wird dieser den Datenschutz als das Recht einer informationellen Selbstbestimmung benennen und auf den Schutz der personenbezogenen Daten einer Person verweisen. Grundsätzlich wird ein Laie die Zielsetzung des Datenschutzes verstehen, wenn der Schutz einer natürlichen Person bei der Verarbeitung von Daten und Informationen benannt wird. Wichtig ist, dass Datenschutz nicht bedeutet, dass Daten geschützt werden, sondern dass der Datenschutz den Bereich der Grundrechte und Grundfreiheiten einer natürlichen Person abdeckt. Aus diesem Grund wird der Fokus auf den Bereich der personenbezogenen Daten gerichtet.

Spricht man von dem Bereich Datenschutz, so wird die Verwendung von persönlichen und privaten Daten beschrieben. Im Alltag sind hierbei beispielsweise folgende Daten zu benennen:

• Kontaktdaten

• Vorname und Name

• Anschrift

• Telefonnummer

• E-Mail-Adresse

• Geburtsdatum

• IP-Adresse

Werden Informationen formuliert, die bestimmte Verhältnisse beinhalten, so werden diese auch dem Bereich der personenbezogenen Daten zugeordnet. Hierzu gehören beispielsweise Beziehungen oder bestimmte Verhältnisse. Der wichtigste Punkt ist aber die Freiheit des einzelnen Menschen und die Garantie, dass die eigenen persönlichen Daten nur genutzt werden dürfen, wenn klar ist, wie die Daten genutzt und in welcher Form die Daten verarbeitet werden. Wird eine missbräuchliche Datenverarbeitung registriert, so ist eine Verletzung des Grundgesetzes zu verzeichnen, bei dem das Recht auf eine informationelle Selbstbestimmung im Vordergrund steht.

Gibt es einen Unterschied zwischen Datenschutz und Datensicherheit?

Es ist zu unterscheiden, dass der Bereich der Datensicherheit ausschließlich die Sicherheit der Daten beinhaltet und somit ein eventueller Personenbezug nicht beachtet werden muss. Unternehmen müssen auf den Bereich der Datensicherheit achten, wenn technische oder wirtschaftliche Daten abgesichert werden müssen. Besonders Geschäftsgeheimnisse werden dem Bereich der Datensicherheit zugeordnet. Diese Daten müssen vor einem Verlust, einer Manipulation oder vor einer unberechtigten Einsicht geschützt werden. Wie man erkennen kann, geht es bei der Datensicherheit nicht um eine rechtskonforme Verarbeitung von personenbezogenen Daten, sondern nur um den Schutz der sensiblen Daten. Eine Überschneidung mit dem Bereich Datenschutz ist aber im Bereich der zu treffenden technischen und organisatorischen Maßnahmen zu erkennen.

Datenschutz – warum ist dieses Thema immer aktuell?

Datenschutz spielt im Alltagsleben eine große Rolle und besonders die fortschreitende Digitalisierung bestätigt die Bedeutsamkeit des Schutzes von Grundrechten und die damit einhergehende Selbstbestimmung von natürlichen Personen. Daten werden in der heutigen Zeit immer öfter digital verarbeitet und diese Verarbeitung und Erhebung von personenbezogenen Daten wird auch in Zukunft eine immer größere Rolle spielen. Besonders Webseiten, die ohne das Wissen des Users, Daten erheben und verarbeiten, werden in Zukunft im Fokus stehen. In Deutschland kann man in den Medien verfolgen, dass Webseiten in den Wirkungskreis von Rechtsanwälten gerückt sind, die Google Fonts nutzen. Wird diese Schriftart nicht lokal gehostet, so wird bei einer Nutzung der Fonts, die IP-Adresse automatisiert an einen Server in den USA übermittelt. Da dieser Übermittlung nicht ausdrücklich zugestimmt wurde, sehen die Rechtsanwälte hierbei einen Verstoß gegen die DSGVO und gehen mit Schadenersatzforderungen gegen die Betreiber vor. Da die Anschreiben der Rechtsanwälte oft unklar formuliert sind und sich eher vage ausdrücken, ist es anzuraten die Experten von heyData zu kontaktieren, um ein weiteres Vorgehen zu planen.

Datenschutz bei Unternehmen

Ein Verstoß gegen die DSGVO kann sehr hohe Bußgelder beinhalten, welche das Unternehmen zusätzlich belasten. Man kann feststellen, dass bereits sehr viele Urteile gefällt wurden, die Unternehmen zu einer Zahlung von Bußgeldern in Millionenhöhe verurteilt haben.

Für Unternehmen ist es wichtig zu wissen, dass auch Privatpersonen monetäre Schadenersatzzahlungen zustehen, wenn durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden zu verzeichnen ist. Die Gerichte sind derzeit bei eventuellen Forderungen noch zögerlich, aber tendenziell ist ein Trend zu verzeichnen, der auch höhere Strafzahlungen ermöglichen wird.

Unternehmen müssen beachten, dass von unserer Gesellschaft dem Thema Datenschutz eine immer größere Rolle zugewiesen wird und ein Verstoß einen Imageverlust bedeuten kann, welcher mit hohen finanziellen Einbußen einhergeht. Durch die bestehende Vernetzung werden Datenschutzverstöße immer schneller bekannt und ein Reputationsschaden kann eine nachhaltige wirtschaftliche Schwächung bedeuten. Arbeitet ein Unternehmen nachweislich datenschutzkonform, so kann dies einen Wettbewerbsvorteil darstellen und das Tagesgeschäft positiv beeinflussen. 

Jedes Unternehmen arbeitet mit personenbezogenen Daten und der Unternehmenswert ist auch mit dem Umgang der vorhandenen Daten verbunden. Besonders bei einem Unternehmensverkauf wird der Käufer darauf achten, dass die vorhandenen personenbezogenen Daten datenschutzkonform verwendet wurden. Ist dies nicht der Fall, so kann der Wert der Unternehmung negativ beeinflusst werden.

Datenschutz im Alltag

Im Alltagsleben ist es Menschen immer wichtiger zu wissen, wie und in welcher Form die eigenen Daten verwendet werden. Erhält eine Person nicht die Möglichkeit einen detaillierten Einblick zu erhalten, wie die abgegebenen Informationen verwendet, gespeichert oder weitergegeben werden, wird ein Vertrauensverlust zu verzeichnen sein. In unserer Gesellschaft steht die Selbstbestimmung des einzelnen Bürgers im Vordergrund und eine Beeinträchtigung einer individuellen Entfaltungschance wird nicht akzeptiert werden. Dieses Bestreben nach einem freiheitlichen und demokratischen Gemeinwesens stellte die Grundlage des Volkszählungsurteils aus dem Jahr 1983 dar.

Natürlich ist es in unserer digitalen Welt fast unmöglich, keine persönlichen Daten anzugeben - ohne die Angaben von persönlichen Angaben ist Onlineshopping oder ein Vertragsabschluss schier unmöglich. Geändert hat sich, dass in der heutigen Zeit persönliche Daten nicht nur an Behörden übermittelt werden müssen, sondern auch viele kommerzielle Anbieter personenbezogene Daten einfordern und verarbeiten. Diese Daten werden nicht nur erhoben, sondern stellen die Grundlage für einen kommerziellen Erfolg dar. In diesen Fällen ist es unumgänglich, dass der Staat den Bereich des Datenschutzes reglementiert und eine Datenhoheit und die Datensouveränität gewährleistet. Da eine Abgabe von persönlichen Daten oft nicht verhindert werden kann, ist es wichtig zu überdenken, welche Daten man freigibt und an wen man diese Daten übermittelt. Besonders Werbetreibende sind über eine Datenfreigabe erfreut und somit sollte bei jeder Angabe von persönlichen Daten darauf geachtet werden, in welcher Form die Daten weitergegeben werden dürfen. Sind die eigenen Daten unfreiwillig an unseriöse Datensammler übermittelt worden, kann dies auch im Privatbereich unangenehme Konsequenzen bedeuten – ungewollte Werbung oder unseriöse Werbeanrufe sind oft zu verzeichnen. Aus diesem Grund ist es für Unternehmen wichtig, personenbezogene Daten datenschutzkonform zu behandeln, da bei einer Missachtung ein Imageverlust droht, der dazu führen kann, dass sich Privatpersonen von dem Unternehmen aktiv abwenden.

Personenbezogene Daten – Bewusstsein schaffen

Das Thema Datenschutz und personenbezogene Daten wird zwar vermehrt in den Medien behandelt, aber noch immer können viele Personen und Unternehmen diesen Bereich noch nicht optimal einschätzen. Als Grund kann genannt werden, dass die DSGVO noch nicht lange verabschiedet wurde und somit manche betroffenen Personen noch nicht die Zeit hatten, sich mit der Thematik und den Auswirkungen eingehend zu beschäftigen. Besonders im Bereich der Unternehmen ist aber eine gewisse Trägheit zu verzeichnen, welche böse Konsequenzen beinhalten kann. Spezielle Abläufe, die sich über Jahre innerhalb einer Unternehmung etabliert haben, werden nicht hinterfragt und das Tagesgeschäft wird unverändert weitergeführt. Werden in diesen Fällen die Arbeitsabläufe nicht in Bezug auf die Einhaltung der DSGVO hinterfragt, so können Bußgelder und weitere Strafen drohen. Weiterhin kann es passieren, dass ein Unternehmen wegen wettbewerbswidrigen Verhalten abgemahnt wird. In der Praxis gehen viele Unternehmen davon aus, dass eine Abstrafung eher unwahrscheinlich ist und somit werden Abläufe beibehalten. Hier sollte beachtet werden, dass die Behörden immer mehr Bußgelder verhängen und eine steigende Tendenz zu verzeichnen ist. Um Bußgeldern zu entgehen, sollten Unternehmen alle Abläufe hinterfragen und im Fragefall einen Experten hinzuziehen. Grundsätzlich ist es wichtig, das Personal zu sensibilisieren und die Mitarbeiter auf eine DSGVO-konforme Arbeit einzuschwören.

Wichtig ist, dass die Führungsetage eines Unternehmens ein Bewusstsein hinsichtlich der DSGVO entwickelt. Werden die Mitarbeiter nicht von den Führungspersonen angeleitet und sensibilisiert, so wird ein Arbeiten im Sinne der DSGVO erschwert oder sogar unmöglich. Unternehmen müssen darauf achten, erhobene Informationen datenschutzkonform zu verarbeiten und sicherzustellen, dass die Daten missbräuchlich verwendet werden. Betrachtet man die möglichen Bußgelder, so sollte jedes Unternehmen die Thematik in den Fokus stellen. Bei einem Verstoß gegen die Datenschutzvorschriften sind Bußgelder in einer Höhe von 20 Millionen Euro möglich bzw. vier Prozent des Jahresumsatzes. Weiterhin ist es den ausführenden Stellen auch möglich, eine Freiheitsstrafe von bis zu drei Jahren auszusprechen. Auch große Unternehmen werden schonungslos abgestraft und somit musste die AOK ein Bußgeld von 1.200.000 Euro zahlen – bei der Deutsche Wohnen betrug die Summe sogar stattliche 14.500.000 Euro.

Datenschutz – auch weltweit ein aktuelles Thema

Die DSGVO hat die deutsche Wirtschaft maßgeblich beeinflusst und stellt Unternehmen vor große Herausforderungen. Anbieter wie heyData unterstützen mit einer hohen Expertise Unternehmen, um eine datenschutzkonforme Arbeitsweise sicherzustellen und Beratungsgespräch mit den Experten kann Wege aufzeigen, den Datenschutz innerhalb einer Unternehmung optimal zu platzieren. Trotz aller Herausforderungen stellt die DSGVO ein Beispiel dar, welches weltweite Beachtung genießt und in vielen Fällen in Teilen übernommen wird. Im Bereich der DSGVO hat Europa einen neuen Standard erschaffen und eine Vorreiterrolle eingenommen. Besonders die fortschreitende Globalisierung und Vernetzung führt dazu, dass die Einhaltung der Gesetzeslage immer weiter in den Vordergrund rückt – besonders zu beachten ist hierbei das Marktortprinzip, welches besagt, dass Unternehmen die DSGVO zu beachten haben, auch wenn kein Sitz innerhalb der EU zu verzeichnen ist.

Die DSGVO kann man als einen internationalen Erfolg ansehen und somit werden in immer mehr Ländern eigene Datenschutzgesetze verabschiedet, die sich in großen Teilen an der DSGVO orientieren oder diese übernehmen. Als die bekanntesten Datenschutzgesetze seien genannt: 

• Der Kalifornische Privacy Act (CCPA)

• Das Datenschutzgesetz in Brasilien (Lei Geral de Proteção de Dados)

• Die Überarbeitung des japanischen Datenschutzgesetzes (APPI)

• Das neue chinesische Datenschutzgesetz

Die Anpassung und die Erlassung neuer Datenschutzgesetze ist für Staaten außerhalb der EU besonders attraktiv, da die Chancen auf eine positive Beurteilung durch einen Angemessenheitsbeschluss der zuständigen Kommission erhöht werden und somit die wirtschaftlichen Beziehungen zu Staaten innerhalb der EU nachhaltig verbessert werden können.