Mit diesem Beitrag werden die historische Entstehung und der Begriff des Datenschutzes erklärt. Überdies erfahren Leser elementares Grundlagenwissen über das primär in der Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) geregelte Datenschutzrecht. Außerdem wird der Anwendungsbereich der DSGVO erläutert und zwischen Datenschutz und Datensicherheit abgegrenzt.
DSGVO-Wissen
Basiswissen: Datenschutz einfach erklärt
Was ist Datenschutz und wer wird dadurch geschützt?
Datenschutz ist das Recht auf informationelle Selbstbestimmung. Damit ist gemeint, dass jeder Mensch selbst entscheiden soll, wem seine persönlichen Daten zugänglich werden und welche Daten er über sich preisgeben möchte. Datenschutz dient folglich dem Schutz der Privatsphäre. In einer zunehmend digitalen Welt soll der missbräuchlichen Verarbeitung von personenbezogenen Daten und der Entstehung von gläsernen Menschen entgegengewirkt werden. Konkret geht es darum, alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, zu schützen. Dies kann beispielsweise ein Name, ein Geburtsdatum oder auch eine Personalausweisnummer sein, denn hierbei handelt es sich jeweils um sogenannte personenbezogene Daten. Immer wenn solche personenbezogenen Daten verarbeitet werden, finden die Pflichten und Regelungen des Datenschutzes zwingende Anwendung. Wie dies geschieht, wird mit mehreren Gesetzen geregelt, zum Beispiel in der Datenschutzgrundverordnung (DSGVO) oder im Bundesdatenschutzgesetz (BDSG).
Die historische Entwicklung des Datenschutzes in Deutschland
Die Grundlage des Datenschutzes in Deutschland basiert auf dem sogenannten „Volkszählungsurteil“ des Bundesverfassungsgerichts aus dem Jahr 1983. Aus der damaligen Entscheidung des Gerichts geht das Grundrecht auf informationelle Selbstbestimmung hervor, also das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verarbeitung seiner personenbezogenen Daten zu bestimmen. Trotz des richtungsweisenden Urteils aus den achtziger Jahren fand Datenschutz in Deutschland in den beiden folgenden Jahrzehnten kaum Beachtung.
Unter Zugzwang geriet die Politik jedoch zunehmend aufgrund der durch Digitalisierung und Technologie in Gang gesetzten rasanten Veränderungen im privaten und beruflichen Lebensumfeld, die zu einer ungebremsten Datenflut führt. Infolgedessen entstand auf EU-Ebene die Zielsetzung zur europaweiten Harmonisierung und Vereinheitlichung der bisher stark voneinander abweichenden nationalen Datenschutzgesetze. Im Ergebnis trat im Mai 2016 die Datenschutz-Grundverordnung (DSGVO) in Kraft, die nach einer zweijährigen Übergangszeit seit dem 25.05.2018 unmittelbar in je-dem Mitgliedstaat gilt. Daneben sind weiterhin nationale Datenschutzgesetze, beispielsweise das Bundesdatenschutzgesetz oder Datenschutzgesetze auf Länderebene zu beachten.
Die DSGVO auf Ebene der EU
Seit Mai 2018 gilt in jedem Mitgliedsstaat der EU die Datenschutz-Grundverordnung (DSGVO). Die Verordnung ist für Unternehmen aller Art zwingend anwendbar. Geschieht dies nicht, drohen Geldbußen durch Aufsichtsbehörden, Schadensersatzansprüche von betroffenen Personen oder ein Reputationsverlust bei Geschäftspartnern. Inhaltlich werden insbesondere die Regeln zur Verarbeitung von personenbezogenen Daten innerhalb der EU durch die Verordnung vereinheitlicht.
Anhand von sogenannten Öffnungsklauseln ermöglicht die DSGVO den Nationalstaaten eine Erweiterung dieses europäischen Datenschutzrechts durch nationale gesetzliche Regelungen Punkt eben diese finden sich in Deutschland insbesondere im Bundesdatenschutzgesetz, BDSG.
Anwendungsbereich der DSGVO
Unter den räumlichen Anwendungsbereich der DSGVO fällt die Verarbeitung von personenbezogenen Daten durch Unternehmen mit einer Niederlassung in der EU sowie Verarbeitungen von personenbezogenen Daten durch Unternehmen ohne Niederlassung in der Union, wenn ein solches Unternehmen personenbezogene Daten einer betroffenen Person verarbeitet, die sich in der EU aufhält. Die DSGVO ist es somit in der Union für nahezu jedes Unternehmen verpflichtend anzuwenden.
Sachlich gilt es, die Verordnung immer dann zu beachten, wenn eine „Verarbeitung personenbezogener Daten“ stattfindet. Vereinfacht dargestellt geschieht dies beispielsweise durch das Erheben, Erfassen, Verändern, Auslesen, Abfragen, Verbreiten oder auch Löschen personenbezogener Daten natürlicher Personen. Folglich ist im Businessumfeld kaum ein Umgang mit personenbezogenen Daten denkbar, der nicht in den sachlichen Anwendungsbereich der DSGVO fällt.
Wesentliche Pflichten für Unternehmen
Aus der DSGVO resultieren für Unternehmen umfangreiche Pflichten, die an dieser Stelle skizziert werden:
Im Wesentlichen besteht eine Dokumentations- und Rechenschaftspflicht. Unternehmen sind demnach verpflichtet, ihre Verarbeitungstätigkeiten im Hinblick auf personenbezogene Daten zu dokumentieren und geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um den Schutz personenbezogener Daten im Unternehmen sicherzustellen. Daneben bestehen Informations- und Auskunftspflichten gegenüber betroffenen Personen, deren Daten verarbeitet werden oder die Verpflichtung zum Abschluss von Auftragsverarbeitungsverträgen, wenn personenbezogene Daten nicht im Unternehmen selbst, sondern durch einen dritten Dienstleister im Auftrag verarbeitet werden. Einige Unternehmen sind ferner sogar verpflichtet, einen Datenschutzbeauftragten zu bestellen und Mitarbeitende regelmäßig zum Datenschutz zu Schulen und zu sensibilisieren.
Aufsichtsbehörden und Bußgelder
Mit Einführung der Datenschutzgrundverordnung wurden die Sanktionsmöglichkeiten bei Verstößen gegen das Datenschutzrecht erheblich verschärft. Die Aufsichtsbehörden können nunmehr gegenüber dem verantwortlichen Unternehmen Geldbußen von bis zu 20 Million € oder bis zu 4 % des gesamten weltweit im Vorjahr erzielten Jahresumsatzes verhängen, je nachdem welcher der beiden Werte höher ausfällt. Der Gesetzgeber hat diese Geldbußen bewusst so hoch angesetzt, denn die Höhe der drohenden Bußgelder soll abschreckend gegenüber Unternehmen wirken und diese anhalten, Datenschutzpflichten im betrieblichen Alltag durch entsprechende Prozesse zu integrieren und zu befolgen.
Der Unterschied zwischen Datenschutz und Datensicherheit
Während Datenschutz somit allgemeine Persönlichkeitsrechte der betroffenen natürlichen Personen und deren Recht auf informationelle Selbstbestimmung schützt, ist hiervon der Begriff der Datensicherheit abzugrenzen, mit dem generell die Sicherheit von Daten gemeint ist, also beispielsweise der technische Schutz vor Datenverlusten oder Schadsoftware. Vereinfacht kann man also sagen, dass Datenschutz vor der unberechtigten Verarbeitung personenbezogener Datenschutz schützt, während Datensicherheit beispielsweise vor einem Hackerangriff schützt.
Zusammenfassung
Datenschutz dient dem Recht auf informationelle Selbstbestimmung. Jeder Mensch soll selbst entscheiden können, welche Daten er über sich preisgibt. Dadurch soll der Entstehung von gläsernen Menschen entgegengewirkt werden. In Deutschland geht das Datenschutzrecht auf das er Volkszählungsurteil aus dem Jahr 1983 zurück. Besondere Beachtung findet das Datenschutzrecht jedoch insbesondere seit Mai 2018, denn seither ist die Datenschutzgrundverordnung in der Europäischen Union zwingend anwendbar. Unternehmen drohen seither teils drakonische Bußgelder durch die zuständigen Aufsichtsbehörden, wenn Regelungen und Pflichten des vereinheitlichten Datenschutzrechts nicht DSGVO konform umgesetzt werden.