IT Security, Informationssicherheit und Datenschutz Teil 2 (Datenschutz)

Fr, 26. November 2021, Norbert Rüthers

Im zweiten Teil gehe ich auf den Datenschutz ein. Vielen mag es dieses Thema trocken und vielleicht an dieser Stelle deplatziert erscheinen . Aber es gehört zum Gesamtbild dazu.  Als im Mai 2018 die DSGVO das Licht der Bühne betrat, ja es gab sie eigentlich schon seit 2016, verursachte dies zunächst völlige Verwirrung.

Deutschland und Europa sahen sich plötzlich mit etwas konfrontiert, das es in dieser Form noch nicht gab. Plötzlich musste für so ziemlich alles, was vorher selbstverständlich war bzw. einfach gemacht wurde, eine Genehmigung der betroffenen Person(en)  eingeholt werden.

Viele Leute sind der Meinung, dass Datenschutz lästig und überflüssig ist. Viele sind der Meinung, dass Datenschutz die gewohnten Arbeitsabläufe im Unternehmen behindert, wenn nicht gar verhindert. Viele Leute sind verunsichert und befürchten Strafen für Dinge, von denen sie nicht einmal wissen, dass sie damit evtl. gegen Datenschutzgesetze verstoßen. Dieser Ungewissheit ist nur durch Wissen zu begegnen

Aber worum geht es dabei eigentlich ?

Der Datenschutz umfasst viele Bereiche, Gesetze und Verordnungen

  • Telemediengesetz
  • Telekommunikationsgesetz
  • Gesetz gegen unlauteren Wettbewerb
  • Betriebsverfassungsgesetz
  • Bürgerliches Gesetzbuch
  • Usw…

Es geht um den Umgang mit personenbezogenen Daten mittels automatisierter Verarbeitung oder in nicht automatisierter Datei

Ohne jetzt jeden Paragrafen aufzuzählen, möchte ich eine möglichst kurze und verständliche Auflistung zeigen.

Wer das Gesamtwerk sehen möchte, dem empfehle ich diese Webseite

Was will der Datenschutz ?

Das Verarbeiten ist zulässig, wenn der Betroffene zustimmt oder eine Rechtsvorschrift es gestattet. Das Speichern von Daten muss mitgeteilt werden. Dem Betroffenen muss Auskunft erteilt werden. Dem Betroffenen muss mitgeteilt werden, an wen die Daten weitergegeben werden. Unrichtige Daten müssen berichtigt werden. Überflüssige, unzulässige und bestrittene Daten sind zu sperren oder zu löschen. Die Daten sind vor Missbrauch zu schützen

Was ist Datenschutz ?

Datenschutz ist der Schutz der Menschen vor dem Umgang mit ihren Daten … vor unberechtigter Speicherung … vor fremder (unberechtigter) Kenntnisnahme und Verwendung … vor unsauberem Umgang ihrer Daten (z.B. Internet, Smartphones)

Wann gilt Datenschutz?

Es gilt immer dann, wenn es um „personenbezogene Daten“ geht (d.h. Einzelangaben über bestimmte natürliche Personen), die erhoben, verarbeitet oder genutzt werden (unabhängig, ob dies mit EDV oder auf Papier erfolgt). Ausnahme: Die EU-DSGVO gilt nicht im ausschließlich persönlichen oder familiären Bereich!

Nationaler Gestaltungsspielraum - Bereichsspezifische Regeln

  • Meinungsfreiheit, Medien und Informationsfreiheit, Wissenschaft, Kunst und Literatur (beschränkt), Art. 85 DSGVO
  • Medienprivileg
  • Informationsfreiheit (PSI), Art. 86 DSGVO
  • Beschäftigtendatenschutz (Art. 88 DSGVO) – Meldepflicht 25. Mai 2018
  • Beschränkte Regelungsbefugnis bzgl. Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken (Art. 89 DSGVO)
  • Zuständigkeit der Aufsichtsbehörden bzgl. Berufsgeheimnisträgern (Art. 90 DSGVO)
  • Meldepflicht 25. Mai 2018
  • Kirchen, religiöse Vereinigungen oder Gemeinschaften – Weitergeltung eigener Regeln soweit im Einklang mit DSGVO (Art. 91 DSGVO

Grundprinzipien und Schutzziele des Datenschutzes

  • Verarbeitung personenbezogener Daten muss Grundprinzipien entsprechen, Art. 5 DSGVO
  • Rechtmäßigkeit & Treu und Glauben
  • Transparenz
  • Zweckbestimmung
  • Datenminimierung (Erforderlichkeit/Nichtverkettbarkeit)
  • Richtigkeit (Integrität/Intervenierbarkeit)
  • Speicherbegrenzung (Erforderlichkeit/Intervenierbarkeit/Nichtverkettbarkeit)
  • Integrität und Vertraulichkeit (enthält evtl. auch Verfügbarkeit)
  • Rechenschaftspflicht (Intervenierbarkeit/Transparenz

Begriffsdefinition

„Verantwortlicher“ – Art. 4 Abs. 7

Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedsstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten vorgesehen werden.

„Auftragsverarbeiter“ – Art. 4 Abs. 8

Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

„Empfänger“ – Art. 4 Abs. 9

Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger, die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.

„Dritter“ – Art. 4 Abs. 10

Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

„Einwilligung“ – Art. 4 Abs. 11

Der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist

„Verletzung des Schutzes personenbezogener Daten“ – Art. 4 Abs. 12

Eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurde.

„Profiling“ – Art. 4 Abs. 4

Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

  • Einkaufsverhalten
  • Politische Meinungsäusserung (Like)
  • Bewegungsprofile
  • Bewertungsportale
  • Zahlungsverhalten
  • Finanzkraft (Billigheimer, Schnäppchenjäger, Markenbewusstsein)

Pseudonymisierung“ – Art. 4 Abs 5

Die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

„Verbindliche interne Datenschutzvorschriften“ – Art. 4 Abs. 20

Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedsstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern.

Zweck des Datenschutzes:

Ziel ist nicht primär der Schutz von Daten!

Artikel 1 (EU-DSGVO)

Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.  Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Ausnahmen vom sachlichen Anwendungsbereich Artikel 2 (EU-DSGVO)

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Art. 2 Abs. 2 und 4 (EU-DSGVO)

  • Nationalstaatliche Ausnahmen
  • Ausübung persönlicher und familiärer Tätigkeiten
  • Vermittler nach der E-Commerce Richtlinie (Art. 12-15) Bsp. Durchleitung, Caching, Hosting

Was will der Datenschutz ?

Das Verarbeiten ist zulässig, wenn der Betroffene zustimmt oder eine Rechtsvorschrift es gestattet. Das Speichern von Daten muss mitgeteilt werden. Dem Betroffenen muss Auskunft erteilt werden. Dem Betroffenen muss mitgeteilt werden, an wen die Daten weitergegeben werden. Unrichtige Daten müssen berichtigt werden. Überflüssige, unzulässige und bestrittene Daten sind zu sperren oder zu löschen. Die Daten sind vor Missbrauch zu schützen. Das Verarbeiten ist zulässig, wenn der Betroffene zustimmt oder eine Rechtsvorschrift es gestattet. Das Speichern von Daten muss mitgeteilt werden. Dem Betroffenen muss Auskunft erteilt werden. Dem Betroffenen muss mitgeteilt werden, an wen die Daten weitergegeben werden. Unrichtige Daten müssen berichtigt werden. Überflüssige, unzulässige und bestrittene Daten sind zu sperren oder zu löschen. Die Daten sind vor Missbrauch zu schützen.

Personenbezogene Daten (Art. 4 DSGVO)

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, psychologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Das Datenschutzgesetz regelt den Umgang mit personenbezogenen Daten. Personenbezogene Daten sind alle Informationen über persönliche oder sachliche Verhältnisse, die sich auf eine identifizierte (bestimmte) oder aber auch nur identifizierbare (bestimmbare) Person beziehen.

Fazit:

Die Panik vor dem 25. Mai 2018 um das in Kraft treten der DSGVO war überall zu spüren. Die Rede war von ganzen Abmahnwellen, die auf Unternehmen, Blogger, Influencer und im ein oder anderen Fall auch auf Privatpersonen zurollen würden.
Fakt ist, dass die DSGVO für viel Arbeit und zusätzliche Bürokratie gesorgt hat, was Experten insbesondere der Dokumentations- und Nachweispflicht zuschreiben.  Viele Unternehmen haben inzwischen durchaus schmerzhaft zu spüren bekommen das die DSGVO kein Papiertiger ist sondern ein ernst zu nehmendes Kontrollmittel

Experten sehen die DSGVO  trotz aller Schwierigkeiten als Erfolg, da dadurch das Grundrecht auf Datenschutz in allen EU Mitgliedsstaaten einheitlich gestärkt wird. Wenn auch noch nicht alle Ziele erreicht und alle Unklarheiten beseitigt worden sind, darf man nicht vergessen, dass die DSGVO den Datenschutz für uns alle weltweit vorantreibt.