Datenschutz kurz umfassend erklärt

Wir leben in einer zunehmend digitalisierten Welt – auch in Aying. In allen Lebensbereichen stellt sich inzwischen die Frage, ob und wie weit sie von Digitalisierung durchdrungen sind: Schule und Arbeit, unser Konsumverhalten, unsere Kommunikation, die Verfügbarkeit wichtiger Infrastruktur, unsere Ernährung und Fortbewegung. Selbst mit dem Tod endet diese Auseinandersetzung nicht, wie die anhaltende Diskussion um das digitale Vermächtnis zeigt. Es geht dabei nicht um Äußerlichkeiten, sondern um Identität.

Risiko einer Datenschutzverletzung

Grundsätzlich gilt, daß die meisten Datenschutzverletzungen durch Unwissenheit,

Unachtsamkeit, Fahrlässigkeit oder menschliches Versagen entstehen. Schutzverletzungen durch Unwissenheit können nur durch eine umfassende Aufklärung, Schutzverletzungen durch Unachtsamkeit und Fahrlässigkeit mit einer eindringlichen Sensibilisierung vermindert werden. Menschliches Versagen kann durch Aufklärung der Umstände bei denen dieses eintreten kann sowie durch Sensibilisierung und Kontrollen wie bei den anderen Risikoszenarien vermindert werden. Es kann letztendlich aber nie ausgeschlossen werden.

Aus diesem Grund müssen Menschen, die mit schützenswerten Daten umgehen regelmäßig zum Thema Datenschutz geschult und fortlaufend sensibilisiert werden.

Der Datenschutz schützt die personenbezogenen Daten von natürlichen Personen umfassend und weitreichend. Denn der Schutz personenbezogener Daten ist ein Grundrecht für alle Menschen in der EU. Seit dem 25. Mai 2018, an dem die Datenschutzvorschriften in Kraft getreten sind, hat jeder Einzelne dadurch mehr Kontrolle über seine personenbezogenen Daten und mehr Sicherheit, online wie offline.

Personenbezogenen Daten

Was alles zu personenbezogenen Daten gehört, wird hier gleich an einem typischen Beispiel beschrieben:

Das ist Erika Meyer (Vor- und Nachname). Sie ist weiblich (Geschlecht),

158 cm groß und hat blaue Augen (persönliche Kennzeichen). Sie wurde am

04. April 1999 in Hamburg geboren (Geburtsdatum und -ort) und lebt

in München (Privatanschrift inkl. E-Mail Adresse). Sie besuchte die Realschule (Bildung) und arbeitet

als Verkäuferin in einer Gärtnerei (Beruf). Sie verdient 2.200,-

Euro brutto (Verdienst), die auf ihr Konto bei der Stadtsparkasse München

(Bankverbindung) überwiesen werden. Sie ist geschieden (Familienstand)

und alleinerziehende Mutter (Lebenssituation).

All das sind personenbezogene Daten, mit denen Frau Meyer identifiziert

werden kann und die ihr zugeordnet werden können.

Sensible Daten zum Persönlichkeitsrecht

Darüber hinaus gibt es personenbezogene Daten, die gesellschaftlich sehr

sensibel sind und das Persönlichkeitsrecht beeinträchtigen können:

Zum Beispiel die Informationen, ob Frau Meyer hetero- oder homosexuell ist

(sexuelle Neigung), zu welcher Religion sie sich bekennt (Religion),

welche Partei sie favorisiert (politische Meinung), ob sie chronische

Krankheiten hat (Gesundheitszustand) oder einer Gewerkschaft beigetreten

ist (Gewerkschaftszugehörigkeit)?

Diese Informationen sind besonders schützenswert und werden “besondere

Arten personenbezogener Daten” genannt.

Neben diesen direkt auf eine Person bezogenen Daten gibt es auch

Informationen, aus denen indirekt auf eine Person geschlossen werden kann und die deshalb ebenso von der Datenschutz-Grundverordnung (DSGVO) geschützt werden. Dazu gehören sachbezogene Daten wie zum Beispiel die IP-Nummer von Frau Meyers Computer, das Kennzeichen ihres Kraftfahrzeugs oder ihre Telefonnummer.

Aber auch beschreibende Daten können personenbezogen sein: Die Aussage „die erste weibliche Bundeskanzlerin von Deutschland“ verweist ganz klar auf Angela Merkel und fällt damit ebenfalls unter diese erste personenbezogenen Daten.

Jede Information, die einen Rückschluss auf eine konkrete Person erlaubt oder deren Bekanntwerden Nachteile für die Person bedeuten kann, gehört zu den personenbezogenen Daten. Und alle personenbezogenen Daten werden ohne Ausnahme durch die DSGVO geschützt.

Schutz-, Lösch- und Informationspflicht

Die DSGVO schützt also die personenbezogenen Daten aller natürlichen Personen. Konkret bedeutet das, dass diese Daten nur unter strengen Auflagen erhoben, verarbeitet und genutzt werden dürfen.

Für Online-Banking, Einkauf oder soziale Medien sowie bei Behördengängen über elektronische Zugänge bedeutet dies, daß der Kunde ein Recht auf klare und verständliche Informationen hat, wer die zur Verfügung gestellten personenbezogene Daten verarbeitet, welche Daten und warum sie verarbeitet werden.

Der Kunde hat ein Recht, jederzeit Auskunft über die personenbezogenen Daten zu erlangen.

Der Kunde kann zudem die Übermittlung seiner Daten bei einem Dienstleisterwechsel verlangen, sei es bei sozialen Netzwerken oder bei einem Cloud-Anbieter.

Der Kunde hat letztendlich auch das Recht auf digitales Vergessen, also der endgültigen Löschung der personenbezogenen Daten, wenn der Dienst nicht mehr genutzt wird, oder ein berechtigtes Interesse besteht, daß falsche Daten in Suchmaschinen öffentlich einsehbar sind, oder der Dienstleister keinen berechtigten Grund mehr hat, die Daten zu behalten.

In den meisten Fällen, bei denen interaktiv die personenbezogenen Daten erhoben werden, ist eine Einwilligung notwendig, die unmissverständlich erklärt, wie die Daten verwendet werden.

Wenn Daten durch Verlust, Cybercrime oder andere kriminelle Handlungen abhanden kommen, müssen die betroffenen Dienstleister unverzüglich informieren.

Auch Kinder, denen möglicherweise die Risiken und Konsequenzen des Datenaustausches weniger bewußt sind und ihre Rechte nicht kennen, sind durch die Datenschutz-Grundverordnung besser geschützt. Jegliche Erhebung von personenbezogenen Daten benötigt für Kinder unter 16 Jahren die Einwilligung der Erziehungsberechtigten. Hierzu sind die Informationen, die sich speziell an Kinder richten, in einer klaren und einfachen Sprachen bereitzustellen.

Sanktionen und Bußgelder

In der EU-Datenschutzgrundverordnung sind neben den Meldepflichten bei Cybercrime-Vorfällen auch Meldungen durch Betroffene bei erkannten Verstößen oder Nichteinhaltung des Datenschutzes möglich. Diese Meldung kann nur von Betroffenen an Behörden gemacht werden und sieht empfindliche Strafen vor. 20 Millionen oder zwei bis vier Prozent des Konzernumsatzes können verhängt werden.

Kunst und Urlaubsfotos

Die EU-Datenschutzgrundverordnung schützt die Privatsphäre nun ausreichen, so daß Konzerne und Dienstleister hier nicht mehr willkürlich die erhobenen Daten verwenden können, denn sie unterliegen Meldepflichten und Kontrollmechanismen. Sensibilisiert sind Privatpersonen und Angestellte bei der Verwendung auf beiden Seiten, als Privatperson und als Datenverarbeiter. Melden kann jeder Betroffene und Straf- und Bußgelder können nur Behörden verhängen. So ist auch sichergestellt, daß Urlaubsfotos sowie journalistische Arbeit weiterhin sicher möglich sind. Denn auch die Kunstfreiheit ist ein schützenswerte Gut in einer demokratischen, freien Gesellschaft.

Glossar

“DSGVO” = “Datenschutz-Grundverordnung” der Europäischen Union mit Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen

“Personenbezogene Daten” = alle Daten, die eindeutig einer bestimmten natürlichen Person zugeordnet sind (wie Name, Alter, Adresse) sowie alle Informationen, über die eine Person zumindest mittelbar identifiziert werden kann (z. B. Telefonnummer, IP-Adresse)

“Betroffener” = derjenige, um dessen Daten es geht

“Verantwortlicher” = derjenige, der die Daten verarbeitet

„Verabeitung“ personenbezogene Daten nennt man, wenn sie erhoben, gespeichert, verändert, gelöscht, gesperrt oder Ann Dritte vermittelt werden.

„Auftragsverarbeitung“ = der Einsatz von Cloud-Speichern, Shop-Hostern, Callcentern, Daten- oder Akten-Vernichtungsunternehmen, IT-Wartungsunternehmen, Google Analytics, E-Mail- oder CRM-Dienstleistern

und Auswertung von großen Datenbeständen

„Big Data“ = Spezielle IT-Bereiche die Daten in großen Mengen speichern und verarbeiten

„Data Mining“ = Speicherung und Verarbeitung von Daten, um anhand herausgefilterter Muster verwertbare Informationen zu gewinnen und, meist ökonomische, Ziele zu erreichen

Die sechs Grundsätze der DSGVO

In Artikel 5 der Datenschutz-Grundverordnung sind sechs Grundsätze für die Verarbeitung personenbezogener Daten formuliert. Diese Grundsätze bilden das Kernstück der Verordnung und müssen beim Umgang mit Daten berücksichtigt werden.

1. Grundsatz der Rechtmäßigkeit und Transparenz

Dieser Grundsatz besagt, dass personenbezogene Daten nur “auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden” dürfen.

Aus diesem Grundsatz ergeben sich wichtige Pflichten für die verantwortliche Stelle:

Sie muss die betroffene Person bereits bei der Erhebung über deren Umfang und Zweck informieren sowie über die Speicherdauer der erhobenen Daten.

Sie muss alle Informationen jederzeit gegenüber der betroffenen Person offenlegen können.

Als Konsequenz müssen intern alle Prozesse exakt dokumentiert werden, um jederzeit nachweisen zu können, dass mit den personenbezogenen Daten der betroffenen Person ordnungsgemäß umgegangen wurde.

2. Grundsatz der Zweckbindung

Die erhobenen Daten dürfen ausschließlich zu dem angegebenen legitimen Zweck genutzt werden. Um den Zweck ändern oder erweitern zu können, muss eine neue Zustimmung der betroffenen Person eingeholt werden.

3. Grundsatz der Datenminimierung

Die verantwortliche Stelle muss gewährleisten, dass die erhobenen Daten “dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt” sind.

So ist für die Bestellung eines Newsletters zum Beispiel nur die Abfrage der E-Mail-Adresse notwendig. Auf weitere Angaben sollte aus Gründen der Datensparsamkeit verzichtet werden.

4. Grundsatz der Richtigkeit

Es ist selbstverständlich, dass personenbezogene Daten “sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein” müssen. Daraus ergibt sich, dass “alle angemessenen Maßnahmen zu treffen [sind], damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden” können.

Sie müssen also für Datenrichtigkeit sorgen. Das bedeutet zum Beispiel auch, dass Sie Daten, die Sie in sozialen Netzwerken ‘finden’, nicht verwenden dürfen. Denn Sie können ja nicht garantieren, dass diese Daten korrekt sind.

5. Grundsatz der Speicherbegrenzung

Dieser Grundsatz besagt, dass die Daten “in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist”.

Das heißt, wenn der eigentlich vorgesehene Zweck der Speicherung entfällt und keine andere gesetzliche Grundlage dafür besteht (wie zum Beispiel die Nachweispflicht gegenüber dem Finanzamt), dann müssen die Daten gelöscht werden.

6. Grundsatz der Integrität und Vertraulichkeit

Die speichernde Stelle muss gewährleisten, dass die Art und Weise der Verarbeitung “eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigten Verlust, unbeabsichtigter

Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen”.

Zusammenfassung

Rechtmäßigkeit und Transparenz gegenüber den Betroffenen müssen gegeben sein. Die Betroffenen müssen bereits bei der Erhebung über Umfang, Zweck und Speicherdauer informiert werden.

Die Daten dürfen nur zum angegebenen Zweck genutzt werden (Zweckbindung).

Es dürfen nur die für den jeweiligen Zweck wirklich notwendigen Daten erhoben werden (Datenminimierung).

Die Daten müssen sachlich richtig sein (Datenrichtigkeit) – anderenfalls müssen sie korrigiert oder gelöscht werden.

Die Daten dürfen in der Regel nur so lange gespeichert werden, wie esfür den angegebenen Zweck erforderlich ist (Speicherbegrenzung).

Eine angemessene Sicherheit der personenbezogen Daten muss gewährleistet sein (Integrität und Vertraulichkeit).

Andreas Wolf, Juli 2018