Woher kommt die DS-GVO und warum ist es wichtig diese einzuhalten
Der Datenschutz spielt in allen Bereichen von Wirtschaft, sozialem Leben und weit darüber hinaus eine wichtige Rolle. Wer personenbezogene Daten verarbeitet, der muss sich an die Vorgaben der Datenschutzgrundverordnung (DS-GVO) halten, unter bestimmten Voraussetzungen einen (externen) Datenschutzbeauftragten berufen und den Datenschutz grundsätzlich ausreichend dokumentieren.
Datenschutz gehört mittlerweile schon zu unserem Alltag. Doch schon vor der Einführung der Datenschutzgrundverordnung gab es Datenschutz. Wie genau der Datenschutz entstanden ist und welche Aufgaben der er erfüllt, lesen Sie in diesem Artikel.
Datenschutz eine Erfindung der DS-GVO? – Ein kleiner Ausflug
Am 25.05.2018 endete die Umsetzungsfrist für die DS-GVO – bereits 2016 wurde sie durch den Rat und das Europäische Parlament angenommen. Seitdem scheint sich der Datenschutz durch die Datenverarbeitung zu ziehen, wie ein roter Faden. Fakt ist aber, dass schon vorher der Datenschutz in unterschiedlicher Weise in den verschiedenen Europäischen Ländern umgesetzt wurde – so auch in Deutschland.
Das Deutsche Recht wurde also durch die Europäische Lösung abgelöst bzw. bildet die DS-GVO allgemeine Regelungen, die durch unterschiedliche Öffnungsklauseln für Mitgliedsstaaten-Recht usw. ergänzt werden. In Deutschland ist diese Rechtsgrundlage u.a. im Bundesdatenschutzgesetz (BDSG) geregelt.
Hier liegt der Ursprung des Datenschutzrechtes in dem Volkszählungsurteil des Bundesverfassungsgerichtes vom 15.12.1983. Hier wurden Grundsätze festgeschrieben woraus sich das sogenannte informationelle Selbstbestimmungsrecht u.a. mit folgenden Punkten entwickelt hat:
- Weitergabe und anderweitige Verwertung von Daten sind verboten
- Grundsatz des frühzeitigen Anonymisierens
- Auskunftsrecht des Betroffenen
- Grundsatz der Zweckbindung und Sammlungsverbot für unbestimmte Zwecke
Datenschutz – wichtige Prinzipien
Der Datenschutz prägt die Datenverarbeitung in Unternehmen, Schulen, Vereinen, Vermietungen, Praxen und Steuerkanzleien. Doch warum ist der Datenschutz so wichtig? In erster Linie geht es beim Datenschutz um den Schutz des sogenannten Betroffenen. Der Betroffene ist eine natürliche Person, die durch personenbezogene Daten (Name, Adresse, Geburtsjahr, IP-Adresse usw.) identifiziert werden könnte. Dabei gilt: wenn es theoretisch möglich wäre, die Person anhand eines Kennzeichens zu erkennen, muss der Datenschutz greifen. Daher kann Datenschutz in ganz unterschiedlichen Situationen auch unterschiedlich sein.
Auch eine risikobasierte Bewertung und daraus resultierende Maßnahmen zum Datenschutz (z.B. technische und organisatorische Maßnahmen – TOMs) gehören zu einem Prinzip im Datenschutz. Diese werden notwendig, um alles zu tun, den Betroffenen zu schützen.
Weiter steht beim Datenschutz auch eine Rechenschaftspflicht im Fokus. Werden personenbezogene Daten verarbeitet, muss es dafür einen Grund geben oder eine Einwilligung des Betroffenen vorliegen (siehe auch Verbot mit Erlaubnisvorbehalt). Wer also personenbezogene Daten verarbeitet, der muss entsprechend rechtfertigen warum er das tut und dies auch dokumentieren. Die Rechenschaftspflicht besteht z.B. gegenüber dem Betroffenen selbst oder der Aufsichtsbehörde.
Der Datenschutz verfolgt also Schutzziele, die den Betroffenen vor Schaden durch die Verarbeitung seiner personenbezogenen Daten schützen sollen.
Definition Datenschutz
Darüber hinaus stellt der Datenschutz sicher, dass die verarbeiteten personenbezogenen Daten richtig, vollständig und für gesetzlich zulässige Zwecke verarbeitet werden. Dabei muss die Verarbeitung transparent und nachvollziehbar für den Betroffenen erfolgen. Die Daten müssen korrekt und auf dem neusten Stand erfasst werden.
Datenminimierung, Zweckbindung, Rechtmäßigkeit, Transparenz bilden im Datenschutz wichtige Schlagworte. Der Verantwortliche eines Unternehmens muss nach aktuellen Möglichkeiten alles daran setzen, den Datenschutz auf allen technischen Ebenen ausreichend zu ermöglichen und somit den Schutz des Betroffenen zu gewährleisten.
Was bedeutet Datenschutz im Alltag?
Die oben genannten Schlagworte sind vielen, die sich mit Datenschutz beschäftigen schon einmal über den Weg gelaufen. Aber was bedeutet das eigentlich konkret in der Anwendung?
Ein paar Beispiele wollen wir im Folgenden erklären:
- Datenminimierung: Es dürfen nur so viele Daten erhoben werden, wie für den Zweck notwendig.
- Zweckbindung: Die Daten dürfen nur für den Zweck genutzt werden, für den Sie auch erfasst wurden.
- Richtigkeit: Die Daten müssen auf dem neusten Stand und korrekt sein
- Speicherbegrenzung: Die Daten dürfen nur so lange verwendet werden, wie sie für den Zweck benötigt werden.
Wie kann der Datenschutz ermöglicht werden?
Mit einem Konzept für den Datenschutz, dass auch mit anderen Bereichen wie der IT-Sicherheit in Verbindung steht, kann die Sicherheit für Betroffene höchstmöglich erreicht werden. In diesem Konzept sollte der Verantwortliche eines Unternehmens anhand der sogenannten technischen und organisatorischen Maßnahmen (TOMs) sicherstellen, dass die personenbezogenen Daten auf die bestmögliche Art geschützt werden können. Das bedeutet nicht nur, dass IT-Sicherheit, Verschlüsselungen usw. gesichert sind. Auch alltägliche „analoge“ Abläufe sollten abgesichert sein. Dazu gehören abschließbare Schränke, Büros und Gebäude genauso wie das richtige Löschen und Vernichten von Daten (Löschkonzept).
Passwortrichtlinien und Anweisungen zur richtigen Nutzung von Endgeräten, sowie Mitarbeiterschulungen im Datenschutz und Geheimhaltungsverpflichtungen bilden eine weitere wichtige Grundlage für den Datenschutz im Unternehmen. Regeln Sie dabei auch die Zugriffsrechte auf Daten und prüfen Sie, ob ein (externer) Datenschutzbeauftragter berufen werden muss.
Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert die Abläufe, in denen personenbezogene Daten verarbeitet werden und muss zwingend geführt und dokumentiert werden.
Der externe Datenschutzbeauftragte für Unternehmen
Um den Datenschutz einzuhalten, kann es sinnvoll sein einen Experten hinzuzuziehen. Ein externer Datenschutzbeauftragter beurteilt dabei den Datenschutz im Unternehmen und gibt Hilfestellungen bei der nötigen Umsetzung.
Datenschutzberater.NRW stellt einen externen Datenschutzbeauftragten (TÜV) für Unternehmen, Vereine, Schulen und Praxen im Raum Köln, Bonn, Siegburg, Düsseldorf und Siegen. Darüber hinaus helfen wir Ihnen gerne mit folgenden Angeboten:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- Projektbezogener Datenschutz
- GoBD-Beratung – Verfahrensdokumentation
- IT-Audit
- DS-GVO-konforme Homepage – Websitescan
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.