Die 10 wichtigsten Datenschutz-Grundlagen

Datenschutz wird seit einigen Jahren nicht nur in Deutschland, sondern vor allem in ganz Europa großgeschrieben. Und das ist auch gut so. Denn bei den internationalen Wirtschaftsmächten, die in Europa ansässig sind und den damit verbundenen Kontaktpunkten innerhalb Europas, wie auch in Drittländern, ist es wichtig eine datenschutzrechtliche Grundlage heranziehen zu können.

So ist das Thema Google Fonts beispielsweise seit einigen Monaten an kaum einem Unternehmen vorbeigegangen. Generell geht es dabei um das Einbinden von Schriftarten auf einer Website - entsprechend kann auch jedes Unternehmen mit einer Website von diesem Thema betroffen sein. Nach dem Urteil des Landgerichts München zu Google Fonts, werden Unternehmen, die Google Fonts dynamisch einbinden, systematisch abgemahnt. Nicht selten endet dieser Schritt mit einer Schadensersatzforderung. Weitere Informationen und Hilfestellung finden Sie auf datenschutzexperte.de.

Proliance-Gründer Alexander Ingelheim hat den europäischen Datenschutztag (28.1) als Anlass genommen und die 10 wichtigsten Fakten rund um den Datenschutz in Deutschland und Europa für Sie zusammengefasst. 

1. Datenschutz in Europa: Welche gesetzliche Grundlage gilt hier?

Seit Mai 2018 ist die DSGVO als direkt gültiges Recht in allen Mitgliedstaaten der EU und im Europäischen Wirtschaftsraum als gesetzliche Grundlage heranzuziehen. Als ein direkt anwendbares Recht hat sie Anwendungsvorrang vor nationalen Gesetzen.

2. Die deutsche DSGVO: Was besagt sie? 

In Deutschland gilt die DSGVO ebenfalls, da diese prinzipiell über nationalem Recht steht. Dennoch gilt hier zusätzlich die sogenannte BDSG: Dieses Gesetz ist eine Ergänzung zu der Europäischen Datenschutzgrundverordnung und konkretisiert sie zusätzlich. Die DSGVO räumt dem nationalen Gesetzgeber durch Öffnungsklauseln in der DSGVO das Recht ein, auf nationaler Ebene explizit Regelungen für Deutschland zu treffen. Das BDSG ist aber der DSGVO nachgeordnet und regelt insbesondere die Fälle, die die DSGVO nicht beschreibt oder offen lässt.

3. Für wen und wann ist die DSGVO anwendbar?

Für wen die DSGVO anwendbar ist, lässt sich prinzipiell in drei Gruppen unterteilen: Das sind Unternehmen…

1. …mit einer Niederlassung in der EU.
2. …, die Waren oder Dienstleistungen in der EU anbieten oder Dienstleister aus dem EU-Ausland sind und personenbezogene Daten verarbeiten.
3. …, die das Verhalten Ihrer Kunden in der EU beobachten. Dies zielt vor allem auf das Beobachten des Surfverhaltens für Werbeanzeigen und personalisierte Angebote ab. Das bedeutet, wenn ein Unternehmen mithilfe von Plugins oder anderen Softwaretools das Kundenverhalten beobachtet, fällt das Unternehmen unter die DSGVO (vgl. Art. 3 DSGVO).

Auch wann die DSGVO anwendbar ist, lässt sich bestimmen. Der sachliche Anwendungsbereich der DSGVO ist dann eröffnet, wenn es um eine ganz oder teilweise automatisierte Datenverarbeitung von personenbezogenen Daten geht sowie für nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Ein personenbezogenes Datum sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“ genannt) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Eine Ausnahme besteht dann, wenn eine Tätigkeit, die nicht in den Anwendungsbereich des EU-Rechts fällt oder die Verarbeitung von personenbezogenen Daten ausschließlich persönlich oder familiärer Natur ist.

4. Worauf müssen Unternehmen im Datenschutz achten?

Damit ein Unternehmen dem Datenschutz und damit der DSGVO gerecht werden kann, muss sie insbesondere folgende Schritte unbedingt beachten:

1. ggf. einen Datenschutzbeauftragten benennen
2. Einhaltung der Grundsätze der DSGVO gem. Art. 5 DSGVO
3. Einhaltung von technischen und organisatorischen Maßnahmen (TOM)
4. Betroffeneninformationen (Mitarbeiter, Bewerber, Kunden, Websitebesucher)
5. Unternehmen müssen ,,Privacy by Design’’ und ,,Privacy by Default’’ garantieren
6. Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten
7. Abschlüsse von datenschutzrechtlichen Vereinbarungen (Auftragsverarbeitungsvertrag, gemeinsame Verantwortlichkeit, usw.)
8. Dokumentationspflichten
9. Meldepflicht von Datenschutzverletzungen
10. ggf. Durchführung von  Datenschutz-Folgenabschätzungen

Zudem ist folgendes wichtig: Die schnelle voranschreitende Digitalisierung, sorgt häufig dafür, dass die Sicherheit der Daten auf der Strecke bleibt. Damit ist die Gefahr eines Cyberangriffes für Unternehmen deutlich gestiegen. Im vergangenen Jahr wurden hierbei sogar neue Höchststände erreicht. Das hat zur Folge, dass Unternehmen sich genauer mit dem Thema Datenschutz und Datensicherheit befassen müssen.

5. Welche Aufgaben hat ein Datenschutzbeauftragter (DSB)?

Die Aufgaben eines Datenschutzbeauftragten sind vielfältig:

• wichtigste Aufgaben des DSB: Überwachung, Beratung und Unterrichtung des Verantwortlichen bzgl. der Pflichten nach der DSGVO und anderen Vorschriften des Datenschutzes
• Zudem hat er die Aufgabe, die Mitarbeiter des Unternehmens regelmäßig zum Thema Datenschutz zu schulen
• Ggf. wenn erforderlich: Beratung bei der Durchführung von Datenschutz-Folgenabschätzungen, Unterstützung bei Datenschutzverletzungen
• für die Zusammenarbeit mit der Aufsichtsbehörde zuständig
• Ansprechpartner für alle Fragen zum Thema Datenschutz
• Da Unternehmen die Kontaktdaten des DSB in allen Datenschutzhinweisen und in der Datenschutzerklärung auf der Internetseite veröffentlichen müssen, ist DSB auch erster Anlaufstelle von Betroffenen, die Fragen zur Datenverarbeitung durch das Unternehmen haben oder die von ihrem Betroffenenrechten Gebrauch machen wollen

6. Sind zukünftig datenschutzrechtliche Änderungen im europäischen Raum zu erwarten?

Ein gutes Beispiel liefert hierbei die e-Privacy Verordnung:

• Inkrafttreten der Verordnung zeitgleich zur DSGVO angedacht gewesen Grund: Soll die DSGVO ergänzen + vertiefen
• Ziel: Soll Privatsphäre und Vertraulichkeit im Bereich der elektronischen Kommunikation spezifizieren = Verordnung wird somit insbesondere E-Mail-Dienste, Social-Media Plattformen, Instant-Messaging-Dienste und Telekommunikationsunternehmen betreffen!
• Inhalt wird jedoch ständig überarbeitet = Inkrafttreten derzeit unbekannt
• Regelmäßige Entscheidungen des EuGH zum Datenschutz

Das regelmäßige Ändern von Dingen im Datenschutz auf europäischer Ebene kann also durchaus auftreten und ist bis zu einem gewissen Punkt ein Qualitätsmerkmal für die Datenschutzrechte in Europa.

7. Auf welchem Stand ist der Datenschutz in Deutschland und Europa verglichen mit Drittländern?

• In Europa ist mit Inkrafttreten der DSGVO ein einheitliches Datenschutzrecht geschaffen worden.
• Ob ein Land außerhalb der EU ein angemessenes Datenschutzniveau bietet, kann die Europäische Kommission bestimmen und zwar auf der Grundlage von Art. 45 der Verordnung (EU) 2016/679 => welche Länder außerhalb der EU als angemessen angesehen werden, werden in einem Angemessenheitsbeschluss festgehalten.

Aktuell erfüllen z.B. Großbritannien und die Schweiz dies. 

• Beispiel USA: Dort gibt es kein allgemeines und umfassendes Datenschutzgesetz/ Hier gibt es kaum Gesetze, die den Umgang mit persönlichen Daten regeln! Ausnahme Kalifornien mit Ihrem eigenen Gesetz, der CCPA.
• Grundsätzlich gilt hier das Prinzip, dass Unternehmen ihr eigenes Datenschutzniveau festlegen.

8. Was hat sich seit der Einführung der DSGVO konkret geändert?

Die Liste der Änderungen ist sehr lang - und das ist auch gut so. Unter anderem zählen folgende Punkte dazu:

• Harmonisierung des Datenschutzniveaus: Mit der Einführung der EU-DSGVO wird das Datenschutzrecht innerhalb der EU für den privaten und öffentlichen Bereich vereinheitlicht. = einheitlicher Rechtsrahmen
• (gezwungene) Einführung von zusätzlichen Kontrollinstanzen/ Etablierung technischer und organisatorischer Maßnahmen  = hierdurch konnten einige Sicherheitslücken geschlossen werden
• umfassende Dokumentationspflichten der DSVGO: Damit kann Betroffener leichter Informationen anfordern, da ein Verantwortlicher zu jeder Zeit auditfähig sein muss, Beispiel: Verzeichnis der Verarbeitungstätigkeiten
• tatsächliche Einwilligung notwendig, siehe Art. 4 DSGVO - Beachte: Kopplungsverbot bei Einwilligungen
• Optimierung veralteter Prozesse im Unternehmen: Mit der DSGVO wurden Unternehmen gezwungen, vorhandene Prozesse zu überarbeiten und zu überdenken. Und alte Lasten, d.h. Daten, die in den Kundendatenbanken erfasst sind, aber nicht mehr genutzt werden, endlich aussortieren und gelöscht werden

9. Wie können Ihre persönlichen Daten bestmöglich geschützt werden?

Um Ihre Daten zu schützen, können Sie unterschiedliche Schritte in die Wege leiten. Dazu gehören unter anderem Folgende:

• starkes Passwort wählen
• Geräte schützen, auf denen sich sensible Daten befinden
• E-Mails verschlüsseln
• Sich vor Spam schützen
• Kenne deine Rechte - Unternehmen müssen nach Art. 15 I DSGVO Auskunft erteilen, welche Daten sie über einen speichern

10. Wie kann Datenschutz einfach und unkompliziert gelöst werden?

Wie in so vielen Bereichen, ist auch hier die Antwort: Durch Digitalisierung! Datenschutzmanagement scheint für viele Unternehmen und Personen eine Mammutaufgabe darzustellen, lässt sich mittlerweile mithilfe von Softwarelösungen allerdings einfach und vor allem sicher lösen. Besonders Unternehmen können davon profitieren und Datenschutz so nicht nur auf ein neues Level heben, sondern auch so effizient wie möglich arbeiten.

Um das Thema zu vertiefen, veranstaltet der DMB in Zusammenarbeit mit Proliance GmbH ein exklusives und kostenloses Webinar am 7. Februar 2023 zum Thema “Datenschutz-Basics für KMU” . Darin sollen die wichtigsten Datenschutzthemen für Unternehmen genauer unter die Lupe genommen werden.

Wenn Sie Interesse an dieser Veranstaltung haben, schicken Sie uns gerne eine E-Mail an politik@mittelstandsbund.de. 

Das Legal-Tech-Unternehmen Proliance (Professional Compliance) unterstützt bereits über 2.000 Firmen aus allen Branchen dabei, das Thema Datenschutz ganzheitlich und softwarebasiert zu lösen. Das Unternehmen aus München betreibt unter anderem die erfolgreiche Plattform datenschutzexperte.de.