Datenschutzrichtlinien
Die folgenden Informationen stellen keine Rechtsberatung in Bezug auf Datenschutzrichtlinien dar. Es handelt sich lediglich um Ratschläge und eine Übersicht zu einem juristisch komplexen Thema. Für die Richtigkeit der Inhalte übernehmen wir keine Gewähr.
Was bedeutet Datenschutz?
Wird der Begriff Datenschutz wörtlich genommen, kann das irreführend sein. Er steht nämlich nicht für den generellen Schutz von Daten. Das ist einer der bedeutendsten Unterschiede zwischen Datenschutz und Datensicherheit. Letzteres steht für die Gewährleistung, dass alle Daten natürlicher und juristischer Personen sicher sind. Das betrifft in der Arbeitswelt die Daten von Mitarbeitern und Kunden genauso wie firmeninterne sensible Daten. Zum Beispiel in Form von Informationen zu Produktionsmethoden oder Geschäftspraktiken.
Wofür steht denn nun aber der Begriff Datenschutz? Genauso wie Datensicherheit wird er oft für die Sicherheit von Daten allgemein gebraucht. Sprechen wir in der IT-Branche oder generell in Unternehmen von Datenschutz, bezieht sich das meist auf allgemeine Datenschutzrichtlinien, die gesetzlich verankert sind. Und zwar in der europäischen Datenschutzverordnung oder präzise ausgedrückt in der EU-Datenschutz-Grundverordnung (EU DSGVO). Ergänzende Datenschutzrichtlinien sind Teil des Bundesdatenschutzgesetzes (BDG). Allerdings werden sie in diesen Texten nicht ausdrücklich als Datenschutzrichtlinien bezeichnet.
Was ist das Ziel der Datenschutzverordnung?
Zweck der europäischen Datenschutzverordnung ist die Gewährleistung von Datensicherheit personenbezogener Daten natürlicher Personen. Das Datenschutzrecht soll sicherstellen, dass die Verarbeitung oder Verwendung dieser Informationen nicht missbräuchlich geschieht. Außerdem soll gewährleistet werden, dass der Umgang mit sensiblen Daten der Sicherheit unterliegt, nicht einer missbräuchlichen Verwendung zugeführt werden zu können. Damit schützt die EU-DSGVO die Grundrechte der Bürger. Weiterhin sollen die in der Verordnung definierten Datenschutzrichtlinien betroffenen Personen Transparenz in Bezug auf die Verarbeitung ihrer Daten garantieren.
Datenschutzrichtlinien der DSGVO für personenbezogene Daten
Das europäische Datenschutzrecht gilt nicht für jede Art von Daten. So sind juristische Personen wie Unternehmen, Vereine oder Aktiengesellschaft vom Schutz laut Datenschutzverordnung ausgeschlossen. Die DSGVO bezieht sich allein auf die Sicherheit von personenbezogenen Daten natürlicher Personen. Per Definition gilt jede Privatperson als natürliche Person.
Was sind personenbezogene Daten?
In Artikel 4 der Datenschutzverordnung werden als personenbezogene Daten sämtliche Informationen genannt, die “sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen.“ Der Unterschied zwischen einer identifizierten Person und einer identifizierbaren Person ist Folgender:
Identifizierte Person => Die Daten erlauben einen direkten Bezug zur Person
Identifizierbare Person => Durch die Daten allein kann kein Bezug hergestellt werden
Eine identifizierbare Person zählt zu den betroffenen Personen, da die ihr zugeordneten Daten zwar keine Identifizierung zulassen, sie aber in Verbindung mit weiteren Daten oder Informationen (zum Beispiel in Form von Zusatzwissen) namentlich identifiziert werden kann. Laut dieser Richtlinie gelten auch einzelne Daten, die nicht direkt Rückschlüsse auf die Identität der betroffenen Person zulassen, als personenbezogene Daten. Auch pseudonymisierte Daten, die sich in der Kombination mit zusätzlichem Wissen einer Person zuordnen lassen, zählen laut Verordnung dazu.
Im Gegensatz dazu stehen anonymisierte Daten. Im Sinne des Datenschutzes gilt eine Information als anonymisiert, wenn der Inhalt die Identifizierung einer natürlichen Person nicht zulässt.
Allgemeine und besondere personenbezogene Daten
Im Datenschutzrecht wird zwischen allgemeinen und besonders schutzwürdigen personenbezogenen Daten unterschieden. Als allgemein gelten Daten, die allein eine Identifizierung möglich machen, aber keine sensiblen Details über zum Beispiel die Lebensumstände oder die Gesinnung einer Person enthalten.
Zu den allgemeinen personenbezogenen Daten gehören laut Datenschutzrichtlinien zum Beispiel folgende Informationen:
- Namen und persönliche Anschrift
- E-Mail-Adressen
- Telefonnummern
- ID-Nummern in Ausweisen, Reisepass etc.
- Kontodaten
- Kreditkartennummern
- Standortdaten
- IP-Adressen
- Autokennzeichen
E-Mail-Datenschutz gilt nur für E-Mail-Adressen, die sich einer Person zuordnen lassen, „info@“ und ähnliche Postfachbezeichnungen fallen nicht unter das Datenschutzrecht.
Besondere personenbezogene Daten sind laut Artikel 9 der EU-Datenschutzgrundverordnung Daten, „aus denen rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Auch die Verarbeitung von sensiblen Daten zur sexuellen Orientierung oder zum Gesundheitszustand ist untersagt, solange sie nicht zweckgebunden und vor allem durch die betroffene Person autorisiert ist. Dabei reicht keine allgemeine Autorisierung zur Verarbeitung personenbezogener Daten. Laut Datenschutzrichtlinie wird eine spezielle Zustimmung für die Kategorie der besonderen Daten benötigt.
Eine spezielle Form besonderer personenbezogener Informationen sind biometrische Daten. Diese Art der Informationen umfasst physische und physiologische Merkmale von Personen. Zum Beispiel das Geschlecht oder die Augenfarbe. Je nach Inhalt werden spezifische biometrische Daten der Kategorie allgemeiner oder besonders schutzwürdiger personenbezogener Daten zugeordnet. Zu den schützenswerten Informationen können laut Datenschutzrichtlinien auch Fotos zählen.
Warum ist Datenschutz wichtig?
Artikel der EU-Datenschutz Grundverordnung und Paragraphen des Bundesdatenschutzgesetzes gewährleisten die Einhaltung von Grundrechten. Persönliche Daten gehören zur Privatsphäre einer natürlichen Person. Ihr allein obliegt das Recht auf Kontrolle über diese Daten. Sie kann entscheiden, wer zu welchem Zweck und in welchem Umfang ihre Daten speichern und verwalten darf.
Darüber hinaus kann das öffentlich machen personenbezogener Daten den betroffenen Personen schaden. Das gilt zum Beispiel für sensible Daten wie Informationen zur sexuellen Orientierung, Online-Chats oder Bankdaten.
Im Zeitalter von Industrie 4.0 können Daten mit minimalem Zeit- und Personalaufwand verwaltet werden. Behörden und Unternehmen haben im Zuge der Digitalen Transformation ihre Datenbankbestände digitalisiert. Dadurch ist allerdings auch die Gefahr gestiegen, dass Daten gestohlen oder missbraucht werden. Ist kein adäquater Schutz gewährleistet, können Dritte über das Internet an die Daten von Kunden, Patienten, Geschäftspartnern oder Mitarbeitern gelangen. Personenbezogene Daten werden im Internet gehandelt. Benutzt werden sie in der Regel für unlautere Werbung, zur Manipulation von Meinungen, für Identitätsdiebstahl, Raub oder Erpressung. Die Arbeit der Datenschützer zahlt sich also für die Allgemeinheit aus.
Aus folgenden Gründen spielen Datenschutzrichtlinien für Unternehmen eine große Rolle:
- Die Datenschutzverordnung schützt Mitarbeiter genauso wie die Kunden einer Firma.
- Werden Kundendaten sicher gespeichert, erhöht das die Kundenzufriedenheit.
- Verstöße gegen Datenschutzrichtlinien können empfindliche Strafen nach sich ziehen.
Was geschieht beim Verstoß gegen allgemeine Datenschutzrichtlinien?
Laut Angabe des Bundesdatenschutzgesetzes kann ein Verstoß gegen Datenrichtlinien mit einem Bußgeld von bis zu 50.000 Euro geahndet werden.
Die Datenschutzverordnung teilt Verstöße gegen das Datenschutzrecht in zwei Kategorien ein:
- Verstöße
- Besonders gravierende Verstöße
Bei einfachen Verstößen kann das Bußgeld mit maximal 10 Mio. Euro zu Buche schlagen. Besonders schwere Verstöße können sogar bis zu 20 Mio. Euro kosten. Alternativ kann die Strafe auch bis auf maximal 4 Prozent des weltweiten Jahresumsatzes festgelegt werden. Ausschlaggebend ist der höhere Betrag.
Neben den behördlich verhängten Bußen können auch finanzielle Ansprüche seitens geschädigter Personen anfallen. Da diese in den Bereich der Zivilgerichtsbarkeit fallen und nicht Sache des Datenschutzes sind, ist die Höhe dieser Ansprüche nicht durch die europäische Datenschutzgrundverordnung definiert.
Als Verstöße gegen das Datenschutzrecht in Bezug auf personenbezogene Daten gelten zum Beispiel:
- Unautorisiertes Verändern
- Unbefugte Offenlegung
- Verlust oder Vernichtung
Bei schweren vorsätzlichen Verstößen sind auch Freiheitsstrafen vorgesehen. Grund genug also für ein Unternehmen Sorge dafür zu tragen, dass die Mitarbeiter die Datenschutzrichtlinien kennen.
Was sind Datenschutzrichtlinien?
Die Bezeichnung „Datenschutzrichtlinien“ findet ebenso wie die Bezeichnung Datenschutz in mehrfacher Hinsicht Verwendung. Einerseits werden zum Beispiel die in der Datenschutzverordnung definierten Vorgaben damit bezeichnet. Andererseits findet der Begriff Datenschutzrichtlinien in Unternehmen und öffentlichen Einrichtungen Verwendung, um in Anlehnung an die DSGVO Maßnahmen für den Umgang mit personenbezogenen Daten festzulegen.
Generell dienen Datenschutzrichtlinien dazu, die Datenschutzrechte von natürlichen Personen durchzusetzen.
Welche Datenschutzrechte gibt es?
Laut EU DSGVO haben betroffene Personen ein grundsätzliches Recht auf den Schutz ihrer Daten. Außerdem gibt es auch Datenschutzrichtlinien, die ein Anrecht auf Transparenz und Mitbestimmung bei der Verarbeitung der Daten gewährleisten. Die wichtigsten Datenschutzrechte sind:
Recht auf Widerspruch
Jeder Bürger darf der Verarbeitung seiner Daten widersprechen. Handelt es sich nicht um Direktwerbung, muss der Widerspruch begründet werden.
Recht auf Vernichtung der Daten
Dieser Rechtsanspruch wird auch als Recht auf Vergessenwerden bezeichnet. Wurden Daten missbräuchlich erhoben oder ist ihre Speicherung nicht mehr zweckmäßig, kann die Löschung verlangt werden. Das gilt auch für verknüpfte Dateneinträge dritter Parteien. Betroffenen Personen ist anzuraten, gleichzeitig eine Sperrung des Dateneintrages zu verlangen. So wird ausgeschlossen, dass ein Unternehmen die Daten erneut aufnehmen kann, ohne gegen die Datenschutzverordnung zu verstoßen. Eine Sperrung wird durch das Recht auf Einschränkung der Verarbeitung geregelt.
Recht auf Transparenz
Auf Verlangen müssen Unternehmen Auskunft über die Daten einer betroffenen Person leisten. Auskunftspflichtig sind sie laut Richtlinie zum Beispiel über die Art der Datenbeschaffung, die Dauer der Speicherung oder den Zweck, welcher der Verarbeitung der Daten zugrunde liegt.
Recht auf Datenübertragbarkeit
Kunden haben ein Recht darauf, dass von Ihnen bereitgestellte Daten einem anderen Unternehmen zur Verfügung gestellt werden. Diese Datenschutzrichtlinie gilt insbesondere für Strom- oder Gasanbieter, Telekommunikationsunternehmen, E-Mail-Anbieter oder Messenger.
Welche Datenschutzrichtlinien gelten laut Datenschutzrecht?
Einzelne Datenschutzbestimmungen der Datenschutzverordnung lassen sich in fünf grundsätzliche Richtlinien einteilen:
- Zweckbindung
Um personenbezogene Daten zu verarbeiten, muss ein sinnhafter und legitimer Zweck zugrunde liegen, der ohne Erhalt der Daten nicht erfüllt werden kann. - Korrektheit
Die Daten müssen der Wahrheit entsprechen. Sie dürfen nicht unvollständig sein, absichtlich manipuliert werden oder Fehler enthalten. - Rechtmäßigkeit
Personenbezogene Daten dürfen nur auf legalem Weg erlangt, verarbeitet oder öffentlich gemacht werden. Rechtliche Grundlage ist die Datenschutzverordnung. - Zeitbegrenzung
Daten mit Personenbezug dürfen nicht länger verarbeitet werden, als dies im Sinne der Zweckbindung erforderlich ist. - Datensparsamkeit
Ausschließlich notwendige Daten dürfen zur Verarbeitung gespeichert werden. - Sicherheit
Der Verantwortliche muss dafür sorgen, dass die Daten sicher gespeichert werden. Außerdem muss er die Einhaltung der Datenschutzrechte belegen können.
Welche Datenschutzrichtlinien für Mitarbeiter müssen definiert werden?
Es gibt Datenschutzrichtlinien für Unternehmen, die laut Datenschutzverordnung bindend sind. So muss zum Beispiel ein Verstoß gegen das Datenschutzrecht der zuständigen Datenschutzbehörde gemeldet werden.
Laut der EU-Datenschutz-Grundverordnung müssen Unternehmen ab einer Mitarbeitergröße von 20 Personen einen externen oder internen Datenschutzbeauftragten oder Datenschutzbeauftragte bestimmen. Datenschutzbeauftragte sollen sicherstellen, dass jede Datenschutzrichtlinie in einem Unternehmen korrekt eingehalten wird.
Abhängig von der individuell angewandten Art der Datenverarbeitung können Unternehmen und andere Institutionen, die dem Datenschutzrecht unterliegen, eigene aktuelle Datenschutzrichtlinien definieren. Diese sind verbindlich, wenn die Mitarbeiter sie nachweislich gelesen und akzeptiert haben.
Individuelle Datenschutzrichtlinien für Arbeitnehmer können sein:
- Schweigepflicht
- Unterlagen gänzlich vernichten (sichere Löschung, Akten schreddern)
- Sichere Passwörter generieren
- Regelmäßiges Wechseln von Passwörtern
- PCs und Notebooks in Abwesenheit sperren
- Keine Übertragung von Daten auf mobilen Datenträger
- Festlegung, ab wann Mitarbeiter einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte informieren müssen
Geltungsbereiche von Datenschutzrichtlinien
Gebunden an die Datenschutzrichtlinien der Europäischen Union sind alle Unternehmen und Personenvereinigungen, die in der Lage sind, personenbezogene Daten zu erfassen. Dazu zählen u. a. auch eine GmbH, eine GbR, eine gemeinnützige Organisation oder ein privater Verein. Die Frage nach dem Datenschutz spielt in Deutschland auch für Behörden und Bildungseinrichtungen eine Rolle. Datenschutzbestimmungen gelten für eine Arztpraxis genauso wie für ein Krankenhaus oder eine Pflegeeinrichtung.
Wo gilt das europäische Datenschutzrecht?
Die europäische Datenschutzgrundverordnung ist in jedem EU-Mitgliedsstaat anzuwenden. Dabei ist irrelevant, welche Staatsangehörigkeit die betroffenen Personen haben. Befinden sie sich innerhalb der Grenzen der EU, gilt für sie das Datenschutzrecht. Auf der anderen Seite müssen sich auch Organisationen und Unternehmen außerhalb der EU an die Datenschutzrichtlinien halten, wenn sie Dienstleistungen für EU-Bürger erbringen. Das gilt allerdings nur, wenn diese Bürger einen Wohnsitz innerhalb der EU haben.
Für wen gelten Datenschutzrichtlinien nicht?
Die EU-DSGVO schützt die Rechte natürlicher Personen bei der Datenverarbeitung durch juristische Personen. Das bedeutet, dass für Privatpersonen die Datenschutzrichtlinien nicht gelten. Wer personenbezogene Daten privat speichert, öffentlich macht oder verarbeitet, verstößt nicht gegen die europäische Datenschutzverordnung. Allerdings können hier andere Gesetze verletzt werden. Zum Beispiel kann der Datenschutz eine Website betreffen, die personenbezogene Informationen enthält. Dient zum Beispiel eine Homepage zur Erwirtschaftung finanzieller Gewinne, kann das eventuell Datenschutzbestimmungen berühren. Dabei kann es unerheblich sein, ob der Betreiber der Webseite diese selbst gewerblich nutzt.
Auch Strafverfolgungsbehörden sind von den Datenschutzbestimmungen ausgenommen. Sie dürfen laut Verordnung zum Beispiel biometrische Daten einer Verarbeitung unterziehen, um vermisste oder verdächtige Personen aufzuspüren oder zu überführen. Diese Form der Strafverfolgung darf jedoch nicht willkürlich erfolgen. Sie wird durch spezielle EU-Richtlinien geregelt, die nicht in der Datenschutzverordnung verankert sind. In vielen Fällen muss zum Beispiel eine biometrische Authentifizierung von höherer Stelle genehmigt werden.
TenMedia: Wir sind mit jeder Datenschutzrichtlinie vertraut
Seit 2011 hat sich TenMedia als innovative Digitalagentur in Berlin einen Namen gemacht. Neben dem Entwickeln individueller Softwarelösungen bieten wir eine breite Palette an IT-Dienstleistungen an. Auf hohem technischem Niveau programmieren wir Cloud-Software und Datenbanken.
Als dynamischer IT-Partner sind wir stets am Puls der Zeit. Das gilt auch für aktuelle Datenschutzrichtlinien. TenMedia arbeitet stets DSGVO-konform. Die Daten unserer Kunden sind uns heilig. Wir nutzen moderne Verschlüsselungsmethoden, überprüfen unsere Software regelmäßig auf Sicherheitslücken und setzen auf ein ausgeklügeltes Datensicherheitskonzept. Kundenprojekte werden ausschließlich firmenintern bearbeitet. Wir lagern keine Aufgaben an Freelancer oder Outsourcing-Partner aus. Auf diese Weise behalten wir stets die Kontrolle über uns anvertraute Daten. So können wir uns voll auf die Herausforderungen unserer Serviceleistungen konzentrieren. Gern stehen unsere IT-Experten für eine kostenlose Erstberatung zur Verfügung.