Was ist Datenschutz? 🤔

Datenschutz bezeichnet den Schutz von Personen bei der Verarbeitung ihrer personenbezogenen Daten. Es ist ein Grundrecht, das darauf abzielt, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. In Deutschland leitet sich dies insbesondere aus dem Recht auf informationelle Selbstbestimmung ab, welches besagt, dass jede Person grundsätzlich selbst über die Preisgabe und Verwendung ihrer persönlichen Informationen entscheiden können soll. Datenschutz umfasst die Summe aller gesetzlichen Regelungen, technischen Maßnahmen und organisatorischen Vorkehrungen, die sicherstellen sollen, dass personenbezogene Daten nur unter bestimmten Voraussetzungen und für legitime Zwecke erhoben, verarbeitet, gespeichert und gelöscht werden.

Es ist wichtig, Datenschutz (Schutz der Person und ihrer Datenrechte; regelt das "Ob" und "Wie" der Datenverarbeitung) von Datensicherheit (Schutz der Daten selbst vor Verlust, Diebstahl oder unbefugtem Zugriff durch technische und organisatorische Maßnahmen; das "Wie" des Schutzes) zu unterscheiden. Datensicherheit ist eine notwendige Voraussetzung und ein Teilbereich des Datenschutzes, aber Datenschutz geht darüber hinaus und regelt die grundsätzliche Zulässigkeit der Datenverarbeitung.

Rechtliche Grundlagen und Prinzipien (DSGVO & Co.)

Die maßgebliche Rechtsgrundlage für den Datenschutz in Deutschland und der gesamten Europäischen Union ist seit Mai 2018 die Datenschutz-Grundverordnung (DSGVO / GDPR). Sie ist direkt anwendbares Recht und vereinheitlicht die Datenschutzregeln EU-weit. Ergänzt wird sie in Deutschland durch das Bundesdatenschutzgesetz (BDSG-neu) und bereichsspezifische Gesetze wie das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das insbesondere den Schutz der Privatsphäre bei elektronischer Kommunikation und den Einsatz von Cookies regelt.

Die DSGVO basiert auf zentralen Grundsätzen (Art. 5 DSGVO) für die Verarbeitung personenbezogener Daten:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Datenverarbeitung benötigt eine Rechtsgrundlage (z.B. Einwilligung, Vertragserfüllung, gesetzliche Pflicht, berechtigtes Interesse), muss fair sein und für die betroffene Person nachvollziehbar.
• Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht für andere Zwecke weiterverarbeitet werden.
• Datenminimierung: Die Verarbeitung muss auf das für den Zweck notwendige Maß beschränkt sein.
• Richtigkeit: Personenbezogene Daten müssen sachlich richtig und aktuell sein.
• Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.
• Integrität und Vertraulichkeit: Daten müssen durch geeignete technische und organisatorische Maßnahmen (TOMs) vor unbefugter Verarbeitung, Verlust oder Zerstörung geschützt werden (Datensicherheit).
• Rechenschaftspflicht: Der Verantwortliche (das Unternehmen/die Organisation) muss die Einhaltung dieser Grundsätze nachweisen können.

Zudem gewährt die DSGVO den betroffenen Personen umfassende Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.

Datenschutz in IT und Softwareentwicklung

Für die IT und Softwareentwicklung hat Datenschutz weitreichende Konsequenzen und erfordert die Berücksichtigung von Anfang an:

• Privacy by Design und Privacy by Default (Art. 25 DSGVO): Datenschutz muss bereits bei der Konzeption und Entwicklung von IT-Systemen, Anwendungen und Prozessen technisch und organisatorisch berücksichtigt werden („eingebauter Datenschutz“). Standardeinstellungen müssen möglichst datenschutzfreundlich sein.
• Auftragsverarbeitung (AV): Wenn externe Dienstleister (z.B. Cloud-Anbieter, SaaS-Plattformen, Agenturen) personenbezogene Daten im Auftrag verarbeiten, ist ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwingend erforderlich, der die Pflichten des Auftragsverarbeiters genau regelt.
• Einwilligungsmanagement (Consent Management): Insbesondere für Tracking, personalisierte Werbung oder den Einsatz nicht notwendiger Cookies ist eine rechtskonforme, informierte und freiwillige Einwilligung der Nutzer einzuholen und zu dokumentieren (relevant nach TTDSG und ePrivacy-Richtlinie).
• Anonymisierung und Pseudonymisierung: Techniken zur Verfremdung von Daten, um den Personenbezug aufzuheben (Anonymisierung) oder zu erschweren (Pseudonymisierung), sind wichtige Instrumente zur Risikominimierung.
• Umgang mit Datenschutzverletzungen (Data Breaches): Es müssen Prozesse etabliert sein, um Verletzungen des Schutzes personenbezogener Daten schnell zu erkennen, zu bewerten und ggf. innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde sowie an die Betroffenen zu melden.
• Datenschutzbeauftragter (DSB): Unternehmen ab einer bestimmten Größe oder mit bestimmten Verarbeitungstätigkeiten müssen einen (internen oder externen) Datenschutzbeauftragten benennen, der auf die Einhaltung der Vorschriften hinwirkt und beratend tätig ist.

Umsetzung und Herausforderungen

Die praktische Umsetzung des Datenschutzes im Unternehmen erfordert kontinuierliche Anstrengungen und etablierte Prozesse. Dazu gehören die Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT), das alle Datenverarbeitungsprozesse dokumentiert, sowie die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) für Verarbeitungen mit voraussichtlich hohem Risiko. Die Implementierung und regelmäßige Überprüfung angemessener Technischer und Organisatorischer Maßnahmen (TOMs) zur Datensicherheit ist ebenso unerlässlich wie die regelmäßige Schulung der Mitarbeiter.

Zu den größten Herausforderungen zählen die hohe Komplexität der rechtlichen Anforderungen und deren Auslegung, die Anwendung der Prinzipien auf neue Technologien (wie Künstliche Intelligenz oder Big Data), die Sicherstellung der Compliance bei grenzüberschreitenden Datentransfers (insbesondere in Länder außerhalb der EU/EWR) und die Gewährleistung der Konformität bei der Beauftragung von Drittanbietern. Unternehmen stehen zudem vor der Aufgabe, die Potenziale datengetriebener Geschäftsmodelle mit den strengen Anforderungen des Datenschutzes in Einklang zu bringen und dabei die zunehmende "Consent Fatigue" (Ermüdung durch Einwilligungsabfragen) bei Nutzern zu berücksichtigen.