Datenschutz

Aus dem Grundgesetz der Bundesrepublik Deutschland ergibt sich aus der Kombination 
von Artikel 2 (Recht auf Freiheit) und Artikel 1 (Menschenwürde) ein allgemein geltendes Persönlichkeitsrecht.
Eben dieses Persönlichkeitsrecht umfasst auch die „informationelle Selbstbestimmung“. Neben dieser „informationellen Selbstbestimmung“ unseres Grundgesetzes wurde in Artikel 8 der 
Grundrechtecharta der Europäischen Union ausdrücklich der „Schutz personenbezogener Daten“ festgelegt. Dort steht unmittelbar geschrieben, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Der Datenschutz ist dem Schutz personenbezogener Daten einer jeden einzelnen Person dienlich und umfasst Maßnahmen, die dem unbefugten Einblick oder einem Missbrauch der Daten verhindern sollen.
Der Datenschutz wird durch bestimmte Gesetze genauer reguliert und ausgestaltet. In Deutschland gilt die „Datenschutz-Grundverordnung“ der Europäischen Union (DS-GVO), welche für alle EU-Länder gilt. Zusätzlich aber auch ein eigenes, deutsches Gesetz das „Bundesdatenschutzgesetz“ (BDSG) sowie in jedem Bundesland auch eine eigenes „Landesdatenschutzgesetz“ (LDSG). An die Datenschutzgesetze müssen sich sowohl öffentliche Stellen (z.B. Ämter, Behörden) aber auch nichtöffentliche Stellen (z.B. Privatpersonen, Unternehmen) halten, wenn sie personenbezogene Daten verarbeiten. Das Ziel und der Anwendungsbereich all dieser Gesetze ist der Schutz personenbezogener Daten von natürlichen Personen (Menschen)
gegen missbräuchliche Verwendung. Generell sind Daten von juristischen Personen, also Unternehmen,
Verein etc. von diesem Gesetz nicht geschützt.

 

Datensicherheit

Geht es um „Datensicherheit“, handelt es sich um die Sicherung von Daten vor unbefugten Zugriff, Diebstahl oder auch Zerstörung. Maßnahmen, die der Sicherheit von Daten dienen, können z.B. die Speicherung auf mehreren Festplatten, oder die Ablegung in feuerfesten Datensicherungsschränken sein.

 

Personenbezogene Daten

Bei personenbezogene Daten handelt es sich um alle Informationen, die sich auf eine Person beziehen oder Informationen, die einer Person zugeordnet werden können. Diese Informationen können Einblicke in die physische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität der Person liefern.

 

Einfache personenbezogene Daten sind.:

 

– Geschlecht
- Größe
– Haarfarbe
– Name und Adresse
– Telefonnummer
 
Es gibt noch eine weitere Menge an personenbezogenen Daten.

Neben den einfachen „personenbezogenen Daten“, gibt es auch noch sogenannte „besondere Kategorien personenbezogener Daten“. Dies sind besonders sensible Daten von Personen, die einem besonderen Schutz unterliegen und rechtlich strenger behandelt werden. Besondere Kategorien personenbezogener Daten sind:

 

– rassische und ethnische Herkunft
– politische Meinung
– religiöse / weltanschauliche Überzeugung
– Gewerkschaftszugehörigkeit
– genetische Daten
– biometrische Daten
– Gesundheitsdaten
– Sexualleben und sexuelle Orientierung

 

Die Begriffsbestimmung von „personenbezogenen Daten“ findet sich in Artikel 4 DSGVO.
Die Begriffsbestimmung von „besondere Kategorien personenbezogener Daten“ findet sich in Artikel 9 DSGVO.


 

Verarbeitung von Daten

 

Als „Verarbeitung“ bezeichnet man jeden Vorgang, der personenbezogene Daten:

 

– erhebt
– erfasst
– organisiert oder ordnet
– speichert
– anpasst oder verändert
– ausliest
– abfragt
– verwendet
– übermittelt
– verbreitet oder bereitstellt
– abgleicht oder verknüpft
– einschränkt
– löscht oder vernichtet.

 

Unter dem Strich kann man also sagen, dass immer sobald wir Umgang mit personenbezogenen Daten haben, egal in welcher Art und Weise, der Datenschutz und die Gesetze dazu zu beachten sind.

 


Dateisysteme

Ein sogenanntes „Dateisystem“ ist jede strukturierte Sammlung von personenbezogenen Daten auf die Personen
 Zugriff haben und unabhängig davon wie diese geordnet bzw. sortiert ist.

Solch ein Dateisystem kann digital (z.B. Mitarbeiter- oder Kundenliste) in Excel, aber auch analog (z.B. Mitarbeiterakte im Schrank) sein.

 


Grundsätze der Verarbeitung von Daten

Als Sicherheitsmitarbeiter wird man regelmäßig mit personenbezogenen Daten konfrontiert. Beispielsweise wenn man Besucherdaten am Empfang aufnimmt oder persönliche Daten festhält um ein Hausrecht umzusetzen. Dabei müssen bestimmte „Grundsätze der Verarbeitung“ von uns beachtet werden. Diese sind in Artikel 5 der DSGVO aufgeführt:

 

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

 

Daten dürfen nur auf rechtmäßige Art und Weise verarbeitet werden (z.B. keine unberechtigte Weitergabe an andere Personen oder Unternehmen).Der Vorgang der Verarbeitung muss für den Betroffenen transparent sein, was bedeutet, dass der Betroffene nachvollziehen können muss, wie seine Daten verarbeitet werden. Außerdem muss die Verarbeitung nach Treu und Glauben erfolgen, welches im weitesten Sinne meint, dass der Betroffene nicht benachteiligt werden darf. Die Daten sollen also nur so verarbeitet werden, wie es bei der Erhebung angegeben worden ist.

 

2. Zweckbindung

 

Daten dürfen nur für festgelegte, eindeutige und legitime Zwecken erhoben werden dürfen. Außerdem dürfen diese ohne Zustimmung danach nicht für andere Zwecke weiterverarbeitet werden. Ausnahme davon ist eine Verarbeitung im öffentlichen Interesse für Archivzwecke, wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke.

 

3. Datenminimierung

 

Der Grundsatz der Datenminimierung besagt, dass die aufgenommenen Daten dem Zweck angemessen und erheblich auf das notwendige Maß beschränkt sein müssen. Von einem Täter, dem ein Hausrecht ausgesprochen werden soll, kann z.B. der Name und die Wohnadresse aufgenommen werden, nicht jedoch die private Telefonnummer, Kontodaten oder ähnliches.

 

4. Richtigkeit

 

Daten, die erfasst worden sind, müssen sachlich richtig sein und sollen dabei auf dem neuesten Stand sein. Liegen Daten vor, die nicht mehr richtig oder nicht mehr aktuell sind, müssen diese entweder unverzüglich gelöscht oder berichtigt werden.

 

5. Speicherbegrenzung

 

Diesem Grundsatz nach, dürfen Daten nur in einer Form gespeichert werden, die eine Identifizierung des Betroffenen nur solange ermöglicht wie es für den Zweck nötig ist. Das bedeutet, dass nach der Erfüllung des Zwecks, zu dem ich die Daten aufgenommen habe, diese gelöscht oder anderweitig nicht mehr nutzbar gemacht werden müssen.

 

6. Integrität und Vertraulichkeit

 

Bei der Verarbeitung von Daten müssen diese mittels technischer und organisatorischer Maßnahmen, angemessen vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, 
unbeabsichtigter Zerstörung oder Schädigung gesichert werden. Dies können z.B. doppelte Abspeicherung oder der Verschluss in einem Datensicherungsschrank sein.

 

7. Rechenschaftspflicht

 

Bei jedem Datenverarbeitungsvorgang gibt es eine verantwortliche Person, die entweder die Datenverarbeitung selbst ausführt oder eine Person, die die Aufsicht darüber hat. Dieser Verantwortliche ist für die Einhaltung der Grundsätze 1-6 verantwortlich und muss ggf. die Einhaltung all dieser Grundsätze nachweisen.


Rechtmäßigkeit der Verarbeitung von Daten

Grundsätzlich gilt bezüglich der Rechtmäßigkeit für die Verarbeitung von Daten das gleiche wie für alle andere Gesetzesbereich. Diese ist nämlich dann rechtmäßig, wenn Gesetze dies ausdrücklich genehmigen oder gegen keine geltenden Gesetze oder Rechte verstoßen. Genauere Angaben dazu enthält Artikel 6 DSGVO. Dementsprechend ist eine Verarbeitung nur dann rechtmäßig, wenn einer der folgenden Punkte erfüllt ist:

 

1.  Betroffene Person hat Einwilligung für die Verarbeitung gegeben (z.B. Anmeldung bei Newsletter im Internet und Zustimmung der Datenschutzbestimmungen)
 

2. die Verarbeitung ist für die Erfüllung eines Vertrages oder Vertragsgestaltung notwendig (z.B. Eintragung der persönlichen Daten in den Mietvertrag)
 

3. die Verarbeitung ist für zur Erfüllung einer rechtlichen Verpflichtung nötig (z.B. Aufnahme aller Daten aus der Steuererklärung durch das Finanzamt)
 

4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen (z.B. Auslesen der Daten von der Krankenkassenkarte im Krankenhaus bei Einlieferung nach einem schweren Unfall)
 

5. eine Verarbeitung, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt geschieht, wobei die Berechtigung dazu zuvor übertragen worden sein muss (z.B. Citystreife, die zuvor vom Ordnungsamt eine Berechtigung bekommen hat Platzverweise auszusprechen, nimmt die Personalien eines Störers auf)
 

6. die Verarbeitung ist erforderlich um die berechtigten Interessen von sich oder einem Dritten zu wahren und die Interessen bzw. Grundrechte der betroffenen Person nicht überwiegen. Eine besondere Abwägung muss hier vor allem bei Kindern erfolgen. Zusätzlich erweitert §24 des Bundesdatenschutzgesetzes (BDSG) weitere Rechtmäßigkeiten innerhalb Deutschlands, für die Verarbeitung zu noch mehr Zwecken durch nicht öffentliche Stellen, also private Stellen (z.B. Unternehmen). Demnach dürfen personenbezogene Daten auch zu anderen Zwecken verarbeitet werden als zu jenen, zu dem sie erhoben worden sind, wenn einer der folgenden Punkte vorliegt:

 

1. Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich (z.B. ein Chemikalien-Unternehmen gibt Daten über einen verdächtigen Kunden an Sicherheitsbehörden weiter, weil dieser Chemikalien zum Bau einer Bombe gekauft hat)
 

2. Geltendmachung, Ausübung bzw. Verteidigung von zivilrechtlichen Ansprüchen (z.B. ein Gast einer Diskothek hinterlässt seine Daten bei einem Gewinnspiel am Eingang, später soll er nach einem Streit ein Hausverbot erhalten und will seine Daten nicht herausgeben. Nun werden die Daten für einen anderen Zweck genutzt) Bei der Verarbeitung von besonders sensiblen personenbezogenen Daten gibt es noch weitere Bestimmungen, die erfüllt sein müssen, damit diese anderweitig verwendet werden können.

 


Beschränkung der Grundsätze der Verarbeitung

Durch die Entwicklung neuer Gesetze können die Berechtigung zur Datenverarbeitung jedoch auch wieder eingeschränkt werden. In Artikel 23 der DSGVO werden mehrere Punkte angegeben, in denen diese Möglichkeit vorliegt. Diese sind:

 

1. Schutz der nationalen Sicherheit, öffentlichen Sicherheit oder Landesverteidigung
2. Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten
3. Schutz weiterer Ziele wie wirtschaftliche oder finanzielle Interessen des Staates
4. Schutz der Unabhängigkeit von Justiz und Gerichtsverfahren
5. Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen in reglementierten Berufen (z.B. Versicherungsvertreter)
6. Schutz der betroffenen Personen oder Rechte und Freiheit anderer Personen
7. Durchsetzung zivilrechtlicher Ansprüche

 

Während das neue Gesetz, welches die Verarbeitungsrechte von öffentlichen und privaten Stellen einschränkt, entworfen wird, muss dieses einen bestimmten Inhalt haben. So müssen z.B. die betroffenen personenbezogene Daten oder der Umfang der vorgenommenen Beschränkungen näher beschrieben werden.

 


Technische und organisatorische Schutzmaßnahmen

Artikel 24 DSGVO besagt, dass der Verantwortliche der bei einer öffentlichen oder nicht öffentlichen Stelle für die Datenverarbeitung zuständig ist und diese beaufsichtigt, geeignete technische und organisatorische Maßnahmen zu treffen hat, damit die Datenverarbeitung die er umsetzt oder beaufsichtigt, den rechtlichen Vorgaben erfolgt.

 

Artikel 32 DSGVO beschreibt dann näher, welche möglichen Maßnahmen der Verantwortliche treffen kann. Dabei muss dieser den aktuellen Stand der Technik, Kosten,
Art und Umfang der Datenverarbeitung sowie die Risiken für die Datenverarbeitung beachten. Ziel ist die Erreichung eines angemessenes Schutzniveaus.

Solche Maßnahmen können folgende sein:

 

– Pseudonymisierung oder Verschlüsselung
– Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit oder Belastbarkeit des Systems
– Zugang zu Daten nach physischem oder technischem Zwischenfall wiederherstellen
– Verfahren implementieren, dass die Sicherungsmaßnahmen regelmäßig überprüft und bewertet

 

Das Schutzniveau, welches zu erreichen ist, richtet sich nach der Beurteilung von Risiken für Vernichtung, Verlust oder Veränderung der Daten, oder der unbefugte Zugriff darauf.

Neben den Maßnahmen muss der Verantwortliche auch darauf achten, dass die Personen, die Zugang zu den personenbezogenen Daten haben diese auch nur gemäß den Bestimmungen und nur nach Anweisung verarbeiten.

 copyright 2020 - All Rights Reserved