In der heutigen digitalen Welt, in der persönliche Daten einfach gesammelt und ausgetauscht werden können, ist Datenschutz zu einem der wichtigsten Themen geworden. Ob es um unsere sozialen Netzwerke, Online-Shopping oder den Zugriff auf unsere Bankkonten geht – wir geben ständig Informationen über uns preis, oft ohne uns dessen bewusst zu sein.
Ein einziger Datenverstoß kann dazu führen, dass die Identität gestohlen wird, finanzielle Informationen kompromittiert werden oder die Privatsphäre verletzt wird.
Datenschutz ist deswegen mehr als nur ein Thema für Unternehmen und Organisationen. Es geht um die grundlegenden Rechte jedes Einzelnen, seine persönlichen Daten zu schützen.
Was genau versteht man unter der DSGVO?
DSGVO steht für die Datenschutz-Grundverordnung und ist eine europäische Datenschutzverordnung, die am 25. Mai 2018 in Kraft getreten ist. Sie hat das Ziel, den Datenschutz innerhalb der Europäischen Union (EU) zu stärken. In Deutschland dient der Datenschutz vor allem der Gewährung eines allgemeinen Grundrechtes, das jedem Bürger der Bundesrepublik durch das Grundgesetz (GG) eingeräumt wird: das Recht auf informationelle Selbstbestimmung.
Die Datensicherheit ist hingegen wesentlich weiter gefasst und betrifft grundsätzlich jede Form von Daten, die vor dem unbefugten Zugriff und Missbrauch geschützt werden sollen. Sie gilt für alle Organisationen und Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob sich die Organisation oder das Unternehmen innerhalb oder außerhalb der EU befindet.
Zu solchen Daten gehören alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Die DSGVO enthält Bestimmungen über die Rechte von betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten. Außerdem fordert sie von Unternehmen und Organisationen, angemessene „Technische und Organisatorische Maßnahmen“ (TOMs) zu ergreifen, um die Sicherheit dieser Daten zu gewährleisten.
Die Nicht-Einhaltung der DSGVO kann zu empfindlichen Geldbußen führen, die bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens oder bis zu 20 Millionen Euro betragen können, je nachdem, welcher Betrag höher ist. Bei strafrechtlichen Sanktionen sind Freiheitsstrafen von bis zu drei Jahren möglich, wenn beim Datenschutzverstoß eine Bereicherungsabsicht nachgewiesen werden kann.
Was versteht man in diesem Zusammenhang unter TOMs?
TOMs (Technische und Organisatorische Maßnahmen) im Datenschutz sind spezielle Sicherheitsvorkehrungen, die dazu dienen, personenbezogene Daten vor unerlaubtem Zugriff, Verlust, Veränderung oder Missbrauch zu schützen. TOMs sind eine zentrale Anforderung an den Datenschutz und müssen von allen Organisationen und Unternehmen umgesetzt werden, die personenbezogene Daten verarbeiten.
Zu den TOMs gehören unter anderem:
Zugangs- und Zugriffskontrollen, Maßnahmen zur Datenintegrität und Maßnahmen zur Datensicherheit wie beispielsweise Verschlüsselung oder Anonymisierung. Die genauen TOMs können je nach Art und Umfang der Datenverarbeitung variieren. Es ist jedoch wichtig, dass alle Organisationen und Unternehmen die TOMs regelmäßig überprüfen und anpassen, um sicherzustellen, dass sie immer den aktuellen Anforderungen des Datenschutzes entsprechen.
Besonderheiten sowie Vor- und Nachteile des Datenschutzes in Deutschland
In Deutschland ist, wie erwähnt, der Datenschutz als Grundrecht im Grundgesetz verankert. Ab einer gewissen Größe müssen Unternehmen, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten ernennen. Die Verarbeitung personenbezogener Daten ist nur mit Einwilligung der betroffenen Person erlaubt. Unternehmen müssen transparent sein und die betroffenen Personen über die Verarbeitung ihrer Daten informieren. Es dürfen nur so viel Daten verarbeitet werden, wie für den jeweiligen Zweck erforderlich sind.
Ein Nachteil des Datenschutzes ist, dass er oft viel Bürokratie erfordert. Er kann zu einem hohen Verwaltungsaufwand führen. Durch den Schutz der Privatsphäre sind Unternehmen in der Verarbeitung von Daten eingeschränkt, was die Entwicklung neuer Geschäftsmodelle behindern kann. Der Datenschutz kann sehr komplex sein und erfordert oft spezielles Fachwissen.
Unterschiede im Datenschutz zwischen einzelnen europäischen Ländern
Es gibt Unterschiede im Datenschutz zwischen den einzelnen Staaten. Dies liegt daran, dass es unterschiedliche Gesetze und Vorschriften gibt, die den Umgang mit personenbezogenen Daten regeln.
In manchen Ländern ist der Datenschutz als Grundrecht im Verfassungsrecht verankert, während er in anderen nur durch Gesetze geregelt ist. Die Rolle der Datenschutzbehörden variiert ebenfalls. In einigen Staaten haben sie weitreichende Befugnisse, während sie in anderen nur begrenzte Kontrollmöglichkeiten haben. Zudem weichen die Anforderungen an die Meldepflichten untereinander ab. Mancherorts müssen Unternehmen jeden Datenschutzverstoß melden, während in sonstigen Staaten nur schwerwiegende Verstöße gemeldet werden müssen.
Bei Drittländern wie der Schweiz gelten teilweise andere Regeln – jedoch wird das revidierte Schweizer Datenschutzgesetz (revDSG) am 1. September 2023 in Kraft treten. Es nähert sich in einigen Punkten der DSGVO an. Allerdings weichen die Vorgaben der revDSG bei Auskunftsgesuchen von Betroffenen in Bezug auf den Inhalt der Auskunftserteilung von der DSGVO ab. Auch müssen die Melde- und Genehmigungspflichten beim Datenexport separat beurteilt werden. Eine Pflicht zur Einsetzung eines Datenschutzbeauftragten ist im Gegensatz zur DSGVO weiterhin nicht vorgesehen.
Mit dem Austritt aus der EU am 1. Januar 2021 ist auch das Vereinigte Königreich offiziell nicht mehr Teil der EU-DSGVO.
Trotz alledem hat die DSGVO dazu beigetragen, den Datenschutz in Europa insgesamt zu verbessern und einheitlichere Standards zu schaffen.
Anders als in Deutschland mit dem Bundesdatenschutzgesetz und auf europäischer Ebene mit der Datenschutzgrundverordnung gibt es kein allgemeines und umfassendes Datenschutzgesetz in den USA.
Sensible Daten bei der Polizei, im Gesundheitswesen und bei Steuern
Zu besonders sensiblen Daten, die bei der Polizei verarbeitet werden können, gehören beispielsweise Angaben zur
- ethnischen Herkunft,
- politischen Einstellung,
- Gewerkschaftszugehörigkeit,
- Gesundheitszustand,
- religiösen Überzeugungen oder
- sexuellen Orientierung.
Diese Daten dürfen nur unter bestimmten Umständen erhoben, verarbeitet oder weitergegeben werden.
Die Verarbeitung von empfindlichen Daten im Polizeiwesen, im Gesundheitswesen und bei Steuern unterscheidet sich in einigen wesentlichen Aspekten. Im Polizeiwesen geht es meist um personenbezogene Daten, die im Zusammenhang mit Straftaten oder Verbrechen stehen, wie etwa Vorstrafen, polizeilichen Ermittlungen, Verdächtigungen oder Tatverdächtigen. Hier sind spezialisierte Lösungen notwendig, die die besonderen Sicherheitsanforderungen beim Umgang und Austausch mit den Informationen leisten können.
Im Gesundheitswesen hingegen geht es in erster Linie um Gesundheitsdaten, wie medizinische Diagnosen, Krankheitsgeschichten oder Medikationspläne.
Bei der Verarbeitung von Steuerdaten hingegen geht es in der Regel um finanzielle Informationen, wie beispielsweise Einkommensdaten, Steueridentifikationsnummern oder Bankverbindungen.
Alle drei Bereiche erfordern einen besonders hohen Schutz sensibler Daten. Im Gesundheitswesen und bei Steuern stehen die Gesundheitsdaten bzw. finanziellen Informationen von Menschen im Fokus.
Beispiele für Datenschutzverletzungen
- Hackerangriffe: Unbefugte können in die Computersysteme von Unternehmen oder Organisationen eindringen und Daten stehlen oder beschädigen.
- Phishing: Betrüger können gefälschte E-Mails, die wie legitime E-Mails aussehen, an Personen senden, um sie dazu zu bringen, persönliche Daten wie Passwörter oder Kreditkartendaten preiszugeben.
- Verlust oder Diebstahl von Geräten: Wenn ein Unternehmen oder eine Organisation vertrauliche Daten auf Laptops, Smartphones oder anderen mobilen Geräten speichert und diese Geräte verloren gehen oder gestohlen werden, können die Daten in die falschen Hände geraten.
- Mitarbeiterfehler: Mitarbeiter können versehentlich oder absichtlich vertrauliche Daten freigeben oder ungeschützt lassen, zum Beispiel durch den Versand von E-Mails an die falsche Person oder das Verwahren von vertraulichen Dokumenten an einem öffentlichen Ort.
- Missbrauch von Zugangsdaten: Personen können unbefugt auf vertrauliche Daten zugreifen, indem sie gestohlene Zugangsdaten verwenden oder sich Zugang zu einem System verschaffen, indem sie die Sicherheitsmaßnahmen desselben umgehen.
Diese Beispiele zeigen, dass Datenschutzverletzungen in vielen Formen und Größen auftreten können. Es ist wichtig, dass Unternehmen und Organisationen sich bewusst sind, wie Datenverletzungen auftreten können, und Maßnahmen ergreifen, um die Sicherheit und Vertraulichkeit der Daten zu gewährleisten.
Fazit
In der heutigen digitalen Welt ist es von entscheidender Bedeutung, persönliche Daten zu schützen. Viele Menschen gehen immer noch sehr sorglos mit den eigenen Daten um, sei es aus Unkenntnis um den Wert der Daten oder Naivität im Umgang mit dem Internet.
Datenschutzverstöße können in den unterschiedlichsten Bereichen auftreten und verschiedene Auswirkungen haben. Um einen Überblick zu behalten und gar nicht erst einen Verstoß gegen die DSGVO zu riskieren, lohnt sich die Benennung eines Datenschutzbeauftragten.
Denn Organisationen und Unternehmen haben hier ganz klar eine Verantwortung. Sie müssen sicherstellen, dass sie sich an die Datenschutzgesetze halten und die persönlichen Daten ihrer Kunden und Benutzer schützen. Datenschutz umfasst nicht nur den Schutz vor unbefugtem Zugriff und Missbrauch, sondern auch die Transparenz darüber, wer unsere Daten sammelt und wie sie verwendet werden. Nur so kann ein angemessenes Maß an Vertrauen und Sicherheit trotz der fortschreitenden Digitalisierung gewährleistet werden.
Neue Entwicklungen – etwa im Bereich der künstlichen Intelligenz – gehen mit neuen rechtlichen Fragen einher. Die Geschwindigkeit, mit der innovative Anwendungen entstehen, ist oft um einiges schneller, als Regulierungen zur Sicherheit der Nutzer geschaffen werden können.
