Etwas Grundlegendes zum Datenschutz

Der Datenschutz beruht auf der Datenschutzgrundverordnung (DSGVO) oder VO (EU) 2016/679, die seit dem 20.05.2016 geltendes Europarecht ist und seit dem 25.05.2018 zur Anwendung kam. Damit ging eine 2-jährige Übergangsfrist zu Ende, in der sich alle Unternehmen auf die neue Verordnung ein-/umstellen konnten.

Dies ist nun inzwischen auch schon wieder fast 3 Jahre her … und wer bis jetzt noch nicht daran gedacht hat, sich mit dem Datenschutz auseinanderzusetzen … der tut wahrscheinlich gut daran, dies demnächst zu tun. Denn je mehr Zeit vergeht, desto weniger freudsam wird wahrscheinlich die Diskussion mit der Aufsichtsbehörde – sofern man erwischt wird.

Daten sind heute so wichtig wie nie zuvor für die Wirtschaft. Das wussten auch die Gesetzgeber und haben folgenden Passus mit aufgenommen:

Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Art. 1 Abs. 3 DSGVO

Das bedeutet jedoch nicht, dass damit Tür und Tor offen steht für den freien Datenaustausch. Der Datenschutz greift für jedes Unternehmen – egal ob Einzelunternehmen oder eine große GmbH oder AG. Und der Datenschutz kommt in vielen nationalen und europäischen Gesetzen daher:

  • Datenschutzgrundverordnung
  • Bundesdatenschutzgesetz
  • Telemediengesetz
  • ePrivacy Richtlinie / demnächst auch die ePrivacy Verordnung
  • Sozialgesetzbuch

um nur ein paar zu nennen. Die DSGVO sellt dabei einen umfangreichen Anspruch an den Datenschutz. Das beginnt z.B. bei:

  • Vertraulichkeit der Daten – Dürfen nur Personen die Daten sehen, die diese auch unbedingt benötigen?
  • Integrität der Daten – Sind die Daten vollständig und richtig?
  • Verfügbarkeit der Daten – Existiert ein Notfallplan und ein Wiederanlaufplan?
  • Risikobetrachtungen  – Liegen diese für jede Verarbeitung in Bezug zur Schandenauswirkung und Eintrittswahrscheinlichkeit vor?
  • IT-Sicherheit – Sind die technischen und organisatorischen Maßnahmen auf dem aktuellen Stand?

Dies erfodert ein beträchtliches Maß an Dokumentation seitens des Verantwortlichen. Er muss nämlich zu jedem Zeitpunkt nachweisen können, dass der Datenschutz den gesetzlichen Anforderungen gerecht wird. Dazu sind vor allem Nachweise zu führen (entweder in Papierform oder digital) wie z.B:

  • Verzeichnis von Verarbeitungstätigkeiten
  • Risikobetrachtungen für jede Verarbeitung
  • Informationspflicht für jede Verarbeitungstätigkeit
  • Einwilligung z.B. für den Newsletterversand
  • Datenschutzfolgen-Abschätzung für besonders gefahrenbehaftete Verarbeitungen
  • Verträge zur Auftragsverarbeitung

um hier auch nur die wesentlichen zu nennen. Grundsätzlich gilt – alles aufschreiben, was der Dokumentation gegenüber einer Aufsichtsbehörde helfen kann. Denn diese muss nachvollziehen können, warum etwas genau so gemacht wurde.