Das Thema Datenschutz umfasst zwei wesentliche Grundlagen: den Schutz der Daten und den Schutz der Person vor gesammelten Daten. Während Ersteres ein organisatorisches und technisches Problemfeld ist, welches von den Betreibern einer Infrastruktur gelöst werden muss, wird das Thema »Schutz der Person vor Datensammlungen« auf Gesetzesebene gelöst. Dafür haben etwa Deutschland, Österreich oder die Schweiz ihre nationalen Datenschutzgesetze.
Im Wesentlichen behandeln diese Gesetze folgende Themen:
– Welche Daten machen eine Datensammlung aus? Welches sind die identifizierbaren Merkmale (in den USA Personally Identifiable Information, PII genannt, und PHI, Personally Health Information)?
– Welche Rechte haben Personen gegenüber den Stellen, die ihre Daten bearbeiten (Recht auf Richtigkeit, Rechtmäßigkeit, Bekanntgabe etc.)?
– Unter welchen Voraussetzungen dürfen welche Daten zu einer Person erhoben, gespeichert, verarbeitet und weitergegeben werden?
– Welche Daten einer Person sind besonders schützenswert (z.B. politische Gesinnung, Gesundheit, religiöse Ansichten, Daten zur Strafverfolgung)?
– Unter welchen Bedingungen dürfen schützenswerte Daten erhoben werden (was ist ein höheres Interesse)?
– Welche Anforderungen müssen bei der Speicherung, Eingabe, dem Transport und der Weitergabe von Personendaten eingehalten werden und welche Verschärfungen gelten bei der Bearbeitung von besonders schützenswerten Daten?
Diese Gesetze werden regelmäßig an die aktuellen Entwicklungen der Datenverarbeitung, aber auch an die Schutzbedürfnisse der Betroffenen angepasst. Erwähnenswert ist an dieser Stelle die Verschärfung der Datenschutzgesetzgebung, die von der EU ausgeht.
DSGVO
Diese neue Gesetzgebung ist im Mai 2016 in Kraft gesetzt worden, und nach einer Übergangsfrist von zwei Jahren wurde sie ab dem 25. Mai 2018 in Form der EU-Datenschutz-Grundverordnung (EU-DSGVO) 2016/679 rechtswirksam. Dadurch wird erstmals eine Vereinheitlichung der Datenschutzregelungen über alle Mitgliedsstaaten der EU erwirkt.
Die EU-DSGVO wird neu als Verbotsgesetz mit Erlaubnisvorbehalt ausgestaltet. D.h., die Bearbeitung und Speicherung von Daten muss nachgewiesenermaßen notwendig sein, damit sie erfolgen kann. Zudem muss jedes Land in Zukunft einen Datenschutzbeauftragten ausweisen, um die Rechte betroffener Personen zu schützen.
Weitere wesentliche Neuerungen sind die Stärkung der Rechte von Personen, deren Daten erfasst und bearbeitet werden. So gehört neu das »Recht auf Vergessen« in die Verordnung, d.h. Vorgaben zur Löschung von Daten, die die Unternehmen stärker in die Pflicht nehmen. Aber auch die Richtlinien zur Bearbeitung (Erhöhung der Transparenz) und das Auskunftsrecht wurden verbessert.
Wesentlich ist zudem die Neuerung, dass auch Staaten außerhalb der EU sich an deren Bestimmungen zum Datenschutz halten müssen, wenn sie Daten mit Unternehmen innerhalb der EU austauschen wollen. Somit betrifft die neue Verordnung auch Unternehmen in der Schweiz, und zwar nicht wenige. Dies führt wiederum dazu, dass auch die Schweiz an einer Überarbeitung des Datenschutzgesetzes arbeitet, die in den nächsten Jahren in Kraft treten wird.
Nicht zuletzt wurden die Bußgelder massiv erhöht, die bei einem nachgewiesenen Verstoß gegen die gesetzlichen Bestimmungen fällig werden. Sie können 2 bis maximal 4 % des weltweiten (!) Jahresumsatzes eines Unternehmens betragen.
Wichtig ist an dieser Stelle: Wenn Sie Daten erheben, und seien Sie auch nur eine Einzelfirma, die Ihre Kundendaten auf dem PC verwaltet, sind Sie den nationalen Bestimmungen des Datenschutzgesetzes unterstellt. Dieses regelt sowohl den Umgang mit Daten, die Art, wie Daten gesammelt werden dürfen, aber auch die Aufbewahrung und den Schutz der Daten vor unbefugtem Zugriff, die Pflicht der Manipulationsfreiheit und die Informationspflicht gegenüber den Betroffenen.
So müssen Datensammlungen gesetzeskonform angelegt werden, d.h., es dürfen nur themenbezogene Daten erhoben werden, sie dürfen nicht ohne Weiteres besonders schützenswerte Informationen enthalten und die Daten müssen rechtmäßig erworben sein. Das alles regelt die Konformität der Daten.
Der Begriff »besonders schützenswert« wiederum stellt eine Klassifizierung der Daten dar. Unter schützenswerte Daten gehören im Wesentlichen Angaben zu Gesundheit, Religion, Rassenzugehörigkeit oder politischer Gesinnung und Zugehörigkeit, aber auch Krankenakten oder polizeiliche Ermittlungen.
Dieser Artikel ist ein Auszug aus dem Buch „CompTIA A+“ von Markus Kammermann. Alle Infos zum Buch, das Inhaltsverzeichnis und eine kostenlose Leseprobe findet ihr bei uns im Shop.