Datenschutzgesetze und ihre Umsetzung: Grundlagen, Maßnahmen und Folgen bei Verstößen
Die Einführung der DSGVO und die Umsetzung im deutschen Recht macht ein Handeln in Bezug auf den Datenschutz in jedem Unternehmen notwendig.
Lesen Sie in diesem Artikel, was die Datenschutzgesetze ausmacht, welche Daten als sensibel definiert wurden und wie sie rechtssicher mit diesen umgehen können und welche Strafen bei Untätigkeit drohen.
Europäischer Datenschutz und Deutsche Umsetzung
DSGVO und TTDSG
Die Datenschutzgrundverordnung (DSGVO) ist ein europäisches Datenschutzgesetz, das am 25. Mai 2018 in Kraft getreten ist. Es gilt in allen Mitgliedstaaten der Europäischen Union (EU) und hat das Ziel, den Schutz personenbezogener Daten innerhalb der EU zu stärken und zu harmonisieren.
Das Gesetz wurde beschlossen, um die wachsende Bedeutung von Daten in unserer digitalen Welt anzuerkennen und um den Schutz personenbezogener Daten zu verbessern. Die Verordnung ist eine Reaktion auf die zunehmenden Bedenken von Verbrauchern bezüglich des Datenschutzes und der Verarbeitung ihrer Daten durch Unternehmen. Die DSGVO soll sicherstellen, dass Unternehmen personenbezogene Daten nur auf rechtmäßige, transparente und faire Weise verarbeiten und dabei die Rechte der betroffenen Personen respektieren.
Das TTDSG, das am 20. Dezember 2018 in Deutschland in Kraft getreten ist, ergänzt die DSGVO um nationale Regelungen. Es legt insbesondere die Aufgaben der Aufsichtsbehörden, die Rechte der betroffenen Personen sowie die Sanktionen bei Verstößen gegen die Datenschutzvorschriften fest.
Die Grundsätze der DSGVO
Datensparsamkeit
Unternehmen sollen nur so viele personenbezogene Daten erheben, wie für den jeweiligen Zweck notwendig sind.
Zweckbindung
Die Verarbeitung personenbezogener Daten soll nur für einen bestimmten, vorher festgelegten Zweck erfolgen.
Transparenz
Unternehmen müssen die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten informieren und ihnen bestimmte Rechte einräumen.
Einwilligung
Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat. Die Einwilligung muss freiwillig, informiert und unmissverständlich sein.
Anonymisierung und Pseudonymisierung
Bei der Verarbeitung personenbezogener Daten ist es häufig notwendig, bestimmte Maßnahmen zu ergreifen, um den Datenschutz zu gewährleisten. Zwei wichtige Maßnahmen sind Anonymisierung und Pseudonymisierung.
Anonymisierung
Bei der Anonymisierung werden personenbezogene Daten so verändert, dass sie nicht mehr einer bestimmten Person zugeordnet werden können. Die Daten sind somit anonymisiert und fallen nicht mehr unter den Anwendungsbereich der DSGVO.
Pseudonymisierung
Demgegenüber werden bei der Pseudonymisierung personenbezogene Daten so adaptiert, dass sie nicht mehr direkt auf eine Person verweisen. Es werden zusätzliche Informationen benötigt, um einen Rückschluss zu ermöglichen. Die Daten sind pseudonymisiert und fallen weiterhin unter den Anwendungsbereich der DSGVO.
Verwendung pseudonymisierter Daten mit Einschränkungen
Pseudonymisierte Daten können jedoch für bestimmte Zwecke verwendet werden, beispielsweise für statistische Analysen oder zur Verbesserung von Produkten und Dienstleistungen. Um sicherzustellen, dass die Daten weiterhin geschützt bleiben, müssen Unternehmen jedoch bestimmte Sicherheitsvorkehrungen treffen. Dazu gehört beispielsweise die Speicherung der Pseudonymisierungs-Schlüssel getrennt von den eigentlichen Daten.
Weitere Maßnahmen zum Schutz personenbezogener Daten
Verschlüsselung
Durch Verschlüsselung werden Daten so gespeichert und übertragen, dass sie nur von berechtigten Personen gelesen und verarbeitet werden können. Eine Möglichkeit ist die End-to-End-Verschlüsselung, bei der die Daten nur von den beiden beteiligten Parteien entschlüsselt werden können.
Zugriffskontrollen
Durch Zugriffskontrollen können Unternehmen den Zugang zu sensiblen Daten auf bestimmte Mitarbeiter oder Abteilungen beschränken. Hierzu können beispielsweise Passwörter, Berechtigungssysteme oder biometrische Authentifizierungsmaßnahmen eingesetzt werden.
Datensparsamkeit
Unternehmen sollten nur die Daten erheben, die für den Zweck der Verarbeitung erforderlich sind. Wenn möglich, sollten sie auch darauf achten, dass diese Daten nicht direkt auf Personen zurückgeführt werden können.
Auditierung
Durch regelmäßige Audits können Unternehmen sicherstellen, dass ihre Datenschutzmaßnahmen wirksam sind und den Anforderungen der DSGVO entsprechen. Hierbei kann auch geprüft werden, ob alle Datenverarbeitungsvorgänge im Einklang mit dem Datenschutz stehen.
Schulungen
Eine weitere Maßnahme ist die Schulung der Mitarbeiterinnen und Mitarbeiter. Hierbei können sie für den Datenschutz sensibilisiert werden und lernen, wie sie mit personenbezogenen Daten umgehen sollten.
Welche Daten gelten als sensibel?
Sensible personenbezogene Daten sind Daten, die besonders schützenswert sind, weil mit ihnen Schlüsse auf die Gesundheit, die sexuelle Orientierung, die Religions- und Gewerkschaftsmitgliedschaft oder die ethnische Herkunft einer Person möglich sind. Auch Informationen über strafrechtliche Verfolgung oder Verurteilungen sowie biometrische Daten wie Fingerabdrücke oder Gesichtserkennungsmerkmale zählen zu den sensiblen Daten. Unternehmen sollten bei der Verarbeitung solcher Daten besonders vorsichtig sein und geeignete Schutzmaßnahmen ergreifen, um deren Vertraulichkeit und Integrität zu gewährleisten.
Ausnahmen bei der Verarbeitung sensibler Daten
Obwohl alle personenbezogenen Daten gemäß DSGVO geschützt werden müssen, gibt es einige Ausnahmen, bei denen die Verarbeitung personenbezogener Daten zulässig sein kann, auch ohne die ausdrückliche Einwilligung der betroffenen Person. Beispiele für solche Ausnahmen sind:
Erfüllung eines Vertrags
Schutz lebenswichtiger Interessen
Erfüllung einer rechtlichen Verpflichtung
Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt
Es ist jedoch wichtig zu beachten, dass in allen Fällen die Verarbeitung personenbezogener Daten den Grundsätzen der DSGVO entsprechen muss und dass die betroffenen Personen über ihre Rechte in Bezug auf die Verarbeitung ihrer Daten informiert werden müssen.
ProxyRiders - DSGVO-konformes Webtracking
Unsere Lösung für Server-side Tagging steigert Ihre Datenqualität, während Sie zeitgleich alle Anforderungen der Datenschutzgrundverordnung beachten können. Durch den Software-as-a-Service-Ansatz bieten wir eine schnelle Installation und keinen Wartungsaufwand für Sie!
Strafen und Konsequenzen
Verstöße gegen die DSGVO
Die DSGVO sieht hohe Bußgelder bei Verstößen gegen die Datenschutzvorschriften vor. Die Höhe der Bußgelder richtet sich nach der Art des Verstoßes, dem Umfang der betroffenen Daten und dem Grad des Verschuldens. Unternehmen können dabei mit Bußgeldern von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro belegt werden, je nachdem welcher Betrag höher ist.
Darüber hinaus können Verstöße gegen die DSGVO auch zu Ansprüchen auf Schadensersatz führen, die von betroffenen Personen geltend gemacht werden. Unternehmen können dadurch nicht nur finanzielle Einbußen verzeichnen, sondern auch einen Imageschaden erleiden und das Vertrauen von Kunden und Geschäftspartnern verlieren.
Es ist daher wichtig, dass Unternehmen ein Datenschutzkonzept erstellen und dieses regelmäßig überprüfen. Sie sollten auch sicherstellen, dass alle Anforderungen der DSGVO erfüllt werden, wie beispielsweise die Einhaltung von Datenschutzerklärungen, die Implementierung von Cookie-Bannern und Cookie-Consent-Tools, sowie die Überwachung von Google Analytics und dem Drittstaaten-Datentransfer.
Datenschutzkonformität in Zeiten von Abmahnwellen
Seit dem Inkrafttreten der DSGVO im Jahr 2018 haben viele Unternehmen mit der Umsetzung der neuen Datenschutzbestimmungen gekämpft. Insbesondere kleinere Unternehmen und Startups waren oft überfordert und haben Schwierigkeiten, sich an die neuen Bestimmungen zu halten. Als Reaktion darauf gab es in einigen Ländern, darunter Deutschland, eine Zunahme von Abmahnungen wegen Verstößen gegen die DSGVO.
Eine Abmahnung wegen eines Datenschutzverstoßes kann von jeder Person oder Organisation ausgestellt werden, die ein berechtigtes Interesse an der Einhaltung der Datenschutzbestimmungen hat. Die Abmahnungen können sehr teuer sein, da sie in der Regel mit der Aufforderung verbunden sind, eine strafbewehrte Unterlassungserklärung abzugeben und Schadensersatz zu leisten. Insbesondere Anwälte haben die Möglichkeit, von dieser Entwicklung zu profitieren und eine Abmahnwelle auszulösen, indem sie Verstöße gegen die DSGVO aufdecken und diese dann gegenüber Unternehmen geltend machen.
Es ist daher von großer Bedeutung, dass Unternehmen und Organisationen sicherstellen, dass sie ihre Datenschutzkonzepte und -maßnahmen so gestalten, dass sie den Anforderungen der DSGVO entsprechen. Nur so können sie sicherstellen, dass sie rechtskonform handeln und mögliche Strafen oder Abmahnungen vermeiden können.