Datenschutz: Das müssen Unternehmen wissen

Datenschutz: Das müssen Unternehmen wissen.

Datenschutz betrifft uns alle – privat und beruflich. Welche Daten wollen wir teilen? Wie, wo und durch wen werden sie verarbeitet? Das sind Fragen, die alle angehen. Unternehmen müssen sicherstellen, dass sie unsere Daten schützen. Welche Rolle gesetzliche Vorgaben dabei spielen und wie Unternehmen sich organisieren sollten, wenn sie sich mit Datenschutz und Informationssicherheit befassen, erkläre ich in diesem Blog.

Jedes Jahr am 28. Januar findet der Europäische Datenschutztag statt. Er soll an die Bedeutung des Schutzes personenbezogener Daten erinnern und ermuntern, unsere Privatsphäre selbst in die Hand zu nehmen sowie unsere Grundrechte auszuüben. Der 28. Januar wurde vom Europarat nicht zufällig gewählt. Er erinnert an das erste Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, der am 28.01.1981 unterzeichnet wurde.

Datenschutz: Eine Frage der eigenen Entscheidung.

Wir alle geben Daten an Unternehmen – aus unterschiedlichen Gründen. Egal ob beim Arztbesuch, beim Online-Shopping oder beim Austausch über soziale Medien, ohne den Austausch von persönlichen Informationen geht es nicht. Das bedeutet, dass der Schutz der Daten nicht ausschließlich darin bestehen kann, dass diese erst gar nicht verarbeitet werden dürfen. Es geht vielmehr darum, dass wir selbst entscheiden können, wer unsere Daten zu welchen Zwecken verarbeiten darf und das Unternehmen entsprechende Vorsichtsmaßnahmen treffen müssen, damit unsere Daten eben nicht für andere Zwecke missbraucht werden.

Zum Whitepaper Datenschutz und Informationssicherheit bei Bechtle

Welche Daten wir zur Verfügung stellen möchten, ist sehr individuell. Während einige ihr Privatleben auf Social-Media-Kanälen teilen, fühlen sich andere unwohl dabei, wenn im Rahmen einer Online-Bestellung Zahlungsdaten abgefragt werden. Wo die Grenze der eigenen Privatsphäre liegt, muss und darf jeder für sich selbst bestimmen. Daher gehen Aussagen wie „Wer nichts zu verbergen hat,…“ am eigentlichen Gedanken des Datenschutzes vorbei. Jeder hat persönliche Informationen, die nicht geteilt oder an die Öffentlichkeit gelangen sollen. Datenschutzskandale, wie sie in den vergangenen Jahren häufiger in den Medien zu finden waren, zeigen uns, wie wichtig der Schutz unserer Daten ist.

Definition Datenschutz.

Sammelbegriff über die in verschiedenen Gesetzen zum Schutz des Individuums angeordneten Rechtsnormen, die erreichen sollen, dass seine Privatsphäre in einer zunehmend automatisierten und computerisierten Welt vor unberechtigten Zugriffen von außen geschützt wird.

Quelle: Gabler Wirtschaftslexikon.

Datenschutz ist kein Verhinderer.

Grundsätzlich gilt: Datenschutz ist kein „Super“-Grundrecht, sondern muss entsprechend gegenüber anderen Grundrechten abgewogen werden. Leider wird diese Abwägung jedoch oftmals zu früh getroffen, da eine datenschutzfreundliche Umsetzung in den meisten Fälle die Erreichung des eigentlichen Ziels nicht ausschließt. Datenschutz ist kein Verhinderer. Es geht vielmehr um die Gestaltung der Umsetzung. Deshalb ist es immer besser, Fachleute, wie den Datenschutzbeauftragten, einzubinden.

Ist Informationssicherheit der neue Datenschutz?

Informationssicherheit gewinnt immer mehr an Bedeutung. Es ist eines der Themen, das zuletzt wie ein Hype durch viele Unternehmen ging. Ein Grund dafür sind die immer weiter zunehmenden Cyberangriffe, die Unternehmen existenziell bedrohen können. Ein anderer sind verschärfte gesetzliche Vorgaben. Durch das Patientendatenschutzgesetz wurde die Einführung eines Informationssicherheitssystems beispielsweise für betroffene Krankenhäuser zur Pflicht.

Es stellt sich die Frage, ob die Informationssicherheit auch den Datenschutz mit abdeckt. Immerhin sind zum Beispiel die Schutzziele „Vertraulichkeit, Integrität und Verfügbarkeit“ in beiden Bereichen verankert. Schulungen werden oft kombiniert und umfassen in der Regel Inhalte aus beiden Gebieten.

Wenn wir uns jedoch den Betrachtungswinkel ansehen, merken wir schnell, dass beide unterschiedlich sind. Während Informationssicherheit primär das Unternehmen vor Schaden schützen soll, geht es im Datenschutz um den Schutz der Grundrechte einer Person. Dies wird auch an den zusätzlichen Zielen der Datenminimierung, Nichtverkettbarkeit und der Transparenz bzw. Intervenierbarkeit deutlich. Erst in der Gesamtheit ermöglichen sie uns, Kontrolle über die Verarbeitung unserer Daten zu gewinnen und einen entsprechenden Schutz einzufordern.

Datenschutz ist mehr als eine Datenschutzerklärung.

Insgesamt sollte klar sein, dass es beim Datenschutz nicht um eine einmalige Sache geht. Es geht nicht darum, die DSGVO einmal umzusetzen. Durch die Digitalisierung und Globalisierung verändern sich die IT-Systeme und Prozesse immer schneller. Nicht nur vor dem Hintergrund von Big Data werden Informationen über Menschen immer wertvoller. Umso wichtiger ist es, dass wir uns bewusstwerden, wie wichtig Datenschutz ist. Diese Einschätzung teilen auch Gerichte, wie zum Beispiel der EUGH. Unternehmen müssen sich dementsprechend auf strengere Vorgaben einstellen. Das Schrems II Urteil zur Datenübermittlung in Drittstaaten oder das Cookie-Urteil des BGH sind hier nur zwei Beispiele. Auch die Aufsichtsbehörden werden zukünftig immer strengere Anforderungen stellen.

Durch die Nachweispflicht sind Unternehmen verpflichtet, die Einhaltung der datenschutzrechtlichen Anforderungen nachweisen zu können. Dazu ist eine Datenschutzorganisation notwendig, bei der Prozesse und Strukturen optimal in der Organisation implementiert sind. Dabei sollten Datenschutz und Informationssicherheit gut aufeinander abgestimmt sein. Datenschutz sollte Teil der täglichen Unternehmensprozesse sein und kein Extra, das ein Projektleiter am Ende noch abhaken muss. So kann Datenschutz effizient und ganzheitlich umgesetzt werden. Das ist gut für uns als betroffene Personen und gut für das jeweilige Unternehmen.