Prüfungsvorbereitung: Datenschutz
Datenschutz im Überblick
Der rasant zunehmende Einsatz digitaler Medien lenkt verstärkt die Aufmerksamkeit auf den Datenschutz. Unter Datenschutz versteht man den Schutz vor Missbrauch personenbezogener Daten, wodurch Rechte wie das "Recht auf informationelle Selbstbestimmung" gewahrt werden sollen. Es ist wichtig, dass jeder Mensch selbst darüber entscheiden kann, was mit seinen persönlichen Daten geschieht. Leider wird dieses Recht oft verletzt, da die Sammlung von Daten und die daraus gewonnenen Erkenntnisse zu den Hauptinformationsquellen für die Wirtschaft und sogar für Geheimdienste gehören. Ein Schutz vor solchem Missbrauch persönlicher Daten liegt in einem verantwortungsvollen Umgang mit den eigenen Daten sowie in Gesetzen wie dem Bundesdatenschutzgesetz und der europäischen Datenschutz-Grundverordnung (DSGVO). Letztere trat im Jahr 2018 in Kraft und regelt den Datenschutz EU-weit. Dabei ermöglicht sie jedoch nationalen Gesetzgebern, die DSGVO durch sogenannte "Öffnungsklauseln" zu ergänzen und zu erweitern. In Deutschland erfolgt dies durch das Bundesdatenschutzgesetz, das ebenfalls 2018 in Kraft trat. Auch die Landesdatenschutzgesetze wurden entsprechend angepasst. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit fungiert als oberste Instanz im Datenschutz in Deutschland und überwacht sowie berät untergeordnete Behörden, einschließlich der Landesbehörden, in Bezug auf Datenschutzfragen.
Zusätzlich zu den genannten Gesetzen regeln das Telekommunikationsgesetz und das Telemediengesetz den Datenschutz in spezifischen Bereichen wie Telekommunikation und Medien. Die Einhaltung des Datenschutzes ist somit eine komplexe Angelegenheit, die in spezialisierten Bereichen oft nur von Experten gewährleistet werden kann. Dennoch sind die grundlegenden Gesetze und Verordnungen, wie die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz, von allgemeinem Interesse für alle Bürger und sollten daher im Rahmen einer allgemeinen Bildung vermittelt werden.
Weltweit betrachtet sind Deutschland und die EU führend im Bereich Datenschutz, dank des Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung. Einige andere Länder haben ebenfalls fortschrittliche Datenschutzgesetze, aber viele Länder haben keine vergleichbar ausgereiften Regelungen. Zum Beispiel verfügen die USA nicht über ein allgemeines Datenschutzgesetz, sondern setzen auf branchenspezifische Lösungen. Darüber hinaus haben Behörden in den USA weitreichende Zugriffsrechte auf Daten gemäß dem "USA PATRIOT Act", einem Gesetz, das nach den Anschlägen vom 11. September 2001 zur Terrorismusbekämpfung verabschiedet wurde. Auch der darauffolgende "US Freedom Act" gestattet weiterhin den Zugriff auf personenbezogene Daten. Aufgrund dieser Gründe raten Experten Firmen davon ab, ihre Daten auf US-amerikanischen Cloud-Servern zu speichern.
Grundlagen
§ 38 BDSG
Datenschutzbeauftragte nichtöffentlicher Stellen
- Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen. [...]
Art. 35 DSGVO
Datenschutz-Folgenabschätzung
-
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
-
Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
Art. 37 DSGVO
Benennung eines Datenschutzbeauftragten
1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
- [...]
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder [...]
Art. 9 DSGVO
Verarbeitung besonderer Kategorien personenbezogener Daten
- Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
- Absatz 1 gilt nicht in folgenden Fällen: [...]
Hier ist ein Programmablaufplan ist zu erstellen, welcher die Benennung eines Datenschutzbeauftragten ermöglicht.
Art 5 DSGVO
Grundsätze für die Verarbeitung personenbezogener Daten
- Personenbezogene Daten müssen
-
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ('Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz');
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbaren Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ('Zweckbindung');
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ('Datenminimierung');
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ('Richtigkeit');
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden ('Speicherbegrenzung');
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ('Integrität und Vertraulichkeit');
- [...]
Projektidee 1:
Auf der Website eines Unternehmens sollen potenzielle Interessenten erfasst werden, die über die Produkte des Unternehmens informiert werden möchten. Zu diesem Zweck sollen Interessenten die folgenden Daten in ein Formular eingeben: Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Geburtsdatum und Familienstand.
Projektidee 2:
Die Firma plant, die Daten ihrer Kunden, die einen Wartungsvertrag abgeschlossen haben, zu nutzen, um diese über interessante Angebote in anderen Bereichen, einschließlich solcher von Partnerfirmen, zu informieren.
Projektidee 3:
Die Firma beabsichtigt, die Daten von Interessenten für ein bestimmtes Event weiter zu speichern, obwohl das Event bereits stattgefunden hat. Dies geschieht in der Hoffnung, dass möglicherweise in Zukunft ein ähnliches Event stattfinden könnte.
Standard-Datenschutzmodell
Das Standard-Datenschutzmodell
Allgemeine Beschreibung:
Das Standard-Datenschutzmodell (SDM) wurde von einer Konferenz der Datenschutzbehörden des Bundes und der Länder entwickelt. Es dient als Methode zur praktischen Umsetzung der Anforderungen der Datenschutz-Grundverordnung (DSGVO), insbesondere in technisch-organisatorischer Hinsicht. Dabei wurden Gewährleistungsziele definiert, die die verschiedenen Aspekte der DSGVO praktisch umsetzen sollen.
Die Gewährleistungsziele:
Datenminimierung
Das Gewährleistungsziel Datenminimierung beinhaltet die grundlegende Anforderung des Datenschutzes, die Verarbeitung personenbezogener Daten auf ein angemessenes, erhebliches und notwendiges Maß zu beschränken, das dem jeweiligen Zweck entspricht.
Verfügbarkeit
Das Gewährleistungsziel Verfügbarkeit fordert, dass der Zugriff auf personenbezogene Daten und deren Verarbeitung jederzeit möglich ist und sie ordnungsgemäß im vorgesehenen Prozess genutzt werden können.
Integrität
Das Gewährleistungsziel Integrität umfasst zwei Aspekte:
Erstens, die Anforderung, dass informationstechnische Prozesse und Systeme kontinuierlich die festgelegten Spezifikationen einhalten, die für die Ausübung ihrer bestimmten Funktionen erforderlich sind.
Zweitens, die Gewährleistung, dass die zu verarbeitenden Daten unversehrt, vollständig, korrekt und aktuell bleiben. Damit sollen Manipulationen, Beschädigungen oder Verluste der Daten verhindert werden.
Vertraulichkeit
Das Gewährleistungsziel Vertraulichkeit legt fest, dass keine unbefugte Person Zugang zu personenbezogenen Daten erhalten oder diese nutzen darf. Dies bedeutet, dass die Daten vor unbefugtem Zugriff geschützt werden müssen, um die Privatsphäre und die Rechte der betroffenen Personen zu wahren.
Nichtverkettung
Das Gewährleistungsziel Nichtverkettung legt fest, dass personenbezogene Daten nicht miteinander verknüpft oder zusammengeführt werden dürfen. Diese Anforderung zielt darauf ab, die Integrität und Vertraulichkeit der Daten zu wahren und sicherzustellen, dass sie nur für den vorgesehenen Zweck verwendet werden.
Transparenz
Das Gewährleistungsziel Transparenz verlangt, dass sowohl die betroffenen Personen als auch die Betreiber von Systemen und zuständige Kontrollinstanzen verstehen können, welche Daten zu welchem Zeitpunkt und zu welchem Zweck bei einer Verarbeitungstätigkeit erhoben und verarbeitet werden. Es umfasst auch die Offenlegung der genutzten Systeme und Prozesse, die Datenflüsse, die Ziele dieser Flüsse und die rechtliche Verantwortung für Daten und Systeme während des gesamten Verarbeitungsprozesses.
Intervenierbarkeit
Das Gewährleistungsziel Intervenierbarkeit verlangt, dass betroffene Personen ihre ihnen zustehenden Rechte bezüglich ihrer Daten unverzüglich und wirksam ausüben können. Dazu gehören das Recht auf Benachrichtigung, Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie das Recht auf Erwirkung des Eingriffs in automatisierte Einzelentscheidungen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Die verarbeitende Stelle ist verpflichtet, diese Rechte zu gewähren und entsprechende Maßnahmen umzusetzen.
Ordne die Anforderungen der DSGVO die entsprechenden Gewährleistungsziele zu
| Anforderung | Ziele | Wähle |
|---|---|---|
| Zweckbindung (Art. 5) | ||
| Datenminimierung (Art. 5) | ||
| Richtigkeit (Art. 5) | ||
| Speicherbegrenzung (Art. 5) | ||
| Vertraulichkeit (Art. 5) | ||
| Identifizierung und Authentifizierung (Art. 12) | ||
| Belastbarkeit (Art. 32) | ||
| Berichtigungsmöglichkeit von Daten (Art. 5) | ||
| Datenschutzfreundliche Voreinstellung (Art. 25) | ||
| Verfügbarkeit (Art 32) | ||
| Löschbarkeit von Daten (Art. 17) | ||
| Wiederherstellbarkeit | ||
| Einwilligungsmanagement (Art. 4) | ||
| Unterstützung bei der Wahrnehmung von Betroffenenrechten (Art. 12) |
Kontaktformular
Finde die 5 Datenschutzproblematiken im Formular!
