Rechtlicher Datenschutz 

Der Begriff Datenschutz wird oft missverstanden, denn es geht nicht direkt um den Schutz von Daten vor Verlust oder Diebstahl. Dieses eher technische Themenfeld bezeichnet man als Datensicherheit. Wobei hier der Begriff "Informationssicherheit" angebrachter erscheint.

Datenschutz bezieht sich vielmehr auf den Schutz der Menschen, deren Daten erhoben und verwendet werden. Dabei wird von dem Grundsatz ausgegangen, dass jeder Mensch selbst bestimmen sollte, wem er welche seiner Daten bekannt gibt. Zu den schutzbedürftigen Daten gehören einerseits persönliche Angaben, wie Name, Anschrift oder Familienstand sowie andererseits sachliche Angaben wie Auto-Kennzeichen oder Eigentumsverhältnisse. Die zentrale Aufgabe des Datenschutzes ist es sicherzustellen, dass der Umgang mit solchen Daten niemanden schädigt oder unnötig einschränkt.

Der Datenschutz in Unternehmen sowie der Umgang und die Datenverarbeitung von personenbezogenen Daten ist durch die Datenschutz-Grundverordnung (DSGVO) umfassend geregelt. Ergänzt wird sie durch das BDSG n.F.. Unternehmen oder Betriebe sind verpflichtet, personenbezogene Daten von Kunden, Mitarbeitern oder Geschäftspartnern zu schützen.

Datenschutz soll nicht die Daten an sich schützen. Es geht immer um den Menschen, auf den sich die Daten beziehen.

"Das Datenschutzrecht will Menschen davor schützen, dass ihre Daten unbefugt verwendet werden oder ihnen durch den Umgang mit sie betreffenden Daten Schaden entsteht."

Datenschutzrecht

Stets müssen Unternehmen und Organisationen für den gesetzeskonformen Umgang mit personenbezogenen Daten sorgen. Die Datenschutzgesetze sehen für den Datenumgang die folgenden vier Pflichten vor:

  • Die Datenverarbeitung muss durch eine Rechtsgrundlage überhaupt erlaubt sein.

  • Die Betroffenen müssen über die Verarbeitung ihrer Daten informiert sein.

  • Die Datenverarbeitung muss durch Maßnahmen sicher gestaltet sein.

  • Die Daten müssen gelöscht werden, sobald sie für den Zweck der Verarbeitung nicht mehr erforderlich sind.

Welche Gesetze regeln den Datenschutz? 

Die zentrale gesetzliche Grundlage für den Datenschutz in Europa ist die Datenschutz-Grundverordnung (DSGVO). Sie gilt seit Mai 2018 verbindlich in allen Mitgliedstaaten der Europäischen Union und regelt den Umgang mit personenbezogenen Daten europaweit einheitlich.

Ergänzend zur DSGVO können die einzelnen EU-Mitgliedstaaten nationale Datenschutzregelungen erlassen. In Deutschland ist dies insbesondere das Bundesdatenschutzgesetz (BDSG). Es konkretisiert und ergänzt die Vorgaben der DSGVO in bestimmten Bereichen. Dazu gehören unter anderem besondere Regelungen zur Verarbeitung von Beschäftigtendaten oder zur Bonitätsbewertung und zum sogenannten Scoring.

Darüber hinaus existieren zahlreiche weitere Datenschutzvorschriften in speziellen Fachgesetzen. Beispiele hierfür sind:

  • die ärztliche Schweigepflicht im Strafgesetzbuch,

  • Regelungen zum Postgeheimnis im Postgesetz,

  • sowie Vorgaben zum Umgang mit Gesundheitsdaten im Sozialgesetzbuch.

Datenschutz betrifft dabei nicht nur digitale Datenverarbeitung auf Computern oder in Datenbanken. Auch personenbezogene Daten in Papierakten, Formularen oder Karteisystemen unterliegen den datenschutzrechtlichen Anforderungen.

Wer trägt die Verantwortung für den Datenschutz im Unternehmen? 

Die Verantwortung für den Datenschutz im Unternehmen liegt grundsätzlich bei der Unternehmensleitung. Mitarbeitende dürfen personenbezogene Daten nur im Rahmen klarer Vorgaben und Anweisungen verarbeiten. Deshalb müssen Unternehmen verbindliche Regeln und Prozesse für den Umgang mit personenbezogenen Daten festlegen und kommunizieren.

Eine Verarbeitung personenbezogener Daten ohne entsprechende Weisung ist nur zulässig, wenn eine gesetzliche Verpflichtung besteht. Führungskräfte sollten zudem jederzeit in der Lage sein, Fragen zum Datenschutz zu beantworten und datenschutzkonforme Anweisungen zu geben.

Die Rolle des betrieblichen Datenschutzbeauftragten 

Betriebliche Datenschutzbeauftragte unterstützen Unternehmen dabei, personenbezogene Daten rechtskonform zu verarbeiten. Sie beraten sowohl die Geschäftsleitung als auch die Mitarbeitenden zu datenschutzrechtlichen Anforderungen und überprüfen die Umsetzung der Datenschutzmaßnahmen im Unternehmen.

In Deutschland sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens 20 Personen dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Der Datenschutzbeauftragte übernimmt dabei eine beratende und kontrollierende Funktion. Die eigentliche Verantwortung für die Einhaltung des Datenschutzes verbleibt jedoch bei der Unternehmensleitung. Als unabhängige und zur Verschwiegenheit verpflichtete Ansprechperson steht der Datenschutzbeauftragte allen Beschäftigten bei Fragen oder Hinweisen zum Datenschutz vertraulich zur Verfügung.

Aufgaben des Datenschutzbeauftragten

Zu den gesetzlich festgelegten Aufgaben eines Datenschutzbeauftragten gehören insbesondere:

  • Beratung und Information der Unternehmensleitung und der Beschäftigten zum Datenschutz

  • Überwachung der Einhaltung datenschutzrechtlicher Vorgaben

  • Unterstützung und Beratung bei Datenschutz-Folgenabschätzungen

  • Zusammenarbeit mit den Datenschutzaufsichtsbehörden

  • Ansprechpartner für betroffene Personen und Mitarbeitende

Anforderungen an Datenschutzbeauftragte

Die benannte Person muss fachlich geeignet und zuverlässig sein, um die Aufgaben eines Datenschutzbeauftragten erfüllen zu können. Dazu gehören insbesondere:

  • Fachkenntnisse im Datenschutzrecht sowie in der praktischen Umsetzung des Datenschutzes

  • Verständnis für rechtliche, technische und organisatorische Datenschutzmaßnahmen

  • Zuverlässigkeit und die Fähigkeit zur unabhängigen Aufgabenerfüllung

  • Integrität sowie die Vermeidung von Interessenkonflikten

  • Je nach Unternehmen zusätzliche branchenspezifische Kenntnisse

Ein gesetzlich geregeltes Berufsbild für Datenschutzbeauftragte existiert nicht. Daher empfiehlt es sich, entsprechende Qualifikationen und praktische Erfahrungen sorgfältig zu prüfen.

Interner oder externer Datenschutzbeauftragter? 

Unternehmen können entscheiden, ob sie einen internen oder externen Datenschutzbeauftragten bestellen möchten.

Ein interner Datenschutzbeauftragter ist direkt im Unternehmen beschäftigt. Dadurch kennt er die internen Abläufe, Organisationsstrukturen und Entscheidungsprozesse besonders gut. Gleichzeitig darf diese Person jedoch nicht Teil der Geschäftsleitung sein und muss über die erforderliche fachliche Qualifikation verfügen. Unternehmen sind verpflichtet, ausreichend Zeit, Ressourcen und Weiterbildungsmöglichkeiten bereitzustellen. Zudem genießen interne Datenschutzbeauftragte einen besonderen Kündigungsschutz.

Ein externer Datenschutzbeauftragter wird als Dienstleister beauftragt. Durch die externe Perspektive kann häufig eine objektivere Bewertung datenschutzrechtlicher Themen erfolgen. Zudem verfügen externe Datenschutzbeauftragte oftmals über umfangreiche Erfahrungen aus verschiedenen Unternehmen und Branchen. Ein unabhängiger Blick von außen kann dabei helfen, betriebliche Routinen kritisch zu hinterfragen und Verbesserungspotenziale zu erkennen. Vor der Beauftragung eines externen Datenschutzbeauftragten empfiehlt sich ein persönliches Gespräch, um die fachliche Eignung sowie die Zusammenarbeit im Unternehmensalltag zu prüfen.

Aufgaben der Datenschutzaufsichtsbehörden 

Die Einhaltung der Datenschutzvorschriften wird durch staatliche Datenschutzaufsichtsbehörden überwacht. Diese bearbeiten Beschwerden betroffener Personen und kontrollieren Unternehmen hinsichtlich der Einhaltung datenschutzrechtlicher Vorgaben.

Für die meisten Unternehmen in Deutschland sind die Landesdatenschutzbehörden zuständig. In Bayern übernimmt diese Aufgabe das Landesamt für Datenschutzaufsicht. Der oder die Bundesbeauftragte für den Datenschutz ist insbesondere für Bundesbehörden sowie Unternehmen aus der Telekommunikations- und Postbranche verantwortlich.

Datenschutzbehörden können Unternehmen sowohl aufgrund konkreter Beschwerden als auch im Rahmen anlassloser Prüfungen kontrollieren. Werden Verstöße gegen Datenschutzvorschriften oder unzureichende Schutzmaßnahmen festgestellt, können die Behörden Maßnahmen zur Nachbesserung anordnen, Datenverarbeitungen untersagen oder Bußgelder verhängen. Diese können bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes betragen.

Gewährleistungs-Ziele 

"Die Gewährleistungsziele thematisieren insgesamt wesentliche datenschutzrechtliche Risiken bzw. Anforderungen. Hinter jedem Gewährleistungsziel steht vor allem ein Katalog mit Maßnahmen zur Erreichung der Gewährleistungsziele in der Praxis."

Quelle: Standard-Datenschutzmodell

Gewährleistungsziele

Ziele mit einem Bezug auf den Datenschutz 

Die nachfolgenden Ziele leiten sich aus den Grundprinzipien der Datenschutz-Grundverordnung (DSGVO) ab. Sie dienen der systematischen Identifikation datenschutzrechtlicher Risiken sowie der Ableitung geeigneter technischer und organisatorischer Maßnahmen. Werden im Rahmen von Geschäftsprozessen personenbezogene Daten verarbeitet, sind diese Prozesse auch aus datenschutzrechtlicher Perspektive gegen Angriffe und unbefugte Zugriffe zu schützen.

  • Datenminimierung

    Datenminimierung konkretisiert und operationalisiert im Grundsatz der Erforderlichkeit, der von diesem Prozess insgesamt wie auch von jedem seiner Schritte verlangt, nicht mehr personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen, als für das Erreichen des Verarbeitungszwecks erforderlich ist.

  • Nichtverkettung

    Das Gewährleistungsziel Nichtverkettung bezeichnet die Anforderung, dass Daten nur für den Zweck verarbeitet und ausgewertet werden können, für den sie erhoben werden.

  • Transparenz

    Das Gewährleistungsziel Transparenz bezeichnet die Anforderung, dass z. Bsp. der Betroffene erkennen kann, welche Daten für welchen Zweck erhoben und verarbeitet werden, wohin die Daten zu welchem Zweck fließen und wer die rechtliche Verantwortung der Datenverarbeitung besitzt.

  • Intervenierbarkeit

    Das Gewährleistungsziel Intervenierbarkeit bezeichnet die Anforderung, dass den Betroffenen die ihnen zustehenden Rechte auf Benachrichtigung, Auskunft, Berichtigung, Sperrung und Löschung jederzeit wirksam gewährt wird.

Ziele mit einem Bezug auf die Informationssicherheit 

Die folgenden Gewährleistungsziele wurden ursprünglich im Kontext der Informationssicherheit formuliert und beschreiben Anforderungen an den sicheren Betrieb von Verfahren und Geschäftsprozessen. Organisationen müssen ihre Geschäftsprozesse und die dabei eingesetzten informationsverarbeitenden Systeme vor Angriffen und sonstigen Sicherheitsbedrohungen schützen.

  • Verfügbarkeit

    Das Gewährleistungsziel Verfügbarkeit bezeichnet die Anforderung, dass personenbezogene Daten zur Verfügung stehen müssen und ordnungsgemäß im vorgesehenen Prozess verwendet werden können.

  • Integrität

    Das Gewährleistungsziel Integrität bezeichnet u.a. die Eigenschaft, dass die zu verarbeitenden Daten unversehrt, vollständig und aktuell bleiben.

  • Vertraulichkeit

    Das Gewährleistungsziel Vertraulichkeit bezeichnet die Anforderung, dass keine Person personenbezogene Daten unbefugt zur Kenntnis nehmen kann.

Information 

"Information wird im Sprachgebrauch auch als allgemeine Bezeichnung für Daten benutzt, beide Ausdrucke werden oft als gleichbedeutend angenommen. [...] Informationen können nicht nur auf IT-Systemen gespeichert sein, sondern auch in Papierform vorliegen oder von Mensch zu Mensch mündlich weiter gegeben werden."

Quelle: Wikipedia

Information
  • Informationssicherheit

    Informationssicherheit

    Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein.

  • Informationstechnik (IT)

    Informationstechnik (IT)

    Informationstechnik (IT) umfasst alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen. Zur Verarbeitung von Informationen gehören Erhebung, Erfassung, Nutzung, Speicherung, Übermittlung, programmgesteuerte Verarbeitung, interne Darstellung und die Ausgabe von Informationen.

  • IT-Sicherheit

    IT-Sicherheit

    Die IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Während sich die IT-Sicherheit vor allem auf technische Systeme konzentriert, umfasst die Informationssicherheit zusätzlich organisatorische, personelle und physische Schutzmaßnahmen.

IT-Sicherheit 

IT-Sicherheit bezeichnet den Schutz von informationstechnischen Systemen vor Bedrohungen, Schäden und Angriffen. Dazu gehören insbesondere Computer, Netzwerke, Anwendungen, Betriebssysteme und gespeicherte oder übertragene Daten.

Typische Maßnahmen der IT-Sicherheit sind beispielsweise:

  • Firewalls und Virenschutz

  • Zugriffskontrollen und Passwörter

  • Verschlüsselung

  • Datensicherungen (Backups)

  • Sicherheitsupdates und Patchmanagement

  • Netzwerksicherheit

  • Überwachung und Angriffserkennung

Sicherheitsbereiche

  • Netzwerk

    Netzwerk

    o Gateway-Technologien

    o Sandboxing / EDR / XDR

    o Wireless

  • Endpoint

    Endpoint

    o Virenschutz

    o Neue Bedrohungen

    o Mobile

  • Daten

    Daten

    o Sichere Datenübertragung

    o Festplatten-Verschlüsselung

    o Datensicherung und Wiederherstellung

Information Security Management System 

"Ein Information Security Management System (ISMS) dient dazu, Informationssicherheit systematisch zu planen, umzusetzen, zu überwachen und kontinuierlich zu verbessern. Es schafft also den organisatorischen Rahmen, um Sicherheitsziele dauerhaft einzuhalten."

ISMS

Im Zusammenhang mit der Informationssicherheit und den Gewährleistungszielen spielt ein ISMS insbesondere folgende Rolle:

  • Es definiert Sicherheitsrichtlinien, Prozesse und Verantwortlichkeiten.

  • Es identifiziert und bewertet Risiken für Informationen und Geschäftsprozesse.

  • Es legt geeignete technische und organisatorische Maßnahmen fest.

  • Es überprüft regelmäßig die Wirksamkeit dieser Maßnahmen.

  • Es unterstützt die Einhaltung gesetzlicher Anforderungen, etwa aus der Datenschutz-Grundverordnung (DSGVO) oder der ISO/IEC 27001.

Ein ISMS betrachtet dabei nicht nur technische Systeme, sondern den gesamten Umgang mit Informationen innerhalb einer Organisation. Dazu gehören unter anderem:

  • Geschäftsprozesse

  • Mitarbeitende

  • Anwendungen und Netzwerke

  • Dokumente und Datenbestände

  • externe Dienstleister

  • physische Sicherheitsmaßnahmen

Dadurch bildet ein ISMS die organisatorische Grundlage, um die Ziele der Informationssicherheit — insbesondere Vertraulichkeit, Integrität und Verfügbarkeit — dauerhaft sicherzustellen.

Warum Unternehmen sowohl ISMS als auch Datenschutz brauchen? 

"Die Informationssicherheit bildet eine wesentliche Grundlage für den Datenschutz. Durch ein ISMS können technische und organisatorische Maßnahmen strukturiert geplant, umgesetzt und überwacht werden, um die Anforderungen der Datenschutz-Grundverordnung (DSGVO) an den Schutz personenbezogener Daten zu erfüllen."

ISMS

Zwischen Informationssicherheit bzw. einem ISMS und dem Datenschutz besteht eine enge Verbindung, auch wenn beide Bereiche unterschiedliche Schwerpunkte haben.

  • Datenschutz

    Datenschutz

    Datenschutz schützt personenbezogene Daten und die Rechte betroffener Personen.

  • Informationssicherheit

    Informationssicherheit

    Informationssicherheit schützt Informationen allgemein — unabhängig davon, ob sie personenbezogen sind oder nicht.

Sobald eine Organisation personenbezogene Daten verarbeitet, wird Informationssicherheit zu einer wesentlichen Voraussetzung für den Datenschutz. Die Datenschutz-Grundverordnung (DSGVO) verlangt ausdrücklich geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, insbesondere in Art. 5 und Art. 32 DSGVO.

Ein ISMS kann dabei helfen,

  • datenschutzrechtliche Risiken systematisch zu identifizieren,

  • Sicherheitsmaßnahmen strukturiert umzusetzen,

  • Verantwortlichkeiten festzulegen,

  • Sicherheitsvorfälle zu behandeln,

  • Nachweise und Dokumentationen bereitzustellen,

  • sowie Datenschutzanforderungen dauerhaft organisatorisch zu verankern.

Die klassischen Schutzziele der Informationssicherheit — Vertraulichkeit, Integrität und Verfügbarkeit — finden sich deshalb auch im Datenschutz wieder. Ergänzend kommen im Datenschutz weitere Anforderungen hinzu, etwa Transparenz, Datenminimierung oder Intervenierbarkeit.

Auf den Punkt gebracht! 

"Datenschutz ohne Informationssicherheit funktioniert nicht.
Informationssicherheit ohne Datenschutz ist möglich — aber oft unvollständig."

Auf den Punkt gebracht

(C) 2007-2026 by Uwe Drath

Diese Website benutzt technisch notwendige Cookies und externe Skripte „Drittanbietern Add-Ons“, um den Besuch komfortabler und sicherer zu ermöglichen und somit Ihr Benutzererlebnis zu verbessern. Für alle Cookies, die nicht technisch notwendig sind, benötigen wir Ihre Einwilligung.

Mit dem Klick auf „Alle Erlauben“ erklären Sie sich mit der Verwendung von "Drittanbietern Add-Ons" einverstanden.

Welche Cookies und Skripte benutzt werden und wie diese die Webseitenbenutzung beeinflussen, finden Sie in der „Privatsphäre-Einstellung“. Hier können Sie auch jederzeit Ihre Einstellungen ändern.