Datenschutz

Der Datenschutz ist dafür zuständig, alle personenbezogenen Daten vor den Augen Unbefugter zu schützen. Datenschutzrechtliche Maßnahmen sind gesetzlich vorgeschrieben.
© z_alfa27

Definition Datenschutz

Mit dem Begriff Datenschutz werden alle Maßnahmen beschrieben, die vor dem Missbrauch personenbezogener Daten und Daten, die nicht der Allgemeinheit frei zur Verfügung gestellt werden sollen, schützen. Die Privatsphäre eines jeden Menschen muss dabei gewahrt werden. Demnach ist es wichtig, nur das Minimum an personenbezogenen und sensiblen Daten zu erheben und sie vor den Augen Dritter zu verbergen. Der Idee des Datenschutzes entstand aus der Überzeugung, dass jeder Mensch das Recht hat, selbstbestimmt zu entscheiden, wer seine Daten erhält und wann er sie preisgibt.

Geschichte des Datenschutzes

Erst durch den Eintritt des IT-Zeitalters entstand eine weltweite Debatte zum Thema Datenschutz. In den USA wurde die Regierung unter der Präsidentschaft John F. Kennedys dazu beauftragt ein Nationales Datenzentrum zur Verbesserung des Informationswesens zu erstellen. Innerhalb dieser Einrichtung sollten die Daten sämtlicher US-Bürger registriert werden. Da dieses Vorhaben sich gegen das vorherrschende „Right to be alone“ stellte und die USA nicht in Besitz eines umfassenden Melderegisters war, wurde dieser Plan eingestellt. Diesem Geschehen hatte zur Folge, dass von vielen Seiten nach einer Vereinheitlichung vom Umgang mit personenbezogenen Daten seitens der Regierung verlangt wurde.

In Deutschland wurde in den 60er Jahren versucht, einen Begriff zu finden, der „Privacy“ übersetzt und dabei nicht an die Debatte in den USA erinnerte. Es entstand im Zuge dessen das Wort „Datenschutz“, das zunächst aufgrund seiner Ungenauigkeit stark kritisiert wurde, da keine Daten, sondern Menschen geschützt werden. Mittlerweile wird dieser Begriff international gebraucht und verstanden. Im Jahr 1977 trat das Bundesdatenschutzgesetz (BDSG) in Kraft, welches vorsah, Datenschutzbeauftragte zu bestimmen, die für den Schutz des Persönlichkeitsrechts bei der Verarbeitung personenbezogener Daten verantwortlich sind. Das BDSG wurde in dieser Folge bearbeitet und verändert. Mit der Datenschutz-Grundverordnung, die seit dem 28. Mai 2018 besteht, hat sich die EU auf einheitliche Schutzmaßnahmen in Bezug auf personenbezogene Daten geeinigt.

DSGVO

DSGVO steht als Abkürzung für Datenschutz Grundverordnung und besteht seit Mai 2018. Die Europäische Union möchte einen einheitlichen Rechtsrahmen für den Umgang mit personenbezogenen Daten schaffen. Durch die Verordnung ergeben sich strengere Dokumentationspflichten, um beweisen zu können, dass die Rechtmäßigkeit aller Datenverarbeitungstätigkeiten eingehalten werden und zudem ein umfangreicher Schutz der Daten besteht. Dabei wird jedes Unternehmen, welches mit personenbezogenen Daten arbeitet, angesprochen und zur Verantwortung gezogen.

Grundsätze bei der Verarbeitung

Die Datenschutz-Grundverordnung regelt die Verarbeitung der personenbezogenen Daten durch sechs Grundsätze. Diese sind:

  • Rechtmäßigkeit, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Personenbezogene Daten werden rechtmäßig, nach Treu und Glauben und in einer nachvollziehbaren Weise verarbeitet.

    Personenbezogen Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.

    Personenbezogene Daten werden nur erhoben, wenn sie dem Zweck dienen und sich auf das notwendige Maß beschränken.

    Personenbezogene Daten müssen immer auf den neuesten Stand gebracht werden und Richtigkeit aufweisen. Alle unrichtigen Daten müssen gelöscht oder geändert werden.

    Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für die jeweiligen Zwecke benötigt werden.

    Personenbezogene Daten müssen vor unbefugter Verarbeitung und unbeabsichtigten Verlust gesichert werden.

    Datenschutz im Unternehmen

    Der Datenschutz ist, neben Datenschutz Kita und Datenschutz Schule, auch in Unternehmen als ein wichtiges Thema anzusehen.

    In Firmen wird mit einer Vielzahl von Daten gearbeitet, die personenbezogen sind. Das Bundesdatenschutzgesetz sieht vor, dass personenbezogene Daten geschützt werden sollen. Personenbezogene Daten sind alle Daten, die von den Mitarbeitern existieren und einzelnen Personen zugeordnet werden können. Sie müssen einem Schutz unterliegen. Dabei werden alle Daten als personenbezogen angesehen, die persönliche oder sachliche Informationen enthalten. Dafür ist es nicht notwendig, dass die entsprechende Person benannt wird. Es reicht schon eine E-Mail-Adresse oder eine Telefonnummer.

    Im Gegensatz dazu stehen die sogenannten „juristischen Personen“, sofern sie nicht explizit natürliche Menschen darstellen. Firmen und deren Kontaktdaten unterliegen nicht dem Datenschutz.

    Werbung

    Wenn eigene Produkte und Dienstleistungen von Unternehmen beworben werden sollen, muss auf einiges geachtet werden, um den Datenschutz zu wahren:

    • E-Mails/Anrufe
    • Wenn Werbung per Telefon oder E-Mail gemacht wird, muss der Empfänger vorab seine Einwilligung gegeben haben.

    • Newsletter
    • Für Neukunden gilt, dass sie immer eine Einwilligung geben müssen, wenn sie einen Newsletter bekommen möchten. Im Anmeldebogen muss klar erkenntlich sein, an wen und für welchen Zweck Daten übertragen werden. Dies sollte in der Datenschutzerklärung vermerkt werden.

    • Widerspruchsrecht
    • Es ist zu akzeptieren, wenn die kontaktierten Personen keine Werbung wünschen. Demnach ist es erforderlich, einen Hinweis auf das Widerspruchsrecht zu geben, wenn Daten für Direktwerbung genutzt werden sollen.

      Technische und organisatorische Maßnahmen (TOM)

      Unternehmen, die mit personenbezogenen Daten arbeiten, müssen laut DSGVO technische und organisatorische Maßnahmen betreiben, um einen ausreichenden Schutz sicherzustellen. Als technische Maßnahmen werden jene Maßnahmen betrachtet, die sich physisch umsetzen lassen. Beispielsweise gehört das Installieren einer Alarmanlage dazu.

      Die organisatorischen Maßnahmen beschreiben die Rahmenbedingungen bezüglich der Datenverarbeitung. Bestimmte Anweisungen werden gegeben, damit Mitarbeiter den Datenschutz wahren können. Allerdings können diese von Unternehmen zu Unternehmen variieren, da die DSGVO dort nicht konkret wird und viel mehr Datenschutzziele beschreibt, aus denen sich Maßnahmen ableiten lassen.

      Da Unternehmen durch die Datenschutz-Grundverordnung einer schärferen Dokumentationspflicht unterliegen, müssen sie in der Lage sein, über die Pseudonymisierung, die Verschlüsselung, die Vertraulichkeit, die Integrität, die Verfügbarkeit, die Belastbarkeit der Systeme, der Datenwiederherstellung und der Schulung bestimmter Mitarbeiter Auskunft geben zu können.

      Datenschutzbeauftragte

      Die Bestimmung eines Datenschutzbeauftragten ist nicht zwingend erforderlich. Die DSGVO gibt dazu gemeingültige Vorgaben. Die Pflicht einen Datenschutzbeauftragten zu ernennen besteht dann, wenn innerhalb einer Firma mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Datenerhebung in Kontakt kommen.

      Jedoch spielt dabei nicht nur die Zahl der Beschäftigten eine Rolle, sondern auch die Form, in der die personenbezogenen Daten auftauchen. Sind es besondere Daten, die Auskünfte über politische und religiöse Hintergründe, über das Sexualleben oder die Gesundheit geben, müssen diese auch von einer Person verwaltet werden, die als Datenschutz-Manager im Unternehmen fungiert. Außerdem wird ein Datenschutzbeauftragter verlangt, wenn die Hauptaufgabe des Unternehmens darin besteht, personenbezogene Daten zu erheben, zu verarbeiten, zu nutzen oder zu übermitteln. Wenn ein Datenschutzbeauftragter bestimmt wird, sollte dies nochmals in schriftlicher Form festgehalten werden.

      Datenschutz Software

      Seit der neuen Regelung der DSGVO sind Software-Hersteller dazu aufgerufen, bestimmte Anforderungen einzuhalten. Wie diese Anforderungen aussehen, wird im Folgenden beschrieben.

      Die Grundsätze, die im Art. 5 Abs. 1 der DSGVO gegeben sind, stellen „Grundregeln“ für die Verarbeitung und Speicherung von personenbezogenen Daten dar.

      Für Softwaresysteme, die beispielsweise als Bürosoftware oder Eventplaner Software konzipiert sind oder für komplexe ERP Systeme, die innerhalb einer Anwendung die vollständige Ressourcenplanung übernehmen können, bedeuten die „Grundregeln“, dass deren Programmierer und die Anwender darauf achten müssen, die Grundsätze der DSGVO einzuhalten.

      Softwareentwickler müssen darauf achten, dass sie die Software datenschutzkonform programmieren. Dafür muss der Datenschutz bereits beim Systemdesign berücksichtigt werden.

      Die Grundsätze „Privacy by Design“ und „Privacy by Default” geben vor, dass datenschutzfreundliche Voreinstellung genutzt werden sollen, wenn eine Software entwickelt wird.

      Privacy by Design

      „Privacy by Design” heißt übersetzt „Datenschutz durch Technikgestaltung“ und definiert, dass der Datenschutz bereits bei der Technikgestaltung in die Software integriert wird. Das bedeutet, dass relevante Datenschutzmaßnahmen bedacht werden und sich die Technikgestaltung in allen Bereich den Datenschutzanforderungen anpasst. Die Software ist somit zum Zeitpunkt ihres Einsatzes DSGVO-konform.

      Privacy by Default

      „Privacy by Default“ bedeutet ins Deutsche übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“. In der Praxis schützt das vor allem die Internetnutzer, die sich im Technikbereich weniger gut auskennen.

      Software muss datenschutzfreundlich voreingestellt sein, um die Privatsphäre der Anwender zu schützen.

      Mit diesem Grundsatz wird dem sogenannten Privacy Paradox entgegen gewirkt. Dieses beschreibt, dass Nutzer auf den Datenschutz bestehen, aber gleichzeitig nicht wissen, wie sie ihre Privatsphäre-Einstellungen bei Software-Nutzung so einstellen können, dass sie ausreichend geschützt sind. Die manuelle Festlegung dieser Einstellungen durch den Anwender entfällt durch „Privacy by Default“.

      Grundprinzipien

      Um “Privacy by Design” und “Privacy by Default” einzuhalten, können sich Softwareentwickler an den folgenden Grundprinzipien orientieren:

      • Als Softwareentwickler wird proaktiv gehandelt, um eventuelle Risiken für den Datenschutz früh zu erkennen und entsprechend zu reagieren.
      • Der Datenschutz sollte als Standardeinstellung festgelegt werden. Die personenbezogenen Daten sind in allen IT-Systemen geschützt.
      • Eine Software sollte für den Datenschutz konzipiert sein („Privacy by Design“).
      • Bei der Softwareentwicklung wird auf die Funktionalität geachtet. Diese sollte im vollen Umfang verfügbar sein.
      • Die Sicherheit sollte zu jedem Zeitpunkt gegeben sein.
      • Die Softwareentwickler berücksichtigen die entsprechenden Geschäftsziele und achten darauf, dass die Datenschutzmaßnahmen bei einer Prüfung ihren Nutzen beweisen.
      • Die Privatsphäre der Anwender der Software sollte bei der Erstellung im Vordergrund stehen. Datenschutzrichtlinien und benutzerfreundliche Optionen werden dabei eingesetzt.

      Automatische Löschfristen von Daten

      Die DSGVO sieht vor, dass sich Unternehmen und Softwareentwickler mit dem sogenannten Recht auf Vergessenwerden befassen sollen, wenn sie eine Software nutzen. Die fristgerechte Datenlöschung ist gesetzlich gefordert.

      Die Datenlöschung kann bereits im Datenmanagementsystem integriert sein. Gute Lösungen beinhalten Termin-Erinnerungen, wann ein Dokument oder entsprechende Daten gelöscht werden sollen und stellen Löschfunktionen bereit. Neue Dokumente und Daten, die in ein digitales Archiv weitergeleitet werden, können Regellöschfristen zugeordnet werden.

      Datenschutz HitchDesk

      HitchDesk ist ein Produkt der TenMedia GmbH. TenMedia nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst. Wir gehen vertraulich mit den persönlichen Daten um und beziehen uns dabei auf die gesetzlichen Datenschutzvorschriften. Alle Daten werden verschlüsselt übertragen. Dafür nutzen wir das Codierungssystem SSL (Secure Socket Layer). Zudem bietet HitchDesk ein umfangreiches Rechtenmanagement an, welches es erlaubt, Lese- und Schreibrechte individuell auf befugte Personen anzupassen. Zusätzlich verwendet HitchDesk automatische Datenlöschfristen, um Daten fristgerecht zu löschen.

      Wir freuen uns über einen regen Kundenaustausch und haben ein offenes Ohr für Fragen, Anmerkungen und Hinweise.

Gefällt dir was du siehst? Teile es!

Kommentare

Registeren oder anmelden um zu kommentieren.