Bundesverfassungsgericht, Urteil vom 15. Dezember 1983 – 1 BvR 209/83, BVerfGE 65, 1 = NJW 1984, 418
In einigen EU-Mitgliedstaaten wurde der Schutz personenbezogener Daten sehr früh geregelt. Das weltweit erste Datenschutzgesetz trat 1970 in Hessen (Deutschland) in Kraft.
Seit dem 25. Mai 2018 gilt in Europa die Datenschutz-Grundverordnung. Der Unionsgesetzgeber gewährt dem Einzelnen, dessen personenbezogene Daten verarbeitet werden, damit einen grundlegenden Rechtsschutz, der sich auf Art. 8 GRCh stützt.
In einigen Mitgliedstaaten existierte das Grundrecht auf Datenschutz bereits vor Inkrafttreten der Grundrechte-Charta. Das Grundrecht auf informationelle Selbstbestimmung wurde in der Bundesrepublik Deutschland 1983 durch das Bundesverfassungsgericht geschaffen, das es aus Artikel 1 Absatz 1, Artikel 2 Absatz 1 des Grundgesetzes ableitete.
Organisationen, die Daten über natürliche Personen verarbeiten, müssen sich an Datenschutzgesetze halten. Diese Gesetze schützen ausschließlich personenbezogene Daten. Darunter versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einfach ausgedrückt: Wenn Daten einer bestimmten Person zugeordnet sind oder werden können, fallen sie unter das Datenschutzrecht.
Dies umfasst alle Arten von Daten, von Ihrem Namen und Ihrer Adresse bis hin zu Ihrer E-Mail-Adresse und Online-Kennungen. Die Datenschutzgesetze stellen sicher, dass diese Informationen sicher gehandhabt und nur unter strengen Bedingungen verwendet werden, um Ihre Privatsphäre und Ihre Rechte zu schützen.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person, die betroffene Person, beziehen.
Immer wenn durch Informationen ein persönlicher Bezug hergestellt werden kann, handelt es sich um personenbezogene Daten. Dies umfasst eine Vielzahl von Informationen, von offensichtlichen Daten wie Namen, Adressen und Telefonnummern bis hin zu weniger offensichtlichen Daten wie IP-Adressen oder Standortdaten.
Kurz gesagt, jede Information, die direkt oder indirekt zur Identifikation einer Person genutzt werden kann, fällt unter diesen Begriff. Der Schutz dieser Daten ist essenziell, um die Privatsphäre und Freiheit des Einzelnen in unserer digital vernetzten Welt zu gewährleisten.
Art. 4 Nr. 2 DS-GVO liefert die rechtliche Definition des Begriffs Verarbeitung, die seit dem 25. Mai 2018 gilt.
Demnach bezeichnet Verarbeitung jeden Vorgang, der mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird, oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.
Dazu zählen Tätigkeiten wie das Sammeln, Erfassen, Organisieren, Strukturieren, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder eine andere Form der Bereitstellung, Abgleichen oder Verknüpfen, Einschränken, Löschen oder Vernichten von Daten. Kurz gesagt, jede Handhabung personenbezogener Daten, egal ob digital oder in Papierform, fällt unter den Begriff der Verarbeitung.
Unternehmen verarbeiten oft große Mengen personenbezogener Daten, darunter Daten von Mitarbeitern, Kontaktpersonen oder Kundeninformationen. Der Gesetzgeber hat dies erkannt und legt daher dem Verantwortlichen für die Datenverarbeitung spezifische Pflichten auf.
Dazu gehört, dass Unternehmen und andere Organisationen sicherstellen müssen, dass die Verarbeitung personenbezogener Daten im Einklang mit den Datenschutzgesetzen steht.
Dies umfasst Maßnahmen zum Schutz der Daten, die Einhaltung der Grundsätze der Datenverarbeitung wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Vertraulichkeit und Rechenschaftspflicht. Unternehmen sind zudem verpflichtet, die Betroffenenrechte zu gewährleisten, wie das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung.
Wenn Unternehmen personenbezogene Daten verarbeiten, resultieren daraus direkt verschiedene Rechte für die betroffenen Personen. Einige dieser Rechte sind in Kapitel III der Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 in Kraft ist, geregelt.
Zu diesen Rechten gehören unter anderem das Recht auf Auskunft über die verarbeiteten Daten, das Recht auf Berichtigung falscher Daten, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit und das Recht auf Widerspruch gegen die Verarbeitung. Diese Rechte gewährleisten, dass der Einzelne eine Kontrolle über seine persönlichen Informationen hat und schützen seine Privatsphäre in der digitalen Welt.
Datenschutzkontrollen können auf zwei Arten erfolgen. Unternehmen können die Einhaltung der Datenschutzvorschriften durch regelmäßige interne Datenschutzaudits sicherstellen. Zudem kann die zuständige Aufsichtsbehörde Überprüfungen durchführen.
Ein internes Datenschutzaudit ist eine proaktive Maßnahme, bei der ein Unternehmen seine Verfahren und Praktiken im Umgang mit personenbezogenen Daten selbst überprüft, um sicherzustellen, dass sie den geltenden Datenschutzgesetzen und -richtlinien entsprechen.
Diese Selbstkontrolle hilft nicht nur, die Einhaltung der Datenschutzstandards zu gewährleisten, sondern minimiert auch das Risiko von Datenschutzverletzungen und die damit verbundenen Konsequenzen.
Viele Unternehmen sind gesetzlich verpflichtet, einen Datenschutzbeauftragten zu benennen. Bei der Benennung hat der Verantwortliche die Wahl zwischen einem externen Datenschutzbeauftragten oder einem internen Beschäftigten.
Der Datenschutzbeauftragte hat unter anderem die Aufgabe, die Einhaltung der Datenschutzgesetze zu überwachen und die Mitarbeiter in Datenschutzfragen zu beraten und zu schulen. Er kann zudem für die Überprüfung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten eingesetzt werden und dient als Ansprechpartner für die Datenschutzaufsichtsbehörden sowie für Betroffene in allen Fragen zum Datenschutz.
Bei Verstößen gegen den Datenschutz drohen Unternehmen einerseits hohe Bußgelder und andererseits ein Reputationsverlust.
Ein externer Datenschutzbeauftragter kann dazu beitragen, Risiken zu minimieren, weil er unabhängige Überwachung und Beratung anbietet. Er bringt spezialisiertes Wissen und Erfahrungen aus verschiedenen Branchen mit, was die Einhaltung der Datenschutzgesetze sicherstellt und das Unternehmen vor potenziellen Verstößen und deren Konsequenzen schützt.
Jede Organisation, die personenbezogene Daten verarbeitet, kann verpflichtet sein, einen Datenschutzbeauftragten zu benennen.
Der Verantwortliche hat die Wahl, einen internen oder externen Datenschutzbeauftragten zu nutzen. Ein intern gewählter Datenschutzbeauftragter sollte über umfassendes Wissen im Datenschutzrecht und in den Praktiken der Datenverarbeitung verfügen.
Wichtig ist, dass er in der Lage ist, unabhängig zu agieren, um die Einhaltung der Datenschutzgesetze im Unternehmen zu überwachen und zu fördern.
Die zuständige Aufsichtsbehörde führt in der Regel Compliance-Überprüfungen durch, sobald sie Kenntnis von Fakten erhält, die eine Untersuchung des Verantwortlichen rechtfertigen.
Dies kann beispielsweise aufgrund einer Beschwerde einer betroffenen Person geschehen, oder wegen eines Verstoßes gegen den Schutz personenbezogener Daten, der öffentlich bekannt wurde.
Das IoT (Internet der Dinge) bleibt von den Anforderungen der DSGVO (General Data Protection Regulation) nicht verschont. Vernetzte Objekte mit dieser europäischen Verordnung in Einklang
Frankreich hat Anfang dieser Woche angekündigt, dass es als erstes Land in der EU die Gesichtserkennung in staatlichen Diensten einführen wird. Eine Entscheidung, die im
In jeder politischen Kampagne, ob sie nun wahlbezogen ist oder nicht, werden persönliche Informationen zu einer wichtigen Währung. Auf der anderen Seite haben wir das
Was ist die Verordnung, und warum wird sie für notwendig erachtet? Bei der Verordnung handelt es sich um einen Entwurf für einen EU-Rechtsakt, der die
Aufgrund der Schwierigkeit und der knappen Fristen ist die Beantwortung von Anfragen zum Thema Daten eine ständige Herausforderung für Organisationen weltweit. Kalifornien wird am 1.
Allgemeine Erkenntnisse über die Speicherung personenbezogener Daten Personenbezogene Daten dürfen nicht länger aufbewahrt werden, als es für den jeweiligen Zweck erforderlich ist; Anonymisierte Daten können
Das Datenschutzgesetz hat auch die Regeln für die Erhebung, Analyse und Aufbewahrung personenbezogener Daten festgelegt, die auf europäischer Ebene durch die Datenschutz-Grundverordnung neu spezifiziert wurden.
Nach der Datenschutz-Grundverordnung (DSGVO) liegt die Verantwortung für die Einhaltung der Vorschriften bei denjenigen, die Daten verarbeiten. Sie müssen den Grundsätzen zustimmen, und es ist
In diesen Zeiten müssen die meisten Arbeitnehmer von zu Hause aus arbeiten. In diesem Zusammenhang wäre es ratsam, den Datenschutz und die Privatsphäre nicht zu
EUROPOL berichtete kürzlich, dass im Rahmen von COVID-19 die Zahl der Cyberangriffe auf Organisationen und Einzelpersonen erheblich gestiegen ist. Vor dem Hintergrund der jüngsten Stellungnahmen
Die reCAPTCHA-Technologie von Google wird verwendet, um festzustellen, ob Website-Besucher menschlich sind oder nicht. Die Datenschutzgrundverordnung und die neue reCAPTCHA-Generation sind jedoch schwer miteinander zu
Am Arbeitsplatz ist Vertraulichkeit wichtig. Es kann schwierig sein, den Datenschutz am Arbeitsplatz richtig durchzusetzen. Damit dies nicht der Fall ist und auch im Büro
Der Arbeitnehmerdatenschutz ist ein umfassendes Thema, über das sowohl Arbeitnehmer als auch Arbeitgeber Bescheid wissen sollten. Der Arbeitnehmerdatenschutz, auch Beschäftigtendatenschutz, Arbeitnehmerdatenschutz oder Betriebsdatenschutz genannt, bezeichnet
Die meisten Websites verwenden eine Form der Benutzerverfolgung und Aktivitätsüberwachung. Meistens versuchen die Betreiber, Informationen über das Verhalten und die Vorlieben ihrer Nutzer zu erhalten.
Ob in einer Arztpraxis oder einem Krankenhaus, der Datenschutz spielt im Gesundheitswesen eine entscheidende Rolle. Wir gehen auf die DSGVO-Anforderungen ein, die für medizinische Daten
Die siebenmonatige Geltungsdauer der Allgemeinen Verordnung zum Schutz personenbezogener Daten (DSGVO) wird demnächst gefeiert. Dieser neue europäische Rechtsrahmen betrifft – zur Erinnerung – alle Organisationen,
Anonymisierung, Verschlüsselung und Pseudonymisierung sind Begriffe, die fast täglich auftauchen, wenn es um personenbezogene Daten geht. Auch wenn viele Menschen mit diesen Begriffen vertraut sind,
Datenschutzanfragen (Data Subjects Access Requests, DSARs) können für interne Datenschutzbeauftragte ein Alptraum sein und die Unternehmensressourcen völlig aufzehren, wie wir bereits besprochen haben. Die Beantwortung
Vor kurzem hat die niederländische Datenschutzbehörde (AP) den „Data Pro Code“ genehmigt, den ersten Verhaltenskodex, der von der niederländischen Datenschutzbehörde im Rahmen der Datenschutz-Grundverordnung genehmigt
Jeder kennt Google, aber wie geht der milliardenschwere Konzern mit dem Datenschutz um? Ein Blick zurück auf die Geschichte des Unternehmens und frühere Datenschutzverletzungen. Die
Im Internet endet der Datenschutz häufig bei Kontaktformularen. Vor allem der Grundsatz der Datensparsamkeit fehlt häufig. Weil Bußgelder drohen, kann das für Seitenbetreiber schnell teuer
Die Modekette H&M wurde zu einer Geldstrafe in Höhe von 35 Millionen Dollar verurteilt, weil sie Verstöße gegen die Datensicherheit begangen hat, u. a. durch
Datenschutz und Rechtstechnologie sind untrennbar miteinander verbunden. Im Bereich der Rechts-IT finden Unternehmen, die den Datenschutz ernst nehmen, kreative Lösungen. Doch wie kann die Kombination
Das berechtigte Interesse ist eine der in der DSGVO vorgesehenen Rechtsgrundlagen, auf die sich die Verarbeitung personenbezogener Daten stützen kann. Der Rückgriff auf diese Rechtsgrundlage
Unternehmen müssen den Datenschutz beachten, wenn Mitarbeiter krank sind Es ist nicht ungewöhnlich, dass Arbeitnehmer aufgrund von Krankheit der Arbeit fernbleiben. Die folgenden Informationen sollten
Kurz gesagt Die Informationen sollten nicht länger als nötig aufbewahrt werden. Nach Ablauf der Speicherdauer werden die Daten nur dann gespeichert, wenn sie vollständig anonymisiert
Protokolldaten sind ein wichtiger Bestandteil technischer und organisatorischer Maßnahmen, enthalten aber auch personenbezogene Informationen. Dies muss bei der Datenerfassung und -verarbeitung berücksichtigt werden. Die Datenschutz-Grundverordnung
Fallen E-Mails unter das Datenschutzrecht, und wenn ja, welche Regeln gelten für den E-Mail-Verkehr? Erfahren Sie, woran Sie beim Versenden von privaten und beruflichen E-Mails
In Unternehmen ist der Datenschutz ein wichtiges Anliegen, aber es gibt noch kein nationales Standardsystem für den Schutz von Verbraucherdaten. Als Reaktion auf regulatorische Initiativen
Office 365 scheint ein Datensicherheitsproblem zu haben: Das Analysetool MyAnalytics ist in die Kritik geraten. Ist es möglich, die von diesem Programm gesammelten Informationen zum
Die Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DFA) muss zu Beginn jeder Initiative oder Verbesserung einer aktuellen Struktur oder eines Verfahrens durchgeführt werden, die die Erfassung
Was ist das Prinzip der Speicherbegrenzung? Artikel 5 (1) (e) der Datenschutz-Grundverordnung sieht vor: Personenbezogene Daten müssen: Personenbezogene Daten dürfen so lange, wie es für
Im Mai 2018 trat die Allgemeine Datenschutzverordnung, allgemein als DSGVO bezeichnet, in Kraft. Sie ist einer der wichtigsten Fortschritte im Bereich des Datenschutzes in den