Was bedeutet Datensicherheit?

Neben dem Datenschutz gibt es den Begriff Datensicherheit. Datensicherheit bedeutet, dass Daten vor unbefugtem Zugriff, Diebstahl, Verlust oder Zerstörung geschützt werden.
Zur Datensicherheit gehören technische und organisatorische Maßnahmen. Beispiele dafür sind das Speichern von Daten auf mehreren Festplatten, regelmäßige Datensicherungen oder die Aufbewahrung von Datenträgern in feuerfesten Sicherheitsschränken.
Ziel der Datensicherheit ist es, Daten jederzeit geschützt, vollständig und verfügbar zu halten.

Was versteht man unter personenbezogenen Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte Person beziehen oder mit denen eine Person identifiziert werden kann. Diese Daten können etwas über die körperliche, seelische, wirtschaftliche, kulturelle oder soziale Situation einer Person aussagen.

Einfache personenbezogene Daten sind zum Beispiel:
1. Name und Adresse
2. Telefonnummer
3. Geschlecht
4. Größe
5. Haarfarbe
Es gibt jedoch noch weitere personenbezogene Daten, die über diese einfachen Angaben hinausgehen.

Neben den normalen personenbezogenen Daten gibt es auch besondere Kategorien personenbezogener Daten. Dabei handelt es sich um besonders sensible Informationen, die einen stärkeren rechtlichen Schutz genießen und strenger behandelt werden müssen.

Zu diesen besonderen Kategorien gehören:
1. rassische oder ethnische Herkunft
2. politische Meinungen
3. religiöse oder weltanschauliche Überzeugungen
4. Gewerkschaftszugehörigkeit
5. genetische Daten
6. biometrische Daten (z. B. Fingerabdruck)
7. Gesundheitsdaten
8. Angaben zum Sexualleben oder zur sexuellen Orientierung

Die rechtliche Definition von personenbezogenen Daten findet sich in Artikel 4 der Datenschutz-Grundverordnung (DS-GVO).
Die Definition der besonderen Kategorien personenbezogener Daten ist in Artikel 9 DS-GVO geregelt.

Was ist die „Verarbeitung“ von Daten?

Ein zentraler Begriff im Datenschutz ist die Verarbeitung von Daten. Als Verarbeitung gilt jeder Umgang mit personenbezogenen Daten, unabhängig davon, wie dieser erfolgt.

Zur Verarbeitung gehören insbesondere das:
1. Erheben
2. Erfassen
3. Ordnen oder Organisieren
4. Speichern
5. Verändern oder Anpassen
6. Auslesen
7. Abfragen
8. Verwenden
9. Übermitteln
10. Verbreiten oder Bereitstellen
11. Abgleichen oder Verknüpfen
12. Einschränken
13. Löschen oder Vernichten

Das bedeutet: Sobald personenbezogene Daten genutzt oder bearbeitet werden – in welcher Form auch immer – liegt eine Verarbeitung vor.
In all diesen Fällen müssen die Datenschutzvorschriften eingehalten werden.

Was ist ein Dateisystem?

Ein Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, auf die Personen zugreifen können. Dabei ist es egal, wie die Daten geordnet oder sortiert sind.

Ein Dateisystem kann digital sein, zum Beispiel eine Mitarbeiter- oder Kundenliste in Excel, oder analog, etwa eine Mitarbeiterakte in einem Ordner oder Schrank.

Was versteht man unter den Grundsätzen der Verarbeitung?

Als Sicherheitsmitarbeiter hat man häufig mit personenbezogenen Daten zu tun, zum Beispiel bei Besucherlisten, Ausweiskontrollen oder bei der Durchsetzung des Hausrechts.
Dabei müssen bestimmte Grundsätze der Datenverarbeitung eingehalten werden.

Diese Grundsätze stehen in Artikel 5 der Datenschutz-Grundverordnung (DS-GVO).

1. Rechtmäßigkeit, Treu und Glauben, Transparenz

Personenbezogene Daten dürfen nur erlaubt und rechtmäßig verarbeitet werden. Eine Weitergabe an andere Personen oder Firmen ohne Erlaubnis ist nicht erlaubt.

Die Verarbeitung muss für die betroffene Person verständlich und nachvollziehbar sein. Außerdem darf die Person nicht benachteiligt oder getäuscht werden. Daten dürfen nur so genutzt werden, wie es bei der Erhebung erklärt wurde.

2. Zweckbindung

Daten dürfen nur für einen klaren und erlaubten Zweck erhoben werden. Ohne Zustimmung dürfen sie nicht für andere Zwecke weiterverwendet werden.

Ausnahmen gelten nur bei:
1. öffentlichem Interesse
2. Archivzwecken
4. wissenschaftlicher oder historischer Forschung
5. statistischen Zwecken

3. Datenminimierung

Es dürfen nur so viele Daten erhoben werden, wie wirklich nötig sind. Unnötige Daten dürfen nicht erfasst werden.

Beispiel: Für ein Hausverbot sind Name und Adresse zulässig, aber keine Telefonnummer, Kontodaten oder private Informationen.

4. Richtigkeit

Gespeicherte Daten müssen richtig und aktuell sein. Falsche oder veraltete Daten müssen sofort berichtigt oder gelöscht werden.

5. Speicherbegrenzung

Daten dürfen nur so lange gespeichert werden, wie sie benötigt werden. Ist der Zweck erfüllt, müssen die Daten gelöscht oder unbrauchbar gemacht werden.

6. Integrität und Vertraulichkeit

Daten müssen durch technische und organisatorische Maßnahmen geschützt werden. Sie dürfen nicht verloren gehen, beschädigt oder von Unbefugten eingesehen werden.

Beispiele:
1. Passwortschutz
2. doppelte Datensicherung
3. verschlossene Aktenschränke

7. Rechenschaftspflicht

Für jede Datenverarbeitung gibt es eine verantwortliche Person. Diese Person ist dafür verantwortlich, dass alle Grundsätze 1–6 eingehalten werden und muss dies bei Bedarf nachweisen können.

Was bedeutet Rechtmäßigkeit der Verarbeitung?

Die Verarbeitung von personenbezogenen Daten ist nur erlaubt, wenn sie rechtmäßig ist.
Rechtmäßig bedeutet: Ein Gesetz erlaubt die Verarbeitung oder sie verstößt nicht gegen bestehende Gesetze oder Rechte.

Die genauen Voraussetzungen stehen in Artikel 6 der Datenschutz-Grundverordnung (DS-GVO).
Danach ist eine Datenverarbeitung nur dann erlaubt, wenn mindestens einer der folgenden Punkte erfüllt ist:

Erlaubte Gründe für die Datenverarbeitung (Art. 6 DSGVO)

1. Einwilligung der betroffenen Person

Die Person hat ausdrücklich zugestimmt.
Beispiel: Anmeldung zu einem Newsletter mit Zustimmung zu den Datenschutzbestimmungen.

2. Erfüllung eines Vertrages

Die Daten sind notwendig, um einen Vertrag abzuschließen oder zu erfüllen.
Beispiel: Eintrag persönlicher Daten in einen Mietvertrag.

3. Rechtliche Verpflichtung

Ein Gesetz verpflichtet zur Verarbeitung der Daten.
Beispiel: Das Finanzamt verarbeitet Daten aus der Steuererklärung.

4. Schutz lebenswichtiger Interessen

Die Verarbeitung ist nötig, um Leben oder Gesundheit zu schützen.
Beispiel: Auslesen der Krankenkassenkarte im Krankenhaus nach einem schweren Unfall.

5. Öffentliches Interesse oder öffentliche Gewalt

Die Verarbeitung erfolgt im öffentlichen Interesse oder aufgrund einer übertragenen Befugnis.
Beispiel: Eine Citystreife nimmt Personalien auf, weil sie vom Ordnungsamt dazu berechtigt wurde.

6. Berechtigte Interessen

Die Verarbeitung ist notwendig, um eigene oder fremde berechtigte Interessen zu schützen, sofern die Rechte der betroffenen Person nicht überwiegen. Bei Kindern ist besonders streng abzuwägen.
Beispiel: Videoüberwachung an Flughäfen oder Bahnhöfen.

Zusätzliche Regelungen in Deutschland (§ 24 BDSG)

Das Bundesdatenschutzgesetz (BDSG) erlaubt in Deutschland weitere Verarbeitungen durch nicht-öffentliche Stellen (z. B. Unternehmen), auch für andere Zwecke, als ursprünglich vorgesehen, wenn:

1. Gefahrenabwehr oder Strafverfolgung erforderlich ist
Beispiel: Ein Unternehmen meldet verdächtige Kundendaten an Sicherheitsbehörden, um eine Straftat zu verhindern.

2. Zivilrechtliche Ansprüche durchgesetzt oder verteidigt werden müssen
Beispiel: Daten aus einem Gewinnspiel werden genutzt, um ein Hausverbot rechtlich durchzusetzen. Wichtiger Hinweis Bei besonders sensiblen personenbezogenen Daten (z. B. Gesundheitsdaten) gelten zusätzliche und strengere Voraussetzungen, damit diese verarbeitet oder weiterverwendet werden dürfen.

Was bedeutet die Einschränkung der Grundsätze der Verarbeitung?

Die Rechte zur Verarbeitung von personenbezogenen Daten können durch neue Gesetze eingeschränkt werden.
Diese Möglichkeit ist in Artikel 23 der Datenschutz-Grundverordnung (DS-GVO) geregelt.

Danach dürfen Datenschutzrechte eingeschränkt werden, wenn dies notwendig ist zum Schutz wichtiger Interessen, zum Beispiel:
1. zum Schutz der nationalen Sicherheit, der öffentlichen Sicherheit oder der Landesverteidigung
2. zur Verhütung, Aufklärung, Ermittlung oder Verfolgung von Straftaten
3. zum Schutz wichtiger staatlicher Interessen, etwa wirtschaftlicher oder finanzieller Interessen des Staates
4. zum Schutz der Unabhängigkeit von Gerichten und von Gerichtsverfahren
5. zur Aufdeckung und Verfolgung von Verstößen in reglementierten Berufen (z. B. bei Versicherungsvertretern)
6. zum Schutz der betroffenen Person selbst oder der Rechte und Freiheiten anderer Personen
7. zur Durchsetzung zivilrechtlicher Ansprüche
Wenn ein neues Gesetz die Datenschutzrechte von öffentlichen oder privaten Stellen einschränkt, muss dieses Gesetz klar und genau formuliert sein.

Es muss unter anderem festlegen:
1. welche personenbezogenen Daten betroffen sind,
2. wie weit die Einschränkung reicht,
3. und zu welchem Zweck die Beschränkung erfolgt.

Was sind technische und organisatorische Maßnahmen?

Artikel 24 DSGVO legt fest, dass der Verantwortliche (also die Person oder Stelle, die über die Datenverarbeitung entscheidet) dafür sorgen muss, dass personenbezogene Daten rechtmäßig und sicher verarbeitet werden.
Dazu muss er geeignete technische und organisatorische Maßnahmen treffen und die Datenverarbeitung überwachen.

Artikel 32 DSGVO beschreibt genauer, welche Maßnahmen möglich und notwendig sind. Dabei müssen verschiedene Punkte berücksichtigt werden:
1. der aktuelle Stand der Technik,
2. die Kosten der Maßnahmen,
3. die Art, der Umfang und der Zweck der Datenverarbeitung,
4. sowie die Risiken für die betroffenen Personen.
Ziel ist es, ein angemessenes Schutzniveau für die Daten zu erreichen.

Mögliche Schutzmaßnahmen sind zum Beispiel:
1. Pseudonymisierung oder Verschlüsselung von Daten
2. Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme
3. Möglichkeit, den Zugang zu Daten nach technischen oder physischen Störungen wiederherzustellen
4. Einführung von Verfahren zur regelmäßigen Überprüfung und Bewertung der Sicherheitsmaßnahmen
Das erforderliche Schutzniveau richtet sich danach, wie hoch das Risiko ist, dass Daten verloren gehen, verändert, zerstört oder von Unbefugten eingesehen werden.

Wichtig
Der Verantwortliche muss außerdem sicherstellen, dass nur berechtigte Personen Zugriff auf personenbezogene Daten haben und diese nur nach Vorgabe und Anweisung verarbeiten, zum Beispiel Mitarbeiter der Personalabteilung.

Wer ist bei einer Datenschutzverletzung zu informieren?

In den Artikeln 33 und 34 der DSGVO ist geregelt, wie vorzugehen ist, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Eine solche Verletzung liegt zum Beispiel vor, wenn Daten durch einen Hackerangriff, Diebstahl, Verlust oder eine unbefugte Weitergabe betroffen sind.

Wird eine Datenschutzverletzung bekannt, müssen die zuständige Aufsichtsbehörde und – je nach Schwere des Vorfalls – auch die betroffenen Personen informiert werden. Die Meldung muss unverzüglich, spätestens jedoch innerhalb von 72 Stunden (3 Tage) nach Bekanntwerden der Verletzung erfolgen. Entscheidend ist dabei, wie hoch das Risiko oder der mögliche Schaden für die betroffenen Personen ist.

Die Meldung muss unter anderem folgende Informationen enthalten:
1. Art der Datenschutzverletzung
2. Anzahl der betroffenen Personen
3. Art und Umfang der betroffenen personenbezogenen Daten
4. Kontaktdaten des Datenschutzbeauftragten oder der verantwortlichen Stelle
5. eine Einschätzung der möglichen Folgen der Verletzung
6. geplante oder bereits ergriffene Maßnahmen zur Begrenzung des Schadens
Sowohl die Meldung selbst als auch die Information an die Betroffenen und die Aufsichtsbehörde müssen dokumentiert werden.

Transparente Information, Kommunikation

Pflichten nach Artikel 12 DSGVO
Artikel 12 DSGVO enthält weitere Pflichten für Personen und Organisationen, die personenbezogene Daten verarbeiten. Diese Vorgaben sollen sicherstellen, dass Betroffene transparent informiert werden und ihre Rechte einfach wahrnehmen können.

Transparente Information
Die verantwortliche Stelle muss Betroffene vorab darüber informieren, dass personenbezogene Daten verarbeitet werden. Außerdem sind die Betroffenen über ihre Rechte nach den Artikeln 15 bis 22 DSGVO zu informieren, zum Beispiel über das Auskunftsrecht, das Recht auf Löschung, Einschränkung oder Widerspruch. Die Ausübung dieser Rechte ist möglichst einfach zu gestalten. Dazu gehört auch, dass klar benannt wird, wer für die Datenverarbeitung zuständig ist und wie dieser kontaktiert werden kann.

Kommunikation
Die datenverarbeitende Organisation muss Betroffenen Auskunft über den Bearbeitungsstand ihrer Anträge geben und zeitnah auf Anfragen reagieren. In Ausnahmefällen kann eine Rückmeldung entfallen, etwa wenn der Antragsteller nicht identifizierbar ist oder offensichtlich übermäßig viele Anfragen gestellt werden.

Modalitäten
Anträge, deren Bearbeitung sowie die Erteilung von Auskünften müssen für die Betroffenen grundsätzlich kostenlos erfolgen.

Weitere Gesetze

Artikel 12 DSGVO – Transparente Information und Kommunikation

Informationen für Betroffene müssen klar und verständlich sein. Die Kommunikation mit der datenverarbeitenden Stelle muss einfach möglich sein. Die Ausübung von Rechten, zum Beispiel die Löschung von Daten, muss kostenlos erfolgen.

Artikel 13 DSGVO – Informationspflicht bei Erhebung der Daten

Werden personenbezogene Daten direkt beim Betroffenen erhoben, muss dieser darüber informiert werden. Zusätzlich sind Informationen über Zweck, Art der Verarbeitung und Ansprechpartner mitzuteilen.

Artikel 14 DSGVO – Informationspflicht bei Daten aus anderer Quelle

Werden personenbezogene Daten nicht direkt beim Betroffenen erhoben, sondern aus anderen Quellen, muss der Betroffene ebenfalls informiert werden und Angaben zur Datenverarbeitung erhalten.

Artikel 15 DSGVO – Auskunftsrecht

Betroffene haben ein Auskunftsrecht. Auf Anfrage muss das Unternehmen mitteilen, welche Daten verarbeitet werden, zu welchem Zweck, wie lange sie gespeichert werden und an wen sie weitergegeben wurden.

Artikel 16 DSGVO – Recht auf Berichtigung

Betroffene können verlangen, dass falsche oder veraltete personenbezogene Daten berichtigt werden.

Artikel 17 DSGVO – Recht auf Löschung

Betroffene haben das Recht auf Löschung ihrer personenbezogenen Daten. Dieses Recht wird auch als „Recht auf Vergessenwerden“ bezeichnet.

Artikel 18 DSGVO – Recht auf Einschränkung der Verarbeitung

Unter bestimmten Voraussetzungen, zum Beispiel bei unrechtmäßiger Verarbeitung, kann die Einschränkung der Datenverarbeitung verlangt werden.

Artikel 19 DSGVO – Mitteilungspflicht

Werden Daten berichtigt, gelöscht oder eingeschränkt, muss der Betroffene darüber informiert werden.

Artikel 20 DSGVO – Recht auf Datenübertragbarkeit

Betroffene haben das Recht, ihre personenbezogenen Daten in einem strukturierten und maschinenlesbaren Format zu erhalten, zum Beispiel als Datei oder Datenträger.

Artikel 21 DSGVO – Widerspruchsrecht

Betroffene können der Verarbeitung ihrer Daten widersprechen. Dies gilt auch für sogenannte Profiling-Daten, etwa zur Auswertung des Nutzerverhaltens.

Artikel 22 DSGVO

Betroffene dürfen sich gegen Entscheidungen wehren, die ausschließlich auf automatisierter Datenverarbeitung beruhen, zum Beispiel bei Profilbildungen im Online-Bereich.

Wichtige Paragrafen aus dem Bundesdatenschutzgesetz (BDSG)

§ 32 BDSG – Datenverarbeitung im Beschäftigtenverhältnis

In bestimmten Fällen muss der Betroffene nicht informiert werden, wenn seine Daten für andere Zwecke genutzt werden, etwa zum Schutz der öffentlichen Sicherheit oder Ordnung.

§ 33 BDSG – Benachrichtigung der betroffenen Person

Auch wenn Daten nicht direkt beim Betroffenen erhoben wurden, kann eine Informationspflicht entfallen, zum Beispiel bei Gefährdung der öffentlichen Sicherheit oder zur Durchsetzung zivilrechtlicher Ansprüche.

§ 34 BDSG – Auskunftsrecht

Das Auskunftsrecht kann eingeschränkt sein, etwa wenn Daten aufgrund gesetzlicher Aufbewahrungspflichten gespeichert werden oder ausschließlich der Datensicherung dienen.

§ 35 BDSG – Berichtigung, Löschung und Einschränkung

Das Recht auf Löschung kann eingeschränkt sein, wenn Daten nur analog gespeichert sind und eine Löschung einen unverhältnismäßig hohen Aufwand bedeuten würde. In diesem Fall ist die Verarbeitung einzuschränken.

§ 36 BDSG – Mündliche Prüfungsfragen mit Kurzantworten

Das Widerspruchsrecht kann entfallen, wenn ein zwingendes öffentliches Interesse an der Datenverarbeitung besteht.

§ 37 BDSG – Datenschutzbeauftragter

Auch das Recht, sich gegen automatisierte Entscheidungen zu wehren, kann eingeschränkt sein, zum Beispiel bei bestimmten Versicherungsverträgen.

Videoüberwachung öffentlich zugänglicher Räume

Öffentlich zugängliche Räume, zum Beispiel Bahnhöfe oder Einkaufszentren, dürfen nur unter bestimmten Voraussetzungen videoüberwacht werden.

Eine Videoüberwachung ist zulässig,
1. wenn öffentliche Stellen sie zur Erfüllung ihrer Aufgaben benötigen, etwa zur Gefahrenabwehr durch die Polizei,
2. wenn sie zur Ausübung des Hausrechts eingesetzt wird,
3. oder wenn berechtigte Interessen verfolgt werden und dafür konkrete Zwecke festgelegt sind,
sofern dabei keine schutzwürdigen Interessen der betroffenen Personen verletzt werden.

Bei großen öffentlich zugänglichen Anlagen, wie Sport- und Veranstaltungsstätten, Einkaufszentren, Parkplätzen oder Anlagen des Schienen-, Schiffs- und Busverkehrs, gilt insbesondere der Schutz von Leben, Gesundheit und Freiheit der dort anwesenden Personen als wichtiges berechtigtes Interesse.

Die Videoüberwachung muss deutlich erkennbar sein, zum Beispiel durch ein Hinweisschild am Eingang. Werden Aufnahmen einer bestimmten Person zugeordnet, muss diese über die Verarbeitung und Nutzung der Daten informiert werden.

Sobald der Zweck der Videoüberwachung erreicht ist, sind die Aufnahmen unverzüglich zu löschen.

Grundsätzlich dürfen private Personen öffentliche Bereiche nicht videoüberwachen. Ausnahmen sind nur mit Genehmigung der zuständigen Behörde zulässig.

Haftung und Recht auf Schadensersatz

Gemäß Artikel 82 der DSGVO hat jede Person, die durch einen Verstoß gegen die DSGVO einen materiellen oder immateriellen Schaden erleidet, Anspruch auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter.

Dementsprechend gilt, dass der Verantwortliche bzw. ein Auftragsverarbeiter für den Schaden haftet, wenn sich nicht an die DSGVO gehalten hat und den Pflichten aus der Verordnung nicht nachgekommen ist.

Kann der Verantwortliche oder Auftragsverarbeiter nachweisen, dass er alle möglichen Maßnahmen zur Sicherung der Daten unternommen hat kann er sich der Haftung entziehen.

Verhängung von Geldbußen

Bei Verstößen gegen die DSGVO kann die zuständige Aufsichtsbehörde Geldbußen gegen die datenverarbeitende Stelle verhängen. Diese Bußgelder sollen wirksam und abschreckend, aber zugleich verhältnismäßig sein.

Die Höhe der Geldbuße richtet sich unter anderem nach:
1. Art, Schwere und Dauer des Verstoßes
2. Vorsatz oder Fahrlässigkeit
3. dem Grad der Pflichtverletzung
4. früheren oder wiederholten Verstößen
Je nach Fall können Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden – maßgeblich ist dabei der jeweils höhere Betrag.