Unsere Gesellschaft und unsere Wirtschaft werden immer digitaler. Entsprechend ist auch der Schutz personenbezogener Daten von zentraler Bedeutung. Unterschiedliche Datenschutzgesetze regeln den Umgang mit persönlichen Daten und bieten Bürgerinnen und Bürgern Schutz vor Missbrauch. Im folgenden Artikel werfen wir einen Blick auf die bekanntesten Datenschutzvorschriften, insbesondere die Datenschutz-Grundverordnung (DSGVO) der EU, sowie auf andere relevante Vorschriften weltweit.
Daten sind auch für Cyber-Kriminelle ein wertvolles Gut. Wie sich KMU gegen Angriffe schützen und ihre Cybersicherheit optimieren können, lesen Sie im Whitepaper. Wie sicher Ihr eigenes Unternehmen ist, können Sie in unserem Cybersecurity-Audit ganz einfach selbst testen.
Einführung in die Datenschutzgesetze
Datenschutzgesetze sind Regelungen, die den Schutz von personenbezogenen Daten gewährleisten sollen. Sie legen fest, wie Daten erhoben, verarbeitet und gespeichert werden dürfen und welche Rechte die betroffenen Personen haben. Die wichtigsten Ziele sind der Schutz der Privatsphäre und die Verhinderung von Datenmissbrauch. Diese Gesetze sind besonders relevant in der aktuellen Zeit, denn digitale Daten sind ein integraler Bestandteil unseres täglichen Lebens geworden.
Der Datenschutz ist ein zentraler Bereich, den Unternehmen nicht verschlafen sollten. Die Pflichten für Unternehmen und die Rechte von Betroffenen sind sehr umfassend. Zudem ist das Risiko, bei Verstößen mit hohen Geldsummen zu haften, hoch. Es braucht souveräne Strategien, um den nationalen und zunehmend übernationalen Vorschriften gerecht zu werden.
Die Datenschutz-Grundverordnung (DSGVO)
Überblick
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist wohl das bekannteste und umfassendste Datenschutzgesetz. Sie trat am 25. Mai 2018 in Kraft und hat das Ziel, den Schutz personenbezogener Daten innerhalb der EU zu stärken und den freien Datenverkehr zu gewährleisten. Die DSGVO und die GDPR sind dabei dasselbe Gesetz, jedoch wird der Begriff „GDPR“ (General Data Protection Regulation) hauptsächlich im englischsprachigen Raum verwendet, während im deutschsprachigen Raum die Abkürzung „DSGVO“ (Datenschutz-Grundverordnung) gebräuchlich ist.
Wichtige Bestimmungen
- Grundsatz der Rechtmäßigkeit: Die Verarbeitung personenbezogener Daten erfordert eine zulässige Rechtsgrundlage. Wenn keine gesetzliche Erlaubnis vorliegt, muss der Betroffene einwilligen. Die Einwilligung muss frei, spezifisch, informiert und unmissverständlich sein. Ohne Einwilligung kann eine Datenverarbeitung rechtmäßig sein, wenn sie etwa zur Erfüllung des Vertrages notwendig ist oder der Verarbeiter berechtigtes Interesse an der Verarbeitung geltend macht. Unternehmen müssen klar und verständlich erklären, wofür sie die Daten verwenden. Diejenigen, deren Daten verarbeitet werden sollen, müssen ihre Einwilligung immer aktiv geben können, z.B. durch bewusstes Ankreuzen eines Kästchens (Opt-in).
- Schutz sensibler Daten: Die Verarbeitung bestimmter Kategorien personenbezogener Daten gilt als grundsätzlich verboten und unterliegt noch engeren Grenzen. Das betrifft etwa Daten zu ethnischer Herkunft, politischen Meinungen, weltanschaulichen und religiösen Überzeugungen, sexueller Orientierung und Gesundheit.
- Recht auf Auskunft und Löschung/ Vergessenwerden: Betroffene Personen haben das Recht, Auskunft über ihre gespeicherten Daten zu erhalten und die Löschung dieser Daten zu verlangen. Dies bedeutet, dass Unternehmen auf Anfrage detaillierte Informationen darüber geben müssen, welche Daten gespeichert werden, warum sie gespeichert werden und wie lange sie gespeichert bleiben. Ebenso können Personen verlangen, dass ihre Daten gelöscht werden, wenn sie nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden.
- Recht auf Berichtigung: Personen können die Korrektur falscher Daten verlangen
- Recht auf Datenübertragbarkeit: Personen können ihre Daten in einem gängigen Format erhalten und zu einem anderen Dienstanbieter übertragen lassen.
- Datenminimierung: Unternehmen dürfen nur die Daten erheben, die für den jeweiligen Zweck unbedingt erforderlich sind. Das Prinzip der Datenminimierung zielt darauf ab, die Menge der gesammelten Daten zu reduzieren und so das Risiko von Datenmissbrauch zu minimieren.
Meldepflicht bei Datenpannen
Datenverstöße müssen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Dies umfasst jedes Ereignis, das zu einer unrechtmäßigen Offenlegung, einem Verlust oder einer Veränderung von personenbezogenen Daten führt. Unternehmen müssen außerdem betroffene Personen benachrichtigen, wenn der Verstoß voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten darstellt.
Sanktionen für Verstöße gegen die DSGVO
Unternehmen, die gegen die Bestimmungen der DSGVO verstoßen, müssen mit erheblichen Sanktionen rechnen. Die Strafen können abhängig von der Schwere des Verstoßes und der Art des betroffenen Unternehmens variieren. Bei weniger schwerwiegenden Verstößen können die Geldbußen bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist. Schwerwiegendere Verstöße, wie etwa das Missachten der Grundsätze zur Datenverarbeitung oder die Nichtbeachtung der Rechte der betroffenen Personen, können Geldbußen von bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Neben den finanziellen Strafen können Unternehmen auch einen erheblichen Reputationsschaden erleiden, was zu einem Verlust von Kundenvertrauen und Marktposition führen kann. Daher ist es für Unternehmen von entscheidender Bedeutung, die Anforderungen der DSGVO genau zu kennen und umzusetzen, um solche Sanktionen zu vermeiden.
Datenschutzgesetze in anderen Ländern
Deutschland: Das Bundesdatenschutzgesetz (BDSG)
Als EU-Verordnung regelt die DSGVO unmittelbar in die Mitgliedstaaten hinein. Im Gegensatz zur
Richtlinie müssen die Festsetzungen von Verordnungen nicht erst durch entsprechende nationale
Gesetze umgesetzt werden. Allerdings enthält die DSGVO diverse Öffnungsklauseln, die dem
deutschen Gesetzgeber erlauben, einzelne Bereiche ergänzend zu regeln. Dafür kommt das
Bundesdatenschutzgesetz (BDSG) zum Einsatz. Unternehmen haben sowohl der DSGVO als auch den
speziellen Anforderungen des BDSG zu genügen. Besonderes Augenmerk liegt dabei auf folgenden
Bereichen:
- Bestellung und Anforderungen an unternehmenseigene Datenschutzbeauftragte
- Benennung und Organisation der Datenschutzaufsichtsbehörden
- Arbeitnehmerdatenschutz
- Pflichten gegenüber Betroffenen und kehrseitige Rechte
- Besondere Dokumentationspflichten
- Scoring- und Bonitätsprüfungen
- Videoüberwachung
- Zusätzliche Sanktionen bei Verstößen
Vereinigte Staaten: CCPA und andere Regelungen
In den USA gibt es kein einheitliches Datenschutzgesetz auf Bundesebene, sondern eine Reihe von bundesstaatlichen Regelungen und spezifischen Gesetzen für bestimmte Sektoren.
- California Consumer Privacy Act (CCPA): Dieses Gesetz, das 2020 in Kraft trat, gibt den Bürgern Kaliforniens ähnliche Rechte wie die GDPR, darunter das Recht auf Auskunft, Löschung und das Opt-out von Datenverkäufen.
- Health Insurance Portability and Accountability Act (HIPAA): Regelt den Schutz medizinischer Daten.
- Children’s Online Privacy Protection Act (COPPA): Schützt die Daten von Kindern unter 13 Jahren im Internet.
Brasilien: Lei Geral de Proteção de Dados (LGPD)
Die LGPD ist das brasilianische Pendant zur GDPR und trat im September 2020 in Kraft. Sie gilt für alle Unternehmen, die Daten von in Brasilien ansässigen Personen verarbeiten, und legt ähnliche Rechte und Pflichten wie die GDPR fest.
Wichtige Bestimmungen der LGPD:
- Grundsätze der Datenverarbeitung: Die Datenverarbeitung muss transparent, zweckgebunden und sicher erfolgen.
- Rechte der Betroffenen: Dazu gehören das Recht auf Bestätigung, Zugang, Korrektur und Löschung von Daten.
- Sanktionen: Bei Verstößen gegen die LGPD drohen Geldstrafen von bis zu 50 Millionen BRL (etwa 9 Millionen EUR) oder 2 % des Umsatzes des Unternehmens in Brasilien.
Australien: Privacy Act 1988
Das Privacy Act 1988 regelt den Umgang mit personenbezogenen Daten in Australien und wurde mehrfach angepasst, um den Anforderungen der digitalen Welt gerecht zu werden. Es umfasst Grundsätze zur fairen und rechtmäßigen Erhebung von Daten sowie Bestimmungen zur Datensicherheit und zum Zugang der Betroffenen zu ihren Daten.
China: Verordnung zum Schutz personenbezogener Daten (PIPL)
Die PIPL (Personal Information Protection Law) trat am 1. November 2021 in Kraft und ist das erste umfassende Datenschutzgesetz Chinas.
Wesentliche Punkte der PIPL:
- Einwilligung und Transparenz: Die Einwilligung der Betroffenen ist erforderlich, und die Datenverarbeitung muss transparent sein.
- Datenexporte: Strenge Regelungen für den Transfer personenbezogener Daten ins Ausland.
- Rechte der Betroffenen: Umfassen das Recht auf Zugang, Berichtigung und Löschung.
Herausforderungen und Trends im Datenschutz
Technologische Entwicklungen
Mit der rasanten Entwicklung neuer Technologien wie Künstlicher Intelligenz (KI) und dem Internet der Dinge (IoT) stehen Datenschutzgesetze vor neuen Herausforderungen. Diese Technologien sammeln und verarbeiten riesige Mengen an Daten, was die Notwendigkeit für strenge Datenschutzmaßnahmen erhöht. Unternehmen müssen sicherstellen, dass ihre Datenschutzpraktiken mit den neuesten technologischen Fortschritten Schritt halten.
Globale Harmonisierung der Datenschutzgesetze
Ein Trend im Bereich der Datenschutzgesetze geht hin zu deren weltweiter Harmonisierung. Dies soll die Einhaltung der Vorschriften für international tätige Unternehmen erleichtern und den Schutz der persönlichen Daten global verbessern. Durch einheitliche Standards wird es für Unternehmen einfacher, ihre Datenschutzstrategien zu planen und umzusetzen.
Schnittstellen mit Cybersecurity Compliance
Es bleibt Unternehmen auch nicht erspart, die eigenen Systeme proaktiv gegen Cyberattacken
abzusichern. Das Regelungsgeflecht in diesem Bereich ist eng, und lässt sich nicht nur aus einzelnen
Texten herauslesen. Die DSGVO und das BDSG werden von neuen Vorschriften wie der Network and
Information Security 2 (NIS2) Richtlinie oder dem EU-Digital-Services Act (DSA) flankiert und setzen
an verschiedenen Gliedmaßen der Unternehmen an. Geschäftsführer müssen sich einen Überblick
verschaffen und resiliente IT-Strukturen schaffen, um für den Schutz ihrer Kundendaten auf der
wortwörtlich sicheren Seite zu sein.
Fazit
Datenschutzgesetze wie die GDPR und andere relevante Vorschriften weltweit spielen eine entscheidende Rolle im Schutz der Privatsphäre und der Daten der Bürger. Unternehmen müssen sich kontinuierlich anpassen und sicherstellen, dass sie die geltenden Vorschriften einhalten, um hohe Strafen zu vermeiden und das Vertrauen ihrer Kunden zu gewinnen. Der Schutz personenbezogener Daten bleibt eine zentrale Herausforderung. Es gilt, diese durch fortlaufende technologische und gesetzliche Entwicklungen immer wieder neu zu adressieren.