Warum müssen personenbezogene Daten geschützt werden?
Inhalt:
Unter dem Begriff personenbezogene Daten fasst man alle Daten zusammen, die eindeutig einer natürlichen Person zugeordnet werden können. Die Richtlinien für die Verarbeitung von personenbezogenen Daten sind in der Datenschutzgrundverordnung (DSGVO) festgelegt.
Datenschutz dient dem Recht auf informationelle Selbstbestimmung. Im Fokus steht dabei der Schutz personenbezogener Daten vor der unerlaubten Verarbeitung oder Weitergabe.
Seit 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung. Die DSGVO vereinheitlicht die Datenschutzregeln aller europäischen Staaten und enthält klare Informationspflichten für die Verarbeitung und Erhebung von personenbezogenen Daten.
Personenbezogene Daten sind nach Art. 4.1 DSGVO alle Informationen, die sich auf eine betroffene Person beziehen. Das können beispielsweise der Name, das Alter, die Adresse, die Telefon- oder Sozialversicherungsnummer, Krankendaten oder Zeugnisse einer Person sein. Die Form der Angaben ist dabei nicht von Belang. Auch Bilder, Video- oder Tonbandaufnahmen können personenbezogene Daten beinhalten.
Als besonders schützenswerte Daten gelten die ethnische und kulturelle Herkunft sowie die politische, religiöse gewerkschaftliche oder sexuelle Orientierung von Personen.
Gemäß § 1 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) gilt der Datenschutz für jeden gewerblichen Umgang mit personenbezogenen Daten. Es gibt hier zum Schutz der informationellen Selbstbestimmung der betroffenen Personen keine Einschränkungen.
Sind Daten derart pseudonymisiert, dass sie vollkommen anonym sind und keine Rückschlüsse auf persönliche Informationen zu einer Person zulassen, stellen sie nach Art. 4.1 DSGVO keine personenbezogenen Daten dar. Dies ist beispielsweise bei aufsummierten Statistiken über die Besuche einer Webseite der Fall. Auch Straßenverkehrsprognosen oder Vermögensdaten sind nicht personenbezogen, da sie nicht eindeutig auf eine identifizierte oder identifizierbare natürliche Person schließen lassen. Seit 2019 gelten in der Europäischen Union (EU) klare Vorgaben für den freien Verkehr von nicht personenbezogenen Daten. Hierbei handelt es sich vor allem um die Aufhebung von Datenlokalisierungsauflagen im Interesse der europäischen Datenwirtschaft. So ist es in allen Ländern der EU verboten, Rechtsvorschriften einzuführen, die vorsehen, dass Daten ausschließlich im Inland gespeichert werden. Dies soll vor allem der Innovationskraft von Start-Ups und Kleinstunternehmen im Bereich der Datenverarbeitung auf nationaler und internationaler Ebene entgegenkommen.
Am 28. Januar 2021 wurde der 40. Jahrestag der Unterzeichnung der Datenschutzkonvention 108 gefeiert. Diese existiert seit 2018 als modernisierte Datenschutzkonvention 108+ des Europarats. Sie war 1981 der erste völkerrechtlich verbindliche Datenschutzvertrag und galt als Vorbild für eine Vielzahl von darauffolgenden datenschutzrechtlichen Regelungen. Bereits 1981 stand der internationale Datentransfer klar im Fokus der beschlossenen Konvention.
Aufgrund des Wachstums der elektronischen Datenverarbeitung in den letzten Jahren trat 2018 ergänzend zur Datenschutzkonvention 108+ die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese dient der Vereinheitlichung der Datenschutzregeln in allen europäischen Staaten und beinhaltet u.a. neue Informationspflichten für alle, die personenbezogene Daten verarbeiten und erheben.
Der Datenschutztag soll das Bewusstsein aller Bürger und Bürgerinnen in Bezug auf ihre personenbezogenen Daten schärfen. Auch unsere Online-Schulungen zum Thema Datenschutz sensibilisieren Ihre Mitarbeiterinnen und Mitarbeiter hinsichtlich des Umgangs mit personenbezogenen Daten und bieten Ihrem Unternehmen nachhaltigen Schutz dank des neu gewonnenen Datenschutz-Know-Hows.
Der Umgang und das Sammeln personenbezogener Daten ist erlaubt, sobald die betroffene Person eingewilligt hat, dass ihre Daten erhoben, gespeichert, verändert, verarbeitet oder weitergeben werden dürfen. Auch im Falle einer vertraglichen Verpflichtung oder zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht) ist eine Verarbeitung und das Verwenden von personenbezogenen Daten erlaubt.
Dies gilt ebenfalls, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist bzw. zum Schutz lebenswichtiger Interessen einer Person erfolgt oder wenn das berechtigte Interesse der Organisation an der Verarbeitung gegenüber den Interessen der betroffenen Person überwiegt.
Im Falle der Weitergabe von personenbezogenen Daten findet ein Eingriff in die Rechte der betroffenen Person statt. Aufgrund dessen muss Ihr Unternehmen vor der Weitergabe prüfen, ob das Verhalten nach Art. 6 DSGVO rechtmäßig ist. Unachtsamer oder fahrlässiger Umgang mit personenbezogenen Daten kann zu rechtlichen Sanktionen, Bußgeldern und in besonders schweren Fällen zu hohen Schadensersatzforderungen führen. Es ist deshalb von hoher Bedeutung, dass sich Ihr Unternehmen gründlich mit der Thematik auseinandersetzt und für den Transport von sensiblen Daten via Mail oder im Internet eine Verschlüsselung einsetzt. Mit der Verschlüsselung kann beispielsweise kontrolliert werden wer Zugriff auf die Daten erhält.
So ist eine Weitergabe der personenbezogenen Daten an Dritte nur erlaubt, wenn eine Rechtsgrundlage zur Weitergabe vorliegt. Dies kann beispielsweise durch eine Einwilligung der betroffenen Person gegeben sein. Aber auch im Sinne der Vertragserfüllung ist eine Weitergabe der personenbezogenen Daten gestattet: Als Betreiber eines Onlineshops dürfen Sie beispielsweise die Adressen Ihrer Kunden für den Versand an den jeweiligen Zusteller weitergeben.
Auch in bestimmten Situationen, wenn das berechtigte Interesse Ihrer Organisation überwiegt, ist eine Weitergabe der Informationen gestattet. Dies ist beispielsweise der Fall, wenn Ihr Unternehmen im Sinne der Netzwerksicherheit Maßnahmen zur Überwachung der Computer Ihrer Mitarbeitenden einsetzt. In diesem Fall ist es Ihrem Unternehmen erlaubt, auf die schonendste Methode hinsichtlich der Privatsphäre und der Datenschutzrechte der Mitarbeitenden die personenbezogenen Daten zu diesem Zwecke zu verarbeiten. Dies ist allerdings nur in den EU-Staaten möglich, in denen das nationale Recht nicht über strengere Vorschriften für die Verarbeitung im Arbeitsumfeld vorsieht.
Quellen:
Bpb (2019). Europäischer Datenschutztag. Abgerufen am 01.01.2021. Verfügbar unter https://www.bpb.de/politik/hintergrund-aktuell/284583/europaeischer-datenschutztag
Bmi (2021). Europäischer Datenschutztag 2021 – 40. Jahrestag der Datenschutzkonvention 108 des Europarats. Abgerufen am 01.01.2021. Verfügbar unter https://www.bmi.bund.de/SharedDocs/termine/DE/veranstaltungen/datenschutzkonvention-108/veranstaltung.html
Europa (2019). EU-Leitfaden hilft Unternehmen bei Verarbeitung nicht personenbezogener Daten. Abgerufen am 13.01.2021. Verfügabr unter
Europa (2021). Wann dürfen personenbezogene Daten verarbeitet werden? Abgerufen am 01.01.2021. Verfügbar unter
LDI NRW (2021). Was sind personenbezogene Daten? Abgerufen am 01.01.2021. Verfügbar unter
T3n (2018). DSGVO: Wann Daten personenbezogen sind und wann du sie verarbeiten darfst (Teil 2). Abgerufen am 01.01.2021. Verfügbar unter https://t3n.de/news/dsgvo-daten-personenbezogen-841433/
Sicherheit für personenbezogene Daten
Datenschutz in der Cloud Sicherheit für personenbezogene Daten
Datenschutz – oder genauer, der Schutz personenbezogener Daten, ergibt sich direkt aus den ersten beiden Artikeln des Grundgesetzes. Das sich daraus ableitende Recht zur informationellen Selbstbestimmung berührt die Menschenwürde ebenso wie das Recht zur freien Entfaltung der Persönlichkeit.
Das Recht an den eigenen Daten ist kein ausschließliches Thema der IT, sondern ein allgemeines, wenngleich die Wahrung der „digitalen“ Persönlichkeitsrechte des Einzelnen in der Diskussion heute dominierend ist. (Bild: Pixabay / CC0
Rahmenbedingungen für Unternehmen schaffen vor allem das deutsche Datenschutzgesetz und die europäische Datenschutzgrundverordnung, die im Mai 2018 in Kraft tritt. In den meisten Fällen werden die darin gesetzten Vorgaben allerdings von Personen in die Tat umgesetzt, die nur selten eine juristische Vorbildung haben. Speziell Rechts- und IT-Abteilungen von Unternehmen, die personenbezogene Daten digital verarbeiten müssen also gemeinsam daran arbeiten, ihre Mitarbeiter für diese Themen zu qualifizieren, zu sensibilisieren und beispielsweise zu klären, was einen personenbezogenen Datensatz überhaupt ausmacht.
Ein Datensatz ist dann personenbezogen, wenn damit eine einzelne Person identifiziert werden könnte. Das reicht von der klassischen Kombination von Name und Adresse über Geburtsdatum und -ort bis hin zu eher technischen Kennzahlen wie Strom- oder Wasserverbrauch. Im Zweifelsfall sollte die IT-Abteilung die Definition weit auslegen und davon ausgehen, dass in jedem Datensatz personenbezogene Daten enthalten sind.
Der Schutzbedarf
Der Umgang mit personenbezogenen Daten ist streng beschränkt, sie dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Die DSGVO legt den Verarbeitungsbegriff weit aus und definiert ihn als „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“. Das Gesetz macht auch keinen Unterschied zwischen automatisierter und manueller Verarbeitung.
Die Einbeziehung von Drittparteien
Das exponentielle Datenwachstum der letzten Jahre hat dazu geführt, dass die meisten Firmen erhobene personenbezogene Daten nicht mehr alleine verarbeiten, sondern an spezialisierte Drittanbieter, sogenannte Auftragsdatenverarbeiter, auslagern. Damit der Datenschutz auch hier gewährleistet ist, muss ein Vertrag zwischen der verantwortlichen Stelle und dem Verarbeiter geschlossen werden.
Cloud-Anbieter wie AWS werden gerne für die Verarbeitung großer Datenmengen genutzt. Wenn solche Datenmengen personenbezogene Daten enthalten, müssen Cloud-Nutzer hierfür mit ihrem Cloud-Anbieter eine Auftragsdatenvereinbarung abschließen. Diese definiert unter anderem die technischen und organisatorischen Maßnahmen, die beide Seiten treffen müssen, um den Datenschutz zu wahren. Ebenso werden vertragliche Bedingungen für die Auftragsdatenverarbeitung geregelt.
Fazit
Der Schutz personenbezogener Daten ist ein Grundrecht, das nicht auf die leichte Schulter genommen werden darf. Vor allem IT- und Rechtsabteilung müssen an einem Strang ziehen. Werden Daten zur Verarbeitung ausgelagert, muss feststehen, welche Partei welche Sicherungsmaßnahmen umsetzt.
Über den Autor: Bertram Dorn ist Solutions Architect Security and Compliance bei Amazon Web Services.
Jetzt Newsletter abonnieren Täglich die wichtigsten Infos zur IT-Sicherheit Geschäftliche E-Mail Bitte geben Sie eine gültige E-Mailadresse ein. Abonnieren Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Aufklappen für Details zu Ihrer Einwilligung Stand vom 30.10.2020 Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Einwilligung in die Verwendung von Daten zu Werbezwecken Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden. Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden. Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Recht auf Widerruf Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
(ID:44935330)
DSGVO umsetzen: Personenbezogene Daten finden und schützen
Eine zentrale Forderung der DSGVO lautet, dass Unternehmen dokumentieren müssen, wo personenbezogene Daten im Unternehmen gespeichert sind und wer Zugriff darauf hat. Das ist bei den riesigen Mengen an Daten leichter gesagt als getan! Wir zeigen Ihnen in dieser Webcast-Aufzeichnung, wie Sie dies in Ihrem Unternehmen umsetzen, damit für mehr Sicherheit sorgen und zudem Kosten sparen können.
Sprecher
Thomas Ehrlich Country Manager DACH und Osteuropa bei Varonis Kurzvita Thomas Ehrlich ist seit Mai 2017 als Country Manager für den deutschsprachigen Raum und Osteuropa von Varonis Systems, Inc. tätig. Thomas Ehrlich stieß bereits 1999 zum Datenspeicherungs- und -Management-Experten NetApp und war lange Jahre in verschiedenen Vertriebsrollen unterwegs. Zuletzt war er als EMEA Vice President Global Accounts und Pathway Ecoysystem für den EMEA-Channel und die Leitung der globalen Accounts mit Hauptsitz in EMEA zuständig. Davor verantwortete er als Vice President Pathways & Operations EMEA den gesamten EMEA-Channel des Unternehmens. Dies umfasste Distributoren, Reseller, Systemintegratoren sowie große Telekommunikationsanbieter und Service Provider. Weiterhin berichteten die beiden Bereiche Sales Operations und Strategy, Transformation & Go-to-Market an ihn. Martin Seiler Heise Business Services Kurzvita Martin Seiler befasste sich als IT-Redakteur bei der Computerwoche viele Jahre lang mit Themen wie Netzwerke, Telekommunikation oder Security. 2006 wechselte er in den Eventbereich von IDG, für den er Fachveranstaltungen unterschiedlichster Art wie Seminare, Konferenzen, Roadshows und Webcasts entwickelte, organisierte und moderierte. Seit 2010 arbeitet Martin Seiler für Heise Business Services.
Wie können Daten im Unternehmen vor Missbrauch geschützt werden? Auf diese einfache Frage lässt sich die größte Herausforderung vieler Unternehmen herunterbrechen. Um sie beantworten zu können, muss man aber erst einmal wissen, welche Daten es im Unternehmen gibt, um welche Dateiarten es sich dabei handelt und wie diese geschützt sind (z.B. wer hat darauf Zugriff?). Genau diese Informationen gibt es aber in vielen Unternehmen nicht - oder sie liegen nur sehr lückenhaft vor.
Das stellt nicht nur ein Sicherheitsrisiko dar (weil Unbefugte auf nicht für sie gedachte Informationen zugreifen können), sondern ist auch unter DSGVO-Aspekten kritisch. Nach der neuen europäischen Datenschutzrichtlinie müssen Unternehmen dokumentieren, wer Zugriff auf personenbezogene Daten hat und wo diese Daten gespeichert sind.
Wer einmal damit beginnt, seine Daten genau zu analysieren, stößt schnell auf zwei weitere Phänomene: Viele Daten und Verzeichnisse sind für mehr Mitarbeiter zugänglich, als es nötig wäre. Das ist ein gravierendes Sicherheitsproblem. Außerdem existieren viele alte beziehungsweise veraltete Daten sowie nicht mehr aktive Nutzerkonten in Unternehmen – beides kann von Angreifern für ihre Zwecke ausgenutzt werden.
Lösungen wie die von Varonis können bei dieser Herausforderung jedoch helfen. Die Software erfasst und analysiert Metadaten (z.B. über Benutzer und Gruppen, Zugriffsaktivitäten, Berechtigungen, aber auch Inhalte) und kombiniert diese mit Verzeichnisinformationen. Auf diese Weise lässt sich verdächtiges Verhalten (unbefugte Zugriffe) erkennen oder auch, ob Ransomware aktiv ist.
Unternehmen können so sicherstellen, dass sie tatsächlich DSGVO-konform sind und nicht noch etwas übersehen haben. Außerdem erhöhen sie so das Sicherheitsniveau und reduzieren unbefugte Zugriffe auf sensibles Material. Die Lösung ist sogar in der Lage, einen Datendiebstahl von außen oder innen in Echtzeit zu erkennen. Zudem erkennt Varonis alte Daten und hilft Ihnen, den durch sie blockierten Speicher wieder freizugeben.
Im der Aufzeichnung des Webcasts vom 13.9.2018 erfahren Sie, wie das Tool funktioniert. Thomas Ehrlich von Varonis beantwortet live Ihre Fragen zum Thema. Moderator war Martin Seiler von Heise Business Services.
