Der Begriff Datenschutz bezieht sich auf den Schutz der Menschen vor dem Missbrauch ihrer persönlichen Daten.
Der Schutz der persönlichen Daten natürlicher Personen ist auch das Hauptziel der Europäischen Allgemeinen Datenschutzverordnung (GDPR). Seit dem 25. Mai 2018 gilt die GDPR unmittelbar in jedem Mitgliedsstaat der EU und nationale Datenschutzbestimmungen haben nur ergänzenden Charakter.
Neben neuen Definitionen bringt das BIPR eine Erweiterung der Rechte der Betroffenen, eine Erhöhung der Datenbearbeitungspflichten und strengere Strafen für Datenschutzverletzungen mit sich. Die Umsetzung des GDPR wird von unabhängigen Aufsichtsbehörden in jedem Mitgliedsstaat überwacht.
Der objektive Anwendungsbereich des BIPR beschränkt sich auf die Verarbeitung von Daten mit Personenbezug. Das GDPR gilt nicht nur für maschinell verarbeitete Daten, sondern auch für manuell verarbeitete Daten, soweit diese Daten in einem Dateisystem gespeichert sind (oder gespeichert werden sollen).
Personenbezogene Daten im Sinne des GDPR sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Sogenannte sensible Daten wie Daten zum Gesundheitszustand oder zur religiösen oder politischen Orientierung werden als besondere Datenkategorien behandelt. Neben der Einwilligung der betroffenen Person gibt es weitere Voraussetzungen für die rechtmäßige Verarbeitung nicht-sensibler Daten. Die Verarbeitung sensibler Daten ist nur in Ausnahmefällen zulässig.
Eine gültige Einwilligungserklärung muss freiwillig, für den spezifischen Verarbeitungszweck sowie in einer informierten und unmissverständlichen Weise abgegeben werden und kann jederzeit widerrufen werden.
Die Grundsätze für eine GDPR-konforme Datenverarbeitung sind Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung und -richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
Sobald Personendaten verarbeitet werden sollen, muss die betroffene Person über bestimmte Aspekte der Datenverarbeitung informiert werden. Die Informationen müssen den betroffenen Personen in einer transparenten und leicht zugänglichen Form, in klarer und einfacher Sprache und kostenlos zur Verfügung gestellt werden.
Das GDPR verlangt Datenschutz durch Voreinstellungen (privacy by default) und datenschutzfreundliche Technikgestaltung (privacy by desgin).
Im Falle einer Datenverletzung sind, die für die Datenverarbeitung Verantwortlichen verpflichtet, die Datenschutzbehörde innerhalb von 72 Stunden zu benachrichtigen, wenn eine Gefährdung der Rechte und Freiheiten der betroffenen Personen nicht ausgeschlossen werden kann.
Die Rechte der betroffenen Personen sind im Rahmen des GDPR gestärkt worden. So muss Anträgen auf Zugang, Berichtigung, Löschung, Übertragbarkeit von Daten oder Einspruch gegen die Verarbeitung Beachtung geschenkt werden. Für die Beantwortung von Datenschutzanfragen und die Behandlung von Datenschutzbelangen der betroffenen Personen sind allein die für die Datenverarbeitung Verantwortlichen zuständig und befugt, die DatenverarbeiterInnen haben jedoch eine so genannte Unterstützungspflicht.
Um die Daten ausreichend zu schützen, sind ein Datenschutzkonzept und die Einbeziehung von geschultem Personal notwendig. Darauf aufbauend können verschiedene Maßnahmen ergriffen werden, um Verstöße gegen Datenschutzgesetze und deren schwerwiegende Folgen zu verhindern.
Zusammenfassung
Der Begriff Datenschutz bezieht sich auf den Schutz der Menschen vor dem Missbrauch ihrer persönlichen Daten.
Der Schutz der persönlichen Daten natürlicher Personen ist auch das Hauptziel der Europäischen Allgemeinen Datenschutzverordnung (GDPR). Seit dem 25. Mai 2018 gilt die GDPR unmittelbar in jedem Mitgliedsstaat der EU und nationale Datenschutzbestimmungen haben nur ergänzenden Charakter.
Neben neuen Definitionen bringt das BIPR eine Erweiterung der Rechte der Betroffenen, eine Erhöhung der Datenbearbeitungspflichten und strengere Strafen für Datenschutzverletzungen mit sich. Die Umsetzung des GDPR wird von unabhängigen Aufsichtsbehörden in jedem Mitgliedsstaat überwacht.
Der objektive Anwendungsbereich des BIPR beschränkt sich auf die Verarbeitung von Daten mit Personenbezug. Das GDPR gilt nicht nur für maschinell verarbeitete Daten, sondern auch für manuell verarbeitete Daten, soweit diese Daten in einem Dateisystem gespeichert sind (oder gespeichert werden sollen).
Personenbezogene Daten im Sinne des GDPR sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Sogenannte sensible Daten wie Daten zum Gesundheitszustand oder zur religiösen oder politischen Orientierung werden als besondere Datenkategorien behandelt. Neben der Einwilligung der betroffenen Person gibt es weitere Voraussetzungen für die rechtmäßige Verarbeitung nicht-sensibler Daten. Die Verarbeitung sensibler Daten ist nur in Ausnahmefällen zulässig.
Eine gültige Einwilligungserklärung muss freiwillig, für den spezifischen Verarbeitungszweck sowie in einer informierten und unmissverständlichen Weise abgegeben werden und kann jederzeit widerrufen werden.
Die Grundsätze für eine GDPR-konforme Datenverarbeitung sind Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung und -richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
Sobald Personendaten verarbeitet werden sollen, muss die betroffene Person über bestimmte Aspekte der Datenverarbeitung informiert werden. Die Informationen müssen den betroffenen Personen in einer transparenten und leicht zugänglichen Form, in klarer und einfacher Sprache und kostenlos zur Verfügung gestellt werden.
Das GDPR verlangt Datenschutz durch Voreinstellungen (privacy by default) und datenschutzfreundliche Technikgestaltung (privacy by desgin).
Im Falle einer Datenverletzung sind, die für die Datenverarbeitung Verantwortlichen verpflichtet, die Datenschutzbehörde innerhalb von 72 Stunden zu benachrichtigen, wenn eine Gefährdung der Rechte und Freiheiten der betroffenen Personen nicht ausgeschlossen werden kann.
Die Rechte der betroffenen Personen sind im Rahmen des GDPR gestärkt worden. So muss Anträgen auf Zugang, Berichtigung, Löschung, Übertragbarkeit von Daten oder Einspruch gegen die Verarbeitung Beachtung geschenkt werden. Für die Beantwortung von Datenschutzanfragen und die Behandlung von Datenschutzbelangen der betroffenen Personen sind allein die für die Datenverarbeitung Verantwortlichen zuständig und befugt, die DatenverarbeiterInnen haben jedoch eine so genannte Unterstützungspflicht.
Um die Daten ausreichend zu schützen, sind ein Datenschutzkonzept und die Einbeziehung von geschultem Personal notwendig. Darauf aufbauend können verschiedene Maßnahmen ergriffen werden, um Verstöße gegen Datenschutzgesetze und deren schwerwiegende Folgen zu verhindern.