Der Schutz personenbezogener Daten in der Europäischen Union (EU) wird von der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), kurz: DSGVO, geregelt. Die DSGVO gilt seit dem 25. Mai 2018.
Personenbezogene Daten im Sinne der DSGVO
Die DSGVO beruft sich auf die Charta der Grundrechte der Europäischen Union, die gemäß Artikel 8 Absatz 1 der Charta den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten als Grundrecht auffasst. Jede Person hat außerdem nach Artikel 16 Absatz 1 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
Unter personenbezogenen Daten versteht die DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen“ (Art. 4 DSGVO).
Eine „identifizierbare Person“ ist nach Verständnis der DSGVO eine natürliche Person, die beispielsweise durch ihren Namen, ihre Standortdaten (z. B. den Wohnort oder GPS-Daten) oder spezifische Angaben über ihr Aussehen, ihren Gesundheitszustand, ihre Herkunft oder ihre psychische oder wirtschaftliche Verfassung eindeutig identifiziert werden kann – Die DSGVO spricht hier in Artikel 4 von „physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen“ Merkmalen.
Verarbeitung personenbezogener Daten im Sinne der DSGVO
Unter „Verarbeitung“ versteht die DSGVO
- Das Erheben
- Erfassen
- Organisieren
- Ordnen
- Speichern
- Anpassen oder Verändern
- Auslesen
- Abfragen
- Verwenden
- Offenlegen durch Übermittlung, Verbreitung sowie jegliche Form der Bereitstellung
- Abgleichen
- Verknüpfen
- Einschränken
- Löschen
- Vernichten
von personenbezogenen Daten – mit oder ohne technische Unterstützung.
Die Verarbeitung solcher Daten passiert im geschäftlichen und dienstlichen Umfeld ganz natürlich: Bei der Erstellung von E-Mails, bei der Verarbeitung von Dokumenten oder beim Versenden eines Newsletters.
Unternehmen sind deshalb dazu verpflichtet, ausreichende technische und organisatorische Maßnahmen (sogenannte TOMs, vgl. Art. 32 DSGVO) zu treffen, um diese Daten zu schützen und dafür zu sorgen, dass die Daten auf den privaten Endgeräten der Mitarbeitenden sowie der internen IT-Infrastruktur sicher sind.
Wichtige Aspekte der DSGVO für Unternehmen
Unternehmen müssen eine Reihe von Anforderungen erfüllen, um personenbezogene Daten verarbeiten zu dürfen. So dürfen sie Daten beispielsweise nur für festgelegte und eindeutig definierte Zwecke erfassen und diese auch nur für exakt diese Zwecke verarbeiten.
Sobald die betreffenden Daten nicht mehr benötigt werden, sind Unternehmen dazu verpflichtet, diese Daten zu löschen. Gleiches gilt, sobald die betroffenen Personen ihre Einwilligung zur Verarbeitung von Daten zurückziehen.
Des Weiteren haben Personen das Recht, von Unternehmen Auskunft über gespeicherte personenbezogene Daten zu erhalten und gegebenenfalls deren Löschung zu beantragen.
Unternehmen können dazu verpflichtet sein, Datenschutzbeauftragte zu ernennen. Das gilt insbesondere dann, wenn in einem Unternehmen mindestens 20 Mitarbeitende mit der (automatisierten) Verarbeitung personenbezogener Daten beschäftigt sind.
Anforderungen an DSGVO-konforme Apps
Die DSGVO fordert nicht nur den Schutz der Integrität und Vertraulichkeit von Unternehmensdaten auf mobilen Geräten, gleich ob sie sich im Eigentum der Firma oder des jeweiligen Nutzers (BYOD) befinden.
Sie fordert auch, dass Unternehmen geeignete Maßnahmen zum Schutz von Daten durch eine angemessene Verschlüsselung treffen. Daten müssen dabei nicht nur auf dem mobilen Endgerät selbst, sondern auch während der Übertragung verschlüsselt werden. Außerdem ist eine ausführliche Dokumentation der jeweiligen Schutzmechanismen erforderlich, die auch unabhängig von konkreten Schadensfällen jederzeit vorgelegt werden kann.
Unternehmen können die Anforderungen an mobile Applikationen nur erfüllen, indem sie Container-basierte Apps verwenden, da nur diese die Trennung von geschäftlichen und privaten Daten zuverlässig sicherstellen können. Denn: Befinden sich die betrieblichen Daten und Anwendungen in einem verschlüsselten Container und wird auch die Kommunikation vom mobilen Endgerät in die Unternehmens-IT lückenlos verschlüsselt, so sind die entsprechenden Vorgaben erfüllt.
Folgen eines DSGVO-Verstoßes: Bußgelder und Meldepflicht
Die DSGVO sieht für Datenschutzverstöße ein Bußgeld von bis zu 20 Millionen Euro vor – oder einen Betrag in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes.
Darüber hinaus können Betroffene eines Datenlecks Schadenersatz verlangen, sofern sie von der widerrechtlichen Verarbeitung ihrer Daten geschädigt wurden – materiell wie immateriell (vgl. Art. 82 DSGVO).
Kommt es in einem Unternehmen zu einem Datenschutzverstoß, bei dem der Schutz personenbezogener Daten verletzt wird, muss dieser innerhalb von 72 Stunden bei den zuständigen Datenschutzbehörden gemeldet werden. Schicken Sie beispielsweise eine E-Mail mit Rechnungs- oder Steuerdaten an einen falschen Empfänger oder speichern Sie sensible Daten ohne ausreichende Verschlüsselung auf einem Datenträger, kann es sich dabei um einen meldepflichtigen DSGVO-Verstoß handeln. Fragen Sie in einem solchen Fall am besten Ihre Datenschutzbeauftragten. Und beachten Sie: Haben Sie keine Datenschutzbeauftragten ernannt, obwohl Sie dazu verpflichtet wären, handelt es sich dabei auch um einen DSGVO-Verstoß.