Datenschutzprinzipien, Teil 1

Aus MittelstandsWiki
(Weitergeleitet von Datenschutzprinzipien)
Wechseln zu: Navigation, Suche

Das Recht der Betroffenen

ducdao

Von Oliver Schonschek

Personenbezogene Daten werden verschlüsselt, um sie vor unbefugter Kenntnisnahme zu schützen, und sie werden durch Backups gesichert, um einen Verlust zu verhindern. Noch zu selten wird auch darauf geachtet, dass sie nicht manipuliert werden. Die Ziele Vertraulichkeit und Verfügbarkeit sind gut bekannt, das Schutzziel Integrität schon weniger. Über Grundsätze wie Datensparsamkeit und Datenvermeidung wissen die meisten noch viel weniger, wie die Erfahrung zeigt. Und es gibt noch weitere Datenschutzprinzipien, die viel zu wenig Beachtung finden.

Anzeige

Schutzgut sind natürliche Personen

Leider suggeriert der Begriff „Datenschutz“, dass es um den Schutz von Daten gehe. Vordergründig geht es tatsächlich um Daten, aber eben nur um solche, die einen Personenbezug haben. Genauer betrachtet geht es im Datenschutz also um Personen und um ihr Recht auf Privatsphäre sowie ihr Recht an den eigenen Daten. Die Personen sind die Betroffenen, wenn personenbezogene Daten missbraucht werden. Im Datenschutz sind deshalb die sogenannten Betroffenenrechte von elementarer Bedeutung. Man spricht hier auch von Intervenierbarkeit als einem Datenschutzprinzip.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, werden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Von der Auskunft bis zur Sperrung

Das Bundesdatenschutzgesetz (BDSG) enthält eine ganze Reihe von Betroffenenrechten, darunter

Entscheidend ist zudem, dass es für einen Vertragspartner nicht möglich ist, diese Betroffenenrechte zu beschneiden (§ 6 BDSG).

Serie: Datenschutzprinzipien

  • Teil 1 beginnt mit den Betroffenenrechten, vom Recht auf Auskunft bis zum Widerrufsrecht; außerdem geht es darum, wie sich das Datenschutzprinzip der Intervenierbarkeit praktisch umsetzen lässt.
  • Teil 2 geht genauer auf die Dokumentationspflichten ein; Transparenz im Datenschutz erfordert zuerst eine saubere Datenschutzerklärung.
  • Teil 3 widmet sich schließlich dem Gebot der Nichtverkettbarkeit, das sich aus der Zweckbindung einer Datenerhebung ableitet.

Betroffenenrechte in der Umsetzung

Das Datenschutzprinzip der Intervenierbarkeit („Eingreifbarkeit“) bedeutet, dass Unternehmen, die personenbezogene Daten verarbeiten, die genannten Betroffenenrechte auch in ihrer Datenverarbeitung technisch und organisatorisch berücksichtigen müssen. Es muss also Verfahren geben, mit denen sich die Betroffenenrechte umsetzen lassen.

Das kann z.B. eine Löschfunktion sein, mit der ein Kunde sein Nutzerprofil bei einem sozialen Netzwerk löschen kann (vorausgesetzt, die Löschung findet dann auch zuverlässig statt). Falls ein Dienst den aktuellen Standort des Nutzers ausmacht, kann dies eine Funktion sein, mit der sich die zuvor erlaubte Ortung wieder deaktivieren lässt. Es geht also generell um Funktionen oder Prozesse, mit denen der Betroffene aktiv in die Verarbeitung seiner Daten eingreifen kann, um sie im Extremfall ganz zu unterbinden, sofern es nicht anderslautende Rechte aufseiten des verarbeitenden Unternehmens oder der Behörde gibt.

Fazit: Privacy by Design und by Default

In der Praxis finden sich viele Beispiele, die zeigen, wie wenig allgemein auf die Betroffenenrechte und die Intervenierbarkeit geachtet wird. Für den Bereich der sozialen Netzwerke hat dies z.B. der Landesdatenschutzbeauftragte von Hessen beschrieben; er befasst sich insbesondere mit den häufigen Änderungen beim Funktionsumfang sozialer Netzwerke, dem Recht auf Auskunft für die Betroffenen und mit der Löschung der Daten aus sozialen Netzwerken.

Teil 2 dieser Serie beschäftigt sich eingehend mit den Prinzipien Transparenz und Dokumentation.

Nützliche Links