Dienstag, 20. Juni 2017

Was genau bedeutet eigentlich Datenschutz?

Schüler fragten mich, was genau eigentlich Datenschutz ist. Da ich immer wieder auf Menschen treffe, die Datenschutz und Datensicherheit völlig durcheinander bringen, nehme ich das jetzt zum Anlass, einen Blogbeitrag zu dem Thema zu verfassen.

Was bedeutet Datenschutz?

Beim Datenschutz geht es um die persönliche Unversehrtheit und informationelle Selbstbestimmung. Selbstbestimmung im Gegensatz zu Fremdbestimmung. Ich entscheide selbst, was mit Informationen zu und über mich passiert. Ich entscheide, wer mir Werbung zuschicken darf und wer nicht. Ich entscheide, wer Informationen über mich erhält und wer nicht. Es geht also auch um Mündigkeit. Nicht der Staat oder Wirtschaftsunternehmen entscheiden was gut für mich ist, sondern ich selbst.

Es geht beim Datenschutz darum, dass die Freiheit des Einzelnen garantiert wird. Die Freiheit, Dienste zu nutzen und genaustens darüber informiert zu werden, welche Informationen dabei für welche Zwecke gespeichert werden.

Es geht um die Offenlegung, an wen die Informationen weitergegeben werden.

Und es geht darum, dass einer Verarbeitung und Weiterleitung jederzeit mit sofortiger Wirkung widersprochen werden kann.

Daten, die nicht zwingend für den gewünschten Geschäftsprozess benötigt werden, dürfen ohne schriftliches Einverständnis gar nicht erst erhoben werden. Wird das Einverständnis gegeben, hat der Betroffene das Recht, jederzeit mit sofortiger Wirkung zu widersprechen und alle Informationen sind unverzüglich zu löschen und zu vergessen, und zwar auch von allen, an die die Informationen weitergeleitet wurden.

Werden Informationen zur Herkunft, politischen Meinung, religiösen oder philosophischen Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben sowie genetische oder biometrische Daten erfasst, so sind hierfür noch strengere Geheimhaltungspflichten und Vorschriften zu beachten.

Informationen der oben genannten Kategorien werden sensitive Informationen genannt und lassen sich natürlich auch aus Fotos und Videos schliessen. Das ist einer von vielen Gründen, warum die Speicherung bzw. Veröffentlichung von Fotos und Videos besonders riskant ist.

Beim Datenschutz geht es um den Schutz der Privatheit der einzelnen Person.

Wenn ich nicht möchte, dass irgendjemand ausser meinem Arzt und der Krankenkasse weiss, dass ich Krebs habe, so darf weder der Arzt noch die Mitarbeiter der Krankenkasse diese Informationen einem Dritten zustecken.

Dem Datenschutz reicht hierfür eine Verpflichtung auf das Datengeheimnis. Das hiesst, die Mitarbeiter verpflichten sich, die Daten geheim zu halten und nicht an Unbefugte bzw. Dritte weiterzuleiten.

Ich möchte nicht, dass mir Firma xy Werbung zuschickt, also werden die Mitarbeiter per Unterschrift verpflichtet, meine Kundendaten nicht für Werbezwecke zu nutzen sondern ausschließlich für Rechnungen bzw. Lieferungen.

Wer sich nicht an die Verpflichtung hält, dem drohen hohe Geld- und Freiheitsstrafen. Vom Verlust des Arbeitsplatzes ganz zu schweigen.

Und was ist Datensicherheit?

Datensicherheit bedeutet, mit technischen Hilfsmitteln Informationen vor dem Zugriff bzw. Abgriff durch Unbefugte zu schützen.

Daten im Internetverkehr schützen ist wie den Koffer für die Reise schliessen. Niemand reisst mit einem offenen Wäschekorb, in dem während der Reise theoretisch jeder herumwühlen und sich bedienen kann. Wenn wir reisen, verpacken wir unsere Wäsche in Koffer, damit nicht jeder in unseren Unterhosen wühlen kann. Viele Menschen schließen ihre Koffer sogar auf Reisen ab.

Es geht niemanden etwas an, was in meinem Koffer ist.

So ist das auch mit unseren Daten im Internet. Sie sind quasi unsere Wäsche und das Internet ist der Frachtraum des Flugzeuges oder die Kofferabfertigung oder die Gepäckablage im Zug.

Wer nicht möchte, dass die Daten jederzeit von jedem x-beliebigen, egal ob gut oder böse, eingesehen, kopiert, weitergegeben und verwendet werden, sollte sie schützen.

Wie verhalte ich mich richtig?

Ein Onlineshop zum Beispiel braucht selbstverständlich eine Lieferadresse, wenn er Euch das gekaufte zuschicken soll. Wenn Ihr eine Rechnung wünscht, braucht der Händler auch Eure Rechnungsadresse.

Natürlich ist es beim Kleider- und Schuhekauf auch zwingend erforderlich, dass Ihr die Größen angebt.

Bei allem, was Ihr eingebt, immer erst einmal überlegen, ob es wirklich für den Geschäftsabschluss zwingend erforderlich ist.

Alles was nicht erforderlich ist, braucht nicht ausgefüllt werden. Hierfür muss eine schriftliche Genehmigung eingeholt werden. Wird die Genehmigung zum Beispiel mit der Bestätigung der AGB eingeholt, so müssen die Passagen, in denen es um die Genehmigung für Eure Daten geht, besonders hervorgehoben sein und zwar auch für Farbenblinde. Das heisst, die Passagen sollten nicht nur andersfarbig sein, sondern auch noch besonders dick. Sie müssen sofort ins Auge stechen. So will es der Gesetzgeber.

Ist Euch der Zweck nicht klar, oder seht Ihr die zwingende Erforderlichkeit für den Geschäftsprozess nicht, ist es Euer gutes Recht nachzuhaken. Die Datenschutzbeauftragte des  entsprechenden Unternehmens muss Euch hier Auskunft geben.

Allerdings sind die Kontaktdaten der Datenschutzbeauftragten der Firmen häufig schwierig ausfindig zu machen.

Nur ganz kleine Firmen brauchen keinen Datenschutzbeauftragten, sofern sie keine sensitiven Informationen speichern und verarbeiten. Der Gesetzgeber schreibt aber in diesem Fall vor, dass die Geschäftsleitung die Aufgaben des Datenschutzbeauftragten erfüllen muss.

Lasst Euch niemals auf ein direktes Gespräch mit der Firma ein, um dann von einem Verkäufer freundlich abgewimmelt zu werden, sondern verlangt immer die Kontaktdaten des Datenschutzbeauftragten. Sollte Ihr die Kontaktdaten nicht bekommen, so schaltet die Behörde ein (siehe unten).

Sobald Ihr die Kontaktdaten habt, verlangt von der Datenschutzbeauftragten das Verfahrensverzeichnis nach BDSG §4e.

Schaut aber bitte vorher, ob die Firma das Verfahrensverzeichnis nicht bereits auf ihren Webseiten veröffentlicht hat. Manche Firmen machen das tatsächlich mittlerweile.

In dem Verfahrensverzeichnis sollte genau drinstehen, wofür die einzelnen Daten erfasst werden, wann sie gelöscht werden, an wen sie weitergegeben wurden und so weiter.

Ist das nicht der Fall,  sondern das Verfahrensverzeichnis ist nur sehr schwammig oder erhält mehr Firmenwerbung als Informationen zu den einzelnen Informationen über Euch, sollte unbedingt die Behörde informiert werden.

Klassische Beispiele sind:
Ihr fragt nach dem Verfahrensverzeichnis für die Aufzeichnungen der Überwachungskamera und im Verfahrensverzeichnis steht nur etwas von Kundendaten und Rechnungen, aber kein einziges Wort zu den Videodaten.

Es wird zwar im Verfahrensverzeichnis darauf hingewiesen, dass die Daten an Geschäftspartner weitergegeben werden, aber es ist nicht genau aufgelistet, an wen genau.

Neben dem Zwecken der Geschäftsabwicklung werden noch Werbezwecken oder die Weiterleitung an die Marketingabteilung angegeben

Es werden wegen des Steuerrechtes alle Daten 10 Jahre aufbewahrt. Das ist nicht in Ordnung, da das Steuerrecht nur die Aufbewahrung ganz bestimmter Informationen fordert.

Es wird auf Gesetze verwiesen, die aber weder eine Erhebung, Speicherung oder Aufbewahrung von Informationen vorsehen.

Und vieles mehr.


Hier gilt es mit wachsamen Verstand zu lesen und alles genaustens zu hinterfragen. Wenn auf Paragraphen / Gesetze verwiesen wird, lohnt sich ein Blick in das entsprechende Gesetz. Die meisten Gesetzestexte sind heutzutage online zu finden. Meine Erfahrung ist, dass durchaus auch schon mal auf Fantasiegesetze verwiesen wird. In einem mir vorgelegten Verfahrenverzeichnis wurde sogar schon auf Grundgesetz Artikel 22 verwiesen. Das ist der Artikel, in dem steht, dass unsere Hauptstadt Berlin und die Flagge schwarz-rot-gold ist. Was das mit der Speicherung, Verarbeitung und Weitergabe meiner Daten zu tun hat, konnte mir auf Nachfrage niemand erklären.

Die Behörde darf nur auf Beschwerden von Betroffenen reagieren. Da Ihr betroffen seid, ist es wichtig, dass Ihr es meldet.

Wichtig ist, dass ihr Euch bei der Behörde selbst melden. Es reicht nicht, wenn Eure Ehefrau / Ehemann oder Mutter / Vater (sofern Ihr über 18 seid), das für Euch erledigen möchte. Die Mitarbeiterin einer Behörde erzählte mir einst am Telefon: "Oh, endlich eine Betroffene! Jetzt darf ich endlich reagieren. Ich habe schon viele Beschwerden von Ehemännern oder Freunden bekommen, aber nie von einer Betroffenen." Ich muss dazu sagen, die von mir angezeigte Firma vertreibt Ware, die aus biologischen Gründen nur von Frauen genutzt wird.

Selbst wenn Ihr lediglich aus dem Verfahrensverzeichnis nicht schlau werdet und nicht wirklich nachvollziehen könnt, was mit Euren Daten passiert und an wen genau sie weitergegeben werden, ist das eine Anzeige wert. Denn das Verfahrensverzeichnis sollte dem Betroffenen schon deutlich und verständlich aufzeigen, was mit den Informationen passiert. Solange sich niemand beklagt, ändern die Firmen ihr Verhalten nicht.

Leider verstoßen sehr viele Firmen gegen die Gesetze, da sich sehr wenige Betroffene wehren und sich beschweren. Viele der Verfahrensverzeichnisse, die die Firmen ins Netz gestellt haben, sind unzureichend. Den Firmen drohen hohe Bußgelder, wenn sie sich nicht an die Gesetze halten und hier keine genauste Auskunft geben.

Wer ist die Behörde und wie erreiche ich sie?

Die Behörde bedeutet die Landesbeauftragte für Datenschutz und Informationsfreiheit des Bundeslandes, in dem die Firma ihren Sitz hat (Liste zu den Webseiten der Behörden siehe unten).

Aus Erfahrung kann ich sagen, wenn die Beschwerde versehentlich oder aus Unwissenheit an die Behörde des falschen Bundeslandes geschickt wird, haben die Behörden, bei denen mir das bis jetzt passiert ist, die Beschwerde an die zuständige Behörde weitergeleitet und mich kurz darüber informiert.

Meine Erfahrung mit den Behörden ist, dass sie stets sehr freundlich und zuvorkommend sind.

Webseiten der Datenschutzbehörden

Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de
Bayern: https://www.lda.bayern.de/de/index.html
Berlin: https://datenschutz-berlin.de
Brandenburg: http://www.lda.brandenburg.de
Bremen: http://www.datenschutz-bremen.de
Hamburg: http://www.datenschutz-hamburg.de
Hessen: https://www.datenschutz.hessen.de
Mecklenburg-Vorpommern: https://www.datenschutz-mv.de
Niedersachsen: http://www.lfd.niedersachsen.de/startseite/
NRW: https://www.ldi.nrw.de
Rheinland Pfalz: https://www.datenschutz.rlp.de/de/startseite/
Saarland: https://datenschutz.saarland.de
Sachsen: https://www.saechsdsb.de
Sachsen-Anhalt: https://datenschutz.sachsen-anhalt.de/nc/datenschutz-sachsen-anhalt/
Schleswig Holstein: https://www.datenschutzzentrum.de
Thüringen: https://www.tlfdi.de/tlfdi/

Kommentare:

  1. Kann man das kürzer und einfacher darstellen? Sonst gut:)

    AntwortenLöschen
  2. Ich sollte dazu übergehen, Videos zu drehen, statt Text zu verfassen.

    AntwortenLöschen