Datenschutz bezeichnet allgemein gesagt den „Schutz von personenbezogenen Daten“. Grundsätzlich gilt der Datenschutz für natürliche Personen, juristische Personen wie Stiftungen und Anstalten sind nicht davon betroffen. Die natürliche Person muss zudem rechtsfähig sein.
Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO definiert:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Die Bandbreite für personenbezogene Daten ist nach DSGVO also enorm. Im Beispiel eines Arbeitsalltag fängt die Erfassung personenbezogener Daten schon beim Einloggen im Zeiterfassungssystem an, bei dem eine Ankunftszeit für eine bestimmten Nutzer erfasst wird. In E-Mails werden personenbezogene Informationen ausgetauscht, die IP-Adresse eines Rechners lässt Rückschlüsse auf den Nutzer zu und beim Telefonat mit einem Kunden werden ebenfalls personenbezogene Daten erfasst und dokumentiert.
Was passiert, wenn personenbezogene Daten nicht geschützt werden?
Datenschutzverletzung
Durch den Schutz der personenbezogenen Daten können die Individuen vor Datenmissbrauch geschützt werden. Eine Verletzung des Schutzes personenbezogener Daten, der Art. 4 Nr. 12 DSGVO definiert ist, kann weitläufige Konsequenzen haben. Ein Beispiel wäre der Verlust oder das Offenlegen von personenbezogenen Daten bei einem Hackerangriff.
Eine Datenschutzverletzung muss innerhalb von 72 Stunden gemeldet werden. Umgangssprachlich wird bei Datenschutzverletzungen auch von Datenschutzpannen gesprochen.
Datenschutzverstoß
Gravierende Datenschutzverstöße sind ein Verstoß gegen die DSGVO und je nach Schweregrad eine Ordnungswidrigkeit oder eine Straftat. Dazu gehört beispielsweise, dass ein Unternehmen keinen Datenschutzbeauftragten hat.
Werden Datenschutzverstöße veröffentlicht?
Einige europäische Länder teilen die Datenschutzverstöße sehr transparent mit der Öffentlichkeit, teilweise sind sie sogar dazu verpflichtet. Die spanischen und schwedischen Datenschutzbehörden veröffentlichen sie direkt auf der Webseite. In Italien ist die Veröffentlichung sogar eine mögliche Sanktionsmaßnahme.
In Deutschland ist eine Offenlegung keine Pflicht, konkrete Zahlen findet man lediglich in den Jahresberichten der Behörden. Dadurch gibt es kaum Kenntnis über die tatsächlich verhangenen Bußgelder und die Hintergründe in Deutschland.
