Inhaltsverzeichnis
Wann begann der „Irrsinn“ des Datenschutzes?
In den letzten Jahrhunderten ist viel passierte und es wurden unzählige wirtschaftliche Ereignisse und Prozessen in Bewegung gesetzt. Sei es nun die Industrialisierung im 19. Jahrhundert oder die Digitalisierung im 20. Jahrhundert. Auch die Gesetzgebung durchlebt einen Wandel; neue Gesetze treten in oder außer Kraft.
Viele sind der Meinung, dass die DSGVO an all dem Dokumentenwahnsinn Schuld ist und niemand mehr einen Überblick hat. „Früher war alles besser“, heißt es. Doch war es das wirklich? Ich zeige Ihnen heute, wie „scharf“ das Thema Datenschutz bereits in seinen Anfängen war. Dabei ziehe ich immer wieder Vergleiche zur der aktuellen DSGVO und dem BDSG-neu.
Lassen Sie uns also gemeinsam in der Zeit zurückreisen, auf die Historie des Datenschutzes eingehen und wann dieser „Irrsinn“ seinen Anfang hatte.
Erstes Datenschutzgesetz – Hessen 1970
Es wird Sie vielleicht überraschen, aber nicht Deutschland als Land hat das erste Datenschutzgesetz erlassen, sondern das Bundesland Hessen im Jahre 1970. Der hessische Landtag formulierte das erste Landesgesetz mit dem Fokus auf die Verarbeitung von personenbezogenen Daten. Grund hierfür war die immer fortschreitende Technik der maschinellen Datenverarbeitung.
Allerdings galt dieses Gesetz für Behörden des Landes Hessen und dessen unterstehenden Körperschaften, Anstalten und Stiftungen. Interessant, oder? Doch lassen Sie uns einen gemeinsamen Blick in das Gesetz werfen, was zum heutigen Zeitpunkt im Vergleich zur DSGVO bzw. zum BDSG – neu bereits geregelt war:
Rechte der betroffenen Personen
Den Betroffenen wurde damals schon das Recht auf Auskunft (§ 4 Absatz 3) und Berichtigung (§ 4 Absatz 1) eingeräumt. Jedoch wurde hier noch keine Frist zur Beantwortung der Anfrage festgelegt.
Einen Überblick über die aktuell geltenden Betroffenenrechte finden Sie ein einem anderen Blogartikel.
Datenschutzbeauftragter
Zum ersten Mal in der deutschen Geschichte taucht der Beruf des „Datenschutzbeauftragten“ auf. Zur Verschwiegenheit war dieser nach § 9 bereits verpflichtet.
Seine Aufgaben waren in § 10 niedergeschrieben, allerdings noch nicht so ausführlich wie heutzutage. Dennoch war der Datenschutzbeauftragte auch zur damaligen Zeit für die Überwachung und Einhaltung des Datenschutzes zuständig und hatte die Aufsichtsbehörde bei Datenpannen zu kontaktieren. Auch die Weisungsfreiheit des Datenschutzbeauftragten wurde im Jahre 1970 bereits mit erfasst und niedergeschrieben (§ 8).
Welche Aufgaben der Datenschutzbeauftragte nach der DSGVO bzw. dem BDSG – neu zu erfüllen hat, können Sie gerne in einem vorherigen Blogbeitrag nachlesen.
Technische und organisatorische Maßnahmen (TOM´s)
Wer hätte es gedacht? Die TOM´s erhielten in § 2 bereits Beachtung:
Die vom Datenschutz erfaßten Unterlagen, Daten und Ergebnisse sind so zu übermitteln, weiterzuleiten und aufzubewahren, daß sie nicht durch Unbefugte eingesehen, verändert, abgerufen oder vernichtet werden können. Dies ist durch geeignete personelle und technische Vorkehrungen sicherzustellen.
Datenschutzgesetz des Landes Hessen vom 07. Oktober 1970, abrufbar unter: http://starweb.hessen.de/cache/GVBL/1970/00041.pdf, Seite 625 bis 62
Jedoch wurden im Jahre 1970 die TOMs noch nicht so umfassend definiert und ausgestaltet wie wir sie heute kennen.
Zwischenfazit
Im Jahre 1970 begann also die Geschichte des Datenschutzes. Obwohl das Gesetz schon vor über 50 Jahren erlassen wurde, ist die Wichtigkeit und Intention des Schutzes der Daten zu erkennen. Das Gesetz steckte noch in den Kinderschuhen, fokussierte sich jedoch bereits zu diesem Zeitpunkt auf die wichtigsten Kernelemente (DSB, Auftragsverarbeiter und TOMs).
Erstes Bundesdatenschutzgesetz 1977
Im Jahre 1977 war es endlich soweit und im Bundesgesetzblatt verkündete die Regierung das erste Bundesdatenschutzgesetz. Im Gegensatz zum Hessischen Landesdatenschutzgesetz war dieses bereits umfangreicher und galt jetzt auch für Datenverarbeitungen von natürlichen und juristischen Personen, Personenvereinigungen des privaten Rechts für eigene oder fremde Zwecke.
Verbot mit Erlaubnisvorbehalt
Was bedeutet dieser Begriff in Bezug auf den Datenschutz? Nun es bedeutet, dass grundsätzlich erst einmal die Erhebung, Speicherung und Nutzung der personenbezogenen Daten verboten ist. Trotzdem dürfen Daten folglich nur
- aufgrund einer gesetzlichen Vorgabe,
- aufgrund einer Vertragsbeziehung
- bei Einwilligung des Betroffenen oder
- bei berechtigtem Interesse des Verantwortlichen
verarbeitet (§ 3 BDSG-1977, § 23 BDSG 1977) werden. Diese grundlegenden Ausnahmen sind heutzutage gleichfalls in der in Art. 6 Abs. 1 DSGVO festgehalten (natürlich noch mit weiteren Ausnahmen).
Die Struktur des BDSG-1977 ähnelt auch dem heutigen BDSG-neu. Im zweiten Abschnitt werden die öffentlichen Stellen angesprochen, im dritten Abschnitt die nicht öffentlichen Stellen. Auf diese möchte ich nachfolgend eingehen.
Datenschutz bei nicht-öffentlichen Stellen im Jahre 1977
Lassen Sie uns wieder gemeinsam das Gesetz durchforsten und Vergleiche ziehen!
Technische und organisatorische Maßnahmen (§ 6 mit Anlage)
Erstmalig wurden Anhaltspunkte für die TOMs seitens des Gesetzes vorgegeben. Nachfolgend ist erkennbar, welche „Kategorien“ der TOMs zum damaligen Zeitpunkt bereits vorlagen:
In Art. 32. Abs. 1 DSGVO sind die TOMs in gewissen Ausmaß beschrieben. Unter anderem sind personenbezogene Daten zu verschlüsseln und zu anonymisieren, die Daten nach einem technischen Defekt rasch wiederherzustellen und die Sicherheit der Verarbeitung festzustellen. Diese Verfahren sind durch regelmäßige Kontrollen zu überprüfen und zu gewährleisten.
Sieht man sich die Mustervorlage eines Auftragsverarbeitungsvertrages der GDD, vor allem die Anlage 1, sind deutliche Parallelen nach dem oben genannten Schema erkennbar.
Wie Sie Ihre TOMs umsetzen und das Sicherheitsniveau in Ihrem Unternehmen steigern, zeigen wir Ihnen in diesem Blogartikel.
Bestellung eines Datenschutzbeauftragten
Die Grenze zur Bestellung eines Datenschutzbeauftragten lag damals bei fünf Mitarbeitern im Falle der automatisierten Verarbeitung der Daten. Sofern jedoch die Daten auf andere Weise (manuell) verarbeitet wurden, lag die Grenze bei 20 Mitarbeitern. Die Frist zur Meldung des betrieblichen Datenschutzbeauftragten wurde auf einem Monat nach Tätigkeitsbeginn festgesetzt.
Heutzutage erfolgt die Datenverarbeitung meist automatisiert in Systemen. Nach dem neuem BDSG liegt die Grenze zur Bestellung eines Datenschutzbeauftragten bei 20 Mitarbeitern (Stand Juni 2019), die mit der ständigen automatisierten Verarbeitung betraut sind.
Zu seinen Aufgaben zählte gleichfalls wie heute auch die Beratung der Geschäftsführung, Überwachung der Verarbeitungsvorgänge und die Schulung bzw. Sensibilisierung der Mitarbeiter.
Verfahrensverzeichnis
Eine weitere Aufgabe des Datenschutzbeauftragten war es, eine Übersicht zu führen mit folgenden Angaben:
- Art der personenbezogenen Daten
- Geschäftszweck und Ziel der benötigten Daten
- Empfänger der Daten
- Art der eingesetzten Datenverarbeitungsanlage
Es ähnelt dem Verfahrensverzeichnis nach Art. 30 DSGVO doch sehr, oder? Natürlich sind gegenwärtig weitere Angaben (z.B. Empfänger im Drittland, Löschfristen, Einsatz von Profiling etc.) zu dokumentieren und festzuhalten.
Auftragsverarbeiter
Wer hätte es gedacht, dass 1977 bereits die Auftragsverarbeitung angesprochen wurde? Korrekterweise hieß es „Geschäftsmäßige Datenverarbeitung nicht-öffentlicher Stellen für fremde Zwecke“.
Die Auswahl der Auftragsverarbeiter sollte, wie auch heute, anhand der TOMs erfolgen (§ 31 Abs. 2 Satz 2). Des Weiteren hatte der Auftragnehmer nur im Rahmen einer Weisung seitens des Auftraggebers personenbezogene Daten zu verarbeiten (§ 37).
Interessant ist auch, dass personenbezogene Daten zum Zwecke der Übermittlung in anonymisierter Form zu speichern waren (§ 36 Abs. 1).
Wie sieht es mit dem Vertrag an sich aus? Das Gesetz nimmt keine Stellung zur Schriftform und Ausgestaltung des Vertrages. Meines Erachtens reichte somit eine mündliche Vereinbarung über die Auftragsverarbeitung.
Interessant, dass die Auftragsverarbeiter im Jahre 1977 schon nach dem TOMs zu bewerten waren, oder?
Rechte der Betroffenen und Informationspflicht
Auch die Betroffenenrechte fanden im BDSG 1977 Anklang. Auf diesen Punkt möchte ich nur kurz eingehen, da die sich die Betroffenenrechte im Vergleich zur DSGVO bzw. zum BDSG nicht sonderlich geändert haben. Folgende Rechte standen dem Betroffenen zu:
- Auskunftsrecht (§ 26, § 34)
- Berichtigung, Sperrung und Löschung (§ 27, § 35)
Des Weiteren mussten die Betroffenen vor der erstmaligen Speicherung der Daten benachrichtigt werden. Das Stichwort hier lautet: Informationspflicht. Welche Informationen bei der Benachrichtigung enthalten sein müssen, stand zum damaligen Zeitpunkt noch offen.
Die Pflicht zur Bereitstellung der Informationen spiegelt sich heute in Art. 13 DSGVO bzw. Art. 14 DSGVO.
Welche Änderungen mit der DSGVO auf Informationspflicht aufkamen, können Sie in einem weiteren Blogbeitrag nachlesen.
Strafvorschriften
1977 stand die unzulässige Übermittlung, Veränderung, Abrufung von personenbezogenen Daten sogar unter Strafe. Eine Freiheitsstrafe von einem Jahr konnte verhängt oder eine Geldstrafe ausgesprochen werden. Handelte der Täter jedoch mit Vorsatz (Absicht), konnte die Freiheitsstrafe auf zwei Jahre erweitert oder ebenfalls wieder mit einer Geldstrafe geahndet werden.
Nach § 42 BDSG-neu wird der Täter mit einer Freiheitsstrafe von bis zu drei Jahren bestraft, wenn er vorsätzlich nicht öffentliche personenbezogene Daten ohne Berechtigung in ein Drittland übermittelt, den Zugang dazu ermöglicht und gewerbsmäßig mit diesen handelt.
Des Weiteren wird jemand mit bis zu zwei Jahren Freiheitsstrafe oder Geldstrafe verurteilt, wenn er
- ohne Berechtigung Daten verarbeitet oder
- sich durch falsche Angaben Zugang zu diesen verschafft und
- absichtlich oder gegen Entgelt handelt.
Diese Vorschrift gilt für öffentliche Stellen. Dies bedeutet jedoch nicht, dass Verstöße bei Privatunternehmen unbeachtet bleiben.
Bußgelder
Die Obergrenze des Bußgeldes belief sich auf damals auf 50.000 Mark (§ 42 Abs. 2). Ein Bußgeld konnte ausgesprochen werden, wenn:
- der Betroffene nicht benachrichtigt
- der Datenschutzbeauftragte nicht oder nicht rechtzeitig bestellt
- Auskünfte an die Aufsichtsbehörde unrichtig, unvollständig und nicht rechtzeitig übermittelt wurde oder
- sein berechtigtes Interesse (Zweck) nicht dokumentierte und nachweisen konnte.
Das Bußgeld in der DSGVO wurde auf die „gefürchteten“ 20.000.000 Euro erhöht (Art. 83 Abs. 5 DSGVO). Was aber nicht heißt, dass es sofort erlassen wird. Vielmehr ist der Einzelfall abzuwägen. Das Bußgeld soll im Verhältnis zum Unternehmen stehen, jedoch abschreckend wirken. Es sind auch unterschiedliche Umstände (Art. 83. Abs. 2 DSGVO) vor der Aussprache eines Bußgeldes mit einzubeziehen und auch, ob sich der Verantwortliche an die Anweisung der Aufsichtsbehörde anpasst.
Zwischenfazit BDSG – 1977
Durch die beispielshafte Heraushebung von unterschiedlichen Themengebieten sind viele Parallelen und Ähnlichkeiten zwischen dem BDSG 1977 und der DSGVO erkennbar.
Das Gesetz wurde mehrere Jahre hinweg weiter fortgeschrieben und erweitert. Lassen Sie uns nun einen Zeitsprung in der Geschichte des Datenschutzes in die 90er Jahre machen!
Novellierung des BDSG in den 90er Jahren
Einige Tage vor Heiligabend beschloss die Bundesregierung mit Zustimmung des Bundesrates die Fortentwicklung des Bundesdatenschutzgesetzes. Grund hierfür war vor allem, das „Volkszählungsurteil“ von 1983, um das Recht der informationellen Selbstbestimmung (Art. 2 GG) einzubinden und zu stärken.
Die Struktur und der Aufbau des Gesetzes spiegelt bereits die Vorgängerversionen: Abschnitt 1: Allgemeiner Teil, Abschnitt 2: öffentliche Stellen, Abschnitt 3: nicht-öffentliche Stellen. Nachfolgend behandle ich die nicht-öffentlichen Stellen.
Was hat sich zum Vergleich zum BDSG 1977 geändert? Was sofort ins Auge sticht: das Gesetz ist viel umfangreicher und detaillierter beschrieben. Lassen Sie uns Unterschiede und Parallelen finden!
Datenschutz bei nicht-öffentlichen Stellen im Jahre 1990
In diesem Abschnitt möchte ich hauptsächlich die Neuerungen beschreiben.
Das bedeutet, dass ich hier nicht auf die Rechtsmäßigkeit der Verarbeitung, TOMs, Rechte der Betroffenen, die Bestellung, Aufgaben des Datenschutzbeauftragten, Strafvorschriften und Bußgelder eingehe, da diese größtenteils identisch blieben.
öffentliches Verfahrensverzeichnis
Der Datenschutzbeauftragte hat ein Verfahrensverzeichnis zu führen und dies „bereit zu stellen“, d.h. zu veröffentlichen mit folgenden Angaben:
- eingesetzte Datenverarbeitungsanlagen
- Bezeichnung und Art der Dateien
- Art der gespeicherten Daten (Namen, Adresse etc.)
- Zweck der Datenerhebung (Vertrag, berechtigtes Interesse etc.)
- Empfänger und
- welche Personengruppen oder Personen zugriffsberichtigt sind
„Neu“ beim Verfahrensverzeichnis ist, dass dies öffentlich zur Verfügung zu stellen war. Dies hat sich bis zum BDSG (gültig bis zum 25.05.2018) nicht geändert.
Nach der DSGVO ist das Verfahrensverzeichnis als internes Dokument zu behandeln und auf nur Verlagen der Aufsichtsbehörde bereit zu stellen.
Verschwiegenheit der Mitarbeiter
Nach § 5 BDSG (1990) sind die Mitarbeiter der Verschwiegenheit zu verpflichten. Wichtiger Hinweis: Die Verschwiegenheit hat auch nach Beendigung des Arbeitsverhältnisses Fortbestand.
Aus der Praxiserfahrung heraus stoße ich bei der Prüfung von Verschwiegenheitserklärungen immer wieder auf den § 5 BDSG, der auch in der alten Fassung (gültig bis 25.05.2018) beschrieben wurde.
Hier ist ein wesentlicher Unterschied zur DSGVO zu erkennen. In der DSGVO ist die Verschwiegenheit in verschiedenen Stellen „versteckt“ und im BDSG-neu wird diese gar nicht erwähnt.
Müssen sich die Mitarbeiter jetzt keiner Verschwiegenheit mehr verpflichten? Keineswegs.
„Die Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen ist ein wichtiger Bestandteil der Maßnahmen, damit ein Verantwortlicher (siehe Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO) oder ein Auftragsverarbeiter (siehe Art. 28 Abs. 3 Satz 1 DS-GVO) die Einhaltung der Grundsätze der DS-GVO sicherstellen und nachweisen kann („Rechenschaftspflicht“). Diese Grundsätze der DS-GVO, festgelegt in Art. 5 Abs. 1 DS-GVO, beinhalten im Wesentlichen folgende Pflichten […]“
Bayerisches Landesamt für Datenschutzaufsicht: Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO
https://www.prosoft.de/fileadmin/user_upload/PDF/Datenschutz/info_verpflichtung_beschaeftigte_dsgvo.pdf
Somit gilt die Verschwiegenheit weiterhin für sämtliche Mitarbeiter. Tipp: Die Verpflichtungserklärung kann auch auf die Geschäfts- und Betriebsgeheimnisse ergänzt werden.
Auftragsverarbeiter
Eine wesentliche Neuerung ergibt sich über die Art der Beauftragung. Die Auftragsverteilung ist nun schriftlich zu dokumentieren (§ 2 Abs .2 Satz 1). Folglich war inhaltlich der Zweck der Datenverarbeitung oder -nutzung, technische und organisatorische Maßnahmen und evtl. eingesetzte Sub-Unternehmer niederzuschreiben und festzuhalten.
Des Weiteren hatte der Auftragnehmer den Auftraggeber bei Vermutung von Datenschutzverstößen unverzüglich zu informieren (§ 11 Abs. 3 Satz 2).
Schon wieder haben wir wieder eine Parallele zur DSGVO, in Hinblick auf die Auftragsverarbeiter (Art. 28 Abs. 3 DSGVO) gefunden!
Formerfordernis Einwilligung
Die Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten bleiben weiterhin gleich. Jedoch hat die Einwilligung des Betroffenen schriftlich zu erfolgen (§ 4 Abs. 2 Satz 2).
Auf der Einwilligung ist der Zweck eindeutig hervorzuheben. An wen werden die Daten weitergeleitet, und welche Folgen hat eine Verweigerung der Einwilligung? Die Erklärung war grundsätzlich schriftlich zu erteilen, wenn anhand der Umstände eine andere Form einfacher wäre.
Allerdings darf die Einwilligungserklärung nicht „versteckt“ mit anderen Erklärungen abgegeben werden und hat sich alleine schon vom Erscheinungsbild von anderen Erklärungen abzuheben. Diese Anforderung ist auch zum Zeitpunkt der DSGVO einzuhalten!
Im Gegensatz zum BDSG (1990) stellt die DSGVO keine Formerfordernis an die Einwilligung. Sie kann also mündlich, schriftlich oder elektronisch (Opt-in) erfolgen. Meine Empfehlung ist allerdings, die Einwilligung schriftlich einzuholen oder zu vermerken, da nach Art. 7 Abs. 1 DSGVO der Verantwortliche die Einwilligung im Zweifel nachzuweisen hat.
Des Weiteren ist der Betroffene auf sein Widerrufsrecht vor Abgabe der Einwilligung hinzuweisen.
Zwischenfazit BDSG 1990
Durch den technischen Fortschritt und unter der Einbeziehung des Volkszählungsurteils wurde das Bundesdatenschutzgesetz 1990 überarbeitet.
Zusammenfassend ist festzuhalten, dass sich viele Punkte der heutigen DSGVO dem BDSG-neu ähneln und teilweise die gleichen Inhalte teilen.
Nähern wir uns jetzt den 2000er. Im Jahr 2001 wurde das Bundesdatenschutzgesetz abermals angepasst wegen der….
Datenschutzrichtlinie (Richtlinie 95/46/EG)
Lange bevor, die „berühmt berüchtigte“ DSGVO in Kraft trat, wurde die Datenschutzrichtlinie im Jahr 1995 erlassen, welche für die Europäische Gemeinschaft galt und in nationales Recht umzusetzen war. Hintergrund dieser Richtlinie war die Vereinfachung des Datenaustausches in der Europäischen Gemeinschaft und die erste Angleichung an ein einheitliches Datenschutzniveau.
1995 steckte das Internet für den Privatgebrauch noch in den Kinderschuhen. Plattformen wie z.B. Facebook, Ebay etc. waren noch nicht entwickelt oder standen noch ganz am Anfang.
Exkurs: Unterschied zwischen EU-Richtlinie und EU-Verordnung
Eine Richtlinie gibt, wie es der Name bereits verrät, gewisse Richtwerte und Angaben vor, die jedoch von den Mitgliedsstaaten in nationales Recht umzusetzen sind.
Verordnungen dagegen, wirken unmittelbar, d.h. für jeden Mitgliedsstaat ab Bekanntgabe. Teilweise können die Verordnungen mittels einer „Umsetzungsfrist“ in nationales Recht implementiert werden. Die DSGVO hielt diese Möglichkeit offen (sog. Öffnungsklausel), so dass die nationale Gesetzgebung noch einige offene Tatbestände im Bundesgesetz ergänzen konnte. Ein Beispiel für die Nutzung der Öffnungsklausel ist die Videoüberwachung. Diese wird in der DSGVO nicht erwähnt, aber in § 4 BDSG-neu.
Der deutsche Gesetzgeber nahm allerdings nicht die Möglichkeit an, die Altersgrenze bei Abgabe der Einwilligung (16 Jahre) nach Art. 8 Abs. 1 Satz 2 DSGVO herunter zu setzen. Das Mindestalter von 13 Jahren darf jedoch auch im nationalen Gesetz nach Art. 8 Abs. 1 Satz 3 DSGVO nicht unterschritten werden.
In vielen Fällen lassen die europäischen Verordnungen immer einen gewissen Spielraum für die nationalen Gesetzgebungen.
Inhalt der Datenschutzrichtlinie
Zusammenfassend ist bei der Richtlinie festzuhalten, dass hier die Rechte der Betroffenen gestärkt wurden. Die Datenschutzrichtlinie band bereits Risikoanalysen und Folgenabschätzungen unter Mitwirkung des Datenschutzbeauftragten ein.
Auch die Beschreibung der Rechtsgrundlage der Datenverarbeitung (Vertrag, berechtigtes Interesse, Gesetz, Einwilligung), das Verfahrensverzeichnis, die TOMs, Meldepflicht bei der Aufsichtsbehörde, Informationspflichten sowie die Auftragsverarbeitung und das Datengeheimnis waren ebenfalls Bestandteil der Richtlinie.
Neu war, dass sich eine Datenschutzgruppe aus je einem Vertreter der einzelnen Mitgliedsstaaten zusammensetzte. Deren Hauptaufgabe bestand darin, die Europäische Kommission in Sachen Datenschutz zu beraten. Die in Artikel 29 genannte Gruppe nannte sich auch „Artikel-29-Datenschutzgruppe.“ Allerdings wird sie heutzutage „Europäischer Datenschutzausschuss (EDSA)“ genannt. Dessen Aufgaben (Art. 70 DSGVO) sind umfangreicher beschrieben und bestehen ebenfalls wieder in der Beratung der EU-Kommission, aber hauptsächlich in der Bereitstellung von Leitlinien und Empfehlungen
Die Datenübertragung in Drittstaaten war ebenso wie heute nur zulässig, wenn ein angemessenes Datenschutzniveau gewährleistet werden konnte.
In Art. 44 ff. DSGVO ist das Schutzniveau durch einen Angemessenheitsbeschluss, geeignete Garantien oder interne Datenschutzvorschriften herzustellen. Beispielsweise wurde Japan im Januar 2019 mittels eines Angemessenheitsbeschlusses als sicheres Drittland eingestuft.
Bundesdatenschutzgesetz 2001
Der deutsche Gesetzgeber hat die nicht enthaltenen Vorgaben in der Richtlinie im BDSG 2001 umgesetzt. Des Weiteren wurden Ergänzungen und Änderungen in anderen Gesetzen z.B. Sozialgesetzbuch vorgenommen. Die im Fokus stehenden Vergleiche mit der DSGVO und dem Bundesdatenschutzgesetz bleiben hier aus, da die Themengebiete soweit gleichblieben.
Weitere Änderungen des BDSG
Das BDSG wurde aufgrund von einigen Urteilen und Entwicklungen bis zum Inkrafttreten des BDSG-neu angepasst und verändert.
Integrität und Vertraulichkeit
Vor allem das Thema Vertraulichkeit und Integrität wurde mittels eines Urteils durch das Bundesverfassungsgericht als Grundrecht eingebracht und verwirklicht. Die Informationssicherheit durch den Staat durfte nur durch sehr strenge und gesetzliche Auflagen beeinträchtigt werden.
Die DSGVO berücksichtigt nach Art. 5 Abs. 1 lit f) das Grundrecht auf Integrität und Vertraulichkeit.
Vorratsdatenspeicherung
Wer kann sich noch an die umstrittene Vorratsdatenspeicherung von Telekommunikationsanbietern im Jahr 2010 erinnern? Auch hier sprach sich die Judikative (Bundesverfassungsgericht) für den Schutz der Betroffenen aus. Die Vorratsdatenspeicherung war nach Auffassung des Gerichts rechtswidrig und es definierte höhere Anforderungen bezüglich der Zweckbindung, Transparenz und Datensicherheit. Aktuell ist das Thema der Vorratsdatenspeicherung noch umstritten und ist gerichtlich zu klären.
Safe-Harbor-Abkommen bzw. Privacy-Shield
Die Übermittlung von Daten in Drittländer ist durch die globale Vernetzung ein wiederkehrendes Thema und betrifft große sowie kleine Unternehmen. Noch bevor die DSGVO überhaupt beschlossen wurde, gab es im Jahr 2015 ein Gerichtsverfahren über das sog. Safe-Harbor-Abkommen.
Zweck dieses Abkommens war die vereinfachte Datenübermittlung in die USA. Das Abkommen wurde jedoch für ungültig erklärt, aufgrund der schwachen Formulierungen und der einfachen Zusage ohne eine konkrete Prüfung des Empfängers.
Der Nachfolger des Safe-Harbor-Abkommens, ist das US-Privacy-Shield, welches im Juli 2016 beschlossen wurde. Aktuell ist das Privacy-Shield noch umstritten und eine endgültige Entscheidung zur Beständigkeit steht noch aus.
…und dann kam die DSGVO….
Anfang 2016 wurde die DSGVO mit der Umsetzungsfrist bis zum 25.05.2018 beschlossen. Leider wurde eine unberechtigte Panik bezüglich der DSGVO verbreitet. Es kursieren immer wieder Halbwahrheiten in den Medien (z.B. Kindergärten schwärzen Bilder von Kindern, Klingelschilder sind abzunehmen etc.).
Die Erhöhung der Bußgelder und Sanktionen ist eine der wesentlichen Änderungen in der DSGVO. Dennoch erhielt das gesamte Thema der Informationssicherheit, was den Datenschutz und auch die IT-Sicherheit miteinschließt, einen höheren Stellenwert.
Im Jahre 1995 war das Internet nicht so verbreitet wie heute. Auch die heutigen Probleme der Digitalisierung waren in der Richtlinie noch nicht berücksichtigt. Wie eingangs erwähnt: Jede Zeit bringt Neuerungen mit, an die sich auch die Gesetzgebung anpasst.
Durch den Blogartikel wissen Sie jetzt, welche grundsätzlichen Anforderungen mit dem Datenschutz einhergehen, die auch bereits vor der DSGVO einzuhalten waren. Aus der nachfolgenden Tabelle können Sie nochmals die wesentlichen Punkte und Gegenüberstellungen der vorangegangenen Gesetze und Richtlinien entnehmen.
Gegenüberstellung der „alten“ Bundesdatenschutzgesetze im Vergleich mit der DSGVO bzw. BDSG - neu
| Hessen 1970 | BDSG 1977 | BDSG 1990 | Datenschutzrichtlinie 1995 / BDSG 2001 | DSGVO / BDSG-neu | |
|---|---|---|---|---|---|
| Auftragsverarbeiter | x | x | x | x | |
| Betroffenenrechte | x | x | x | x | x |
| Datenschutzbeauftragter (Grenze der Mitarbeiteranzahl und Aufgaben) | Aufgabendefinition | 5 bzw. 20 Mitarbeiter + Aufgabendefinition | 5 bzw. 20 Mitarbeiter + Aufgabendefinition | 4. bzw. 20 Mitarbeiter + Aufgabendefinition | 10 Mitarbeiter + Aufgabendefinition |
| Definition der Rechtsmäßigkeit der Verarbeitung | x | x | x | x | |
| Informationspflicht | Benachrichtigung | Benachrichtigung | x | x | |
| Meldung von Datenschutzvorfällen | x | x | x | x | x |
| Sanktionen und Bußgelder | keine konkrete Zahlennennung | 50.000 Mark | 50.000 Mark | 50.000 Mark bzw. 500.000 Mark | 20.000.00 Euro bzw. 4 % des Jahresumsatzes |
| TOMs | x | x | x | x | x |
| Verfahrensverzeichnis | x | x | x | x |
Sie können Sich die Tabelle zur Veranschaulichung auch hier downloaden.
Fazit
Sicherlich ist die DSGVO noch nicht perfekt. Welches Gesetz ist das schon? Es kommen immer wieder Fragen auf, die letztendlich noch offenstehen und mittels eines Gerichtsurteils zu beantworten sind.
Mit diesem Artikel können nun die Argumente des „DSGVO-Dokumentenwahnsinns“ widerlegt und entkräftet werden. Ein Unternehmen hatte mit Inkrafttreten der DSGVO kaum etwas zu befürchten, sofern dieses den Datenschutz praktizierte und lebte.
Anhand der Entwicklung der Gesetze, Richtlinien und Verordnungen stellen wir fest, dass der Schutz von personenbezogenen Daten bereits zu damaligen Zeiten einen großen Stellenwert einnahm.
An dieser Stelle endet unsere Zeitreise! Ich hoffe, sie konnten einen guten Einblick in die Entwicklung des Datenschutzes erhalten. Gerne können wir auch in den Kommentaren über die Entwicklung philosophieren und diskutieren.
Sofern Sie Unterstützung und Hilfe zum Thema Datenschutz und IT-Sicherheit benötigen, steht Ihnen das Team der Datenbeschützerin sehr gerne als Partner zur Seite!
Danke für die tolle Arbeit, haben Sie dazu noch die passenden Quellen?
Hallo Herr Bender,
vielen Dank für das Feedback. Das freut mich sehr!
Als Quelle dienten mir die Gesetze selbst. Bei Zitaten sind die Quellen direkt im Blogbeitrag eingebunden.
Ich hoffe, ich Ihnen weiterhelfen.
Viele Grüße,
Jasmin