Datenschutz

Zweck und Ziel des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 Bundesdatenschutzgesetz – BDSG). Ziel und Gegenstand des Datenschutzes ist damit nicht der physische Schutz der Daten bzw. der Datenträger oder der Datenverarbeitungsanlagen. Dies ist eine Angelegenheit der Datensicherheit, wobei die Datensicherheit auch als Werkzeug zur Umsetzung des Datenschutzes zu verstehen ist. Ziel und Zweckbestimmung des Datenschutzes ist vielmehr der Schutz des Bürgers vor Rechtsverletzungen bei der Erhebung, Speicherung, Verarbeitung, Übermittlung und Nutzung seiner personenbezogenen Daten.
Das Datenschutzrecht bezieht sich auf die Verarbeitung personenbezogener Daten in oder aus automatischen Datenverarbeitungsanlagen unabhängig von der Art der Systeme (Großrechenanlagen, PCs, Notebooks, Textverarbeitungssysteme oder Videoanlagen) und auch auf die Verarbeitung in manuellen Verfahren, z.B. mithilfe von Karteikarten. Der Schutz nach dem BDSG bleibt auch für diejenigen Daten bestehen, die aus diesen Datenbeständen entnommen worden sind, z.B. durch Ausdruck von Listen etc., und in Akten abgelegt werden.
Seit 01.09.2009 gilt der Datenschutz gem. § 32 Abs. 2 BDSG auch für Personaldaten, ohne dass sie automatisiert verarbeitet oder in oder aus nichtautomatisierten Dateien verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. Damit gilt das Datenschutzrecht auch für Personalakten unabhängig von der Quelle der Daten.
Die Vorschriften des Datenschutzes gelten für alle öffentlichen und nicht öffentlichen Stellen, damit auch für Unternehmen der Privatwirtschaft.
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Dazu gehören auch Unternehmensdaten, wenn sich diese Daten auf eine bestimmte Person, nämlich den Unternehmer, beziehen lassen, z.B. bei Personengesellschaften oder inhabergeführten GmbHs. Geschützt sind vom Ansatz her alle personenbezogenen Daten ohne Wertung ihrer Sensibilität oder Herkunft. Das Datenschutzrecht gilt deshalb auch für scheinbar triviale oder unbedeutend erscheinende personenbezogene Daten. Der Grad der Schutzwürdigkeit ergibt sich erst aus der Art der Verarbeitungsprozesse und dem Grad der möglichen Verletzung des Persönlichkeitsrechts durch Datenschutzverstöße.

Datensicherheit

Das IT-Sicherheitsgesetz hat mehrere Adressaten:

Für Betreiber von Webangeboten wie zum Beispiel Online-Shops gelten mit Inkrafttreten ab sofort erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme.
Telekommunikationsunternehmen sind ab sofort verpflichtet, ihre Kunden zu warnen, wenn sie bemerken, dass der Anschluss des Kunden – etwa als Teil eines Botnetzes – für IT-Angriffe missbraucht wird. Gleichzeitig sollen die Provider ihre Kunden auf mögliche Wege zur Beseitigung der Störung hinweisen.
Mit Inkrafttreten des IT-Sicherheitsgesetzes werden die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Untersuchung der Sicherheit von IT-Produkten sowie die Kompetenzen des BSI im Bereich der IT-Sicherheit der Bundesverwaltung erweitert.
Betreiber Kritischer Infrastrukturen werden verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezialregelungen bestehen – diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen.
Darüber hinaus müssen die Betreiber dem BSI erhebliche IT-Sicherheitsvorfälle melden. Die aus diesen Meldungen, aber auch aus diversen weiteren Informationen, gewonnenen Erkenntnisse stellt das BSI allen KRITIS-Betreibern zur Verfügung, damit diese ihre IT angemessen schützen können.
Die Meldepflicht von erheblichen IT-Sicherheitsvorfällen betrifft zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, eine Meldepflicht erheblicher IT-Sicherheitsvorfälle für andere KRITIS-Betreiber tritt erst nach Verabschiedung der noch zu erstellenden Rechtsverordnung in Kraft. Diese wird festlegen, welche Unternehmen den Regelungen des Gesetzes unterliegen.

Mit Inkrafttreten des Gesetzes gelten die neuen Pflichten zur Meldung erheblicher IT-Sicherheitsvorfälle für die Betreiber von Kernkraftwerken und für Telekommunikationsunternehmen. Für letztere besteht bereits eine Meldepflicht gegenüber der Bundesnetzagentur, die mit dem IT-Sicherheitsgesetz nun erweitert wurde. Das BSI hat die notwendigen Maßnahmen zur Umsetzung der Meldepflicht von Betreibern von Kernkraftwerken bereits getroffen und die Betreiber informiert, sodass eine vertrauliche Kommunikation zwischen BSI und den Betroffenen möglich ist.
Für Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen gilt die Meldepflicht erst dann, wenn die Rechtsverordnung in Kraft tritt, die zurzeit im Bundesministerium des Innern vorbereitet wird. Diese Rechtsverordnung konkretisiert das Gesetz und legt fest, welche Unternehmen im Sinne des Gesetzes zu den Kritischen Infrastrukturen zählen.

Digital Escrow