Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) hat in einer Pressemitteilung vom 7. November angekündigt, dass es aktuell verschiedene Prüfungen in bayrischen Unternehmen und Arztpraxen durchführt.
Ziele der Überprüfung sind die Cybersicherheit sowie der Stand der Umsetzung der Datenschutzgrundverordnung (DSGVO).
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sei ein Grundrecht. Jede Person habe nach Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union, das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Mit dieser Erwägung beginnt die Verordnung 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
Für die wirtschaftliche und öffentliche Verwendung personenbezogener Daten galt unter BDSG-alt bereits der Grundsatz „Verbot mit Erlaubnisvorbehalt“. Erst eine rechtmäßige Ausnahme erlaubte Selbständigen, Freiberuflern, Konzernen, Unternehmen, Verwaltungen sowie privaten und öffentlichen Einrichtungen in Deutschland innerhalb der näher bestimmten Spielräume und Grenzen des Gesetzes personenbezogene Daten für legitime Zwecke zu erheben, zu speichern, zu löschen, zu aktualisieren, ...
Auf vielfältige Weise und unterschiedliche Wege liefern Menschen den Rohstoff des 21. Jahrhunderts: Daten. Moderne Gewohnheiten und Vorlieben erleichtern und ermöglichen die Sammlung von Daten über Personen und ihr Verhalten in einem nie zuvor erreichtem Umfang, meist ohne, dass die betroffenen Personen davon wissen oder das Gefühl haben1, etwas dagegen unternehmen zu können.
Was Betriebe und Einrichtungen hauptsächlich leisten z. B. Gebäude planen, Waren verkaufen, Heizungen und Bäder installieren, Studierende ausbilden, Klienten beraten oder vor Gericht vertreten, ambulante Hilfen bereitstellen, Wohn- und Gewerberäume vermieten, Kurse und Seminare anbieten, … bestimmt, was sie sind und was ihre Kerntätigkeit ausmacht. Auch Betriebe und Einrichtungen sammeln, speichern, verwenden, aktualisieren und löschen die Daten ihrer Mitarbeiter, ihrer Kunden/Klienten oder Lieferanten. Die Verarbeitung von personenbezogenen Daten stellt in der Regel nicht das Kerngeschäft dar (Ausnahmen: Dedekteien, Auskunfteien, Rating-Agenturen, … ).
Sobald ein Betrieb oder Einrichtung Personendaten erhebt, sammelt, auswertet, weitergibt, löscht, speichert, kurz verarbeitet, hat die Betriebsleitung den Nachweis zu führen, das sie das verbriefte Recht der betreffenden Personen auf Schutz der Daten umsetzt1. Datenschutzverletzungen bergen unterschiedliche Gefahren für die betroffenen Personen. Jede Verarbeitungstätigkeit stellt ein potenzielles Risiko dar.