Datenschutz im Unternehmen

Unternehmen müssen personenbezogene Daten schützen. Das gehört zu ihren Pflichten.

DATENSCHUTZ-GRUNDLAGEN

Nicht erst seit der Verabschiedung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) im Jahr 2018 sind alle Unternehmen, egal wie groß, dazu verpflichtet, bei allen Verarbeitungstätigkeiten personenbezogener Daten entsprechende Regelungen und Verordnungen einzuhalten. Unternehmen müssen entsprechende Maßnahmen ergreifen, um die personenbezogenen Daten Ihrer Mitarbeiter, Kunden und Geschäftspartner zu schützen. Bei Datenschutzverstößen können empfindliche Bußgelder drohen.

Im Zuge der voranschreitenden Digitalisierung und Globalisierung werden immer größere Datenmengen angehäuft. Datenschutz gewinnt folglich zunehmend an Relevanz, birgt aber auch große Herausforderungen. Ursprünglich wurde der Umgang mit personenbezogenen Daten, bzw. die analoge und digitale Informationsverarbeitung durch das alte Bundesdatenschutzgesetz (BDSG) geregelt. Dieses wurde bereits vor dem Inkrafttreten der EU-DSGVO mehrfach überarbeitet und modifiziert und letztlich als BDSG-NEU mit der Datenschutz-Grundverordnung in Einklang gebracht. Ziel der EU-DSGVO ist die Harmonisierung der vorher teils sehr unterschiedlichen nationalen Datenschutzgesetze der EU-Mitgliedsstaaten. Was sich seit der Verabschiedung der EU-DSGVO für Unternehmen verändert hat, erfahren Sie von uns!

WAS BEDEUTET DIE DSGVO FÜR UNTERNEHMEN?

In vielen Unternehmen spielt der Datenschutz auch heute noch eine eher untergeordnete Rolle. Die EU-DSGVO macht jedoch auch nicht vor kleinen und mittelständischen Unternehmen (KMU) Halt – ungeachtet der Größe und der jährlichen Umsätze, stehen alle Unternehmen in der Pflicht, umfangreiche Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen und den betroffenen Personen mehr Kontrolle über ihre persönlichen Daten zu gewähren. Dies gilt nicht nur für Online-Shops, sondern ausnahmslos für jedes Unternehmen, egal ob es im Internet aktiv ist oder nicht. Der korrekte Umgang und die Rechtmäßigkeit der abgefragten Daten müssen im Fall einer Prüfung durch die zuständige Aufsichtsbehörde lückenlos nachgewiesen werden können.
Sinn und Zweck sind nicht der Schutz der Daten, sondern „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ (§ 1 Abs. 1 BDSG) Der Datenschutz fußt somit auf dem allgemeinen Persönlichkeitsrecht und dem Recht auf informationelle Selbstbestimmung, die wiederum untrennbar in den Artikeln 1 und 2 des Grundgesetzes (GG) verankert sind.
Doch die DSGVO greift nicht erst ab dem Zeitpunkt der Datenverarbeitung, sie beinhaltet bereits Regelungen für die Planung um Umsetzung. So ist jedes Unternehmen dazu verpflichtet, vorab eine Risikoprüfung vorzunehmen. Hier sollen mögliche Risiken ermittelt werden. Bereits im BDSG wurde dies durch die sogenannte Vorabkontrolle geregelt, die nun durch die Datenschutz-Folgenabschätzung ersetzt wurde. Ziel dieser Vorabkontrolle bzw. Folgenabschätzung ist die Festlegung organisatorischer und technischer Maßnahmen zur Sicherung der Datenverarbeitungssysteme und somit der personenbezogenen Daten. Mittels wiederholter Penetrationstests soll zudem regelmäßig die Sicherheit der Schutzmaßnahmen geprüft werden.

WAS SIND PERSONENBEZOGENE DATEN?

Als personenbezogene Daten gelten all jene Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person zurückführen lassen. Hierzu zählen der Vor- und Nachname, das Geschlecht, der Beruf, der Familienstand, die Kinderanzahl usw. – kurz gesagt, Daten, die eine natürliche Person beschreiben bzw. dabei herangezogen werden können, um diese zu identifizieren. Auch Ethnie, politische Meinung, Religiosität, Weltanschauung, Gewerkschaftszugehörigkeit, Informationen zum Gesundheitszustand sowie Informationen zur Sexualität, sogar die IP-Adresse zählen zu den personenbezogenen Daten.

WARUM IST DATENSCHUTZ IM UNTERNEHMEN SO WICHTIG?

In Zeiten einer zunehmend globalisierten Wirtschaft, ist eine einheitliche Regelung zur Erhebung, Verarbeitung und Weitergabe personenbezogener Daten unerlässlich. Gerade die Weitergabe sensibler Personendaten kann weitreichende Folgen haben – etwa Identitätsklau, Erpressung oder Kontodiebstahl. Ebenso besteht, trotz bester Bemühungen auch immer ein Restrisiko für Datenklau.
Neben dem Schutz von natürlichen Personen ist es aber auch ganz im Sinne der Unternehmen, sich um einen geregelten Umgang mit personenbezogenen Daten zu bemühen. Wer sich an die DSGVO hält, schützt nicht nur seine Angestellten, sondern auch sein Unternehmen vor Spionage durch die Konkurrenz.

WELCHE DATEN DÜRFEN UNTERNEHMEN SPEICHERN?

Die oberste Prämisse für den Datenschutz im Unternehmen ist die Datensparsamkeit. Es ist nicht erlaubt, wahllos Daten zu sammeln. Es muss stets ein Grund für die Erhebung von personenbezogenen Daten vorliegen. Auch muss zur Verarbeitung eine entsprechende Erlaubnis vorliegen, z.B. eine schriftlichen Einwilligung. Laut Art. 7 der DSGVO ist eine solche Einwilligung nur dann rechtskonform, wenn die betroffene Person im Vorfeld in „verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ über den Sachverhalt aufgeklärt wurde. Auch hat diese Person zu jeder Zeit das Recht auf Widerruf.

WAS IST AUFTRAGSDATENVERARBEITUNG UND WAS MÜSSEN UNTERNEHMEN HIER BEACHTEN?

Sobald ein anderes Unternehmen den Zugriff auf Ihre Kundendaten hat und diese in Ihrem Auftrag verarbeitet, so handelt es sich um eine Auftragsverarbeitung (AV), der ein AV-Vertrag zugrunde liegen muss. Die DSGVO verpflichtet den Auftraggeber dazu, dass eine Zusammenarbeit nur mit „Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet sind.“ (Art. 28 Abs. 1 DSGVO)
Sie müssen bereits AV-Verträge abschließen, wenn Sie…
• Verarbeitungstätigkeiten outsourcen
• eine Trackingsoftware (z. B. Google Analytics) nutzen
• externe Dienstleister z. B. mit Marketing und den Versand Ihres Newsletters betrauen
• Ihre Buchhaltung von einem externen Unternehmen machen lassen
• Ihre Server außerhalb Ihres Hauses stehen haben
• Fernwartungssysteme nutzen

AB WANN MÜSSEN UNTERNEHMEN EINEN DATENSCHUTZBEAUFTRAGTEN BENENNEN?

Ein Datenschutzbeauftragter kümmert sich um Datenschutz im Unternehmen. Ihm obliegt die Gewährleistung eines DSGVO-konformen Umgangs, also der Einhaltung relevanter Datenschutzvorschriften im Umgang mit personenbezogenen Daten. Er selbst kümmert sich jedoch nicht im Alleingang um den innerbetrieblichen Datenschutz, vielmehr ist der Datenschutz eine Aufgabe für die gesamte Organisation. Der Datenschutzbeauftragte überwacht dabei die Einhaltung der datenschutzrelevanten Gesetze und führt Schulungen der Mitarbeiter durch, begleitet notwendige Datenschutzfolge-Abschätzungen und untersucht Datenschutzverstöße im Unternehmen. Der Datenschutzbeauftragte ist zusätzlich der Ansprechpartner nicht nur für die Mitarbeiter, Kunden, Lieferanten und Interessenten, sondern auch der Ansprechpartner für die Datenschutzaufsichtsbehörden.
Gemäß der EU-DSGVO ist es jedem Unternehmen freigestellt, einen Datenschutzbeauftragten aus den eigenen Reihen zu benennen oder aber einen fachkundigen externen Datenschutzbeauftragten zu bestellen. Ob ein Datenschutzbeauftragter für den Datenschutz im Unternehmen benannt werden muss, hängt im Kern von drei Faktoren ab:

  • Größe des Unternehmens: Sind in einem Unternehmen 20 Mitarbeiter und mehr regelmäßig mit der automatisierten Datenverarbeitung von personenbezogenen Daten betraut, so ist der Arbeitgeber verpflichtet, einen Datenschutzbeauftragten zu bestellen bzw. zu benennen
  • Datenumfang: Umfassen die personenbezogenen Daten auch Informationen über die besonderen Datenkategorien wie ethnische Herkünfte, politische Einstellungen, Religionszugehörigkeiten, Mitgliedschaften in Gewerkschaften, Gesundheitszustände, Sexualität etc., so ist unabhängig von der Anzahl der Mitarbeiter die Ernennung eines Datenschutzbeauftragten Pflicht.
  • Datennutzung: Besteht die Kerntätigkeit des Unternehmens in der Erhebung, Datenverarbeitung und Übermittlung von personenbezogenen Daten, so ist es ebenfalls unabhängig von der Beschäftigtenzahl verpflichtet, einen Datenschutzbeauftragten zu benennen

WIE KÖNNEN UNTERNEHMEN IHRE DATENSCHUTZBEMÜHUNGEN RECHTSSICHER NACHWEISEN?

Bereits das alte BDSG (§§ 4g Abs. 2, 4e) verpflichtete Unternehmen ein Verfahrensverzeichnis zu führen. Im Grunde ist das von der DSGVO eingeführte Verzeichnis der Verarbeitungstätigkeiten nichts anderes. Personen, die mit personenbezogenen Daten arbeiten sind dazu verpflichtet, ihre Datenverarbeitungsprozesse und Verfahren übersichtlich, lückenlos und nachvollziehbar zu dokumentieren. Am Einfachsten lässt sich ein solches Verfahrensverzeichnis mit Hilfe eines toolgestützten Datenschutzmanagement-Systems führen.
Seit Inkrafttreten der DSGVO sind Unternehmen sogar dazu verpflichtet, mit einem Datenschutzmanagement-System zu arbeiten. Die Art. 5 und Art. 24 regeln die Nachweis- und Rechenschaftspflicht der Unternehmen. Es reicht nicht mehr nur aus sicherzustellen, dass alle Vorgaben eingehalten werden, der DSGVO-konforme Umgang mit personenbezogenen Daten muss im Fall einer Prüfung auch nachgewiesen werden können.
Unternehmen sind dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Datensicherheit, also den Schutz personenbezogener Daten vor dem unbefugten Zugriff durch Dritte, zu gewährleisten.
Hervorzuheben ist allerdings, dass die Implementierung eines Datenschutzmanagement-Systems auch dabei hilft, Zeit und Kosten zu sparen. Ein gutes Datenschutzmanagement-System unterstützt Sie dabei den Datenschutz in Ihrem Unternehmen strukturiert aufzubauen und zeigt Ihnen zudem Lücken auf, die Sie schließen müssen.
Das Datenschutzmanagement-System der DSM-Online GmbH hat branchenspezifische Features integriert, die Ihnen Zielgenau dabei helfen Ihre Datenverarbeitung gemäß den Vorgaben der DSGVO rechtssicher auszurichten. Mit diesem Tool gelingt der Datenschutz fast wie von selbst. Sie müssen kein Datenschutz-Profi sein – wir übernehmen diesen Part für Sie. Das von uns entwickelte Datenschutzmanagement-System führt Sie Schritt für Schritt an Ziel. Bereits bei der Pflege Ihrer Stammdaten sagt Ihnen unser Tool, was als Nächstes zu tun ist.

  • Entscheiden Sie sich für eine zentrale Lösung, um den Datenschutz im Unternehmen kinderleicht zu verwalten und zu organisieren
  • Wenn Sie gegen die DSGVO und das BDSG verstoßen, kann das sehr teuer werden. Im schlimmsten Fall droht ein Bußgeld in Höhe von bis zu 20 Millionen Euro bzw. bis zu vier Prozent Ihres Jahresumsatzes.
  • Entscheiden Sie sich für ein professionelles Datenschutzmanagement-System – vollgepackt mit nützlichen Features und dem Knowhow eines großen Expertenteams!
  • Behalten Sie anhand der übersichtlichen Dashboards immer und überall den Durchblick
  • Sehen Sie anhand Ihrer To-do-Liste sofort, welche Schritte Sie als Nächstes angehen müssen
  • Erstellen Sie sich eigene Aufgabenlisten
  • Hören Sie auf, sich mit unnötigen Verwaltungsaufgaben herumzuschlagen. Legen Sie Aufgaben fest und verteilen Sie diese ohne großen Aufwand in Ihrem Team
  •  Runden Sie Ihre Arbeit mit Ihrem Firmenlogo ab und verleihen Sie Ihren Dokumenten Ihren eigenen Look & Feel

WARUM DATENSCHUTZ IM UNTERNEHMEN UNSERE STÄRKE IST

Der Datenschutz im Unternehmen gehört zu unseren größten Kompetenzen. Über die Jahre haben wir ein wissensstarkes Team an ausgemachten Experten gebildet, das zahlreichen Unternehmen erfolgreich in Sachen Datenschutz beratend und unterstützend zur Seite steht. Unser Wissen und unsere Expertise zum Datenschutz teilen wir auch regelmäßig auf Kongressen und Veranstaltungen mit.
Sie kümmern sich um Ihr Unternehmen, wir uns um Ihren Datenschutz.
Wir freuen uns auf Ihre Kontaktaufnahme!