Datenschutz im Unternehmen umsetzen: Alle Maßnahmen im Blick
- Definition: Was bedeutet Datenschutz?
- Anwendungsbereich des Datenschutzes im Unternehmen
- Welche Daten sind vom Datenschutz betroffen?
- Welche Daten dürfen Unternehmen gemäß DSGVO verarbeiten?
- Einwilligung in die Datenverarbeitung: Was sollten Unternehmen beachten?
- Datenschutz im Unternehmen umsetzen – welche Datenschutzmaßnahmen implementieren?
- Datenschutz – Teil des Arbeitsschutz?
Definition: Was bedeutet Datenschutz?
Datenschutz in Deutschland ist ein verankertes Grundrecht, welches zum Schutz der Privatsphäre von Individuen und somit auch deren personenbezogener Daten vor Missbrauch oder unbefugtem Zugriff dient. Dieses Grundrecht zielt darauf ab, das Recht auf informationelle Selbstbestimmung für alle Bürger zu gewährleisten. Die Einführung der Datenschutz-Grundverordnung (DSGVO) trägt dazu bei sicherzustellen, dass jeder eigenverantwortlich darüber entscheiden kann und darf, welche Informationen er zu welchem Zeitpunkt, für welche Zwecke und gegenüber welchen Parteien offenlegt.
Darüber hinaus ist Datenschutz ein umfassender Begriff, der alle Gesetze, Verordnungen und Richtlinien umfasst, die strikt befolgt werden müssen, um sowohl Einzelpersonen als auch deren Daten vor unberechtigtem Zugriff zu schützen.
Anwendungsbereich des Datenschutzes im Unternehmen
Der Datenschutz umfasst laut DSGVO jegliche Erfassung, Speicherung, Verarbeitung sowie Löschung und das Sperren von personenbezogenen Daten. Dies betrifft sowohl die Daten von Kunden, Mitarbeitern, Vertragspartnern etc., als auch Steuerdaten oder Gesundheitsdaten von Patienten, wie zum Beispiel ärztliche Befunde.
Um dem Datenschutz gerecht zu werden, müssen entsprechende Maßnahmen ergriffen werden, um den Schutz dieser Daten sicherstellen zu können. Diese Maßnahmen sind in den sog. Technischen und Organisatorischen Maßnahmen (TOM) in Art. 32 der DSGVO geregelt. Auch sollten Sie die acht Grundregeln des Datenschutz beachten.
Welche Daten sind vom Datenschutz betroffen?
Generell geht es um alle Arten von personenbezogenen Daten, die es zu schützen gilt. Das betrifft nicht nur offensichtlich persönliche Daten wie Name, Adresse oder Geburtsdatum, sondern beispielsweise auch folgende Informationen:
- Telefonnummern und E-Mail-Adressen,
- Bankverbindungen,
- Steuernummer,
- Fotos und andere Abbildungen,
- IP-Adressen und Standort-Daten,
- religiöse Zugehörigkeit oder sexuelle Orientierung und
- Daten über den Gesundheitszustand.
Sie sehen: Bereits bei Organigrammen stellt sich die Frage, wie man den Datenschutz im Unternehmen einhalten kann.
Welche Daten dürfen Unternehmen gemäß DSGVO verarbeiten?
Die Datenschutz-Grundverordnung (DSGVO) beruht hauptsächlich auf der Grundlage des Verbotsprinzips. Jede Speicherung, Verarbeitung oder Nutzung von personenbezogenen Daten ist also grundsätzlich erst einmal verboten.
In der Praxis werden persönliche Informationen aller Art jedoch für zahlreiche wichtige Aufgaben benötigt. Laut Art. 6 Abs. 1 DSGVO ist die Datenverarbeitung und -erhebung deshalb auch ohne ausdrückliche Zustimmung des Betroffenen möglich – besonders wenn:
- die Daten zur Erfüllung eines rechtlich bindenden Vertrags mit der betroffenen Person benötigt werden (z. B. zum Versand von bestellter Ware).
- die Datenverarbeitung zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist (z. B. bei der Berechnung des Arbeitslosengelds durch das Arbeitsamt).
- öffentliche oder lebenswichtige Interessen den Schutz des Grundrechts auf informationelle Selbstbestimmung überwiegen (z. B. zur medizinischen Behandlung bei akuter Lebensgefahr).
Kann die Person oder Institution jedoch kein berechtigtes Interesse im Sinne der DSGVO nachweisen, ist für jegliche Datenverarbeitung oder -nutzung eine ausdrückliche Einwilligung der betroffenen Person erforderlich. Unternehmen begegnen diesem Problem vor allem im Online-Bereich – speziell im Hinblick auf Cookie-Dienste und andere Marketing-Aktivitäten ihrer Internetseiten. Hier ist nach der DSGVO eine Werbeeinwilligung nötig.
Doch auch Betriebe aus Verarbeitung und Industrie oder Dienstleister sollten auf ihren Umgang mit personenbezogenen Daten und die Auswirkungen des Datenschutzrechts der EU achten: So ist beispielsweise auch Vorsicht geboten, wenn es um die Speicherung von Fotos der letzten Betriebsfeier oder die Nutzung persönlicher Gespräche über den Chat aus dem Homeoffice geht.
Einwilligung in die Datenverarbeitung: Was sollten Unternehmen beachten?
Lässt sich die Verarbeitung der Daten von Kunden oder Beschäftigten nicht im Rahmen der Ausnahmen im Art. 6 Abs. 1 DSGVO begründen, müssen Unternehmen eine ausdrückliche und schriftliche Einwilligung der betroffenen Person einholen. In diesem „Vertrag“ sind nicht nur alle Zwecke der Speicherung oder Verwendung der erhobenen Daten darzulegen – auch der mögliche Zugriff anderer Nutzer außerhalb des Unternehmens (z. B. Dienstleister) muss in der Einwilligungs-Erklärung unmissverständlich erläutert sein.
Um das Recht auf Privatsphäre der jeweiligen Person zu wahren, ist den Betroffenen außerdem ein Anspruch auf die folgenden Aktionen und Dienste einzuräumen:
- Widerruf der Einwilligung in die Datenverarbeitung
- Auskunft über die Art der gespeicherten Daten sowie deren Zweck und Herkunft
- Berichtigung falscher oder veränderlicher Informationen
- Löschung der bereits erhobenen personenbezogenen Daten
- Untersagung der Weitergabe von Informationen an Dritte
Daneben sollten Unternehmen auch besonderes Augenmerk auf das sogenannte Koppelungsverbot legen: Denn laut Art. 7 Abs. 4 DSGVO darf die Erfüllung eines Vertrages oder einer Dienstleistung nicht von der Einwilligung in die Verarbeitung personenbezogener Daten abhängig gemacht werden. Verweigern Betroffene ihre Zustimmung, sind negative Konsequenzen im Rahmen das Arbeits- oder Kundenverhältnisses rechtswidrig.
Datenschutz im Unternehmen umsetzen – welche Datenschutzmaßnahmen implementieren?
Mit der DSGVO haben sich die Vorgaben in Sachen Datenschutz noch einmal verschärft. Vor allem Unternehmen, die regelmäßig personenbezogene Daten erheben, speichern und weiterverarbeiten, müssen zahlreiche Prozesse überprüfen und gegebenenfalls dahingehend anpassen. Eine rechtsgültige Datenschutzerklärung und ggf. die Benennung eines Datenschutzbeauftragten sind nur zwei der europaweit geltenden Datenschutz-Bestimmungen. Folgende Datenschutzmaßnahmen sollten Unternehmen ebenfalls implementieren, um eine rechtssichere Umsetzung des Datenschutzes zu gewährleisten:
- Erstellung eines Datenschutzkonzeptes
- Bestellung und Benennung eines Datenschutzbeauftragten
- Gewährleistung der Datensicherheit
- Durchführung einer Datenschutz-Folgeabschätzung
- Gewährleistung der IT-Sicherheit
- Einhaltung der Meldepflicht bei Datenschutzpannen
- Datenschutzschulungen zur Sensibilisierung der Mitarbeiter
- Videoüberwachung in Verkaufsräumen
Die Einhaltung dieser Datenschutzmaßnahmen ist nicht nur wichtig, um gesetzlichen Anforderungen zu genügen, sondern auch, um das Vertrauen der Kunden und Partner zu erhalten und den Ruf des Unternehmens zu schützen. Aber lassen Sie uns auf die einzelnen Punkte genauer eingehen.
Erstellung eines Datenschutzkonzeptes
Das Datenschutzkonzept (DSK) ist eine umfassende Zusammenfassung, die alle relevanten Datenschutzaspekte eines Unternehmens dokumentiert. Hierzu gehören die Grundlagen und Ziele der Datenverarbeitung und -erhebung sowie sämtliche Dokumentationspflichten. Ebenso ist die Benennung der verantwortlichen Stellen, wie z.B. des Datenschutzbeauftragten, Bestandteil des Konzepts. Obwohl die Erstellung eines Datenschutzkonzepts weder in der DSGVO noch im BDSG ausdrücklich vorgeschrieben ist, ist es in den meisten Unternehmen Standard. Dieses Konzept erleichtert nicht nur die Erfüllung der gesetzlichen Rechenschaftspflicht, sondern bildet auch die Grundlage für die Dokumentation verschiedener technischer und organisatorischer Maßnahmen zum Schutz der erhobenen Daten.
Gewährleistung der Datensicherheit
Die Gewährleistung der Datensicherheit ist von entscheidender Bedeutung, um sicherzustellen, dass personenbezogene Daten vor unbefugtem Zugriff und Missbrauch geschützt sind. Dazu gehören Maßnahmen wie die Verschlüsselung sensibler Daten, die Einrichtung von Zugriffsbeschränkungen, regelmäßige Sicherheitsüberprüfungen und die Implementierung von Sicherheitsrichtlinien, um sicherzustellen, dass die Daten angemessen geschützt sind.
Lesen Sie hierzu auch unsere Artikel zum Thema Datenschutz der Mitarbeiter:
- Löschung des E-Mail-Postfachs von ausgeschiedenen Mitarbeitern
- Dürfen Sie Urlaubslisten im Unternehmen auslegen?
Auch sollten Sie Maßnahmen zur Diebstahlprävention von physischen Objekten im Unternehmen einleiten, da auch hier sensible Gegenstände wie EC- und Kreditkarten Ihrer Mitarbeiter verloren gehen können. Weiterhin fallen auch bei Abwesenheitsnotizen von Mitarbeitern im Urlaub mögliche Datensicherheitsrisiken an.
Durchführung einer Datenschutz-Folgeabschätzung
Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Verfahren, um potenzielle Risiken für die Privatsphäre von Personen zu identifizieren und geeignete Schutzmaßnahmen zu ergreifen. Dies ist insbesondere wichtig, wenn neue Datenverarbeitungsprozesse eingeführt werden oder wenn sensible Daten verarbeitet werden. Die DSFA hilft dabei, Risiken zu bewerten, Datenschutzverletzungen zu verhindern und die Einhaltung der Datenschutzvorschriften sicherzustellen.
Gewährleistung der IT-Sicherheit
Die IT-Sicherheit konzentriert sich auf den Schutz der Informationstechnologie-Systeme und -Infrastrukturen, um Datenintegrität und -verfügbarkeit sicherzustellen. Dies beinhaltet die Implementierung von Firewalls, Antivirensoftware, die Zugriffskontrolle, eine IT-Notfallplanung, regelmäßigen Software-Updates sowie Backups zur Datensicherung, aber auch andere technisch-organisatorische Sicherheitsmaßnahmen, um Cyberangriffe und Datenverlust zu verhindern.
Es wird deutlich: Bei der IT-Sicherheit stehen Unternehmen stets vor einigen Herausforderungen – wie z.B. die Sicherstellung des Datenschutzes bei der Einführung neuer Software zur Verarbeitung personenbezogener Daten. Um den herausfordernden Anforderungen der IT-Sicherheit gerecht zu werden, implementieren Unternehmen daher den IT-Grundschutz nach vorgegebenen Standards.
Einhaltung der Meldepflicht bei Datenschutzpannen
Die Meldepflicht bei Datenschutzpannen erfordert, dass Unternehmen Datenschutzverletzungen den Datenschutzbehörden und den betroffenen Personen unverzüglich melden. Dies dient dazu, Transparenz und Vertrauen zu gewährleisten, wenn es zu Datenschutzverletzungen kommt. Die Meldung hilft auch, rechtliche Anforderungen zu erfüllen und die erforderlichen Schritte zur Eindämmung und Behebung des Vorfalls einzuleiten.
Mitarbeiterschulungen und Sensibilisierung
Schulungen und Datenschutz-Sensibilisierung sind von zentraler Bedeutung, um sicherzustellen, dass die Mitarbeiter sich der Datenschutzbestimmungen bewusst sind und diese in ihrer täglichen Arbeit beachten. Die Schulungen sollten sie über die Bedeutung des Datenschutzes, die Einhaltung von Richtlinien und Verfahren sowie das Erkennen von potenziellen Datenschutzrisiken informieren. Sensibilisierte Mitarbeiter tragen maßgeblich zur Datensicherheit und zur Vermeidung von Datenschutzverletzungen bei.
Folgende Themen sind häufige Datenschutzfallen und sollten daher unbedingt in Mitarbeiterschulungen aufgenommen werden:
- Datenschutz bei betrieblich genutzten Smartphones
- Datenschutz in sozialen Netzwerken
- Wie viele Zeichen muss ein sicheres Passwort haben?
- Datenschutzrisiken in Großraumbüros
Datenschutz – Teil des Arbeitsschutz?
Beim Stichwort Arbeitsschutz denken die meisten Unternehmer vor allem an angemessene Schutzkleidung oder den Umgang mit Gefahrgütern. Doch auch der Datenschutz spielt in diesem Bereich eine wichtige Rolle. Der Grund liegt vor allem in der juristischen Dimension des Begriffs: Denn die Rechtsgrundlage für geltende Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) ist bereits in den Grundrechten jeder Person angelegt.
Das „Recht auf informationelle Selbstbestimmung“ stützt sich auf das allgemeine Persönlichkeitsrecht und die Menschenwürde, verankert im Deutschen Grundgesetz. Dieses Grundrecht gewährt jedem die Kontrolle über die Speicherung und Verarbeitung seiner persönlichen Daten sowie den Zugriff darauf.
Personenbezogene Daten zu schützen ist entscheidend, da ihr Missbrauch nicht nur die Privatsphäre verletzt, sondern auch die Gesundheit gefährden kann, sowohl auf geistiger, emotionaler als auch auf körperlicher Ebene. Aus dieser Perspektive ist Datenschutz ein integraler Bestandteil des Arbeitsschutzes, relevant für die Verarbeitung von Kundendaten und den Schutz der eigenen Mitarbeiter.