Erfassung und Verarbeitung von Daten sind für Unternehmen essentiell. Im Geschäftsalltag führt daran kein Weg vorbei, beispielsweise um Warenbestellungen an Kunden zu adressieren oder um Kontaktdaten der eigenen Mitarbeiter zu verwalten.
Unabhängig vom Umfang der verarbeiteten Daten oder der Größe des Unternehmens muss gewährleistet sein, dass der betriebliche Datenschutz berücksichtigt wird. Die jeweiligen Bestimmungen nach BDSG n.F. und DSGVO sind einzuhalten.
Datenschutz betrifft Daten mit Personenbezug
Der betriebliche Datenschutz zielt nicht auf alle Arten von Daten ab. Im Fokus stehen Daten mit Personenbezug. Gemeint sind Angaben mit Bezug zu einer konkreten natürlichen Person. Beispiele für solche Angaben sind u.a.:
- Name
- Anschrift
- Geburtsdatum
- Telefonnummer
Die gesetzliche Grundlage bilden das Bundesdatenschutzgesetz BDSG n.F. und die DSGVO. Darin ist geregelt, dass Angaben für den Datenschutz von Relevanz sind, sobald ein Personenbezug besteht. Hierbei kann es sich um Daten handeln, die auf den ersten Blick von keiner großen Relevanz zu sein scheinen. Angenommen ein Händler dokumentiert, welche Produkte ein bestimmter Kunden (Verbraucher) bestellt hat, so liegt hier ein Personenbezug vor. Somit greift auch für diese Angaben der Datenschutz.
Übrigens, bei „sensiblen Daten“ gilt ein verschärfter Datenschutz. Gemeint sind Daten mit Personenbezug, die nach BDSG als „besondere Arten personenbezogener Daten“ bezeichnet werden. Betroffen sind Angaben zu:
- Rasse oder ethnischer Herkunft
- Politischer Meinung
- Religiöse Überzeugung
- Zugehörigkeit zu einer Gewerkschaft
- Gesundheit
- Sexualleben
Im Zusammenhang mit Erfassung oder Nutzung solch sensibler Daten gilt ein verschärfter Datenschutz. So besteht u.a. die Notwendigkeit, zuvor eine Erlaubnis der betroffenen Person einzuholen. Welche konkrete Schutzbedürftigkeit der Daten innerhalb eines Unternehmens besteht, ist individuell per Analyse zu ermitteln.
Weshalb Datenschutzverstöße zu vermeiden sind
Datenschutzverstöße ziehen Konsequenzen nach sich, deren Tragweite sich viele Geschäftsführer und Führungskräfte nicht bewusst sind. Betroffene können Schadensersatzansprüche geltend machen. Zugleich drohen Bußgelder, die von der zuständigen Aufsichtsbehörde verhängt werden. Je nach Art können Datenschutzverstöße auch Reputationsschäden zur Folge haben und damit dem Unternehmen nachhaltig schaden.
Im Übrigen ist es möglich, dass verantwortliche Führungskräfte zur Rechenschaft gezogen werden. Ihnen drohen im Ernstfall Geldstrafen und sogar Freiheitsstrafen. Angesichts solcher Risiken ist es entscheidend, Datenschutzkonformität im Unternehmen zu gewährleisten.
Betrieblicher Datenschutz ist mehr als IT- und Datensicherheit
In vielen Unternehmen haben Mitarbeiter ein falsches Verständnis davon, was Datenschutz bedeutet. Oft wird vermutet, dass es primär darum geht, gespeicherte Daten nach außen hin zu schützen. Tatsächlich ist der betriebliche Datenschutz jedoch viel umfassender.
Es fängt bereits damit an, dass vor einer Datenerfassung zu prüfen ist, ob die Erfassung aus datenschutzrechtlicher Sicht überhaupt zulässig ist. Ein zentrales Thema ist die Notwendigkeit. Bestimmte Daten dürfen von Unternehmen nicht erfasst werden, sofern keine Notwendigkeit besteht. Gemäß DSGVO müssen Unternehmen sogar für jede Verarbeitung aufführen, aus welchem Grund diese notwendig und zulässig ist.
Ein ebenfalls bedeutsamer Aspekt ist die Auftragsdatenverarbeitung. Nicht immer erfolgt die Verarbeitung von Daten mit Personenbezug innerhalb des jeweiligen Unternehmens. Viele Unternehmen arbeiten mit externen Partnern zusammen, die einen Teil der Datenverarbeitung übernehmen. Je nach Art und Umfang kann selbst eine IT-Wartung als Auftragsdatenverarbeitung einzustufen sein. Bei solchen Verhältnissen ist zuvor im Detail zu prüfen, ob die rechtlichen Bestimmungen eingehalten werden. Es besteht die Verpflichtung beider Parteien, sich vertraglich abzusichern. Selbst einige Inhalte für Verträge über Auftragsdatenverarbeitungen sind gesetzlich vorgegeben.
Beispiele für die Komplexität des Datenschutzes
Der betriebliche Datenschutz kann die unterschiedlichsten Bereiche im Unternehmen betreffen. Hier einige Beispiele für die Vielfalt und Komplexität des Themas.
Zugriff auf Daten innerhalb des Unternehmens: In den meisten Betrieben besteht keine Notwendigkeit, dass alle Mitarbeiter Zugriff auf personenbezogene Daten haben. Zugangskontrollen (z.B. in Form von Passwörtern und Zugangsberechtigungen) gewähren nur Mitarbeitern mit berechtigtem Interesse einen Zugang zu relevanten Unternehmensdaten.
Online-Marketing: Ob Newsletter-Versand oder Bewertungsanfrage, die betroffenen Personen müssen im Vorfeld ihr Einverständnis abgegeben haben. Für die praktische Umsetzung können bestimmte technische Lösungen erforderlich sein, wie z.B. das Double Opt-In Verfahren.
Home-Office: Viele Mitarbeiter, die vom Home-Office aus arbeiten, haben Zugriff auf Daten mit Personenbezug. Es ist sicherzustellen, dass ausschließlich der Mitarbeiter Zugriff auf diese Daten hat, jedoch keine anderen Personen. Deshalb ist es u.a. erforderlich, das Home-Office in einem abschließbaren Raum unterzubringen und den Computer mit einem wirksamen Passwortschutz sowie Verschlüsselung der Unternehmensdaten auszustatten.
Datenschutzbeauftragter im Unternehmen
In Abhängigkeit von der Größe eines Unternehmens oder auch der Art der Daten, die verarbeitet werden, kann die Bestellung eines Datenschutzbeauftragten (DSB) notwendig sein. Der Datenschutzbeauftragte ist ein Experte für den betrieblichen Datenschutz, der vorrangig die Einhaltung des Datenschutzes innerhalb des Unternehmens sicherstellt.
Das Spektrum seiner Aufgaben ist vielfältig. Hierzu zählen u.a.:
Vorabkontrollen: Es ist im Vorfeld zu prüfen, ob Arbeitsabläufe unter Berücksichtigung der gesetzlichen Bestimmungen zulässig sind.
Schulung: Mitarbeitern werden darin geschult, welche datenschutzrechtlichen Regelungen für sie in der Praxis von Bedeutung sind und worauf bei der Umsetzung zu achten ist.
Ansprechpartner: Er steht Mitarbeitern oder auch Betroffenen als Ansprechpartner zur Verfügung.
Angesichts der Komplexität des Datenschutzes muss ein Datenschutzbeauftragter über umfassendes Fachwissen verfügen. Deswegen fällt es Unternehmen nicht immer leicht, einen geeigneten Mitarbeiter für dieses Amt zu finden oder auszubilden. In der Praxis haben sich deshalb zwei Lösungen etabliert.
Interner Datenschutzbeauftragter: Die Bestellung des DSB erfolgt durch einen eigenen Mitarbeiter des Unternehmens. Meist wird ein Mitarbeiter entsprechend geschult, teilweise kommt es auch vor, dass Datenschutzspezialisten eigens eingestellt werden.
Externer Datenschutzbeauftragter: Der Datenschutzbeauftragte muss nicht zwangsläufig ein Mitarbeiter der jeweiligen Organisation sein. Ebenso ist es möglich, auf die Datenschutzkompetenz eines externen Anbieters zurückzugreifen.
Externer Datenschutzbeauftragter: Ideale Lösung für kleine und mittlere Unternehmen
Interne Datenschutzbeauftragte sind überwiegend in Großunternehmen und Konzernen anzutreffen. Dort fallen so viele Aufgaben rund um den Datenschutz an, dass sich die Schaffung entsprechender Vollzeitstellen lohnt. In kleinen und mittleren Unternehmen ist der Bedarf meist deutlich geringer, sodass der interne DSB häufig noch anderen Aufgaben nachgeht.
Die große Herausforderung besteht in solchen Fällen darin, einen geeigneten Mitarbeiter zu finden. Er muss sich in das komplexe Thema einarbeiten können und darf gleichzeitig in keinem Interessenkonflikt mit seiner eigentlichen Tätigkeit stehen. Deshalb ist z.B. weder eine Bestellung des Geschäftsführers noch des Leiters der IT zum internen DSB möglich. Außerdem genießt der Mitarbeiter einen erweiterten Kündigungsschutz.
Der Hauptgrund, weshalb sich kleine und mittlere Unternehmen oft für einen externen Datenschutzbeauftragten entscheiden, ist jedoch die Haftung. Bei einer internen Datenschutzlösung liegt die Haftung weiterhin beim Unternehmen. Der externe DSB haftet hingegen für sein Handeln und muss außerdem entsprechend versichert sein, was für das Unternehmen zusätzliche Sicherheit bedeutet. Die Haftungsrisiken werden also erheblich minimiert.
Aufgaben eines Datenschutzbeauftragten (klicken zum Vergrößern)
Quelle: https://www.mein-datenschutzbeauftragter.de/aufgaben-eines-datenschutzbeauftragten/
Mehr über professionelle Datenschutzlösungen erfahren
Weitere Informationen über den Datenschutz in Kleinunternehmen sowie im Mittelstand sind bei Dienstleistern zu finden, welche die Bestellung des externen Datenschutzbeauftragten übernehmen. Leseempfehlung: Mein Datenschutzbeauftragter
Im Konzernumfeld kann ebenfalls Bedarf an einer Datenschutzberatung bestehen. Internationale Anwaltskanzleien sowie große Wirtschaftsprüfungsunternehmen bieten entsprechende Compliance Leistungen an.
Leseempfehlung: PWC