Datenschutz im Unternehmen: das müssen Sie bei der Umsetzung beachten

Datenschutz im Unternehmen stellt noch immer in vielen Fällen ein untergeordnetes Thema dar. Das liegt einerseits daran, dass Unternehmen nicht ausreichend darüber informiert sind, was Datenschutz im Unternehmen im Detail bedeutet. Andererseits auch daran, dass Datenschutz im Unternehmen ein eher unbeliebtes und möglicherweise auch lästiges Thema darstellt.

Doch nicht erst mit der DSGVO stehen Unternehmen jeder Größenordnung in der Pflicht, umfangreiche Prozesse und Richtlinien zu implementieren, um betroffenen Personen mehr Kontrolle über ihre persönlichen Daten zu ermöglichen. Allerhöchste Zeit, mit der Umsetzung zu beginnen.

Von
Chefredakteur

Chefredakteur: René Klein
Für-Gründer.de Redaktion

René Klein verantwortet als Chefredakteur seit über 10 Jahren die Inhalte auf dem Portal und aller Publikationen von Für-Gründer.de. Er ist regelmäßig Gesprächspartner in anderen Medien und verfasst zahlreiche externe Fachbeiträge zu Gründungsthemen. Vor seiner Zeit als Chefredakteur und Mitgründer von Für-Gründer.de hat er börsennotierte Unternehmen im Bereich Finanzmarktkommunikation beraten.

Vorab: die 5 wichtigsten Fragen zum Datenschutz auf einen Blick

Das Thema Datenschutz im Unternehmen ist ungemein vielfältig. Für einen schnellen Einstieg in die Thematik haben wir Ihnen die folgenden Aspekte aufbereitet:

Was ist die DSGVO?

Mit der Datenschutz Grundverordnung wurde ein einheitlicher Rechtsrahmen für die Verarbeitung und Speicherung personenbezogener Daten geschaffen. Unternehmen müssen seit dem 25. Mai 2018 jederzeit in der Lage sein, die Rechtmäßigkeit Ihrer Datenverarbeitungstätigkeiten gegenüber Aufsichtsbehörden nachzuweisen.

Gibt es eine Checkliste zur DSGVO?

Der Weg durch den Paragrafendschungel stellt insbesondere für juristische Laien eine Herausforderung dar. Aus diesem Grund haben wir eine Checkliste mit den wichtigsten To-Dos zur DSGVO angefertigt.

Muss ich einen Datenschutzbeauftragten bestellen?

Das Thema ist für alle Unternehmen relevant, die mit personenbezogenen Daten zu tun haben. Ob Sie einen Datenschutzbeauftragen bestellen müssen, ist im Wesentlichen von drei Voraussetzungen abhängig, die Sie für Ihr Unternehmen prüfen müssen. Lesen Sie hier, welche das sind.

Was gehört in die Datenschutzerklärung?

Jeder Websitebetreiber muss detailliert darüber informieren, wie er Nutzerdaten behandelt, die beim Aufrufen seiner Seite verarbeitet werden. Wichtig dabei ist, dass in der Datenschutzerklärung deutlich gemacht wird, dass verantwortungsvoll mit personenbezogenen Daten umgegangen wird.

Wie verbessere ich die Datensicherheit im Unternehmen?

Die Datensicherheit befasst sich mit dem generellen Schutz von Daten, unabhängig davon, ob diese einen Personenbezug haben oder nicht. Dabei stellt sich die Frage, welche Maßnahmen ergriffen werden müssen, um den Schutz dieser Daten zu gewährleisten und damit schließlich die bestmögliche Datensicherheit zu erreichen. 

Nachfolgend zeigen wir Ihnen auf, was es mit Datenschutz im Unternehmen genau auf sich hat und geben Ihnen To-Dos für den Anpassungsbedarf der technischen und organisatorischen Maßnahmen in Ihrem Unternehmen. Abschließend listen wir die 5 größten Fehler zum Datenschutz im Unternehmen auf und zeigen auf, wie Sie diese ganz leicht vermeiden können.

Was ist Datenschutz?

Unter Datenschutz versteht man grundsätzlich den Schutz sämtlicher Informationen, die nicht für die Allgemeinheit frei zur Verfügung stehen sollen. Damit sind vornehmlich personenbezogene Daten gemeint, also Daten, die mit Person direkt in Verbindung stehen. Das umfasst also persönliche und private Informationen, aber auch Daten über Sachen oder bestimmte Beziehungen. Der Umgang mit diesen Informationen ist im Bundesdatenschutzgesetz festgelegt.  Wörtlich heißt die Regelung in § 1 Abs. 1 BDSG:

„Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Es besteht die Pflicht, nur das nötige Minimum an personenbezogenen Daten zu erheben und diese vor dem Zugriff durch Dritte zu schützen. Denn jeder hat das Recht für sich selbst zu bestimmen, wem er seine eigenen Daten zugänglich machen möchte, welche Daten er Dritten zugänglich machen möchte und auch wann er diese Dritten zugänglich machen möchte. Das betrifft sowohl die Daten von Kunden, Mitarbeitern oder auch Daten von Geschäftspartnern.

Datenschutz im Unternehmen: Wer oder was ist überhaupt geschützt?

Auch wenn das Thema Datenschutz im Unternehmen immer mehr an Bedeutung gewinnt und stets heiß diskutiert wird, scheint sich dennoch noch nicht überall herum gesprochen zu haben, was oder wen genau der Datenschutz eigentlich schützen soll.

Durch das Bundesdatenschutzgesetz werden ausschließlich „personenbezogene Daten" geschützt; also Daten von Ihnen persönlich - das heißt, dass alle Daten die über Sie als Person existieren, völlig irrelevant wie unwichtig diese erscheinen, durch das Bundesdatenschutzgesetz geschützt sind. Personenbezogene Daten sind immer dann vorhanden, wenn sie persönliche oder sachliche Informationen über eine natürliche Person preisgeben. Dazu muss die Person nicht namentlich benannt werden. Es genügt, wenn diese bestimmbar wird, beispielsweise durch eine E-Mail-Adresse oder Telefonnummer.

Informationen über so genannte „juristische Personen" fallen dagegen nicht unter diese Rechtsprechung, sofern diese sich nicht wiederum auf natürliche Personen (z.B. Mitarbeiter oder Kunden) beziehen. Beispielsweise unterliegen die Kontaktdaten einer Firma - inklusive nichtpersonalisierter Rufnummer - nicht dem Schutz des BDSG. Etwas anderes gilt wiederum für E-Mail-Adressen und Telefonnummern, die einer ganz bestimmten Person zugeordnet sind.

Datenschutz und Werbung: Was Sie beachten müssen

Worauf muss ich seit der neuen DSGVO in Bezug auf Datenschutz im Unternehmen achten, wenn ich Produkte und Dienstleistungen bewerbe? Wie darf ich Kunden und Interessenten ansprechen? Muss ich eine Einwilligung einholen oder nicht? Über diese Frage zerbrechen sich gerade Neugründer den Kopf. In der DSGVO ist zum Thema Werbung keine ausdrückliche Regelung enthalten, doch gibt es trotzdem einige Punkte zu beachten:

Wahrung berechtigter Interessen

Personenbezogene Daten dürfen dann für werbliche Zwecke genutzt werden, wenn diese zur „Wahrung berechtigter Interessen" des Unternehmens erforderlich sind und kein „überwiegendes Interesse“ der Betroffenen dagegenspricht. Dass „berechtigte Interessen“ bei Direktwerbung vorliegen, darf generell vermutet werden. Somit wird es beispielsweise einfacher, Interessenten zu kontaktieren. Jedoch muss dies nun im Einzelfall strenger dokumentiert werden als bisher.

E-Mails und Anrufe

Keine Veränderungen gibt es in Sachen E-Mail- und Telefon-Akquise: Diese sind im Gesetz gegen den unlauteren Wettbewerb (UWG) geregelt, das weiterhin in Kraft bleibt. Somit ist für Werbung per Telefon und E-Mail (auch für Newsletter) die ausdrückliche Einwilligung des Empfängers erforderlich.

Newsletter

Bei Neukunden ist im Gegensatz zu Bestandskunden immer eine Einwilligung zum Newsletter Versand erforderlich. Für die Einwilligung muss das Double-Opt-in-Verfahren genutzt werden. Wenn sich also User für Ihren Newsletter anmelden, müssen Sie bereits beim Anmeldeformular darüber informieren, an wen und zu welchem Zweck die Daten übermittelt werden. Hier reicht ein Hinweis auf Ihre Datenschutzerklärung, in der Sie diese Informationen zur Verfügung stellen.

Widerspruchsrecht

Wenn ein Adressat der Zusendung von Werbung widerspricht, muss das ohne Wenn und Aber berücksichtigt werden. Sie müssen somit von Anfang an einen Hinweis auf das Widerspruchsrcht setzen, wenn sie Daten (auch) für Direktwerbung nutzen möchten.

Zusammenfassend kann man also sagen, dass sich durch die DSGVO in Sachen Werbung wenig geändert hat, sondern mehr daran, wie die Daten der Werbeempfänger verarbeitet und gespeichert werden. Was sich allerdings geändert hat ist, das deutlich höhere Bußgeld und die Sanktionen bei Verstößen verhängt werden. Es ist also in jedem Fall ratsam, die werblichen Maßnahmen noch einmal in Puncto Datenschutz in Ihrem Unternehmen auf den Prüfstand zu stellen.

Technische und organisatorische Maßnahmen (TOM) für Datenschutz im Unternehmen

Wer personenbezogene Daten verarbeitet, muss laut DSGVO „geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten".

Technische Maßnahmen beziehen sich dabei auf den Datenverarbeitungsvorgang als solches. Damit werden Maßnahmen bezeichnet, die sich physisch umsetzen lassen, zum Beispiel durch das Installieren einer Alarmanlage. Organisatorische Maßnahmen dagegen beziehen sich auf die Rahmenbedingungen des Datenverarbeitungsvorgangs. Dabei werden Vorgaben und Handlungsanweisungen definiert, die dazu dienen, dass Mitarbeiter den Datenschutz einhalten.

Jedoch benennt die DSGVO dabei keine konkreten Handlungsanweisungen, sondern beschreibt vielmehr Datenschutzziele. Außerdem legt die DSGVO es in Ihr eigenes Ermessen, welche und wie viele technisch organisatorische Maßnahmen Sie treffen.

Das alles entscheidende Kriterium bei der DSGVO ist das Risiko Ihrer Datenverarbeitung für die betroffenen Personen. Je riskanter Ihre Verarbeitung personenbezogener Daten ist, desto mehr müssen Sie für Datenschutz und Datensicherheit tun.

Zukünftig wird eine ausführliche Dokumentation der in Ihrem Unternehmen getroffenen Maßnahmen zu folgenden Punkten erwartet:

  • Pseudonymisierung
  • Verschlüsselung
  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Belastbarkeit der Systeme
  • Wiederherstellung von Daten
  • Überprüfung, Bewertung und Evaluierung
  • Unterweisung unterstellter Mitarbeiter

Alle TOMs sind nur mögliche Maßnahmen, um Datenschutz im Unternehmen zu verbessern. Nicht zwingend müssen alle Maßnahmen aus allen Schutzkategorien getroffen werden. Es ist jedoch empfehlenswert, möglichst viele der benannten Kategorien abzudecken. Letztlich kommt es aber stets auf das Schutzniveau an, das sich weiterhin aus allen getroffenen Maßnahmen ergibt. Wenn Sie keine bösen Überraschungen erleben wollen, sollten Sie Ihre technisch organisatorischen Maßnahmen grundlegend überprüfen und gegebenenfalls anpassen.

TOMs DSGVO: Ihre To-Dos

  1. Prüfen Sie Ihre Verträge zur Auftragsdatenverarbeitung auf DSGVO-Konformität.
  2. Identifizieren Sie personenbezogene Daten, die Sie oder ein Dienstleister verarbeitet.
  3. Überprüfen Sie bereits bestehende Maßnahmen auf ihre Wirksamkeit und ob sie die neuen Schutzkategorien abdecken und damit auch die neuen Anforderungen erfüllen.
  4. Ordnen Sie die alten Maßnahmen den neuen Schutzkategorien zu und ergänzen Sie gegebenenfalls Maßnahmen
  5. Legen Sie ein Verarbeitungsverzeichnis an.
  6. Analysieren Sie das Risiko der Datenverarbeitung für die einzelnen Verarbeitungsvorgänge.
  7. Nehmen Sie gegebenenfalls eine Datenschutz-Folgenabschätzung vor.
  8. Schulen Sie Ihre Mitarbeiter hinsichtlich Thema Datenschutz und Datensicherheit.

Der konkrete Anpassungsbedarf für Datenschutz im Unternehmen hängt letztlich vor allem davon ab, wie diese bisher im Bereich der technischen und organisatorischen Maßnahmen aufgestellt sind.

Tipp

Lassen Sie sich Ihre Datenschutzerklärung ganz einfach von einem spezialisierten Anwalt erstellen. Erhalten Sie schnell und einfach ein unverbindliches Angebot von unserem Partner.

Fachanwalt suchen

Datenschutz im Unternehmen: Die 5 größten Datenschutzfehler

Auf der Arbeit verarbeitet fast jeder täglich personenbezogene Daten, zum Beispiel beim Führen von Personalakten oder beim Versenden von E-Mails. All diese Tätigkeiten beinhalten die Erhebung, Verarbeitung, Übermittlung oder Nutzung von personenbezogenen Daten. Das bedeutet, dass besonders im Arbeitsalltag auf die Einhaltung von Datenschutz im Unternehmen zu achten ist. Um den Zugriff auf personenbezogene Daten zu vermeiden bzw. zu schützen, gibt es einige Punkte, die Sie sich in Bezug auf den Datenschutz im Unternehmen zu Herzen nehmen sollten.

Sie können den Datenschutz in Ihrem Unternehmen schon steigern, indem Sie die folgenden 5 häufigsten Datenschutzfehler vermeiden:

#1 Keine Datenschutzerklärung

Jeder Websitebetreiber, der personenbezogene Daten verarbeitet, muss auf seiner Seite eine Datenschutzerklärung einbinden. Die Datenschutzerklärung muss bestimmte Anforderungen erfüllen, damit sie als rechtssicher gilt. So ist beispielsweise der Datenschutzbeauftragte für Fragen und Hinweise zum Thema Datenschutz zu benennen. Darüber hinaus müssen Informationen über alle verwendeten Analyse-Tools bereitgestellt werden.

#2 Druckerzeugnisse nicht schreddern

Na, schon vergessen? Auch Daten, die auf Papier gedruckt sind, können unter den Schutz personenbezogener Daten fallen. Diese sollten in keinem Fall einfach nur zerknüllt m Papierkorb landen, so sind Sie nämlich nicht vor unberechtigten Zugriffen sicher. Wir empfehlen daher jegliche Dokumente, die nicht mehr benötigt werden, zu schreddern. Nur so kann ein Zugriff von Außen verhindert werden.

#3 Nutzung von Cloud & Co.

Cloud-Speicher wie Dropbox und Co. gehören mittlerweile in vielen Unternehmen dazu, da gerade bei großen Datenmengen ein einfacher PC-Speicher nicht mehr ausreicht. Allerdings haben diese Speicher im Internet auch Sicherheitslücken. Versuchen Sie personenbezogene Daten anderweitig zu speichern, um einen Missbrauch zu verhindern.

#4 Daten offenlegen

Es kann jedem Mal passieren: Auskünfte zu personenbezogenen Daten werden gegenüber einem Unbefugtem unbeabsichtigt geäußert. Zur Vermeidung ist es unerlässlich, den Mitarbeiter schon im Voraus gründlich darin einzuweisen, welche Auskünfte gemacht werden dürfen und welche nicht. Ähnliches gilt bei vertraulichen Verträgen, USB-Sticks und Co: achten Sie darauf, dass Sie beim Verlassen des Arbeitsplatzes keine Unterlagen mit vertraulichen Dokumenten für Jedermann ersichtlich zurücklassen. Insbesondere wenn betriebsfremde Personen in Büroräume gelassen werden und ohne Begleitung umherspazieren können.

Hier knüpft auch noch der Punkt Passwörter an: obwohl es mittlerweile allen bekannt sein sollte, werden noch immer werden leicht zu knackende Passwörter verwendet. Hackern wird es somit kinderleicht gemacht, den PC zu attackieren und so an vertrauliche Daten zu gelangen. Ein sicheres Passwort für den PC ist daher das A und O. Es sollte aus mindestens acht Zeichen bestehen und Ziffern, Sonderzeichen sowie Groß- und Kleinbuchstaben enthalten.

#5 Datenschutz vernachlässigen

Es klingt so simpel, aber genau dieser Punkt ist der Anfang allen Übels. Setzen Sie sich mit dem Thema Datenschutz im Unternehmen bereits von Anfang an auseinander und schulen Ihre Mitarbeiter. Nur so können Datenschutzpannen und Sanktionen bei Verstößen vorgebeugt werden.

Wenn Sie diese 5 Fehler vermeiden und sich mit dem Thema Datenschutz im Unternehmen gründlich auseinandersetzen, sind Sie auf dem besten Weg nicht nur unternehmerisch, sondern auch datenschutzrechtlich voll durchzustarten.

Chancen für Datenschutz im Unternehmen

Über die Datenschutz-Grundverordnung wird viel berichtet – vorrangig geht es dabei um hohe Bußgelder und all die Arbeit, die mit der Umsetzung einhergeht. Viele Unternehmer sehen in den Pflichten nur einen weiteren Stein, der ihnen in den Weg gelegt wird. Doch dass die DSGVO aber auch große Chancen bietet, sehen bisher noch die wenigsten. Wir leben in einer Zeit des Datenklaus und -missbrauchs. Wenn Sie Ihren Kunden und Geschäftspartnern deutlich machen, dass Datenschutz bei Ihnen großgeschrieben wird, sichert dass so ihr Vertrauen und hinterlässt einen positiven Eindruck. Und auch die Mitarbeiter entwickeln ein Gefühl für die Risiken am Arbeitsplatz und in der Umgebung. Daneben bietet die DSGVO eine gute Gelegenheit, eingefahrene Arbeitsschritte und Verarbeitungsformen zu modernisieren und zu vereinfachen. Mit der Bestellung eines Datenschutzbeauftragten wird gleichzeitig ein effektives Daten-Management eingeführt. So kann der Schutz von Betriebs- und Geschäftsgeheimnissen noch besser gewährleistet werden.

Genau diese Punkte können einen großen Wandel herbeiführen. Sehen Sie die neuen Regelungen der DSGVO als Chance, Ihre Daten endlich vereinheitlichen zu können. Darüber hinaus erhalten Sie tiefere Einblicke in Ihre Daten, können Produkte sowie Dienstleistungen optimieren und Prozesse straffen.

Nutzen Sie Ihre Chancen und erzielen Sie mit dem Schutz von Daten und einer neuen Transparenz einen echten Wettbewerbsvorteil! Starten Sie dazu bspw. mit der Überprüfung Ihrer Datenschutzerklärung auf der Webseite. Wenn Sie dabei sicher gehen möchten, können Sie sich die Datenschutzerklärung von einem Anwalt erstellen lassen. Erhalten Sie ein unverbindliches Angebot. Und auch interessant: unsere Tipps für mehr Datensicherheit.

Chefredakteur: René Klein

René Klein verantwortet als Chefredakteur seit über 10 Jahren die Inhalte auf dem Portal und aller Publikationen von Für-Gründer.de. Er ist regelmäßig Gesprächspartner in anderen Medien und verfasst zahlreiche externe Fachbeiträge zu Gründungsthemen. Vor seiner Zeit als Chefredakteur und Mitgründer von Für-Gründer.de hat er börsennotierte Unternehmen im Bereich Finanzmarktkommunikation beraten.