DSGVO, BDSG & Co. – Datenschutz im Unternehmen
Verantwortungsvoller Datenschutz ist nicht nur gesetzliche Pflicht, sondern schafft auch Vertrauen zum Unternehmen.
13.09.2023 • 8 min Lesezeit
Gesetze und Regelungen zum Datenschutz im Unternehmen
Personenbezogene sowie geschäftliche und interne Daten sind ein sehr sensibles Thema. Daher wird Datenschutz im Unternehmen besonders groß geschrieben. Egal ob KMU oder Großkonzern: Sobald Sie mit Daten von Kunden oder Mitarbeitern zu tun haben, müssen Sie sich mit der Thematik auseinandersetzen.
In Deutschland regelt das Bundesdatenschutzgesetz (BDSG) den Umgang mit personenbezogenen Daten in Unternehmen. Dieses Gesetz ist eng mit der europaweiten Datenschutz-Grundverordnung (DSGVO) verknüpft und fordert, dass die Verarbeitung von personenbezogenen Daten rechtmäßig, nachvollziehbar und transparent erfolgt. Jeder Mensch darf selbst entscheiden, ob und wie persönliche Daten von Unternehmen genutzt werden. Die unterschiedlichen Datenschutzgesetze können aber schnell zu Unsicherheit auf Unternehmensseite führen.
Gut zu wissen: Unternehmen haben eine Informationspflicht. Das bedeutet, dass betroffene Personen über die Datenerhebung und -verarbeitung sowie über ihre Rechte informiert werden müssen.
Datenschutz im Unternehmen ist EU-weit Pflicht. Die Datenschutz-Grundverordnung (DSGVO) regelt daher seit Mai 2018 den Umgang mit personenbezogenen Daten. Ziel ist es, den Datenschutz zu vereinheitlichen und das Recht der Bürger auf Privatsphäre zu stärken. Hauptbestandteil der DSGVO sind Themen, wie Datenerhebung, -speicherung und -verarbeitung sowie die Verpflichtung zur Transparenz, Datensparsamkeit und Sicherheit. Bei Verstößen drohen hohe Strafen von bis zu 20 Mio. Euro. Bürger haben dank der Regelung auch ein Recht auf Auskunft, Berichtigung, Löschung und Widerspruch.
Gut zu wissen: Das Prinzip der Datenminimierung ist ebenfalls zentraler Aspekt der DSGVO. Es besagt, dass Unternehmen nur personenbezogenen Daten erheben und verarbeiten dürfen, die unbedingt erforderlich sind. So wird auch das Risiko von Datenschutzverletzungen minimiert.
Das BDSG gibt es bereits seit 1978. Die dritte Fassung trat allerdings gemeinsam mit der DSGVO im Mai 2018 in Kraft und dient in erster Linie als Ergänzung. Die Erklärung dafür ist leicht: Einige Aspekte werden in der DSGVO offen gehalten. Das BDSG knüpft auf nationaler Ebene an und konkretisiert spezifische Regelungen des Datenschutzes in Deutschland.
Sobald ein Unternehmen personenbezogene Daten erhebt, nutzt oder verarbeitet, muss es den Maßnahmen des BDSG folgen. Enthalten sind beispielsweise Vorgaben zu Datenschutzerklärungen, Datenschutzbeauftragten, dem Umgang mit Mitarbeiterdaten und Angaben zur Auskunftspflicht der Firmen. Aber: Sobald sich BDSG und DSGVO widersprechen, hat die DSGVO immer Vorrang.
Nach europäischer und nationaler Ebene folgt in Deutschland noch die Landesebene. Individuelle Gesetze, die für einzelne Bundesländer gelten, regelt demnach das Landesdatenschutzgesetz (LDSG). Hier sind spezielle Vorgaben für den Umgang mit personenbezogenen Daten durch Landesbehörden, Gemeinden und andere öffentliche Stellen enthalten. Für privatrechtliche Unternehmen wie eine AG, GmbH oder OHG gelten die Landesdatenschutzgesetze nicht.
Website & Newsletter: Datenschutz im Internet
Die Präsenz im Internet ist heutzutage etwas völlig Normales und sogar essenziell, um neue und bestehende Kunden zu erreichen. Beim Betreiben einer Website oder dem Versand eines Newsletters müssen Unternehmen jedoch mehrere datenschutzrechtliche Aspekte berücksichtigen.
- Jede Website muss ein Impressum und eine Datenschutzerklärung enthalten. So können Nutzer überprüfen, wer die Seite anbietet und sich über den Umfang und Zweck der Datenerhebung und -verarbeitung informieren.
- Bei der Nutzung von Cookies oder Tracking-Tools muss der Nutzer klar und umfassend informiert werden und seine ausdrückliche Einwilligung geben. Das stillschweigende Einverständnis genügt schon lange nicht mehr. Dafür gibt es Kontrollkästchen und die Auswahl spezifischer Einstellungen.
- Für den Versand von Newslettern ist ebenfalls eine ausdrückliche Zustimmung des Empfängers erforderlich (Double-Opt-In Verfahren). Die E-Mail-Adresse gehört laut DSGVO zu den personenbezogenen Daten und unterliegt somit dem Datenschutz.
Wichtig beim E-Mail-Datenschutz: Das Erheben von E-Mail-Daten ist für Unternehmen begrenzt erlaubt. E-Mail-Adressen von Privatpersonen bzw. Kunden dürfen beispielsweise für Kaltakquise weder herausgegeben noch ungefragt kontaktiert werden.
Was ist eine Datenschutzerklärung?
Eine Datenschutzerklärung (auch Datenschutzhinweis) informiert darüber, welche personenbezogenen Daten auf einer Website erhoben und zu welchem Zweck diese verarbeitet werden. Auch Informationen über die Rechte der Nutzer, wie etwa das Recht auf Datenauskunft oder -löschung müssen in der Datenschutzerklärung enthalten sein. Weiterhin informiert sie über den Einsatz von Cookies, Tracking-Tools oder anderen Technologien zur Datenerhebung und ob Daten an Dritte oder ins Ausland übermittelt werden.
Gut zu wissen: Eine Datenschutzerklärung im Internet ist gesetzlich vorgeschrieben und muss leicht zugänglich und verständlich formuliert sein.
Auftragsverarbeitungsvertrag – Was ist ein AVV?
Nach Art. 28 DSGVO ist ein Auftragsverarbeitungsvertrag erforderlich, sobald personenbezogene Daten von einem externen Dienstleister eingesehen oder verarbeitet werden. Der AVV legt Zweck und Dauer der Datenverarbeitung fest und regelt die technischen und organisatorischen Maßnahmen zum Schutz der Daten. Auch die Einhaltung der Datenschutzvorschriften der jeweilige Auftragsverarbeiter wird sichergestellt.
Für Unternehmen heißt das, dass sie in der Verantwortungspflicht stehen: Sobald personenbezogene Daten von Dritten verarbeitet werden, muss ein entsprechendes Datenschutzniveau herrschen. Die datenschutzrechtliche Verantwortung bleibt somit beim Unternehmen.
Beispiele: Dann ist ein AV-Vertrag nötig
- Nutzung externer Buchhaltung oder Lohnabrechnung
- Beauftragung eines Call-Centers oder Newsletter-Dienstleisters
- Bei Projekten mit Marketingagentur, die Kundendaten beinhalten
- Bei der technischen Wartung von IT-Systemen
Gut zu wissen: Sind externe Dienstleister bereits von Natur aus Berufsgeheimnisträger, muss kein Auftragsverarbeitungsvertrag geschlossen werden. Dazu zählen beispielsweise Berufsgruppen wie Rechtsanwälte, Steuerberater oder Wirtschaftsprüfer.
TOM – Technisch organisatorische Maßnahmen für Ihr Unternehmen
Wer personenbezogene Daten erhebt und verarbeitet, muss auch sicherstellen, dass diese geschützt sind. Hier kommen die TOM für Datenschutz ins Spiel. Nach Art. 32 DSGVO müssen demnach folgende Maßnahmen ergriffen werden:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Sicherstellen von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
- Wiederherstellung des Zugangs zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall
- Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser Maßnahmen
Unternehmen müssen alle ergriffenen Maßnahmen dokumentieren. So sind sämtliche getroffenen Vorkehrungen für den Schadensfall aufgezeichnet und können auf Vollständigkeit und mögliche Mängel überprüft werden.
Was ist Beschäftigtendatenschutz?
Beschäftigtendatenschutz regelt den datenschutzrechtlichen Rahmen innerhalb eines Arbeitsverhältnisses – also welche Informationen ein Arbeitgeber über Beschäftigte erheben, speichern, nutzen oder weitergeben darf. Hierzu gehören Personalnummer, Kontaktdaten, Gehaltsinformationen, Krankheitsdaten oder auch Daten aus Mitarbeitergesprächen.
Das BDSG enthält in § 26 eine spezielle Regelung für den Beschäftigtendatenschutz. Danach ist die Verarbeitung von Mitarbeiterdaten in Deutschland zulässig, wenn sie für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist oder der Beschäftigte eingewilligt hat.
Gut zu wissen: Schon während des Bewerbungsprozesses findet diese Regelung Anwendung. Bewerberinnen und Bewerber gelten somit bereits als „Beschäftigte“. Die Aufbewahrungsfrist von Bewerbungsunterlagen beträgt maximal sechs Monate. Kommt es nicht zur Einstellung, müssen die Daten spätestens nach dieser Zeit gelöscht werden.
Interne Kommunikation – Datenschutz unter Kollegen
Auch bei der internen Kommunikation zwischen Kollegen in einem Unternehmen gilt das Prinzip, dass personenbezogene Daten nur mit Zustimmung der betroffenen Person weitergegeben werden dürfen. Das bedeutet, dass Informationen über einen Kollegen, wie zum Beispiel Krankheitsgründe, private Kontaktdaten oder persönliche Angelegenheiten, nicht ohne dessen Einwilligung an andere Mitarbeiter weitergeleitet werden dürfen.
Ein Beispiel: Datenschutz bei Krankheit von Kollegen
Eine Krankmeldung gibt laut DSGVO Auskunft über den Gesundheitszustand einer Person und beinhaltet somit besondere personenbezogene Daten. Der genaue Hintergrund für die Erkrankung darf untereinander nicht verbreitet werden. Auch dass ein Mitarbeiter überhaupt krank ist, dürfen Sie eigentlich nicht kommunizieren. Da beim Ausfall von Kollegen jedoch Projekte weiterlaufen, kann das Fernbleiben schon betitelt werden, wenn es zur Aufrechterhaltung der Arbeit dient. Gegenüber Kunden ist eine Aussage wie: „Frau Müller fällt diese Woche krankheitsbedingt aus.“ jedoch nicht zulässig.
Compliance für mehr Datenschutz unter Kollegen
Die größte Schwachstelle bei interner Kommunikation und Datenschutz ist der Faktor Mensch. Damit die sogenannte Compliance aufrechterhalten werden kann, müssen Mitarbeitende regelmäßig über aktuelle Datenschutzbestimmungen informiert und geschult werden. Das Bewusstsein für den Datenschutz in der internen Kommunikation zu stärken, ist Teil einer guten Datenschutzkultur im Unternehmen.
Mehr Datenschutz mit Vertraulichkeitsvereinbarung und Verschwiegenheitserklärung?
Beide Vereinbarungen tragen dazu bei, den Datenschutz in Unternehmen zu optimieren. Dabei verpflichten sich alle beteiligten Parteien, bestimmte Informationen und personenbezogene Daten geheim zu halten.
Vertraulichkeitsvereinbarung und Verschwiegenheitserklärung sind besonders relevant, wenn sensible Daten aus den Bereichen Personal, Forschung und Entwicklung oder Geschäftsgeheimnisse ausgetauscht werden. So wird definiert, welche Informationen als vertraulich zu behandeln sind, welche Regeln beim Umgang mit den Daten gelten und welche Sanktionen für den Fall eines Verstoßes verhängt werden.
Gut zu wissen: Vertraulichkeitsvereinbarung und Verschwiegenheitserklärung ersetzen die gesetzlichen Datenschutzvorgaben in der DSGVO oder im BDSG nicht, sondern ergänzen diese lediglich.
Verarbeitungsverzeichnis – Register für rechtliche Absicherung
Ein Verarbeitungsverzeichnis muss nach Art. 30 DSGVO von jedem geführt werden, der personenbezogene Daten verarbeitet – seien es Behörden, Unternehmen, Einzelpersonen oder Vereine. Es ist ein detailliertes Register, in dem alle Datenverarbeitungsprozesse dokumentiert sind. Dazu gehören folgende Angaben:
- Kategorien der gespeicherten Daten
- Zweck der Datenverarbeitung
- Dauer der Datenspeicherung und Fristen für die Löschung
- Beschreibung der technischen und organisatorischen Maßnahmen
- Kategorien von Empfängern der Daten
Bei der Erstellung dieses Verzeichnisses können Sie entweder selbstständig vorgehen, einen Spezialisten beauftragen oder ein Datenschutz-Management-System verwenden. Die Verarbeitungstätigkeiten müssen in jedem Fall schriftlich festgehalten werden, was auch elektronisch möglich ist.
Ausnahmen zur Führung eines Verarbeitungsverzeichnisses
Wenn ein Unternehmen weniger als 250 Mitarbeiter hat, kann es von der Verpflichtung befreit werden. Dafür muss die Datenverarbeitung nur gelegentlich erfolgt sein, ohne ein Risiko für die Rechte und Freiheiten der Betroffenen zu bergen, und keine sensiblen Daten beinhalten. In allen anderen Fällen ist ein Verarbeitungsverzeichnis unerlässlich.
Löschkonzept – So halten Sie sich an die DSGVO
Das Löschkonzept regelt genau, wer welche Daten löschen muss, sobald sie ihren Verwendungszweck erfüllt haben oder vom Betroffenen die Löschung verlangt wird. In der Praxis kann dies kompliziert werden, da sich Unternehmen darüber hinaus auch daran halten müssen, Daten zu speichern und regelmäßigen Backups zu unterziehen. Sind personenbezogene Daten dadurch an mehreren Orten gespeichert oder wurden bereits an Dritte weitergegeben, muss dieser Datenstrang ebenso gelöscht werden. Um diese widersprüchlichen Aussagen der DSGVO zu lösen, hilft ein ausgearbeitetes Löschkonzept.
Das sollte im Löschkonzept nicht fehlen:
- Zweckbestimmung: Welche Daten aus welchem Bereich werden erhoben?
- Löschfristen: Klare Fristen, wann welche Daten zu löschen sind. Diese Fristen sollten sich an gesetzlichen Aufbewahrungsfristen und der Notwendigkeit der Daten für den festgelegten Zweck orientieren.
- Löschprozesse: Verfahren, wie und wann die Daten gelöscht werden. Diese Prozesse sollten sicher und nachvollziehbar sein.
- Technische und organisatorische Maßnahmen: Schritte zur sicheren und effektiven Umsetzung der Löschprozesse.
- Bestimmung eines Beauftragten: Beauftragung einer Person, die sich um die Löschung der Daten kümmert.
Gut zu wissen: Ein allgemeines Muster für ein Löschkonzept gibt es nicht. Vielmehr muss dies für jedes Unternehmen individuell entwickelt und fortlaufend angepasst werden. Als Leitlinie für die Erstellung können sich Unternehmen an die DIN 66398 halten.
Ab wann braucht man einen Datenschutzbeauftragten?
Ein Datenschutzbeauftragter ist im Unternehmen oder einer Behörde die zentrale Anlaufstelle für alle Fragen rund um den Datenschutz. Die Hauptaufgabe ist die Überwachung der Einhaltung datenschutzrechtlicher Vorgaben wie der DSGVO und des BDSG. Gleichzeitig berät ein Datenschutzbeauftragter auch in rechtlichen und allgemeinen Datenschutzfragen.
Unternehmen, in denen mindestens 20 Personen regelmäßig mit personenbezogenen Daten und der automatischen Verarbeitung betraut sind, ist ein Datenschutzbeauftragter gesetzliche Pflicht (§ 38 BDSG). Sobald Bund oder öffentliche Stellen Daten speichern und verarbeiten, sind behördliche Datenschutzbeauftragte vorgeschrieben. Nichtbenennung eines Beauftragten trotz Verpflichtung kann mit einem Bußgeld geahndet werden.
Datenschutzbeauftrage: Aufgaben und Pflichten
Die Anforderungen sind vielfältig. Zu den Kernaufgaben eines Datenschutzbeauftragten zählen:
- Unterrichtung und Beratung des Unternehmens
- Überwachung der Einhaltung von Datenschutzgesetzen
- Überprüfung von Prozessen und Systemen auf Datenschutzkonformität
- Aufbau einer Datenschutzorganisation (falls nötig)
- Schulung von Mitarbeitern
Zu den weiteren Pflichten eines Datenschutzbeauftragten gehört die Zusammenarbeit mit der Datenschutz-Aufsichtsbehörde und die Durchführung einer Datenschutz-Folgenabschätzung bei riskanten Datenverarbeitungsvorgängen. Zudem ist er Ansprechpartner für Kunden, Mitarbeiter und Behörden bei datenschutzrechtlichen Anfragen und Beschwerden.
Qualifikation und Ausbildung von Datenschutzbeauftragten
Für die Position des Datenschutzbeauftragten ist eine besondere Expertise im Datenschutzrecht erforderlich. Man benötigt viel Fachwissen auf dem Gebiet und ausreichend Praxis, um den Anforderungen gerecht zu werden. Dieses Wissen sollte durch regelmäßige Weiterbildungen auf dem neusten Stand bleiben.
Die Position eines Datenschutzbeauftragten ist enorm wichtig. Daher müssen folgende Ausbildungsinhalte verinnerlicht werden:
- Verständnis der Grundsätze und Ideen hinter der DSGVO
- Kenntnisse des nationalen Datenschutzrechts (BDSG)
- Verstehen der Grenzen des Datenschutzes
- Fokus auf personenbezogene Daten
- Umgang mit betroffenen Nutzern
- Gewährleistung der Nutzerrechte
- Bearbeitung von Nutzeranfragen
- Erstellung eines Verfahrensverzeichnisses
- Überprüfung und DSGVO-konforme Überarbeitung aller Verfahren, in denen Daten verarbeitet werden
Die Aus- bzw. Weiterbildung eines Datenschutzbeauftragten kann über Kurse verschiedener Bildungseinrichtungen wie dem TÜV oder der IHK erfolgen. Ein Lehrgang sollte aber unbedingt auf die DSGVO abgestimmt sein. Je nach Umfang dauert die Ausbildung bis zu einer Woche und kostet zwischen 500 und 2.000 Euro. Im Anschluss wird die Teilnahme nach bestandener Abschlussprüfung zertifiziert.
Unternehmen müssen keinen Beauftragten aus den eigenen Reihen benennen, sondern können auch einen externen Datenschutzbeauftragten engagieren. Die Vorteile sind meist, dass ein externer Datenschutzbeauftragter den aktuellen Markt kennt und sich darauf fokussieren kann ständig auf dem neusten Stand zu sein.
Gut zu wissen: Die Haftung eines Datenschutzbeauftragten für Datenschutzverstöße ist umstritten und noch nicht endgültig geklärt. Allerdings können sie für eigene Fehler wie falsche oder unvollständige Beratung haftbar gemacht werden. Daher ist es in ihrem eigenen Interesse, in alle datenschutzrelevanten Entscheidungsprozesse rechtzeitig eingebunden zu werden.
Von Datenpanne bis Datenschutzverletzung – Welche Bußgelder und Strafen drohen?
Bei einem Verstoß gegen den Datenschutz, also die Bestimmungen der DSGVO oder des BDSG, müssen Unternehmen mit hohen Geldstrafen rechnen. Darüber hinaus kann es auch zu einem Vertrauensverlust bei Kunden und Angestellten kommen.
Die Datenschutz-Grundverordnung sieht vor, dass bei Verstößen eine Geldstrafe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes aus dem letzten Geschäftsjahr verhängt werden kann – je nachdem, welcher Betrag größer ist. Die genauen Kriterien zur Bestimmung der Geldstrafe sind in Artikel 83 Abs. 2 der DSGVO aufgeführt. Dazu zählen etwa:
- Art, Schwere und Dauer des Verstoßes
- Art und Weise, wie der Verstoß bekannt gemacht wurde (insbesondere Selbstanzeige)
- Vorsatz oder Fahrlässigkeit
- Kategorien der durch den Verstoß betroffenen Daten
- Maßnahmen zur Minderung des entstandenen Schadens
- Einhaltung technischer und organisatorischer Maßnahmen
- Mögliche frühere Verstöße gegen das Datenschutzrecht
Neben Bußgeldern und Imageverlust kann eine Datenschutzverletzung auch andere Strafen nach sich ziehen – zum Beispiel Schadensersatzansprüche. Bei einer größeren Zahl von Betroffenen können so schnell hohe Summen zusammenkommen. Bei strafrechtlichen Sanktionen ist auch eine Freiheitsstrafe bis zu drei Jahren möglich.
Könnte Sie auch interessieren
Reibungslose Unternehmensnachfolge
Der Nächste, bitte! – aber nur mit guter Planung. Erfahren Sie, wie eine Unternehmnsnachfolge abläuft.
Wettbewerbsrecht – unlauterer Wettbewerb & Co.
Wir erklären, wie sich sich an die Regeln des Wettbewerbs halten. Von der Mitarbeiterabwerbund bis zu Wettbewerbsverboten.