Datenschutz im Unternehmen – ein Überblick

Das Datenschutzrecht schützt personenbezogene Daten, d. h. Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören nicht nur Name, Geburtsdatum etc., sondern auch alle sonstigen Informationen von der IP-Adresse über die Kundenhistorie bis zu Gewohnheiten. Geschützt werden also in allen Unternehmen Kunden- und Lieferantendaten genauso wie Mitarbeiterdaten.

Zur Einhaltung und Dokumentation des Datenschutzes verpflichtet sind alle Unternehmen und Behörden, die personenbezogene Daten verarbeiten – also im Grunde alle, selbst Ein-Personen-Unternehmen. Zwar müssen kleine Unternehmen, die keine sensiblen Daten verarbeiten, keinen Datenschutzbeauftragten bestellen. Alle anderen Regeln gelten für sie aber trotzdem.

Das neue Datenschutzrecht hat die EU als Verordnung geregelt. Das bedeutet, dass es unmittelbar in allen Mitgliedstaaten gilt. Das neue BDSG ist am selben Tag in Kraft getreten und ergänzt die EU-Regeln überall dort, wo die DSGVO sog. Öffnungsklauseln enthält. Ein gutes Beispiel dafür sind die Regelungen zum Datenschutzbeauftragten: Art. 37 DSGVO regelt zunächst die Stellung des Datenschutzbeauftragten sowie die Pflicht, einen zu bestellen, für Behörden und für Unternehmen, die besonders sensible Daten verarbeiten, z.B. Auskunfteien und Gesundheitseinrichtungen. Darüber hinaus erlaubt der Artikel den Mitgliedstaaten, weitere Bestellungspflichten festzulegen. Das nutzt das BDSG-neu, indem es in § 38 die bisherige Regelung, dass ein Datenschutzbeauftragter u. a. zu bestellen ist, wenn mindestens zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind, erneut festschreibt. Im November 2019 wurde die Grenze auf 20 Personen erhöht.

Nicht nur beim Datenschutzbeauftragten hat sich wenig verändert. Auch die sonstigen Prinzipien des deutschen Datenschutzrechts sind erhalten geblieben: Verbot mit Erlaubnisvorbehalt sowie Datensparsamkeit und Datensicherheit.

Grundsatz des Datenschutzrechts ist das Verbot mit Erlaubnisvorbehalt: Personenbezogene Daten darf nur erheben und verarbeiten, wer dafür eine Legitimation hat. Das kann eine Erlaubnisvorschrift im Gesetz oder eine Einwilligung des Betroffenen sein. Erlaubt ist z. B. die Verarbeitung aller Daten, die man für die Erfüllung eines konkreten Vertrags braucht oder zur Erfüllung rechtlicher Verpflichtungen wie z.B. steuerlicher Aufbewahrungspflichten. Damit werden die meisten Verarbeitungen der Daten von Kunden, Lieferanten und Mitarbeitern legitimiert. Außerdem erlaubt ist die Verarbeitung im berechtigten Interesse des Unternehmens, sofern das Schutzinteresse des Betroffenen nicht überwiegt. Dazu gehört zum Beispiel die angemessene Direktwerbung per Post bei Stammkunden inklusive Weihnachtsgruß.

Bei der Verarbeitung stehen dann Datensparsamkeit und Datensicherheit im Vordergrund. Datensparsamkeit verlangt als Erstes, jede Datenverarbeitung darauf zu prüfen, welche personenbezogenen Daten wirklich und wie lange für den jeweiligen Zweck erforderlich sind, ob ggf. auch eine Pseudonymisierung oder Anonymisierung möglich ist. Datensicherheit erfordert ein umfassendes Konzept aus technischen und organisatorischen Maßnahmen, damit die legal erhobenen Daten weder verfälscht noch missbraucht werden können.

Mehr zu den typischen Verarbeitungen finden Sie hier [Link auf das folgende Produkt].

Neu ist seit 2018 dagegen das Rechenschaftsprinzip: Der/die Verantwortliche, also die Unternehmensleitung, muss durch eine umfangreiche Dokumentation nachweisen, dass die Datenschutzregeln eingehalten werden. Das reicht vom Verzeichnis von Verarbeitungstätigkeiten (bisher: Verfahrensverzeichnis) bis zu Checklisten für eventuelle Datenschutzpannen.

Ein typisches Beispiel für die Rechenschaftspflichten bietet der Anspruch Betroffener auf Auskunft über alle über sie gespeicherten Daten. Auch das alte BDSG enthält diesen Anspruch. Die DSGVO verlangt aber über die individuelle Auskunft hinaus, dass jedes Unternehmen einen Ablaufplan o. Ä. vorhält, der sicherstellt, dass dann, falls wirklich einmal dieser Auskunftsanspruch geltend gemacht wird, die Auskunft auch tatsächlich umfassend und fristgerecht erteilt werden kann.

Außerdem erweitert die DSGVO die Informationspflichten gegenüber Betroffenen über die Verarbeitung ihrer Daten.

Wenn eine Datenverarbeitung nur mit Einwilligung erlaubt ist, muss diese Einwilligung auch den Vorgaben entsprechen. D. h. sie muss freiwillig und ausdrücklich erfolgen. Dazu muss der Zweck der Datenverarbeitung konkret genug beschrieben werden. Die DSGVO schreibt zwar keine Schriftform vor, doch muss der Unternehmer die Einwilligung im Zweifelsfall ja nachweisen können. Insofern ist sie schriftlich, im Internet per »Double Opt In« oder telefonisch per Tonaufzeichnung abzusichern. Einwilligungen müssen jederzeit widerruflich sein – und auf die Widerrufsmöglichkeit ist natürlich ausdrücklich hinzuweisen. Im Tagesgeschäft der meisten Unternehmen ist eine Einwilligung kaum erforderlich, da die meisten Verarbeitungen zur Vertragserfüllung, für gesetzliche Aufbewahrungspflichten und im berechtigten Interesse stattfinden. In diesen Fällen muss keine Einwilligung eingeholt werden – aber natürlich müssen die Betroffenen trotzdem über die Verarbeitung informiert werden.

Die DSGVO arbeitet verstärkt mit dem risikobasierten Ansatz, wie er vielen aus dem Qualitätsmanagement vertraut ist. Daraus folgt zum Beispiel, dass bei jeder geplanten Verarbeitung personenbezogener Daten, die gewisse Risiken enthält, zunächst abgeschätzt werden muss, welche Risiken für die Betroffenen entstehen, wie schwer sie sind und wie hoch die Eintrittswahrscheinlichkeit ist. Daraus müssen dann Maßnahmen technischer und organisatorischer Art abgeleitet werden, mit denen die Risiken verringert werden. Ergibt sich daraus ein wahrscheinlich hohes Risiko für die Rechte und Freiheiten Betroffener, muss eine explizite Datenschutz-Folgenabschätzung mit hohem Aufwand durchgeführt werden. Die sog. Blacklist der deutschen Datenschutzkonferenz enthält solche Verarbeitungstätigkeiten, für die das zwingend ist.

Je nachdem, gegen welche Norm der DSGVO verstoßen wird, sind Bußgelder bis zu zehn Millionen Euro bzw. zwei Prozent des weltweiten Vorjahresumsatzes, in bestimmten Fällen bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes vorgesehen. Die Bußgeldkonzepte der Aufsichtsbehörden berücksichtigen bei der Bemessung neben der Schwere der Tat auch die Wirtschaftskraft des Unternehmens. Zuständig für Bußgelder und Strafen sind die Datenschutzbeauftragten der Bundesländer.

Der Niedersächsische Landesdatenschutzbeauftragte selbst sieht seine Funktion mindestens ebenso in der Beratung wie in der Kontrolle. Systematische Kontrollen fanden bisher bei bestimmten Branchen, z. B. Auskunfteien oder Call Centern, oder zu bestimmten Themen, z. B. Datenübermittlung in Drittstaaten oder Videoüberwachung, statt. Auch unter der DSGVO ist es so geblieben, dass einzelne kleine Unternehmen ohne besonders sensible Datenströme eher aus konkretem Anlass in den Fokus der Aufsicht geraten, typischerweise durch Beschwerden Dritter.

Die größten Risiken können dabei nicht einmal von unzufriedenen Kunden, sondern vor allem von im Streit ausgeschiedenen Mitarbeitern ausgehen. Wenn diese die Schwachstellen im Datenschutz ihres ehemaligen Arbeitgebers kennen, können sie ihm durch eine gezielte Anzeige viel Arbeit mit der Datenschutzaufsicht verschaffen.

Wenn ein Unternehmen sich bisher noch gar nicht oder kaum um den Datenschutz gekümmert hat, ist es höchste Zeit, damit anzufangen. Jeder Schritt, der erledigt ist, verringert die Gefahr eines Bußgelds.

Als erstes sollte geprüft werden, ob ein Datenschutzbeauftragter bestellt werden muss. Mehr dazu finden Sie hier.

Parallel sollte mit dem Aufbau des Verzeichnisses der Verarbeitungstätigkeiten begonnen werden: Alle Prozesse im Unternehmen, bei denen Kunden-, Lieferanten- oder Mitarbeiterdaten verarbeitet werden, werden aufgelistet. Dann wird für jeden dieser Prozesse eine kurze Verfahrensbeschreibung erstellt.

Beim Ausfüllen stellen sich die Standardfragen für jeden dieser Prozesse: Ist die Verarbeitung all dieser Daten für den konkreten Zweck notwendig? Ist der Kreis der Zugriffsberechtigten bereits technisch so klein wie möglich? Wann können die Daten gelöscht werden? Die eigenen Antworten sollten genutzt werden, um die Verarbeitungsprozesse zu optimieren.

Auch können die jeweiligen Vereinbarungen zur Auftragsdatenverarbeitung den einzelnen Verarbeitungstätigkeiten zugeordnet werden.«

Nächster Schritt ist die Zusammenstellung aller technischen und organisatorischen Maßnahmen zur Datensicherheit, die das Unternehmen nutzt, z. B. Türschlösser, Berechtigungskonzept und Passwortschutz, Firewall und Sicherungskopien von Festplatten genauso wie die Dienstanweisungen und Betriebsvereinbarungen zur E-Mail-Nutzung, zur Passwortbildung und Geheimhaltung, die Verpflichtung aller Mitarbeiter auf das Datengeheimnis etc.

Nun folgen die Handlungsanweisungen zum Vorgehen bei Datenschutzverstößen, Datenübertragungen und Auskunftsverlangen Betroffener.

Ausformulierte Datenschutzrichtlinien zur Verarbeitung von Arbeitnehmerdaten sowie zu Kundendaten runden das Datenschutzmanagement ab.

Ferner ist auch die Datenschutzerklärung zu aktualisieren bzw. zu erstellen, durch die Personen, die mit dem Unternehmen in Kontakt treten, über die Nutzung ihrer personenbezogenen Daten informiert werden.

Last but not least nutzt das beste Datenschutzkonzept natürlich nichts, wenn die Mitarbeiter es im Alltag nicht umsetzen. Typische Fehler sind versehentliche Datenschutzverstöße wie Versendung von E-Mails mit offenem Verteiler. Immer häufiger verschaffen sich Kriminelle aber auch Zugang zur IT von Unternehmen über die Schwachstelle Mensch – z. B. durch Phishing Mails oder andere Formen des sog. Social Engineering. Deswegen ist ein wichtiger Baustein im Datenschutzmanagement die regelmäßige Schulung und Sensibilisierung der Mitarbeiter.

Wer professionelle Hilfe im Datenschutzbereich sucht, kann z.B. einen externen Dienstleister damit betrauen. Dabei gibt es sowohl die Möglichkeit, den Externen direkt zum Datenschutzbeauftragten zu ernennen, so dass er das Unternehmen dauerhaft im Datenschutz betreut, oder seine Beratungsleistung nur anlassbezogen einzukaufen, typischerweise als Unterstützung für den internen Datenschutzbeauftragten bei besonderen Herausforderungen wie z. B. dem erstmaligen Aufbau des Datenschutzmanagements oder bei Datenpannen.

Kleine Betriebe, die keinen Datenschutzbeauftragten brauchen und aus Kostengründen auf externe Beratung verzichten, finden im Internet diverse Hilfestellungen. Vor allem der Niedersächsische Landesdatenschutzbeauftragte veröffentlicht auf seiner Homepage Der Landesbeauftragte für den Datenschutz Niedersachsen einen Katalog von Fragen zur Umsetzung der DSGVO sowie diverse Checklisten, Merkblätter und Orientierungshilfen, die praktische Hinweise zu den einzelnen Themen geben sollen, auch z. B. ein Muster für das Verzeichnis der Verarbeitungstätigkeiten, Formulierungshilfen für die Auftragsdatenverarbeitungsvereinbarung oder Vorlagen für die Beschilderung von Videoüberwachung. Vorteil dieser Hilfen ist, dass sie direkt von der Aufsichtsbehörde kommen, ihre Umsetzung also stark entlastende Wirkung haben dürfte, wenn es tatsächlich zu einem Verfahren kommen sollte.

Auch auf der IHK-Internetseite finden Sie weitere Informationen zu einzelnen Datenschutz-Themen. Mit diesen Mitteln und etwas Zeit kann jede Unternehmerin und jeder Unternehmer ein Grundgerüst an Datenschutzmaßnahmen für ihren/seinen Betrieb errichten und damit das Risiko eines Bußgeldes erheblich reduzieren.

Stand Juli 2024