Typische Datenverarbeitungen im Unternehmen – welche Daten dürfen verarbeitet werden, wie sind sie zu schützen

Für alle drei Gruppen gilt natürlich, dass das Unternehmen alle Daten speichern darf – auch ohne Einwilligung, die es zur Erfüllung der Verträge und zur ordnungsgemäßen Buchführung braucht. Dazu gehören Namen, Adressen, Bankverbindungen, Verträge etc. Kundendaten Die Basisdaten der Kunden und Lieferanten sind unproblematisch, solange sie nur zur Abwicklung der Verträge und für die Buchführung genutzt werden. Natürlich darf man auch das Kaufverhalten analysieren, um danach das eigene Leistungsangebot auszurichten. Auch Angaben zum Zahlungsverhalten etc. sind innerhalb eines Unternehmens kein Problem. Je nach Branche können die Daten aber auch sensible Angaben enthalten, z. B. über Krankheiten. Dann ist besonders sorgfältig damit umzugehen.

Sondervorschriften greifen dann, wenn das Unternehmen die Kundendaten für gezielte Werbung nutzen will. Nicht nur das Gesetz gegen den unlauteren Wettbewerb (UWG), sondern auch das Datenschutzrecht enthält komplizierte Spielregeln für die Direktwerbung. Per E-Mail oder Telefon darf – zumindest bei Privatkunden – nur dann geworben werden, wenn der Umworbene in diese Werbung eingewilligt hat. Hat der Kunde bei einer früheren Bestellung seine Telekommunikationsdaten »nur so« angegeben, reicht das als Einwilligung nicht aus! Per Briefpost darf ein Unternehmen im Rahmen seines berechtigten Interesses aber weiterhin seine Bestandskunden über besondere Angebote informieren, Kataloge zusenden etc., solange der Kunde der Werbung nicht widerspricht. Auch Weihnachtsgrüße sind weiterhin zulässig. Ausführliche Informationen zur Werbung mit personenbezogenen Daten finden Sie hier.

Auch über die Mitarbeiter dürfen natürlich alle Daten erhoben, verarbeitet und genutzt werden, die und soweit sie für Zwecke des Beschäftigungsverhältnisses, inkl. Bewerbungsverfahren, erforderlich sind. Nicht erlaubt ist dagegen das umfassende Ausforschen. So dürfen etwa krankheitsbedingte Fehlzeiten zwar systematisch erfasst werden, nicht dagegen die Art der Erkrankung oder sonstige Gesundheitsdaten. Auch verlangt der Datenschutz für die Ausforschung zur Aufdeckung von Straftaten konkrete Verdachtsmomente. Auch Videoüberwachung ist nur sehr eingeschränkt zulässig. Beim Arbeitnehmerdatenschutz wird immer wieder mal eine detailliertere gesetzliche Regelung auf Dauer angestrebt, es gibt zurzeit aber weder aktuelle Entwürfe noch einen Zeitplan.

Wenn Daten einmal erhoben und gespeichert sind, müssen sie so aufbewahrt werden, dass sie vor Missbrauch und vor Verarbeitungsfehlern geschützt sind. Dabei geht es um technische und organisatorische Maßnahmen der Datensicherheit, die auch von kleinen Unternehmen mit geringen Mitteln umgesetzt werden können. Hier ein paar Beispiele: Ein Aspekt ist die Zugangs- und Zugriffskontrolle: Je weniger Leute Zugang zu Daten haben, desto geringer ist das Risiko, dass Daten in die falschen Hände gelangen. Geachtet werden muss z. B. darauf, dass Kunden, Lieferanten und sonstige Besucher keinen zufälligen Einblick in die Daten haben. Oft erhöht es schon die Sicherheit, wenn der Schreibtisch so ausgerichtet wird, dass Unbefugte keinen direkten Blick auf den Bildschirm haben, genauso sollte beim Verlassen des Arbeitsplatzes ein Bildschirmschoner mit Passwortschutz aktiviert werden. Gerade in Buchhaltung und Personalbüro ist darauf zu achten, dass auch die Kollegen aus anderen Abteilungen keinen unkontrollierten Zutritt haben. Unterlagen dürfen nicht offen herumliegen, Schrankschlüssel müssen auch benutzt werden. So wie die Unternehmenstür gegen Einbrecher verschlossen wird, muss die EDV-Anlage durch eine Firewall vor Hackern geschützt werden. Bei der Kommunikation ist auf Diskretion zu achten, und zwar nicht nur beim Telefonieren. E-Mails sind im Netz fast so offen wie Postkarten – sensible Daten haben darin also nichts verloren, Verschlüsselung ist ratsam. Nicht zuletzt ist der Papiermüll ein gerne übersehenes Datenleck. Er sollte entweder im Haus selbst geschreddert oder professionell entsorgt werden.

Stand Juli 2024