Datenschutz im Unternehmen


In Deutschland ist das Datenschutzrecht in einer Vielzahl von Gesetzen geregelt. Für Unternehmen ist in erster Linie die Datenschutzgrundverordnung (DSGVO) von Bedeutung. Sie ist die zentrale Rechtsquelle für den Schutz personenbezogener Daten und wird durch das Bundesdatenschutzgesetz (BDSG-neu) sowie die jeweiligen Landesdatenschutzgesetze ergänzt. Der folgende Artikel liefert einen Überblick über die für Unternehmen relevanten Regelungen zum Datenschutz und erklärt, was es zu beachten gibt.

Relevanz des Datenschutzes

Datenschutz beschreibt allgemein gesagt den Schutz von personenbezogenen Daten. Er schützt also die Rechte einer Person in Bezug auf ihre Daten. Es gibt verschiedene Gründe, warum sich Unternehmen unbedingt mit dem Thema Datenschutz auseinandersetzen sollten.

  1. Gesetzliche Vorgaben
    Europaweit ist der Datenschutz in Unternehmen vorgeschrieben. In Deutschland gilt zusätzlich das Bundesdatenschutzgesetz, an dass sich jedes Unternehmen halten muss.
  2. Recht auf informationelle Selbstbestimmung
    Die DSGVO und das BDSG schützen das Recht auf informationelle Selbstbestimmung, welches im Grundgesetz verankert ist. Jeder Bürger hat das Recht, selbst über die Verwendung seiner personenbezogenen Daten zu entscheiden.
  3. Kundenanforderungen
    Kunden erwarten, dass ihre Daten im Unternehmen sicher sind und nach geltendem Recht verarbeitet werden. Verstöße gegen Gesetze, werden immer häufiger angezeigt.
  4. Haftungsreduktion
    Wenn Unternehmen die rechtlichen Vorschriften zum Datenschutz nicht einhalten, können hohe Geldstrafen die Folge sein. Datenpannen haben zudem negative Auswirkungen auf das Image des Unternehmens.
  5. Organisations- und Mitarbeiterschutz
    Wenn Mitarbeiter für die Anforderungen des Datenschutzes sensibilisiert werden, können Schwachstellen im Unternehmen früher entdeckt und beseitigt werden.

Rechtliche Grundlagen für Unternehmen

Die DSGVO

Die DSGVO (Datenschutzgrundverordnung) verpflichtet jedes in der EU tätige Unternehmen zum Datenschutz. Sie regelt den Umgang von Unternehmen mit personenbezogenen Daten. Zudem müssen Unternehmen jederzeit in der Lage sein, die Rechtmäßigkeit ihrer Datenverarbeitungstätigkeit gegenüber einer Aufsichtsbehörde nachzuweisen. Die DSGVO regelt auch, in welchen Fällen Daten ohne die Einwilligung der betroffenen Person genutzt werden dürfen. Eine solche Einwilligung ist in vielen Fällen erforderlich.

Das BDSG

Das Bundesdatenschutzgesetz (BDSG) ist ein Gesetz der Bundesrepublik Deutschland zur Regelung der Herrschaftsrechte an personenbezogenen Daten. Es ergänzt die Regelungen der DSGVO für Unternehmen in Deutschland. Dabei hat die DSGVO immer rechtlichen Vortritt, das BDSG darf ihr nicht widersprechen, sondern sie nur erweitern. Wie auch die DSGVO schützt das BDSG in erster Linie personenbezogene Daten. Damit soll das Recht auf informationelle Selbstbestimmung, welches in Deutschland auf dem allgemeinen Persönlichkeitsrecht in Verbindung mit dem Schutz der Menschenwürde basiert, gewahrt werden. Das Recht auf informationelle Selbstbestimmung räumt jedem Einzelnen ein, selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

Personenbezogene Daten

Als personenbezogene Daten werden alle Informationen bezeichnet, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es muss also möglich sein, zwischen den Informationen und der dazugehörigen Person eine Verbindung herzustellen. Diese kann unmittelbar sein, beispielsweise wenn der Name, die Anschrift oder das Geburtsdatum gegeben ist. Sie kann aber durch Zusatzwissen auch mittelbar sein, beispielsweise wenn Telefon-, Matrikel- und Sozialversicherungsnummer oder Online-Kennungen wie IP-Adressen und Cookie-Kennungen bekannt sind. Es ist dabei ausreichend, dass die betroffene Person mit den Informationen theoretisch identifiziert werden kann, es kommt nicht darauf an, ob die Person tatsächlich identifiziert wurde.
Wichtig ist auch, dass sich die Informationen auf einen lebenden Menschen beziehen. Angaben über juristische Personen, wie Kapitalgesellschaften oder eingetragene Vereine, sind demnach erst einmal keine Personenbezogenen Daten. Es gibt Kategorien von personenbezogenen Daten, die besonders geschützt werden müssen. Dazu gehören zum Beispiel Gesundheitsdaten, Daten über die ethnische Herkunft sowie religiöse oder weltanschauliche Überzeugungen.

Datenschutz vs. Datensicherheit

Auch wenn Datenschutz und Datensicherheit inhaltlich nah beieinander liegen, unterscheiden sie sich in einigen Zielen und Vorgängen. Eine einheitliche Definition der beiden Bereiche gibt es nicht, dennoch sollten Unternehmen die Gemeinsamkeiten und Unterschiede in ihren Grundzügen kennen. Nur dann lassen sich beide Prozesse vernünftig im Unternehmen implementieren.

Datenschutz

Beim Datenschutz geht es um den Schutz personenbezogener Daten. Der Schwerpunkt liegt nicht auf dem eigentlichen Inhalt der Daten, sondern vielmehr auf dem Recht der informationellen Selbstbestimmung. Es geht also um die Frage, unter welchen Voraussetzungen personenbezogene Daten erhoben, verarbeitet oder genutzt werden dürfen.

Datensicherheit

Die Datensicherheit befasst sich hingegen mit dem generellen Schutz von Daten. Dabei ist es unerheblich, ob ein Personenbezug besteht oder nicht. Unter die Datensicherheit fallen somit sämtliche Daten eines Unternehmens. Dabei geht es um die Frage, welche Maßnahmen ergriffen werden müssen, damit der Schutz von Daten gewährleistet werden kann. Datensicherheit ist damit ein Zustand, der durch geeignete Maßnahmen erreicht werden soll.

Zusammenspiel von Datenschutz und Datensicherheit

Datenschutz und Datensicherheit gehen in einem Unternehmen Hand in Hand. Ohne Maßnahmen zur Datensicherheit, ist Datenschutz nicht möglich und gleichzeitig ist Datenschutz wichtig, um die Datensicherheit zu gewährleisten. Allerdings kann der Datenschutz der Datensicherheit auch im Weg stehen. Aus Sicht der Datensicherheit mag es sinnvoll sein, Daten als Backup in einer Cloud zu speichern. Im Falle des Verlusts der Daten auf der Festplatt, können sie dank der Cloud wiederhergestellt werden. Allerdings ist das Abspeichern in der Cloud aus Sicht des Datenschutzes problematisch. Es handelt sich dabei um eine Übermittlung, für die eine Rechtsgrundlage oder eine eindeutige Einwilligung vorliegen muss. Zudem muss bei einem Zugriff durch beispielsweise IT-Mitarbeiter ein Auftragsdatenverarbeitungsvertrag geschlossen werden. Maßnahmen für den Datenschutz und die Datensicherheit müssen also gut aufeinander abgestimmt werden, denn es ist sehr wichtig, dass Unternehmen beides umsetzen.

Technische und organisatorische Maßnahmen (TOM) für Datenschutz im Unternehmen

Laut DSGVO müssen Unternehmen, wenn sie personenbezogene Daten verarbeiten, „geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Technische Maßnahmen

Technische Maßnahmen beziehen sich nicht auf den Vorgang der Datenverarbeitung als solches. Vielmehr sind damit Maßnahmen gemeint, die sich physisch treffen lassen, um die relevanten Daten zu Schützen. Das kann beispielsweise die Installation einer Alarmanlage sein, die verhindert, dass Unbefugte Zutritt zu einem Gebäude erhalten.

Organisatorische Maßnahmen

Organisatorische Maßnahmen beziehen sich hingegen auf die Rahmenbedingungen des Datenverarbeitungsvorgangs. Es werden Vorgaben und Handlungsanweisungen definiert, die dazu dienen, dass Mitarbeiter den Datenschutz einhalten.

Die DSGVO beschreibt jedoch keine konkreten Handlungsanweisungen, sondern gibt lediglich Datenschutzziele vor, die eingehalten werden müssen. Welche technisch organisatorischen Maßnahmen Unternehmen letztendlich umsetzen, bleibt ihnen selbst überlassen. Hier kann ein Blick in das BDSG helfen. Das Bundesdatenschutzgesetz benennt konkret folgende Bereiche, die beachtet werden sollten:

  • Zutrittskontrolle: Der physische Zutritt zu Datenverarbeitungsanlagen wie einem Serverraum muss durch Zutrittskontrolle verhindert werden. Mögliche Mittel sind elektronische Zugangssysteme oder Pförtner.
  • Zugangskontrolle: Dritte dürfen auch keinen digitalen Zugriff auf Datenverarbeitungsanlagen erhalten. Dies kann durch Verschlüsselungen, Mehr-Faktor-Authentifizierungen oder strenge Passwortverfahren erfolgen.
  • Zugriffskontrolle: Durch strenge Berechtigungskonzepte wird sichergestellt, dass unbefugte Dritte keinen Schreib- oder Lesezugang zu sensiblen Daten erhalten. Auch die Möglichkeit, Daten unbefugt zu kopieren oder zu löschen darf nicht gegeben sein.
  • Weitergabekontrolle: Durch ausreichende Verschlüsselungen wird verhindert, dass sensible Daten unbefugten Dritten auch dann nicht offengelegt werden, wenn diese z.B. gerade übertragen werden. Hier dürfen unberechtigte Dritte ebenfalls weder die Möglichkeit zum Lesen, Verändern, Kopieren oder Löschen der Daten erhalten.
  • Eingabekontrolle: Protokollierungssysteme erfassen jeden Zugriff auf personenbezogene Daten und ermöglichen jede Änderung oder Löschung nachzuvollziehen.
  • Auftragskontrolle: AV-Verträge regeln die Datenverarbeitung durch auf diese Weise befugte Dritte den Regelungen des Auftraggebers entsprechend.
  • Verfügbarkeitskontrolle: Firewalls und Backups sind nur zwei der Möglichkeiten, um Daten vor ungewünschten Verlusten und Angriffen zu schützen und zudem zu gewährleisten, dass die Daten im Verlustfall wiederhergestellt werden können.
  • Trennungsgebot: Der Einsatz separater Systeme soll gewährleisten, dass für unterschiedliche Zwecke erhobene Daten nur für den jeweiligen Erhebungszweck verwendet werden.

Checkliste – Datenschutz im Unternehmen umsetzen

Folgende Punkte sollten in Bezug auf den Datenschutz in einem Unternehmen umgesetzt werden:

  1. Datenschutzbeauftragter
    Ein Datenschutzbeauftragter kann sowohl intern als auch extern benannt werden. Vor der Benennung sollte das Unternehmen prüfen, ob laut DSGVO überhaupt die Pflicht zur Ernennung eines Datenschutzbeauftragten besteht, bzw. ob die Ernennung aufgrund der Komplexität des Themas sinnvoll ist. Wenn in einem Unternehmen in der Regel mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter Pflicht. Wenn die Pflicht zur Bestellung eines Datenschutzbeauftragten verletzt wird, können hohe Bußgelder drohen.
  2. Verzeichnis von Verarbeitungstätigkeiten (VVT)
    In einem solchen Verzeichnis werden zum Beispiel Verantwortlichkeiten oder die Zwecke der Verarbeitung von Daten und Löschfristen definiert. Es ist laut DSGVO für jedes Unternehmen Pflicht.
  3. Datenschutzerklärung
    Alle betroffenen Personen müssen mittels einer Datenschutzerklärung über die Datenverarbeitung aufgeklärt werden und ihr zustimmen. Website-Inhaber müssen eine Datenschutzerklärung auf ihrer Website integrieren.
  4. Verpflichtung zur Vertraulichkeit
    Mitarbeiter, die mit personenbezogenen Daten arbeiten, müssen schriftlich zur Geheimhaltung der unternehmensbezogenen Daten verpflichtet werden.
  5. AV-Verträge
    Wenn ein Dienstleister im Auftrag und auf Weisung eines Verantwortlichen personenbezogene Daten verarbeitet, muss in gewissen Fällen ein AV-Vertrag geschlossen werden, welcher Pflichten und Verantwortlichkeiten festlegt.
  6. Technische und organisatorische Maßnahmen
    Ein Konzept zum Umgang mit personenbezogenen Maßnahmen, bestehend aus technischen und organisatorischen Maßnahmen, sollte im Unternehmen umgesetzt werden.
  7. Mitarbeiterschulungen
    Datenschutz ist ein komplexes Thema. Durch Schulungen können Mitarbeiter dafür sensibilisiert werden und lernen den korrekten Umgang mit personenbezogenen Daten.
  8. Datenschutz-Software
    Die Arbeit zur Einhaltung des Datenschutzes kann durch eine Software stark erleichtert werden. Datenschutzrechtliche Verpflichtungen wie VVTs, TOMs oder die Durchführung von Mitarbeiterschulungen können damit einfach in den Arbeitsalltag integriert werden.