Datenschutz im Unternehmen: Was Sie wissen müssen
Die DSGVO, die 2018 in Kraft getreten ist, stellt Unternehmen innerhalb der Europäischen Union bis heute vor Herausforderungen. Nicht nur, dass es in vielen Unternehmen an einer umfassenden Datenschutz-Compliance fehlt, auch die Umsetzung einzelner Regelungen wirft in der Praxis viele Fragen auf.
Es ist aber ein Trugschluss zu glauben, über DSGVO-Verstösse könnte man hinwegsehen. Vielmehr drohen umsatzbezogene Strafen in Millionenhöhe. Doch wie lässt sich der Datenschutz im Unternehmen umsetzen? Und welche Pflichten müssen Unternehmen dabei erfüllen? In diesem Artikel erfahren Sie mehr.
Sie benötigen Unterstützung oder haben Rückfragen zum Thema Datenschutz? Unser Team besteht aus Experten aus den Bereichen Datenschutzrecht, IT und Sicherheit. Gerne unterstützen wir Sie in einem unverbindlichen persönlichen Gespräch bei offenen Fragen rund um den Datenschutz.
Das Wichtigste in Kürze
- Neben Vorgaben zur Datenschutzerklärung, Datenschutzbeauftragten, Umgang mit Mitarbeiterdaten und Auskunftspflichten enthält die DSGVO auch viele weitere gesetzlichen Regelungen zur Organisation der Datenverarbeitung.
- Seit Einführung der DSGVO 2018 können Verstösse gegen den betrieblichen Datenschutz Unternehmen bis zu 20 Millionen Euro Bussgeld oder 2-4 % des Jahresumsatzes kosten. Grund genug, sich genauer mit den Pflichten der DSGVO zu beschäftigen.
- Die Einhaltung der Datenschutzregeln bedeuten zwar einen hohen Aufwand, dennoch sollte sie auch immer als Chance gesehen werden. Denn neben der Vermeidung von hohen Bussgeldern kann ein guter Datenschutz auch das Image verbessern, Vertrauen der Kunden stärken und Kaufentscheidungen positiv beeinflussen. Zudem führen Datenschutzreviews auch zu Prozessverbesserungen.
Warum Datenschutz für Unternehmen essenziell ist
Es ist nicht von der Hand zu weisen, dass die Umsetzung der datenschutzrechtlichen Bestimmungen langfristige Arbeit bedeuten. Viele Unternehmen sehen deshalb in den Vorgaben der DSGVO nur eine weitere Last, die ihnen auferlegt wird und vor allem eins bedeutet: Aufwand. Neben der gesetzlichen Verpflichtung gibt es jedoch auch einige Vorteile, die die DSGVO und ihre Pflichten mit sich bringen.
Vertrauen aufbauen und Wettbewerbsvorteil sichern
Wir sind in einem Zeitalter angekommen, in dem Datenmissbrauch und Hacker-Angriffe schon lange keine Seltenheit mehr darstellen. Unternehmen, die viel Wert auf Datensicherheit legen und damit ihre Kunden und Geschäftspartner schützen, können das Vertrauen der Öffentlichkeit gewinnen bzw. erhalten.
So können sie nicht nur bestehende Kunden und Partner an sich binden, sondern auch neue dazugewinnen und sich von Konkurrenten abheben. Aber auch die Angestellten entwickeln ein besseres Gefühl für Risiken bei ihrer Arbeit und gehen sorgsamer mit ihnen anvertrauten Daten um, wenn sie ausreichend geschult und aufgeklärt werden.
Für Datenschutzthemen sensibilieren
Darüber hinaus "zwingt" die DSGVO Unternehmen dazu, sich ihre Abläufe und Strukturen noch einmal genau anzusehen und zu überdenken. Dabei fällt nicht nur auf, an welcher Stelle Risiken in Bezug auf Datenschutz bestehen, sondern auch, welche Arbeitsschritte vielleicht überholt und veraltet sind und wo Vorgänge vereinfacht werden können.
Wer einmal alle Unternehmensabläufe genau unter die Lupe nimmt, kann sein Unternehmen modernisieren und einmal kräftig „entrümpeln“, sprich zukunftssicher gestalten.
Betrachten Sie den aktuellen Wandel als eine Chance, positive Veränderungen in Ihrem Unternehmen herbeizuführen, Prozesse zu vereinheitlichen, alles auf den neuesten Stand zu bringen und die Digitalisierung voranzutreiben.
Was sagt die DSGVO über den Datenschutz in Unternehmen?
Im Jahr 2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft, die einheitliche Regelungen innerhalb der Europäischen Union für den Datenschutz in Unternehmen und Behörden einführen sollte. Die DSGVO löste somit die nationalen gesetzlichen Regelungen ab und schuf viele Neuerungen.
Datenschutz meint vorrangig den Schutz personenbezogener Daten, die nicht der Öffentlichkeit zugänglich sind oder sein dürfen. Personenbezogene Daten sind all jene Informationen, die eine natürliche Person, also einem Menschen, direkt betreffen und Fakten über diese preisgeben. Dazu zählen neben Namen oder Geburtsdaten auch die Religion, Gesundheitsdaten oder dass diese Person in Verbindung mit einem Unternehmen steht, sei es als Kunde, Patient oder Geschäftspartner.
Der Umgang mit diesen Informationen ist immer vom Datenschutz geprägt. Das bedeutet, dass es eine Pflicht gibt, nur das Minimum an personenbezogenen Daten zu erheben und den Zugriff durch Dritte zu verhindern. Es dürfen also grundsätzlich erst einmal nur die Daten erhoben werden, die notwendig sind. Darüber hinaus müssen diese Daten so geschützt werden, dass sie nicht nach aussen dringen können.
In addition, the persons concerned have the right to determine which of their data they wish to disclose and whether this data may be processed or passed on (so-called informational self-determination).
Klartext: Wer in seinem Unternehmen Daten erhebt, speichert oder verarbeitet, muss seine Datenverarbeitung auf eine Rechtsgrundlage stützen und z.B. für die Verarbeitung eine Einwilligung der betroffenen Personen einholen. Ist die Einwilligung erteilt, haben Betroffene das Recht, diese jederzeit zu widerrufen.
Datenschutz und Werbung - wie passt das zusammen?
Gerade beim Thema Werbung sind viele Unternehmen verunsichert, da hier oftmals Kunden direkt über bestimmte Kanäle angesprochen und kontaktiert werden. Das bedeutet in den meisten Fällen auch gleichzeitig eine Datenverarbeitung.
Auch oder gerade weil die DSGVO keine speziellen Regelungen zum Thema Werbemassnahmen vorsieht, ist es aus unserer Sicht wichtig, Unternehmen einige Informationen an die Hand zu geben:
Wahrung berechtigter Interessen
Personenbezogene Daten dürfen zur Schaltung von Werbung nur dann genutzt werden, wenn kein überwiegendes Interesse der betroffenen Person entgegensteht, etwa die informationelle Selbstbestimmung.
Dass Unternehmen ein berechtigtes Interesse an der Datenverarbeitung haben, wird dabei vermutet - schliesslich ist dies für das wirtschaftliche Wachstum wichtig. Allerdings muss im Einzelfall abgewogen werden, welche personenbezogenen Daten verwendet werden und ob der Schutz dieser höher zu gewichten ist als die Werbemassnahme.
Grundsätzlich dürfen Interessenten und Kunden weiterhin mit Direktwerbung kontaktiert werden. Dies muss nach den neuen DSGVO-Regelungen nur strenger dokumentiert und kontrolliert werden. Zudem ist das geltende Wettbewerbsrecht einzuhalten. Dies erfordert in den meisten Fällen eine vorherige Einwilligung.
E-Mails und Telefonate
Hier hat sich durch Einführung der DSGVO nichts verändert, denn die Telefon- oder E-Mail-Akquise ist im Gesetz gegen unlauteren Wettbewerb (UWG) geregelt und sieht vor, dass bei Newslettern, Telefon-Anrufen oder E-Mail-Kontaktaufnahme die Einwilligung des Empfängers erforderlich ist und bleibt.
Newsletter
Für Newsletter ist immer die Einwilligung des Empfängers erforderlich. Darüber hinaus müssen Unternehmen schon bei der Newsletter-Anmeldung darüber informieren, an wen und zu welchem Zweck Daten übermittelt werden.
Dabei reicht meist der Verweis auf die Datenschutzhinweise, die Sie auf Ihrer Website bereitstellen (müssen). Auch muss es immer die Möglichkeit geben, sich von dem Newsletter wieder abzumelden .
Widerspruchsrecht
Jeder Adressat von Werbung hat das Recht, der Zusendung von Werbung jederzeit zu widersprechen. Sobald die betroffene Person ihre Daten angibt, muss zusätzlich zum Hinweis, dass die Daten (auch) zu Werbezwecken genutzt werden, auf das Widerspruchsrecht hingewiesen werden.
Technische und organisatorische Massnahmen
Laut DSGVO müssen Unternehmen durch geeignete technische und organisatorische Massnahmen einen ausreichenden Schutz personenbezogener Daten gewährleisten. Das bedeutet, dass abgewogen werden muss, welche procedures and processing operations mehr oder weniger Risiken bergen und wie hoch dementsprechend der Schutz sein muss.
Mit technischen Massnahmen sind dabei Datenverarbeitungsvorgänge als solche gemeint. Es handelt sich um Massnahmen, die sich physisch umsetzen lassen, etwa das Installieren einer Alarmanlage oder einer Lichtschranke.
Organisatorische Massnahmen sind dagegen die Regeln und Bedingungen einer Datenvereinbarung. Hier sollten Handlungsweisen definiert und Grundsätze aufgestellt werden, die den Mitarbeitern vorgeben, wie der Datenschutz umzusetzen ist.
Obwohl die DSGVO keine Handlungsweisen vorschreibt, beschreibt sie Datenschutzziele, anhand derer sich Unternehmen orientieren können. Wie diese zu erreichen sind, liegt allerdings im Ermessen des Unternehmens.
Entscheidend für die Wahl der Massnahmen ist das bestehende Risiko betroffener Personen und ihre Daten. Je riskanter die Verarbeitung und sensibler die Daten, desto höher müssen die Massnahmen des Datenschutzes und der Datensicherheit sein.
Zu folgenden Punkten müssen Unternehmen eigene Massnahmen treffen:
- Vertraulichkeit
- Verschlüsselung
- Integrität
- Pseudonymisierung
- Verfügbarkeit
- Wiederherstellung von Daten
- Belastbarkeit der Systeme
- Überprüfung, Bewertung und Evaluierung
- Anweisung der Mitarbeiter
Sie müssen nicht alle technischen und organisatorischen Massnahmen umsetzen und jederzeit griffbereit haben. Es handelt sich vielmehr um eine Art Werkzeugkasten, aus dem Sie die passenden Massnahmen auswählen und in Ihre Unternehmensabläufe integrieren.
Dennoch ist es sinnvoll, Datenverarbeitungen mit mehreren Massnahmen zu schützen. So ist Ihr Unternehmen auf der sicheren Seite und schützt sich vor möglichen Vorfällen, die nicht nur Bussgelder in Millionenhöhe, sondern auch Reputationsschäden bedeuten können.
Checkliste: So setzen Sie technische und organisatorische Massnahmen um
-
- Prüfen Sie Verträge auf DSGVO-Konformität.
- Identifizieren Sie alle personenbezogenen Daten, die Sie selbst oder ein Dienstleister verarbeiten.
- Legen Sie ein Verarbeitungsverzeichnis an, in dem auch die Massnahmen dokumentiert werden.
- Analysieren Sie die Risiken der einzelnen Verarbeitung personenbezogener Daten.
- Nutzen Sie bei Bedarf eine Datenschutz-Folgeabschätzung.
- Nehmen Sie bereits bestehende Massnahmen unter die Lupe und überprüfen Sie, ob diese wirksam und ausreichend sind. Orientieren Sie sich dabei am Stand der Technik.
- Ordnen Sie die bestehenden Massnahmen den neuen Kategorien zu (siehe oben) und ergänzen Sie notwendige Massnahmen.
- Bieten Sie Schulungen für Ihre Mitarbeiter an.
Warum braucht es eine Datenschutz-Compliance in Unternehmen?
Compliance meint die Einhaltung aller für Unternehmen relevanten Gesetze und Richtlinien, sei es auf nationaler oder internationaler Ebene. Dazu zählen neben einschlägigen handels- und gesellschaftsrechtlichen Normen auch das Strafrecht oder eben das Datenschutzrecht.
In EU-Staaten ist dabei insbesondere die DSGVO von Belang. Die Compliance erfordert in der Praxis, sich um das gesetzeskonforme Verhalten des Unternehmens in allen Geschäftsbereichen zu kümmern. Dabei ist es zunächst irrelevant, ob es um die arbeitsrechtlichen Vorgaben in der Personalabteilung, der Abrechnungspraxis im Vertrieb oder um abteilungsübergreifende Angelegenheiten geht.
Hingegen meint Datenschutz-Compliance die Einhaltung des Datenschutzrechts im Unternehmen. Zentrales Ziel ist dabei die Vermeidung von Haftungsrisiken. Auch Reputationsschäden sollen durch die Implementierung von Datenschutz-Compliance vermieden werden.
Durch die voranschreitende Digitalisierung and modern Unternehmensprozesse ist eine Compliance-Strategie ohne Berücksichtigung der DSGVO nicht möglich. Benötigt wird daher ein wirksames Managementsystem für die Datenschutz-Compliance, welches nach der Implementierung fortlaufend zu kontrollieren und weiterzuentwickeln ist.
Welche Strafen drohen bei Datenschutz-Verstössen?
Bei Nichteinhaltung drohen sensible Strafen für Unternehmen – bis zu 2-4 % des weltweit erzielten Jahresumsatzes kann die zuständige Aufsichtsbehörde bei Verstössen verhängen. Wird eine solche Strafe verhängt, passiert dies meist in aller Öffentlichkeit. So kann sich eine Sanktionierung durchaus auf das Image eines Unternehmens auswirken und Kunden, Arbeitnehmer und Geschäftspartner dazu bewegen, das Unternehmen zu boykottieren.
Bislang wurden in Deutschland etwa 1.300 Bussgelder verhängt, die mit einer Gesamtsumme von 2.099.520.477 Euro zu Buche schlagen (Stand: Oktober 2022). Dabei machen die 7 höchsten Bussgelder bereits mehr als die Hälfte der Gesamtsumme aus.
Rechnet man diese Verstösse der grössten Unternehmen Deutschlands heraus, ergibt sich im Durchschnitt ein Bussgeld von etwa 400.000 Euro pro Unternehmen. Hinzu kommt, dass der Imageschaden meist jahrelang in den Köpfen der Verbraucher hängen bleibt. Unternehmen sollten daher beim Thema Datenschutz besonders vorsichtig sein und mit Datenschutzexperten zusammenarbeiten, die sie umfassend beraten und unterstützen.
Checkliste: Datenschutz für Unternehmen
Auf alle Pflichten von Unternehmen einzugehen, würde den Rahmen dieses Artikels sprengen. Sie finden auf unserer Seite zu vielen Vorgaben der einzelnen Pflichten umfassende Artikel, die Ihnen genau erläutern, welche Schritte einzuleiten sind.
Im Folgenden haben wir Ihnen eine Checkliste zusammengestellt, die übersichtlich verdeutlichen soll, wo Sie in Ihrem Unternehmen beginnen können:
- Datenschutzbeauftragter: Viele Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu benennen. Externe sowie betriebliche Datenschutzbeauftragte sind für die Einhaltung der DSGVO verantwortlich und übernehmen dabei eine Kontrollfunktion. Der Vorteil eines externen Datenschutzbeauftragten ist, dass dieser bereits speziell geschult und berufserfahren ist.
- Verzeichnis von Verarbeitungstätigkeiten: Führen Sie ein Verzeichnis über alle Verarbeitungstätigkeiten in Ihrem Unternehmen ein. Darin müssen unter anderem neben der Tätigkeit auch die Verantwortlichen und der Zweck der Verarbeitung personenbezogener Daten genannt sein.
- Datenschutzhinweise: Betroffene Personen müssen über die Datenverarbeitung informiert werden. Auf jeder Webseite müssen solche Datenschutzhinweise zu finden sein.
- Vertraulichkeitsverpflichtung: Alle Mitarbeiter müssen schriftlich über die Vertraulichkeit der personenbezogenen Daten und die Geheimhaltungspflichten informiert werden und sich hierzu verpflichten.
- AV-Verträge: Dienstleister, die extern personenbezogene Daten verarbeiten, müssen einen Auftragsverarbeitungsvertrag unterzeichnen.
- Technische und organisatorische Massnahmen: Etablieren Sie ein Konzept mit technischen und organisatorischen Massnahmen in Ihr Unternehmen - und zwar so, dass das Risiko der Datenverarbeitung so gering wie möglich gehalten wird.
- Mitarbeiterschulungen: Schulen Sie die verantwortlichen Mitarbeiter umfassend und regelmässig zu den Pflichten und Arbeitsweisen mit personenbezogenen Daten. Vergessen Sie dabei nicht, freie Mitarbeiter und andere Dienstleister einzubeziehen.
- Notfall-Plan: Bei aller Vorbereitung und Vorsicht kann es immer zu einer Datenschutz-Panne kommen. Erarbeiten Sie ein Konzept, was in einem solchen unerwarteten Fall zu tun ist, wie die betroffenen Personen benachrichtigt werden und wer die zuständige Aufsichtsbehörde informiert. Das alles muss innerhalb von 72 Stunden erfolgen, weshalb es wichtig ist, schon vorher einen Plan auszuarbeiten, der im Notfall automatisch greift.
Fazit
Es ist richtig, dass die Umsetzung der in der DSGVO enthaltenen Regelungen viel Arbeit für die Unternehmen bedeutet. Es sollte aber nicht verkannt werden, dass auch durchaus Chancen und Vorteile aus der DSGVO gezogen werden können.
Aber auch, wenn Sie konkret noch keinen Vorteil und Sinn im Datenschutz finden können, sollten Sie diesen auf keinen Fall vernachlässigen. Die Risiken sollten niemals unterschätzt werden.
Im Idealfall sollten Sie daher vorsorgen, mit Fingerspitzengefühl Risiken erkennen und beseitigen und entsprechende Massnahmen für den bestmöglichen Datenschutz ergreifen. Denn wenn es zu spät ist, droht nicht nur ein Bussgeld, sondern im schlimmsten Fall auch ein Reputationsschaden.