Datenschutz in Unternehmen DSGVO-konform umsetzen

Welche Datenschutzgesetze gibt es?

Das wichtigste Gesetz für den Schutz von Daten ist die EU-Datenschutz-Grundverordnung (EU-DSGVO). Sie trat 2018 in der EU sowie ihren Mitgliedsstaaten in Kraft. Sie gilt unmittelbar für jeden Bürger der EU. Mit der DSGVO wurde der in der EU-Grundrechtecharta verbriefte Schutz personenbezogener Daten umgesetzt. Nach Art. 8 hat jede Person das Recht auf den Schutz seiner personenbezogenen Daten. Seine Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung oder auf einer gesetzlichen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten. Das beinhaltet auch das Recht, eine Berichtigung der Daten bis hin zur Löschung zu erwirken. Über die Einhaltung dieser Vorschriften wacht eine unabhängige Stelle. In Deutschland sind dies die Datenschutzbehörden der Länder. Die DSGVO wird ergänzt durch das Bundesdatenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze der 16 Bundesländer.

Welche Daten sind besonders schützenswert?

Alle Informationen, mit der Menschen (juristisch: natürliche Personen) identifiziert werden können, sind von der DSGVO geschützt. Dazu zählen neben Vor- und Nachnamen auch Daten, die einer Person mittelbar oder unmittelbar zugeordnet werden können. Dadurch entsteht eine lange Liste von personenbezogenen Daten, die weit über die Wohnadresse oder die Nummer in einem Personalausweis hinausreicht. Denn auch Daten, die Informationen über die gesundheitliche, genetische, psychische sowie physische, wirtschaftliche sowie soziale und kulturelle Identität eines Menschen enthalten, stehen als personenbezogene Daten unter dem Schutz der DSGVO: biometrische Daten wie Fingerabdruck und Iris-Scan, Führerschein, Kfz-Zulassung, Gesundheitskartennummern, Atteste, Kundennummern, Kontodaten, Personalnummern von Mitarbeitern und viele andere Daten mehr. Der Ausdruck “personenbezogene Daten” wird also sehr weit ausgelegt und reicht bis hin zu der Mitgliedschaft in einer Bibliothek. Das bedeutet, dass diese Daten nur verarbeiten darf, wer dazu eine ausdrückliche, schriftliche und jederzeit widerrufbare Einwilligung der Person zur Verarbeitung dieser Daten erhalten hat.

Wie gestalte ich mein Unternehmen datenschutzkonform?

Die Idee des Datenschutzes basiert auf dem Prinzip der „informationellen Selbstbestimmung“ der Menschen. Der Dateninhaber entscheidet, wer über ihn Daten erheben, sammeln, speichern und verarbeiten darf. Daraus ergeben sich für Unternehmen weitreichende Verpflichtungen für die Gestaltung von Datenschutz und Datensicherheit. Sechs Grundsätze müssen Unternehmen dabei beachten:

1. Verbot mit Erlaubnisvorbehalt: Daten zu sammeln. ist verboten. Es sei denn, der Dateninhaber erteilt dafür seine schriftliche Einwilligung.
2. Zweckbindung: Die Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden.
3. Transparenz: Die Verarbeitung muss für den Dateninhaber plausibel, nachvollziehbar und zweckmäßig sein.
4. Datenminimierung: Es dürfen nur die Daten erhoben werden, die für die Zweckerfüllung unbedingt notwendig sind.
5. Richtigkeit: Die Daten müssen richtig erhoben werden.
6. Datensicherheit: Die Daten sind vor dem Zugriff unbefugter Personen nach dem jeweils verfügbaren technischen Stand zu schützen.

Für die Erfüllung dieser Pflichten sollten Sie als datenerhebendes Unternehmen einen Datenschutzbeauftragten benennen und ein Datenschutzmanagementsystem einrichten.

Datenschutz am Arbeitsplatz: Was muss beachtet werden?

Sobald Sie einen Computerarbeitsplatz einrichten, auf dem Sie oder Mitarbeiter mit Daten von Kunden, Kollegen oder Lieferanten arbeiten, verarbeitet Ihr Unternehmen Daten im Sinne der DSGVO. Dafür müssen Sie umfangreiche technische und organisatorische Maßnahmen ergreifen, um die Risiken von Datenschutzverletzungen zu minimieren. Dazu gehören etwa:

1. Datensparsamkeit
2. Pseudonymisierung
3. Verschlüsselung
4. Sicherstellung der Vertraulichkeit und Integrität der Daten bei der Verarbeitung
5. Wiederherstellbarkeit der Daten nach einer technischen Störung

Experten sprechen von „Privacy by Design“. Damit ist gemeint, dass das gesamte Datenverarbeitungssystem am Arbeitsplatz technisch so gestaltet ist, dass es die gesetzlichen Anforderungen erfüllt. Dabei sind aktuell verfügbare Hard- und Software einzusetzen, damit es zu einer Datenschutzverletzung erst gar nicht kommen kann. Ein weiteres Prinzip wird mit „Privacy by Default“ bezeichnet. Die Verarbeitungssysteme sollen so voreingestellt sein, dass es auch bei der Bedienung nicht zu einer Datenschutzverletzung kommen kann. Datensparsamkeit bedeutet eine Minimierung der Daten auf das Notwendige für den jeweiligen Zweck. Zudem sollten nur wenige zugriffsberechtigte Personen mit den Systemen arbeiten und diese sich vor jeder Sitzung authentifizieren. Da Unternehmen sehr viele Aspekte beim Datenschutz beachten, umsetzen und die Einhaltung überwachen müssen, sollten sie ein Datenschutzmanagementsystem einrichten.

Hier lesen Sie mehr über ein Datenschutzmanagementsystem und wie Sie es DSGVO-konform organisieren.

Datenschutz für Kundendaten: Was muss beachtet werden?

Neben diesen Regeln für die Verarbeitung müssen Sie bei der Erhebung von Daten einige Grundsätze beachten. Vor der Datenerhebung müssen Sie die Dateninhaber informieren, welche Daten Sie zu welchem Zweck speichern und verarbeiten, wie dies erfolgt und wann es endet. Der Dateninhaber muss in die Datenverarbeitung einwilligen. Idealerweise erfolgt dies schriftlich. Bei Online-Verfahren muss der Nutzer zu jeder Nutzung seiner Daten aktiv zustimmen. Dies kann er durch einen Klick auf eine Checkbox einzeln tun. Unternehmen mit mehr als 250 Mitarbeitern müssen nach der DSGVO einen Datenschutzbeauftragten benennen. Darüber hinaus müssen Unternehmen mit mehr als neun Mitarbeitern einen Datenschutzbeauftragten bestellen, wenn sie regelmäßig mit automatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigt sind. Alternativ können sie diese Aufgabe an einen externen Datenschutzbeauftragten als Dienstleistung übertragen.

Hier lesen Sie mehr über die Aufgaben eines Datenschutzbeauftragten und wie Sie Memex Consulting dabei unterstützt.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Die Datenschutz-Folgenabschätzung ist gemäß §35 DSGVO ein Prozess, in dem Unternehmen die Risiken einer Datenschutzverletzung durch ihr Datenschutzmanagementsystem ermitteln. Sie ist von Unternehmen vorzunehmen, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Die DSFA ist eine Vorabkontrolle, die auf der Grundlage einer Prüfliste der zuständigen Datenschutzbehörde erfolgen muss. Sie ist der Behörde vorzulegen, die ihrerseits zur Kontrolle berechtigt ist.

Gibt es eine Zertifizierung im Datenschutz?

Es bestehen zwei Verfahren, mit dem Unternehmen ihren Datenschutz zertifizieren lassen können: Es gibt die Zertifizierung nach den Regeln der DSGVO sowie eine nach der ISO EN DIN 27001. Beide Zertifizierungen dürfen nur externe sowie von den Aufsichtsbehörden akkreditierte Prüforganisationen erteilen. Sie prüfen anhand von eingereichten Dokumenten sowie vor Ort in einem Unternehmen, ob die Regeln der DSGVO beziehungsweise der ISO-Norm eingehalten werden.

Datenschutz: Wie hoch sind Aufwand und Kosten?

Datenschutz ist idealerweise in das Geschäftsmodell eines Unternehmens integriert. Nach Einführung der DSGVO sollten allerdings viele ihren Datenschutz mit einem regelkonformen Datenschutzmanagementsystem verstärken. Der Aufwand dafür ist abhängig von der Unternehmensgröße sowie den Risiken, die durch die Datenverarbeitung entstehen.

Sie wollen wissen, wie Sie in Ihrem Unternehmen ein DSGVO-konformes Datenschutzmanagementsystem errichten können? Memex Consulting GmbH aus München sorgt als TÜV-zertifizierter externer Datenschutzbeauftragter für einen rechtssicheren Datenschutz in Ihrem Unternehmen!