Dass der Datenschutz für Unternehmen heutzutage einen derart großen Stellenwert einnimmt, liegt u.a. an der Globalisierung: Schließlich können über das Internet Informationen innerhalb von Sekunden um die ganze Welt reisen. Damit Verbraucher und Bürger dem nicht schutzlos ausgeliefert sind, ist die korrekte Umsetzung von Datenschutz in den Unternehmen von großer Wichtigkeit.
Der Datenschutz wurde 2018 auf ein neues Fundament gestellt, denn seit dem 25. Mai 2018 gelten die Vorschriften der Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedstaaten. Denn während die nationalen Datenschutzgesetze bis zum Inkrafttreten große Differenzen aufwiesen, führt die Verordnung zu einer weitgehenden Harmonisierung des Datenschutzrechts auf europäischer Ebene, was diese Verordnung u.a. so wichtig macht.
Ziel der Datenschutz-Grundverordnung ist es, einen einheitlichen Rechtsrahmen für die Verarbeitung und Speicherung personenbezogener Daten zu schaffen. Jeder Betroffene kann sich auf ihre Vorschriften berufen und die Verpflichteten – wie Behörden und Unternehmen – müssen sich an die Vorgaben aus der DSGVO halten. In Deutschland wird die DSGVO durch das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze ergänzt.
Durch die Vielzahl von Datenschutzgesetzen ist es für Unternehmen von großer Bedeutung, die einzelnen Gesetze und Verpflichtungen zur Datensicherheit genau zu kennen.
Inhalte der DSGVO
Die DSGVO verpflichtet jedes in der EU tätige Unternehmen zum Datenschutz. Sie ist europaweit die wichtigste aller Datenschutzbestimmungen, ihre Umsetzung müssen die Unternehmen durch geeignete Maßnahmen unbedingt beachten. In ihrer ursprünglichen Ausführung wurde sie bereits mehrmals neu gefasst und modifiziert. Sie setzt die EU-Datenschutzrichtlinie (RL 95/46/EG) um und regelt umfassend die Verarbeitung personenbezogener Daten.
Als personenbezogene Daten gelten all jene Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person zurückführen lassen. Hierzu zählen u.a. der Vor- und Nachname, das Geschlecht, der Beruf, der Familienstand oder die Kinderanzahl. Kurz gesagt handelt es sich also um Daten, die eine natürliche Person beschreiben oder dabei herangezogen werden können, um diese zu identifizieren. Auch Ethnie, politische Meinung, Religiosität, Weltanschauung, Gewerkschaftszugehörigkeit, Informationen zum Gesundheitszustand sowie Informationen zur Sexualität oder die IP-Adresse zählen zu den personenbezogenen Daten.
Verarbeitungen personenbezogener Daten sind nur bei Vorliegen einer Rechtsgrundlage aus Artikel 6 DSGVO gerechtfertigt. Das bedeutet, dass Unternehmen verpflichtet sind, Daten betroffener Personen – also z.B. von Mitarbeitern, Kunden und Geschäftspartnern – zu schützen und dafür besondere Maßnahmen zu ergreifen, um Sanktionen, in Form von hohen Bußgeldern, zu entgehen. Die DSGVO bringt dadurch für Unternehmen datenschutzrechtliche Neuerungen und erhöhte Anforderungen an den Datenschutz mit sich.
Die Verarbeitung personenbezogener Daten ist also grundsätzlich verboten und ausnahmsweise nur dann gestattet, wenn die Voraussetzungen einer der Erlaubnisnormen der DSGVO greift. Personenbezogene Daten dürfen deshalb nur nach Treu und Glauben für festgelegte Zwecke und mit der Einwilligung des Betroffenen oder auf gesetzlicher Grundlage verarbeitet werden. Nach Artikel 8 der Grundrechtecharta hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Außerdem sind das Recht auf Auskunft und das Recht auf Berichtigung geregelt. Seit dem 25. Mai 2018 müssen Unternehmen zudem jederzeit in der Lage sein, die Rechtmäßigkeit ihrer Datenverarbeitungstätigkeiten gegenüber Aufsichtsbehörden nachzuweisen.
Bedeutung des Datenschutzes für Unternehmen
Der Datenschutz und die daraus resultierenden Pflichten stellen Unternehmen mitunter vor Herausforderungen. Denn ein gewinnorientiertes Arbeiten ist auf ein Mindestmaß an Daten angewiesen, dabei muss aber das Recht auf informelle Selbstbestimmung und somit den Personenschutz gewahrt werden.
Für Unternehmer bedeutet dies: Wer Daten in irgendeiner Form erhebt, der muss diese auch korrekt handhaben. Diese Richtlinien gelten allumfassend für den Datenschutz im Unternehmen, in Firmen, in Betrieben, kurz gesagt: in allen privatwirtschaftlichen Arbeitsplätzen. Unternehmen werden in der Regel nicht darüber aufgeklärt, wie sie Daten genau zu organisieren und zu schützen haben.
Gleichwohl die Richtlinien hauptsächlich den Schutz natürlicher Personen gewährleisten sollen, kann der Datenschutz auch für Unternehmen von hohem wirtschaftlichem Vorteil sein. Denn neben dem geregelten Umgang mit personenbezogenen Daten soll Datenschutz im Unternehmen auch möglicher Konkurrenten- und Wirtschaftsspionage vorbeugen.
Die Maßnahmen zum Datenschutz im Unternehmen sind umfangreich und bedürfen neben einer klaren Planung auch einer regelmäßigen Kontrolle und Instandhaltung.
In vielen Unternehmen spielt der Datenschutz auch heute noch eine eher untergeordnete Rolle. Die EU-DSGVO macht jedoch auch nicht vor kleinen und mittelständischen Unternehmen (KMU) halt. Ungeachtet der Größe und der jährlichen Umsätze stehen alle Unternehmen in der Pflicht, umfangreiche Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen und den betroffenen Personen mehr Kontrolle über ihre persönlichen Daten zu gewähren. Dies gilt nicht nur für Online-Shops, sondern ausnahmslos für jedes Unternehmen – egal ob es im Internet aktiv ist oder nicht. Der korrekte Umgang und die Rechtmäßigkeit der abgefragten Daten müssen im Fall einer Prüfung durch die zuständige Aufsichtsbehörde lückenlos nachgewiesen werden können.
Zum einen zielt der Datenschutz auf die Bewahrung der Grundrechte auf Privatsphäre und informationelle Selbstbestimmung einer jeden natürlichen Person ab – darunter fallen insbesondere auch die eigenen Mitarbeiter. Verstöße können hier dem Unternehmen teuer zu stehen kommen. Mit Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) können Bußgelder in Höhe von 20 Millionen Euro oder vier Prozent des weltweiten Firmenumsatzes drohen. Auch eine Freiheitsstrafe von bis zu drei Jahren ist möglich. Außerdem droht ein erheblicher Imageverlust bei den Kunden. Gerade für kleine und mittlere Unternehmen ist oft jeder einzelne Kunde existenzsichernd. Das Unternehmen kann also dank nachweislicher erhöhter Datensicherheit – nicht nur personenbezogene Daten betreffend – das Vertrauen seiner Kunden und Verbraucher stärken. Der Datenschutz kostet damit nicht nur Geld, sondern kann am Ende auch selbst zur Geldquelle werden.
Möchte man einen vertrauensvollen und professionellen Umgang mit seinen Kunden pflegen, ist deshalb die Organisation, Einhaltung und Umsetzung der Datenschutzbestimmungen aus der DSGVO und dem neuen Bundesdatenschutzgesetz von höchster Bedeutung.
Wann ein Datenschutzbeauftragter sinnvoll ist
Aus diesen Gründen kann es für Unternehmen sinnvoll sein, einen Datenschutzbeauftragten zu beschäftigten, um sich vor Haftung und Schaden zu bewahren. Dieser kümmert sich um Datenschutz im Unternehmen. Ihm obliegt die Gewährleistung eines DSGVO-konformen Umgangs, also der Einhaltung relevanter Datenschutzvorschriften im Umgang mit personenbezogenen Daten. Er selbst kümmert sich jedoch nicht im Alleingang um den innerbetrieblichen Datenschutz. Der Datenschutz ist eine Aufgabe für die gesamte Organisation. Der Datenschutzbeauftragte überwacht dabei die Einhaltung der datenschutzrelevanten Gesetze und führt Schulungen der Mitarbeiter durch, begleitet notwendige Datenschutzfolge-Abschätzungen und untersucht Datenschutzverstöße im Unternehmen. Der Datenschutzbeauftragte ist zusätzlich der Ansprechpartner nur für die Mitarbeiter, Kunden, Lieferanten und Interessenten sowie für die Datenschutzaufsichtsbehörden. Gemäß der EU-DSGVO ist es jedem Unternehmen freigestellt, einen Datenschutzbeauftragten aus den eigenen Reihen zu benennen oder aber einen fachkundigen externen Datenschutzbeauftragten zu bestellen. Verpflichtend ist der Datenschutzbeauftragte, wenn in einem Unternehmen 20 Mitarbeiter und mehr regelmäßig mit der Datenverarbeitung von personenbezogenen Daten betraut sind. Auch der Detailgrad des Datenumfangs spielt eine Rolle, außerdem ist ein Datenschutzbeauftragter Pflicht, wenn die Verarbeitung oder Nutzung personenbezogener Daten zum Kerngeschäft des Unternehmens gehört. In jedem Fall ist ein interner oder externer Datenschutzbeauftragter für Unternehmen eine sinnvolle Investition, um sich mit dessen Expertise gegen mögliche Risiken abzusichern.
Teilen: