Datenschutz in Unternehmen

Das wichtigste Gebot für Datenschutz im Unternehmen ist Datensparsamkeit. Wahlloses Datensammeln ist nicht erlaubt, und es muss stets einen Grund geben sowie eine schriftliche Einwilligung der Betroffenen vorliegen, wenn personenbezogene Daten erhoben werden.

Die Grundlage für Datenschutz in Deutschland ist die Europäische Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG-neu) und die Landesdatenschutzgesetze. Dazu später mehr.

• Schafft Vertrauen:
  Das gesamtgesellschaftliche Verständnis und auch das Bewusstsein Einzelner in Bezug auf Rechte an personenbezogenen Daten steigen. Wer nachweislich einen sicheren Umgang mit Daten pflegt, schafft Vertrauen bei Kunden und anderen Stakeholdern. Wer wiederum nachlässig mit dem Datenschutz umgeht, kann die Reputation seines Unternehmens nachhaltig schädigen.
• Verhindert Cyberkriminalität:
  Die Weitergabe von personenbezogenen Daten kann Cyberkriminalität ermöglichen oder fördern. So kann es zu Datenklau kommen, zu Identitätsdiebstahl oder Erpressung. Auch Spionage durch die Konkurrenz wird dadurch vereinfacht.

Des Weiteren stehen auf Verstöße gegen die DSGVO hohe Strafen: bis zu 20 Millionen Euro oder 4 % des Jahresesumsatz der Organisation.

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Sie betrifft alle Unternehmen, die eine Niederlassung in der EU haben, sowie für Unternehmen, die auf dem europäischen Markt tätig sind und die Daten von EU-Bürgern verarbeiten. In Deutschland wird die DSGVO durch das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze ergänzt. Das Bundesdatenschutzgesetz ist vor allem für Behörden relevant, da die DSGVO hier keine Anwendung findet.

Neben den Statistiken gibt es in Unternehmen auch ganz praktische Herausforderungen bei der Umsetzung, darunter:

• Risikofaktor Mensch:
  Mitarbeitende müssen geschult und ständig auf den laufenden Stand gebracht werden, um Risiken durch menschliches Versagen zu senken und gegen beispielsweise Phishing vorzubeugen.
• Third Party Risiken:
  Gerade KMUs bringt die Überprüfung ihrer internen Datensicherheit häufig schon an Kapazitätsgrenzen, aber dazu müssen sie auch Datensicherheit entlang der Lieferkette und Partnern garantieren.
• Neue Technologien:
  Künstliche Intelligenz, das Internet of Things, Cloud-Dienste – sie versprechen Arbeitserleichterung und Effizienz, aber oftmals ist es schwierig, neue Technologien in Sachen Datenschutz einzuschätzen und zu verwenden.

Grundsätze des Datenschutzes
Zunächst sollte ein Bewusstsein für Datenschutz geschaffen werden. Jeder Mitarbeitende sollte mit den Grundsätzen des Datenschutzes vertraut sein.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz:
Daten dürfen nur auf gesetzlicher Grundlage oder mit Einwilligung verarbeitet werden, dabei müssen betroffene Personen fair und transparent über die Verarbeitung informiert werden.

Zweckbindung:
Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht zweckentfremdet weiterverarbeitet werden.

Datenminimierung:
Es sollen nur die Daten erhoben werden, die tatsächlich für den jeweiligen Zweck erforderlich sind.

Richtigkeit:
Personenbezogene Daten müssen korrekt und aktuell sein; fehlerhafte Daten sind unverzüglich zu berichtigen oder zu löschen.

Speicherbegrenzung:
Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist.

Integrität und Vertraulichkeit:
Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen vor unbefugtem Zugriff und Verlust geschützt werden.

Rechenschaftspflicht:
Verantwortliche Stellen müssen jederzeit nachweisen können, dass sie die Datenschutzgrundsätze einhalten.

Verantwortlichkeiten klären, Mitarbeitende weiterbilden
Datenschutz gehört in vertrauenswürdige Hände, um dort überwacht, vorangebracht, angepasst, dokumentiert und umgesetzt zu werden.

In manchen Fällen ist die Bestellung eines Datenschutzbeauftragten sogar Pflicht, etwa wenn mindestens 20 Mitarbeitende regelmäßig und automatisiert personenbezogene Daten verarbeiten oder wenn besonders sensible Daten, etwa Gesundheitsinformationen, verarbeitet werden. Abgesehen von der Verpflichtung kann ein Datenschutzbeauftragter (DSB) auch bei anderen Unternehmen durchaus Sinn ergeben, da dort alle Datenschutzaktivitäten gebündelt und vorangetrieben werden. Falls im Betrieb interne Ressourcen fehlen, besteht die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen. Der Einsatz ist flexibel, die Kosten planbar und Wissen und Expertise stehen sofort zur Verfügung und müssen nicht erst intern aufgebaut werden. Ein wichtiges Aufgabenfeld eines Datenschutzbeauftragten ist auch die Weiterbildung der Mitarbeitenden. Datenschutz kann nur umgesetzt werden, wenn alle Mitarbeitenden kontinuierlich weitergebildet werden und die Maßnahmen in allen Abteilungen leben. Datenschutz gehört in vertrauenswürdige Hände, um dort überwacht, vorangebracht, angepasst, dokumentiert und umgesetzt zu werden.

Technische und organisatorische Maßnahmen (TOM)
Für die Umsetzung von Datenschutz müssen eine Reihe technische und organisatorische Maßnahmen (kurz TOM) umgesetzt werden.

• Schutz bei der Übertragung
• nur Berechtigte dürfen auf personenbezogene Daten zugreifen
• Schutz vor unbefugtem Zutritt zu Anlagen, die Daten verarbeiten
• Nachvollziehbarkeit, welche Mitarbeitende Zugang zu Daten haben
• Daten dürfen nur nach Weisung des Auftraggebers verarbeitet werden
• Schutz vor Datenvernichtung und Datenverlust
• Getrennte Verarbeitung von Daten für unterschiedliche Zwecke

Verzeichnis für Verarbeitungstätigkeiten VVT
Unternehmen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten in Bezug auf personenbezogene Daten zu führen. Enthalten muss dieses Verzeichnis folgende Informationen:

• Name und Kontaktdaten des Verantwortlichen:
• Kontaktdaten des Datenschutzbeauftragten
• Zwecke der Verarbeitung
• Kategorien betroffener Personen: z. B. Kunden, Mitarbeitende, Lieferanten
• Kategorien personenbezogener Daten: z. B. Kontaktdaten, Bankdaten, Gesundheitsdaten
• Angaben zu möglichen Empfängern oder Kategorien von Empfängern der Daten, z. B. externe Dienstleister oder Behörden
• Falls Daten in Drittländer (außerhalb der EU/EWR) übermittelt werden, Informationen zu den entsprechenden Ländern und den Schutzmaßnahmen (z. B. Standardvertragsklauseln
• Angaben zu den vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
• Eine allgemeine Beschreibung der Maßnahmen zur Sicherstellung der Datensicherheit, wie Verschlüsselung, Zugriffsmanagement oder regelmäßige Sicherheitsaudits

Gap-Analyse
Die Gap-Analyse ist ein wichtiger Schritt im Prozess der Umsetzung der DSGVO. Im Prinzip handelt es sich bei der Gap-Analyse  einen Vergleich zwischen Ist- und Soll-Zustand. Eine Ist-Analyse erfasst unter anderem die

• Feststellung der aktuellen Prozesse und Maßnahmen zur Datenverarbeitung
• Die Analyse der aktuellen technischen und organisatorischen Maßnahmen
• Die Analyse der aktuellen IT-Sicherheit und IT-Compliance Maßnahmen.

Es wird ermittelt, wo Lücken zum Soll-Zustand gefunden werden können und welche Maßnahmen ergriffen werden sollten, um diese Lücken zu schließen.