Datenschutz
Der Schutz personenbezogener Daten und die Datensicherheit sind für Unternehmen wichtig. Nicht selten wirft dieses komplexe Thema Fragen auf. Die wesentlichen Regelungen des Datenschutzes sind in der europäischen Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) zu finden. Daneben gibt es zahlreiche datenschutzrechtliche Sondervorschriften, die es zu beachten gilt.
Für Kleinunternehmen hat die Stiftung Datenschutz eine Seite entwickelt, auf welcher die Umsetzung der Anforderungen des Datenschutzes Schritt für Schritt erklärt werden.
FAQs
- Ich habe nur Firmenkunden. Muss ich den Datenschutz trotzdem beachten?
Datenschutz gilt grundsätzlich auch im Geschäftsverkehr mit anderen Unternehmen. Einzelangaben über juristische Personen, wie zum Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten.Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein.In der Regel haben Sie bei Firmenkunden einen Ansprechpartner und erheben z. B. Name, personalisierte E-Mail-Adresse, Funktion im Unternehmen usw. Hierbei handelt es sich wiederum um personenbezogene Daten, da eine natürliche Person identifizierbar ist.
- Gilt das Datenschutzrecht auch bei Dateien, die in Papierform verarbeitet werden?
Ja, die DSGVO unterscheidet nicht zwischen Papier- und elektronischer Verarbeitung. Bei einer papiergebundenen Datenverarbeitung muss aber eine strukturierte Sammlung von personenbezogenen Daten vorhanden sein. Kleine Notizen auf Blöcken oder „Post-it“ Aufkleber fallen also nicht darunter, wenn sie nicht geordnet abgelegt werden.
- Fallen auch außereuropäische Unternehmen unter die DSGVO?
Ja, wenn sie Waren oder Dienstleistungen anbieten oder die Verhaltensweisen ihrer Kunden in Europa zum Beispiel mittels „Profiling“ überwachen, wird die DSGVO angewendet.
- Wann können Daten rechtmäßig verarbeitet werden?
Für die Rechtmäßigkeit gibt es mehrere Rechtsgrundlagen. Im geschäftlichen Verkehr mit Kunden kommen insbesondere vertragliche Vereinbarungen und die Einwilligung in Betracht. Daneben können auch Gesetze eine Verarbeitung rechtfertigen.
- Brauche ich für jede Datenerhebung/-verarbeitung immer eine Einwilligung?
Nein, Sie benötigen für jede Verarbeitung von personenbezogenen Daten eine datenschutzrechtliche Rechtsgrundlage (etwa Vertrag oder Anbahnung eines Vertrags, Einwilligung, Interessenabwägung berechtigtes Interesse). Die Rechtsgrundlage kann in bestimmten Fällen auch eine Einwilligung sein (z. B. Anmeldung zum Bezug eines Newsletters, Geburtstagsliste von Mitarbeitern).Beruht die Datenverarbeitung auf einer vertraglichen Basis, um den Vertrag abzuwickeln, sind Einwilligungen für die Erhebung und Verarbeitung der Daten nicht erforderlich. Aber Vorsicht: Sollen die so erhobenen Daten für andere Zwecke als die Vertragsabwicklung verarbeitet werden (z. B. Verwertung der Daten für eine Studie oder Weitergabe der Daten an Dritte), so bedarf es einer Einwilligung für den neuen Zweck.
- Was bedeutet die Rechenschaftspflicht?
Sie bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze.
- Darf ich die Daten meiner Mitarbeiter verarbeiten?
Die Daten von Bewerberinnen, Bewerbern, Mitarbeitenden und ausgeschiedenen Mitarbeitenden dürfen nach § 26 BDSG zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses verarbeitet werden. Geht eine Datenverarbeitung aber über diesen Zweck hinaus, z. B. die Veröffentlichung von Fotos auf der Firmenhomepage, ist darüber hinaus eine Einwilligung des Mitarbeiters erforderlich. Eine Einwilligung muss immer freiwillig sein. Es dürfen dem Mitarbeitenden bei Verweigerung also keine Nachteile drohen. Die Einwilligung sollte schriftlich eingeholt werden.
- Was ist ein Datenschutzmanagement?
Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept.
- Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Ein solches Verzeichnis ist eine Zusammenfassung von einzelnen Verarbeitungsvorgängen, bei denen personenbezogene Daten entweder automatisiert (=elektronisch) oder zunächst nicht automatisiert (=analog) verarbeitet werden, aber später in ein Dateisystem gespeichert werden sollen. Der Inhalt eines solchen Verzeichnisses ist gesetzlich geregelt.Das Verzeichnis muss wesentliche Angaben zur Verarbeitung beinhalten. Die Zwecke der Verarbeitung, die Beschreibung der betroffenen Datenkategorien und Personen sind aufzulisten. Eine bestimmte Form ist für das Verzeichnis nicht vorgesehen.
- Muss ich auch noch Datensicherheit beachten?
Ja, die DSGVO verknüpft Datenschutz und Datensicherheit. Die personenbezogenen Daten, die in dem Unternehmen verarbeitet werden, müssen auch technisch geschützt werden, indem sog. technisch-organisatorische Maßnahmen getroffen sind. Sie hängen von der Schutzwürdigkeit der Daten und der Intensität der Verarbeitung ab. Aber schon aus eigenem Interesse sollte jedes Unternehmen seine Daten – ob personenbezogen oder nicht – ausreichend gegen Fremdzugriffe schützen. Das betrifft auch den Schutz vor Feuer und Wasser, so dass – verschlüsselte - Sicherungskopien an einem anderen Ort aufbewahrt werden sollten.Das Niveau der Datensicherheit ist abhängig vom Umfang der Datenverarbeitung, der Schutzwürdigkeit der Daten, ob sie online oder offline verarbeitet werden und den Zugriffsmöglichkeiten auf die Daten.
- Was sind die wichtigsten Sofortmaßnahmen zur Umsetzung der DSGVO?
Zweck der DSGVO ist es vor allem, mehr Transparenz über Datenverarbeitungen gegenüber dem Betroffenen zu schaffen und dessen Rechte (u.a. Auskunft über gespeicherte Daten, Berichtigung oder Löschung von Daten) zu stärken. Gegenüber der Landesdatenschutzaufsicht muss das Unternehmen auf Nachfrage nachweisen können, dass es aktiv Maßnahmen zur Einhaltung dieser Prinzipien und zur Sicherung der Datenverarbeitung umsetzt.Es muss ein sog. Verzeichnis von Verarbeitungstätigkeiten mit folgenden Informationen erstellt werden: Die Kontaktdaten des Verantwortlichen (idR das Unternehmen mit dessen Vertreter) und ggf. des Datenschutzbeauftragten (sofern vorhanden), den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien von Empfängern, gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland, die vorgesehene Speicherdauer sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung.Auf den folgenden bsp. ausgewählten Seiten finden Sie weitere Informationen:Unter den folgenden Links gibt es Hinweise für einige spezielle kleine Unternehmen:
- Die Datenschutzerklärung muss sich nach den Informationspflichten aus Artikel 13, 14 DSGVO richten. Hierzu finden Sie ein Beispiel einer Datenschutzerklärung für eine „einfache“ Webseite eines nicht öffentlichen Betreibers.:
- Werden die Daten durch einen Dienstleister im Auftrag des Unternehmens verarbeitet (Beispiele: Daten liegen in der Cloud, Newsletterversand über eine Agentur, Betreuung der Webseite), ist ein entsprechender Vertrag zur Auftragsverarbeitung mit dem Dienstleister zu schließen. Weitere Informationen sowie ein Vertragsmuster finden Sie u.a. hier.
- Werden Daten aufgrund der Einwilligung des Betroffenen verarbeitet, muss diese den Anforderungen der DSGVO entsprechen, das heißt, die Einwilligung muss zweckgebunden erfolgen, freiwillig und aktiv. Ferner muss auf die Möglichkeit des jederzeitigen Widerspruchs hingewiesen werden.
- Eine IT-Sicherheit ist aufzubauen (je nach Größe des Unternehmens im Umfang unterschiedlich)
- Schnelle Reaktionsmechanismen zur Meldung von Datenverstößen an die Aufsicht sind zu schaffen (Datenschutzverletzungen sind binnen 72 Stunden zu melden). Die Aufsichtsbehörden stellen entsprechende Meldeformulare online zur Verfügung.
- Ein Prozess zur Beantwortung von Betroffenenrechten muss vorahnden sein. Die Betroffenenrechte sind das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Löschen von Daten, das Recht auf Datenübertragbarkeit, das Recht einen Widerspruch einzulegen. In allen Fällen sind jeweils die gesetzlichen Voraussetzungen zu prüfen.
- Betriebsvereinbarungen (sofern vorhanden) müssen der DSGVO entsprechen.
- Risikobewertung der einzelnen Verfahren, in welchen personenbezogene Daten verarbeitet werden.
- Sensibilisierung der MitarbeiterInnen
- Gibt es Stolperfallen für Start-ups?
Datenschutzfragen sollten bereits in der Gründungsphase geklärt werden. Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt, kann Datenschutz auch ein Marketingvorteil sein.
- Wann müssen personenbezogene Daten gelöscht werden?
Personenbezogene Daten müssen grundsätzlich gelöscht werden, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind, der Zweck, für den sie erhoben worden sind, also erfüllt ist. Die Löschung darf nicht vor Ablauf gesetzlicher Aufbewahrungsfristen erfolgen, z. B. weil es Handelsbriefe (6 Jahre) sind oder steuerrechtliche Gründe (10 Jahre) eine Aufbewahrung vorschreiben.Grundsätzlich empfiehlt sich für jedes Unternehmen, ein sog. „Löschkonzept“ aufzusetzen. Dies ist zukünftig allein deswegen wichtig, um dem Grundsatz der Datenminimierung nach der DSGVO nachzukommen.
- Benötigt mein Unternehmen einen Datenschutzbeauftragten?
Ja,
- bei Unternehmen, deren Kerntätigkeit in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht
- wenn der Verantwortliche/Auftragsverarbeiter in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (z. B. regelmäßige Kommunikation per E-Mail) oder
- wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen. Das bedeutet, wenn besonders sensible Daten verarbeitet werden, wie zum Beispiel ethische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zur sexuellen Orientierung usw. – dann hat das Unternehmen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.
Das gilt nicht bei einem Versicherungsvermittler, der auch Gesundheitsdaten erhebt, da dies nicht seine Kerntätigkeit ist.
- bei Unternehmen, deren Kerntätigkeit in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht
- Was muss ich bei der Berechnung der Personenanzahl von 20 beachten?
- grundsätzlich sind sämtliche Personen, die mit der entsprechenden Verarbeitung beschäftigt sind, zu berücksichtigen, unabhängig von ihrem arbeitsrechtlichen Status als Arbeitnehmer, freie Mitarbeiter, Auszubildende, Praktikanten etc.
- eine zeitweise und kurzfristige Unter- bzw. Überschreitung der maßgeblichen Personenzahl ist unerheblich; wenn eine Person z. B. nur als Urlaubsvertretung mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt wird, ist diese nicht mitzuzählen, da sie diese Aufgabe nicht regelmäßig ausübt
- unerheblich ist, in welchem Umfang die beschäftigte Person diese Aufgabe wahrnimmt, also ob sie beispielweise als Teilzeitkraft diese Aufgabe ausübt (also in einem geringeren zeitlichen Umfang als eine Vollzeitkraft).
Automatisierte Verarbeitung meint IT-gestützte Datenverarbeitung, wie sie mittels Mainframe, Personal Computern (Desktop und Laptop Computern), aber mittlerweile auch mittels Smartphones, Tablet PCs und anderen mobilen Endgeräten erfolgt.
Der Begriff "ständig“ bedeutet nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann Daten verarbeitet, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (z. B. monatlich) anfällt.
- Was sind die Aufgaben eines Datenschutzbeauftragten?
Zusammengefasst lassen sich drei Bereiche von Pflichtaufgaben einteilen.
- Interne Aufgaben im Unternehmen (Unterrichtung und Beratung der Geschäftsführung und Mitarbeiter in datenschutzrelevanten Fragen; Überwachung der Einhaltung der rechtlichen Vorgaben; Sensibilisierung und Schulung von Mitarbeitern)
- Anlaufstelle im Verhältnis zur Aufsichtsbehörde und Zusammenarbeit mit dieser
- Anlaufstelle für betroffene Personen
- Muss Datenschutz nur beachtet werden, wenn ein betrieblicher Datenschutzbeauftragter bestellt werden muss?
Nein, auch wenn ein betrieblicher Datenschutzbeauftragter nicht bestellt werden muss, ist der Datenschutz einzuhalten. Aufgaben, die klassischerweise dem Datenschutzbeauftragten obliegen, bspw. Unterstützung bei Erstellung des Verarbeitungsverzeichnisses, Schulung von Mitarbeitern, Beratung in datenschutzrelevanten Fragen, muss dann die Geschäftsführung selbst erledigen.
- Kann die IHK einen Datenschutzbeauftragten empfehlen?
Es gibt Vereine und Berufsverbände, die konkrete Kontakte vermitteln können, wie etwa die Gesellschaft für Datenschutz und Datensicherheit e.V. oder der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.Bei der Auswahl eines externen Datenschutzbeauftragten empfiehlt es sich, mehrere Angebote mit Referenzen einzuholen und die Leistungen und Kosten zu vergleichen. Sie sollten für das Angebot vordefinieren, welche Leistungen Sie z. B. pauschal abgedeckt sehen wollen (z. B. Beratung im Standort-Alltag), oder die für die Erstellung/Überprüfung von Dokumenten (Verarbeitungsverzeichnis, Datenschutzerklärung, technisch-organisatorische Maßnahmen) bzw. Überwachung/Einhaltung datenschutzrechtlicher Vorschriften (z. B. Schulungen der Mitarbeiter, Auftragsverarbeitungen) usw. anfallen.Denkbar ist auch ein Kontingent an Beratungsstunden pro Jahr mit einem Pauschalbetrag abdecken zu lassen und Beratungsbedarf darüber hinaus mit einem vorher vereinbarten Stundensatz abrechnen zu lassen.Rechtsanwälte aus dem Bereich Datenschutzrecht finden Sie bei der jeweiligen Rechtsanwaltskammer.
- Was ist eine Datenschutz-Folgenabschätzung?
Eine Datenschutz-Folgenabschätzung ist eine Abschätzung der Folgen einer Datenverarbeitung mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen. Diese ist immer dann durchzuführen, wenn besonders sensible, personenbezogene Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Sie hat den Zweck, rechtzeitig geeignete Maßnahmen ergreifen zu können, um das Risiko eines Schadens bei den Betroffenen zu minimieren.
- Was bedeutet Auftragsverarbeitung (AV)?
Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung auch dann verantwortlich, wenn er dazu einen externen Dienstleister beauftragt. Das gilt insbesondere für die IT. Ob eine Webseite mit Kontaktformular oder die Betreuung der Kundendatenbank – andere Unternehmen sind dafür eingebunden. Sie haben Zugriff auf die personenbezogenen Daten, die der Auftraggeber für sein Unternehmen benötigt.In einem solchen Falle muss neben dem eigentlichen Auftrag, die konkrete Dienstleistung zu erbringen, noch eine Vereinbarung über die Auftragsverarbeitung geschlossen werden. Denn das erhöhte Gefahrenpotenzial für die Daten wegen des Zugriffs eines Dritten soll vertraglich geregelt werden. Aber Vorsicht! Von AV kann nur dann die Rede sein, wenn der Dienstleister streng nach einem zuvor definierten Verfahren vorgeht, keinen eigenen Gestaltungs- und Ermessenspielraum hat und gegenüber dem Auftraggeber im Hinblick auf die Ausführung der vereinbarten Tätigkeit weisungsgebunden ist.Kurzum: Wenn man den Dienstleister sinnbildlich als „verlängerte Werkbank“ des Auftraggebers betrachten kann. Darunter fallen auch z. B. sog. Trackingsysteme, mit denen nachvollzogen werden kann, wer welche Webseiten besucht hat. Gibt es zudem dadurch Auslandsbezug, weil das Tracking-Unternehmen seinen Sitz z. B. in den USA hat, müssen weitere datenschutzrechtliche Anforderungen erfüllt werden. Gleiches gilt für die Nutzung von Cloud-Anwendungen oder die Verwendung von social Plug-Ins auf den Webseiten, also die Einbindung sozialer Medien
- Was ist datenschutzrechtlich bei der Beauftragung eines Dienstleisters zu beachten?
Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Den Auftraggeber trifft hier eine Prüfpflicht. Nur solche Auftragsverarbeiter dürfen eingesetzt werden, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.
- Darf ich mein Geschäftslokal per Video überwachen?
Zur Wahrung des Hausrechts ist eine Videoüberwachung von Personen, die das Geschäftslokal betreten, zulässig, wenn sie insgesamt erforderlich ist, also kein weniger einschneidendes Mittel das Hausrecht wahren kann und die Überwachung nicht überraschend ist. Es muss jedoch frühzeitig, also z. B. am Eingang zum Geschäftslokal darauf hingewiesen und bekannt gegeben werden, wer die Videoüberwachung verantwortet. Wird auch das Gelände vor dem Geschäftslokal überwacht, gilt dasselbe: Hinweis auf die Überwachung und Angabe, wer überwacht.Die Bilder aus der Videoüberwachung dürfen nur für kurze Zeit (ein – drei Tage) gespeichert werden, es sei denn, es können damit strafbaren Handlungen nachgewiesen werden. Dann dürfen aber nur die konkreten Sequenzen länger gespeichert werden, um sie den Strafverfolgungsbehörden zur Verfügung stellen zu können.
- Müssen die Datenschutzerklärungen auf Website & Co. angepasst werden?
Unternehmen mit einer geschäftlichen Webseite müssen diese anpassen. Dazu gehören Hinweise zu:• Rechtsgrundlage• Zweck der Verarbeitung• Dauer der Speicherung• Betroffenenrechte• Übermittlung an andere StellenDiese Angaben müssen zu allen Datenverarbeitungen, die auf der Homepage stattfinden, erfolgen, z. B.• Logfiles,• Cookies,• Tracking- und Analysedienste (Google Analytics, Facebook-Pixel etc.),• Registrierungsmöglichkeiten,• Einbindung sozialer Netzwerke und• Nutzung externer Zahlungsdienstleister (Klarna, PayPal etc.).Auch ein eventuell vorhandenes Newslettersystem sollte im Zusammenhang mit dieser „Dateninventur“ unter die Lupe genommen werden. Möchte ein Kunde einen E-Mail-Newsletter online bestellen, so muss er in die Bestellung einwilligen. Die Einwilligung ist vom Unternehmen nachzuweisen, was beispielsweise über Double-Opt-In-Verfahren erfolgen muss.
- Wann muss ein Verstoß gemeldet werden?
Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn z. B. der Verlust von Daten zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führen kann. Der Verstoß muss innerhalb von 72 Stunden an die Datenschutzaufsicht gemeldet werden. Die Aufsichtsbehörden halten dafür ein Online-Meldeformular vor. Die betroffene Person muss ebenfalls informiert werden.
- Mit welchen Sanktionen bei Verstößen ist zu rechnen?
Bei Verstößen gegen Datenschutzbestimmungen sieht die DSGVO empfindliche Geldstrafen vor. Die Höhe dieser Strafen kann bei besonders schlimmen Vergehen bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresumsatzes betragen.