Datenschutz: Das ist für Sie als Unternehmer wichtig

In Zeiten voranschreitender Digitalisierung und vielfacher Verlagerung des Arbeitsplatzes ins Homeoffice ist der Datenschutz wichtiger denn je. Nicht nur, weil Sie als Unternehmer entsprechende gesetzliche Pflichten haben - der Schutz von Daten Ihrer Angestellten, Vertragspartner und Kunden sollte Ihnen schon aus eigenem Interesse am Herzen liegen. So erfüllen Sie auf der einen Seiten große Teile Ihrer Compliance-Pflichten und vermeiden dadurch Bußgelder oder Schadensersatzansprüche. Auf der anderen Seite schaffen Sie durch ein hohes Datenschutzniveau auch Vertrauen in Ihr Unternehmen und in Ihre Produkte bzw. Dienstleistungen.

Definition: Was ist Datenschutz?

Der Begriff „Datenschutz“ wird in vielfältiger Weise verwendet. In den Medien taucht er seit Wirksamwerden der EU-Datenschutzgrundverordnung (DSGVO) zum 25. Mai 2018 verstärkt auf. Aber was verbirgt sich dahinter genau? Was bedeutet Datenschutz genau?

Ziele: Warum Datenschutz?

Der Datenschutz zielt auf den Schutz von personenbezogenen Daten von Menschen ab. Reine Unternehmensdaten, wie etwa Umsatzzahlen oder Betriebsgeheimnisse, werden nicht geschützt. Der Schutz personenbezogener Daten ist inzwischen in Form des Grundrechts auf informationelle Selbstbestimmung verfassungsrechtlich verankert. Zudem findet er sich in Art. 8 der EU-Grundrechtecharta wieder, der jeder Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten zusichert.

Wenn zusätzlich zu personenbezogenen Daten auch z.B. Geschäftsgeheimnisse geschützt werden, dann ist das ein positiver Nebeneffekt, jedoch kein erklärtes Ziel des Datenschutzrechts. Für Geschäftsgeheimnisse gibt es hierzulande mittlerweile eigenständige Rechtsvorschriften, nämlich im Geschäftsgeheimnisgesetz (GeschGehG).

Datenschutz: Gesetzliche Grundlagen

Auch wenn die DSGVO das Datenschutzrecht in der EU vereinheitlichen soll, sind in ihr zahlreiche sogenannte Öffnungsklauseln enthalten, die es den nationalen Gesetzgebern gestatten, hinsichtlich einzelner Details eigene Regelungen aufzustellen. Daher gilt in Deutschland, wie z.B. auch in Belgien oder Österreich, ergänzend nationales Recht, hierzulande in Form des Bundesdatenschutzgesetzes (BDSG). Neben der Datenschutzgrundverordnung und dem BDSG existieren in Deutschland noch diverse Spezialregelungen in anderen Gesetzen, wie etwa dem Telemediengesetz (TMG) oder auch dem Telekommunikationsgesetz (TKG). Hinzu kommen verschiedene branchenspezifische Regelungen, etwa im Transplantationsgesetz (TPG).

Was sind personenbezogene Daten?

Personenbezogene Daten sind der Dreh- und Angelpunkt im Datenschutzrecht. In Art. 4 Nr. 1 DSGVO werden personenbezogene Daten definiert als Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (der sog. „Betroffene“) beziehen.

Info

Unternehmen als verantwortliche Stelle

Das Unternehmen, von dem die personenbezogenen Daten des Betroffenen verarbeitet werden, wird als verantwortliche Stelle oder kurz als Verantwortlicher bezeichnet; das gilt gleichermaßen für Behörden und Vereine.

Zu den Daten mit Personenbezug zählen also beispielsweise die folgenden:

  • Persönliche Daten (Name, Anschrift, Geburtsdatum etc.)
  • Kontaktdaten (Telefonnummer, E-Mail etc.)
  • Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.)
  • Allgemeine äußere Merkmale (Größe, Gewicht, Haar- bzw. Augenfarbe etc.)
  • Biometrische Daten (Fingerabdruck, DNA-Probe etc.)
  • Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.)
  • digitale Fotos mit erkennbar abgebildeten Personen
  • Kfz-Kennzeichen
  • IP-Adressen (sozusagen die „Anschrift“ von Computern in einem Netzwerk)

An den beiden letztgenannten Datenkategorien können Sie erkennen, dass die Möglichkeit zur Identifizierung einer Person ausreicht, auch wenn dies nicht von Ihnen selbst, sondern nur z.B. durch die Kfz-Zulassungsbehörde erfolgen kann. Insgesamt ist der Personenbezug sehr weitgehend zu verstehen. Nur etwa reine Maschinen- oder Statistikdaten werden nicht erfasst. Im Zweifel sollten Sie also davon ausgehen, dass Sie es mit personenbezogenen Daten zu tun haben.

Weiterhin gibt es besondere personenbezogene Daten, bei denen Sie gemäß Datenschutz höhere Anforderungen für eine Nutzung garantieren müssen:

  • Rassische Herkunft
  • Ethnische Herkunft
  • Politische Meinung
  • Religiöse Überzeugung
  • Philosophische Überzeugung
  • Gewerkschaftszugehörigkeit
  • Gesundheit
  • Sexualleben

Datenschutz im Unternehmen

Und was bedeutet es für Sie, dass Sie in Ihrem Unternehmen tag-täglich unweigerlich mit einer Vielzahl von personenbezogenen Daten umgehen?

Umsetzung der DSGVO in Unternehmen

Zunächst einmal sollten Sie die elementaren Grundsätze des Datenschutzrechts kennen. Auch wenn das nach Rechtstheorie klingt, hilft Ihnen dieses Wissen auch in der Praxis, um insbesondere kein Bußgeld zu riskieren.

In Art. 5 DSGVO werden die wichtigsten Datenschutzprinzipien genannt. Dazu zählen u.a.

  • der Grundsatz der Rechtmäßigkeit
  • der Zweckbindung
  • der Datenminimierung
  • der Integrität und
  • Vertraulichkeit oder auch der Datensicherheit.

Das wohl wichtigste Prinzip hinsichtlich des Datenschutzes im Betrieb ist der Rechtmäßigkeitsgrundsatz. Dieser besagt, dass jegliche Verarbeitung von personenbezogenen Daten grundsätzlich unzulässig ist, sofern sie nicht ausnahmsweise erlaubt ist. Natürlich existieren mehr Ausnahmen, als Sie jetzt vielleicht vermuten, ansonsten wäre unternehmerisches Handeln kaum möglich. Der Rechtmäßigkeitsgrundsatz bedeutet jedoch, dass für alle Verarbeitungen von personenbezogenen Daten immer eine Rechtsgrundlage bestehen muss. Diese kann darin bestehen, dass

  • die betroffene Person einwilligt,
  • eine gesetzliche Ausnahmevorschrift besteht oder dass
  • berechtigte Interessen der verantwortlichen Stelle vorliegen, welche die schutzwürdigen Interessen der betroffenen Person überwiegen.

Achtung

Rechtsmäßigkeitsgrundsatz beachten!

Falls keine der drei Varianten in Frage kommt, dürfen in diesem konkreten Fall und im Hinblick auf den Datenschutz dann keine personenbezogenen Daten verarbeitet werden.

Die gesetzlichen Ausnahmetatbestände liefert Art. 6 DSGVO. Danach ist eine Datenverarbeitung rechtmäßig, wenn diese erforderlich ist

  • für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen;
  • zur Erfüllung einer rechtlichen Verpflichtung;
  • um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (z. B. zur Rettung eines Schwerverletzten durch Ärzte in der Notaufnahme);
  • für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (z. B. Erfüllung von Kernaufgaben durch die öffentliche Verwaltung).

Im Unternehmensalltag werden Daten regelmäßig zur Erfüllung (vor-) vertraglicher Pflichten verarbeitet, beispielsweise um bestellte Ware auszuliefern oder um einem potenziellen Kunden das gewünschte Angebot zukommen zu lassen. In diesen Fällen ist Datenschutz zwar notwendig und natürlich auch sinnvoll, eine Verarbeitung aber zwingend notwendig. Das bedeutet, dass Sie sich als Unternehmer häufig für die Erhebung der entsprechenden Kundendaten auf die Rechtsgrundlage „Erfüllung eines Vertrags“ (Art. 6 Abs. 1 lit. b) DSGVO) berufen können und eben nicht noch zusätzlich eine Einwilligung von Kundenseite benötigen. Für die Erfüllung von handels- oder steuerrechtlichen Pflichten kommt die Rechtsgrundlage „Erfüllung einer rechtlichen Verpflichtung“ nach Art. 6 Abs. 1 lit. c) DSGVO in Betracht.

Info

Rechtsgrundlage im Bundesdatenschutzgesetz

Die spezielle Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten findet sich in § 26 BDSG.

Soweit keine der genannten Ausnahmetatbestände passt, können Sie als Unternehmer noch auf die Einwilligung oder die berechtigten Interessen zurückgreifen.

Was macht ein Datenschutzbeauftragter und wann ist er nötig?

Der Datenschutzbeauftragte, oder kurz: DSB, dient als Ansprechpartner für alle Belange des Datenschutzes. Es kann sich dabei entweder um einen internen DSB, also um einen Mitarbeiter Ihres Unternehmens, oder um einen Dienstleister als externer DSB handeln. Zunächst muss jedoch geprüft werden, ob für Sie überhaupt die Pflicht zur Benennung eines DSB besteht. § 38 Abs. 1 BDSG enthält hierzu spezielle Vorgaben. Diese Vorschrift sieht eine DSB-Benennungspflicht vor insbesondere

  • für Unternehmen, bei denen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind,
  • für geschäftsmäßige Übermittlung von Daten (z.B. Adresshändler), oder auch
  • für den Bereich der Markt- bzw. Meinungsforschung.

Sofern Sie also nicht in den genannten speziellen Branchen tätig sind, ist für Sie die 20-Personen-Grenze wichtig. Dazu zählen Sie am besten alle bei Ihnen beschäftigten Personen, also alle Vollzeit- sowie Teilzeitbeschäftigt, Auszubildenden, Praktikanten usw. Kommen Sie dann auf mehr als 19 Köpfe, müssen Sie einen Beauftragten für Datenschutz benennen.

Achtung

Die Einhaltung des Datenschutzrechts ist auch ohne DSB essentiell

Aber Achtung: Selbst dann, wenn Sie keinen DSB benennen müssen, gelten für Sie gleichwohl alle anderen datenschutzrechtlichen Verpflichtungen. Ob mit oder ohne DSB – der Unternehmensführung obliegt in jedem Fall die Hauptverantwortung für die Einhaltung des Datenschutzrechts.

Diese Personen eignen sich als DSB

Als DSB kommen solche Personen nicht in Betracht, bei denen ein möglicher Interessenskonflikt besteht. Dazu zählen insbesondere

  • der Inhaber bzw. die Geschäftsführung des Unternehmens,
  • der Personalchef,
  • Abteilungsleiter oder auch
  • externe IT-Dienstleister.

Egal, ob ein interner oder ein externer DSB benannt ist, er muss generell eine entsprechende berufliche Qualifikation (z.B. Jurist oder IT-ler) sowie Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis besitzen. Leider ist nirgendwo definiert, wie genau das Fachwissen aussehen muss.

Die Aufgaben des DSB

Zu den konkreten Aufgaben des Datenschutzbeauftragten zählen gemäß Art. 39 Abs. 1 DSGVO insbesondere:

  • Unterrichtung und Beratung des Verantwortlichen sowie der Beschäftigten hinsichtlich ihrer datenschutzrechtlichen Pflichten und Rechte
  • Überwachung der Einhaltung des Datenschutzrechts sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschl. der Zuweisung von Zuständigkeiten
  • Sensibilisierung und Schulung der Mitarbeiter und der diesbezüglichen Überprüfungen
  • Zusammenarbeit mit der Aufsichtsbehörde

Im Unterschied zur alten Rechtslage zählt es nicht mehr zu den Aufgaben des Beauftragten für Datenschutz, das Verarbeitungsverzeichnis zu erstellen oder die TOMs umzusetzen.

So setzen Sie Datenschutz im Unternehmen rechtssicher um: Eine Checkliste

Um die Vorgaben der DSGVO in die Praxis umsetzen zu können, sollten Sie die einzelnen Schritte priorisieren. Denn es gibt Aufgaben, wie etwa die Anpassung der Website-Datenschutzerklärung sowie der allgemeinen (Offline-)Datenschutzhinweise oder auch ggf. der Meldung des DSB an die zuständige Aufsichtsbehörde, die eine gewisse Außenwirkung haben und daher so bald wie möglich umgesetzt werden sollten. Dagegen gibt es interne Vorgänge, wie beispielsweise das Erstellen des Verarbeitungsverzeichnisses, die auch wichtig, aber eben nicht so brandeilig sind. Im Vorfeld bedarf es natürlich immer einer guten Planung, insbesondere in Bezug auf das erforderliche Fachwissen zum Thema Datenschutz, auf die Zeit, auf das nötige Personal sowie auch auf das vorhandene Budget.

Datenschutz und Datensicherheit: Das müssen Sie als Unternehmer beachten

Der Bereich Datenschutz umfasst mehr, also „nur“ IT-Sicherheit. Denn er gilt auch im Offline-Bereich und auch für analoge Daten, wie etwa Rechnungen auf Papier oder handgeschriebene Auftragsbestätigungen. Aber IT-Sicherheit, gerade auch in Bezug auf Ihre Internetseite, Ihren Webshop oder Ihren Social-Media-Account, ist natürlich ein immens wichtiger, großer Teil des Datenschutzrechts. Daher dürfen Sie ihn auf gar keinen Fall vernachlässigen. Sie sehen, das Thema Datensicherheit in Unternehmen ist ebenso groß wie der Datenschutz der Informationen selbst.

Datenschutz im Internet

Auf jeder nicht nur rein privat betriebenen Internetpräsenz, also auf Ihrer Unternehmensseite, in Ihrem Webshop oder auch in Ihrem Social-Media-Profil, muss eine Datenschutzerklärung bereitgestellt werden. Die Rechtsgrundlagen dazu finden sich in Art. 13, 14 DSGVO.

Neben den gesetzlichen Pflichtangaben sind auch alle von Ihnen eingesetzten Online-Technologien zu beschreiben, mit deren Hilfe personenbezogene Daten, wie etwa die IP-Adresse von Besuchern Ihrer Website, verarbeitet werden. Dazu zählen im Hinblick auf den Online-Datenschutz insbesondere die folgenden:

  • Analyse-Tools (Google Analytics, Matomo/ehem. Piwik, Etracker, Facebook Pixel…)
  • Kontaktformulare
  • Newsletter
  • Online-Werbung (Google Ads…)
  • Cookies
  • Social Plugins
  • eingebundene Schriftarten (Google WebFonts, FontAwesome…)
  • eingebundene Fremdinhalte (Youtube, Vimeo, Google Maps…)
  • Online-Stellenanzeigen
  • Gewinnspiele
  • Meinungsumfragen
  • Chat-Tools / Chat-Bots
  • Login- / Kundenbereich

Achtung

Urteil des EuGH

Nach dem sog. „Schrems II“-Urteil des EuGHs vom 16. Juli 2020 (Az. C-311/18) ist übrigens der Einsatz von Tools von US-Anbietern, wie z.B. Google oder Microsoft, in Bezug auf den Datenschutz derzeit noch mit einem sehr hohen Risiko verbunden, so dass davon bis auf Weiteres abzuraten ist.

E-Mail-Marketing: Double-Opt-In-Verfahren

Wenn Sie elektronische Werbung verschicken wollen, benötigen Sie auf jeden Fall vorab eine Einwilligung des potenziellen Empfängers. So regelt es § 7 Abs. 2 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG). Denn nur so können Sie sowohl Datenschutz als auch Datensicherheit im Internet gewährleisten – und dies Ihren Nutzern auch zeigen.

E-Mail-Marketing rechtssicher gestalten

Um dies sicherzustellen, müssen Sie das sog. Double-Opt-in-Prinzip beachten, denn schon eine unzulässige Werbe-Mail kann kostenpflichtig abgemahnt werden, weil Sie den Datenschutz verletzen.

Der Ablauf des Double-Opt-in-Verfahrens kann am Beispiel eines Newsletters wie folgt beschrieben werden:

  • Der Empfänger muss den Newsletter selbst aktiv anfordern, z.B. durch Eintragen der eigenen Mail-Adresse in ein Web-Formular.
  • Es muss eine nicht-vorausgefüllte Checkbox vorhanden sein, die der Nutzer selbst per Mausklick aktivieren muss.
  • Anschließend muss eine Bestätigungs-Mail mit einem Aktivierungs-Link versandt werden, den der Nutzer zur Überprüfung anklicken muss.
  • Der Newsletter-Versand darf erst nach erfolgter Aktivierung starten.
  • Die einzelnen Newsletter müssen den Hinweis auf die Abmeldemöglichkeit enthalten.

Für die Werbung gegenüber Bestandkunden enthält § 7 Abs. 3 UWG eine Ausnahme vom Double-Opt-in-Prinzip. Diese greift dann, wenn Sie eine E-Mail-Adresse im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen erhalten haben. Gemäß den Richtlinien für Datenschutz dürfen Sie diese dann ausschließlich für Direktwerbung für eigene ähnliche Waren oder Dienstleistungen nutzen, sofern der Empfänger dem nicht ausdrücklich widersprochen hat. Zudem müssen Sie auch hierbei stets auf die Widerspruchsmöglichkeit hinweisen. Diese Ausnahmevorschrift hat jedoch recht hohe Voraussetzungen, die in der Praxis schwer nachzuweisen sind, und sollte daher in Hinblick auf das Thema Datenschutz zurückhaltend angewendet werden.

Recht auf Vergessenwerden

Die Richtlinien für Datenschutz besagen, dass Sie sowohl ein Recht auf Vergessenwerden als auch ein Recht auf Löschung Ihrer Daten haben, sobald diese nicht mehr benötigt werden. Sie haben demnach jederzeit die Möglichkeit, einer Verarbeitung Ihrer personenbezogenen Daten zu widersprechen – auch im Nachhinein. Dies bezieht sich selbstverständlich auch auf Informationen, die unrechtmäßig gesammelt wurden.

Konsequenzen bei Datenschutzverstoß

Verstoßen Sie gegen das Datenschutzrecht, drohen Ihnen schwere Konsequenzen. Ein Datenverstoß hat nicht nur Bußgelder durch die Datenschutzaufsichtsbehörde oder Schadensersatz- bzw. Schmerzensgeldforderungen von Betroffenen als Folgen, sondern ggf. auch DSGVO-Abmahnungen von Seiten der Konkurrenz. 

Es ist zwar noch nicht abschließend geklärt, ob Abmahnungen in diesem Bereich überhaupt zulässig sind, aber die Gefahr besteht jedenfalls. Aber es verbleibt in jedem Fall das Risiko eines Bußgeldes oder einer Schadensersatzforderung. Das kann teuer genug werden, so dass Sie gut beraten sind, den Bereich Datenschutz nicht zu vernachlässigen. Dann haben Sie auch weder Probleme mit einem Verstoß, noch mit den dazugehörigen Strafen.