Datenschutz: Das ist für Sie als Unternehmer wichtig

In Zeiten voranschreitender Digitalisierung und vielfacher Verlegung des Arbeitsplatzes ins Homeoffice ist der Datenschutz wichtiger denn je. Nicht nur, weil Sie als Unternehmer entsprechende gesetzliche Pflichten haben – der Schutz von Daten Ihrer Angestellten, Vertragspartner und Kunden sollte Ihnen schon aus eigenem Interesse am Herzen liegen. So erfüllen Sie auf der einen Seite große Teile Ihrer Compliance-Pflichten und vermeiden dadurch Bußgelder oder Schadensersatzansprüche. Auf der anderen Seite schaffen Sie durch ein hohes Datenschutzniveau auch Vertrauen in Ihr Unternehmen und in Ihre Produkte bzw. Dienstleistungen. Lesen Sie hier das Wichtigste zur Umsetzung von Datenschutz in Ihrem Unternehmen.

Zuletzt aktualisiert am 11.08.2023
© andranik123 - stock.adobe.com

Datenschutz im Unternehmen einfach erklärt

Per Definition wird der Begriff „Datenschutz“ in vielfältiger Weise verwendet. In den Medien taucht er seit Wirksamwerden der EU-Datenschutzgrundverordnung (DSGVO) zum 25. Mai 2018 verstärkt auf. Ihre Pflicht als Unternehmer ist es dabei, die Rechte aller Personen zu schützen, die Ihnen ihre Daten überlassen haben. Denn immer dann, wenn Sie als Unternehmer personenbezogene Daten erhalten bzw. verarbeiten, müssen Sie Richtlinien zur Umsetzung des Datenschutzes in Ihrem Unternehmen einhalten.

Ziele: Warum Datenschutz?

Der Datenschutz zielt auf den Schutz von personenbezogenen Daten ab. Reine Unternehmensdaten, wie etwa Umsatzzahlen oder Betriebsgeheimnisse, sind nicht abgesichert. Der Schutz personenbezogener Daten ist inzwischen in Form des Grundrechts auf informationelle Selbstbestimmung verfassungsrechtlich verankert. Zudem findet er sich in Art. 8 der EU-Grundrechte-Charta wieder, der jeder Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten zusichert. 

Wenn zusätzlich zu personenbezogenen Daten z.B. auch Geschäftsgeheimnisse geschützt werden, dann ist das ein positiver Nebeneffekt, jedoch kein erklärtes Ziel des Datenschutzrechts. Für Geschäftsgeheimnisse gibt es hierzulande mittlerweile eigenständige Rechtsvorschriften, nämlich im Geschäftsgeheimnisgesetz (GeschGehG)

Gesetzliche Grundlagen für Datenschutz für Unternehmen

Auch wenn die DSGVO das Datenschutzrecht in der EU vereinheitlichen soll, sind in ihr zahlreiche sogenannte Öffnungsklauseln enthalten. Diese gestatten es den nationalen Gesetzgebern, hinsichtlich einzelner Details, eigene Regelungen aufzustellen. Daher gilt in Deutschland, wie z.B. auch in Belgien oder Österreich, ergänzend nationales Recht, hierzulande in Form des Bundesdatenschutzgesetzes (BDSG). Neben der Datenschutzgrundverordnung und dem BDSG existieren in Deutschland noch diverse Spezialregelungen innerhalb anderer Gesetze, wie etwa dem Telemediengesetz (TMG) oder auch dem Telekommunikationsgesetz (TKG). Hinzu kommen verschiedene branchenspezifische Regelungen, etwa im Transplantationsgesetz (TPG).

Was sind personenbezogene Daten?

Personenbezogene Daten sind der Dreh- und Angelpunkt im Datenschutzrecht. Wichtig für Unternehmen ist der Art. 4 Nr. 1 DSGVO. Hier werden personenbezogene Daten definiert als Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (der sog. „Betroffene“) beziehen.

Info

Unternehmen als verantwortliche Stelle

Per Gesetz für Datenschutz wird das Unternehmen, von dem die personenbezogenen Daten verarbeitet werden, als verantwortliche Stelle oder kurz als Verantwortlicher bezeichnet. Dies gilt ebenso für Behörden und Vereine.

Zu den Daten mit Personenbezug zählen also beispielsweise die folgende:

  • Persönliche Daten (Name, Anschrift, Geburtsdatum etc.)
  • Kontaktdaten (Telefonnummer, E-Mail etc.)
  • Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.)
  • Allgemeine äußere Merkmale (Größe, Gewicht, Haar- bzw. Augenfarbe etc.)
  • Biometrische Daten (Fingerabdruck, DNA-Probe etc.)
  • Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.)
  • digitale Fotos mit erkennbar abgebildeten Personen
  • Kfz-Kennzeichen
  • IP-Adressen (sozusagen die „Anschrift“ von Computern in einem Netzwerk)

An den beiden letztgenannten Datenkategorien können Sie erkennen, dass die Möglichkeit zur Identifizierung einer Person ausreicht, auch wenn dies nicht von Ihnen selbst, sondern nur z. B. durch die Kfz-Zulassungsbehörde erfolgen kann. Insgesamt ist der Personenbezug sehr weitgehend zu verstehen. Nur etwa reine Maschinen- oder Statistikdaten werden nicht erfasst. Im Zweifel sollten Sie also davon ausgehen, dass Sie es mit personenbezogenen Daten zu tun haben.

Weiterhin gibt es besondere personenbezogene Daten, bei denen Unternehmen gemäß Datenschutz höhere Anforderungen für eine Nutzung garantieren müssen:

  • Rassische Herkunft
  • Ethnische Herkunft
  • Politische Überzeugung
  • Religiöse Überzeugung
  • Philosophische Überzeugung
  • Gewerkschaftszugehörigkeit
  • Gesundheit
  • Sexualleben

Datenschutz im Unternehmen

Was bedeutet es für Sie, dass Sie in Ihrem Unternehmen tagtäglich unweigerlich mit einer Vielzahl von personenbezogenen Daten umgehen? Grundsätzlich ist ein vorsichtiger Umgang gefragt.

Umsetzung der DSGVO in Unternehmen

Die Vielzahl von Datenschutzgesetzen bringt einen nicht unerheblichen Aufwand mit sich, da Unternehmen die einzelnen Regelwerke zur Datensicherheit kennen und einhalten müssen. Denn nur wer die elementaren Grundsätze des Datenschutzrechts kennt, kann in der Praxis dem Risiko von Bußgeldern aus dem Weg gehen.

In Art. 5 DSGVO werden die wichtigsten Datenschutzprinzipien genannt. Dazu zählen u.a. folgende Grundsätze:

  • Grundsatz der Rechtmäßigkeit
  • Grundsatz der Zweckbindung
  • Grundsatz der Datenminimierung
  • Grundsatz der Integritätund
  • Grundsatz der Vertraulichkeit oder auch der Datensicherheit.

Das wohl wichtigste Prinzip hinsichtlich des Datenschutzes im Betrieb ist der Rechtmäßigkeitsgrundsatz. Dieser besagt, dass jegliche Verarbeitung von personenbezogenen Daten grundsätzlich unzulässig ist, sofern sie nicht ausnahmsweise erlaubt ist. Natürlich existieren mehr Ausnahmen, als Sie vielleicht vermuten, ansonsten wäre unternehmerisches Handeln kaum möglich. Der Rechtmäßigkeitsgrundsatz bedeutet jedoch, dass für alle Verarbeitungen von personenbezogenen Daten immer eine Rechtsgrundlage bestehen muss. Diese kann in folgenden Fällen vorhanden sein: 

  • die betroffene Person willigt ein.
  • eine gesetzliche Ausnahmevorschrift besteht.
  • berechtigte Interessen der verantwortlichen Stelle liegen vor, welche schwerer wiegen als die schutzwürdigen Interessen der betroffenen Person.

Achtung

Rechtsmäßigkeitsgrundsatz beachten!

Falls keine der drei Varianten in Frage kommt, dürfen Unternehmen mit Blick auf den Datenschutz keine personenbezogenen Daten verarbeiten.

Die gesetzlichen Ausnahmetatbestände liefert Art. 6 DSGVO. Demnach ist eine Datenverarbeitung rechtmäßig, wenn es um Folgendes geht:

  • die Erfüllung eines Vertrags oder die Durchführung vorvertraglicher Maßnahmen
  • die Erfüllung einer rechtlichen Verpflichtung zum Schutz lebenswichtiger Interessen einer betroffenen Person oder einer anderen natürlichen Person (z. B. zur Rettung eines Schwerverletzten durch Ärzte in der Notaufnahme)
  • die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (z. B. Erfüllung von Kernaufgaben durch die öffentliche Verwaltung).

Datenschutz spielt im Alltag von Unternehmen stets eine große Rolle. Denn Daten werden dort regelmäßig zur Erfüllung (vor-)vertraglicher Pflichten verarbeitet, beispielsweise um bestellte Ware auszuliefern oder um einem potenziellen Kunden das gewünschte Angebot zukommen zu lassen. In diesen Fällen ist Datenschutz zwar notwendig und natürlich auch sinnvoll, eine Verarbeitung aber zwingend notwendig. Das bedeutet, dass Sie sich als Unternehmer häufig für die Erhebung der entsprechenden Kundendaten auf die Rechtsgrundlage „Erfüllung eines Vertrags“ (Art. 6 Abs. 1 lit. b) DSGVO) berufen können und eben nicht noch zusätzlich eine Einwilligung von Kundenseite benötigen. Für die Erfüllung von handels- oder steuerrechtlichen Pflichten kommt die Rechtsgrundlage „Erfüllung einer rechtlichen Verpflichtung“ nach Art. 6 Abs. 1 lit. c) DSGVO in Betracht.

Info

Rechtsgrundlage im Bundesdatenschutzgesetz

Die spezielle Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten findet sich in § 26 BDSG.

Soweit keine der genannten Ausnahmetatbestände passt, können Unternehmen, was den Datenschutz angeht, noch auf den Grundsatz der Einwilligung oder der berechtigten Interessen zurückgreifen.

Was macht ein Datenschutzbeauftragter und wann ist er nötig?

Der Datenschutzbeauftragte oder kurz "DSB", dient als Ansprechpartnerfür alle Belange des Datenschutzes. Es kann sich dabei entweder um einen internen DSB, also um einen Mitarbeiter Ihres Unternehmens, oder um einen Dienstleister als externer DSB handeln. Zunächst muss jedoch geprüft werden, ob für Sie überhaupt die Pflicht zur Benennung eines DSB besteht. § 38 Abs. 1 BDSG enthält hierzu spezielle Vorgaben. Diese Vorschrift sieht eine DSB-Benennungspflicht vor für:

  • Unternehmen, bei denen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.
  • Geschäftsmäßige Übermittlung von Daten (z.B. Adresshändler).
  • Den Bereich der Markt- bzw. Meinungsforschung.

Sofern Sie also nicht in den genannten speziellen Branchen tätig sind, ist für Sie die 20-Personen-Grenze wichtig. Dazu zählen Sie am besten alle bei Ihnen beschäftigten Personen, also alle Vollzeit- sowie Teilzeitbeschäftigte, Auszubildende, Praktikanten usw. Kommen Sie dann auf mehr als 19 Köpfe, müssen Sie einen Beauftragten für Datenschutz benennen.

Achtung

Wer trägt die Gesamtverantwortung für den Datenschutz?

Selbst wenn Sie keinen DSB benennen müssen, gelten für Unternehmen alle anderen datenschutzrechtlichen Verpflichtungen. Das heißt: Ob mit oder ohne DSB – der Unternehmensführungobliegt in jedem Fall die Hauptverantwortung für die Einhaltung des Datenschutzrechts.

Diese Personen eignen sich als DSB

Als DSB kommen solche Personen nicht in Betracht, bei denen ein möglicher Interessenskonflikt besteht. Dazu zählen insbesondere:

  • der Inhaber bzw. die Geschäftsführung des Unternehmens
  • der Personalchef
  • Abteilungsleiter
  • externe IT-Dienstleister

Egal, ob ein interner oder ein externer DSB benannt ist, er muss generell eine entsprechende berufliche Qualifikation (z.B. Jurist oder IT-ler) sowie Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis besitzen. Allerdings ist nirgendwo definiert, wie das Fachwissen konkret aussehen muss.

Die Aufgaben des DSB

Zu den konkreten Aufgaben des Datenschutzbeauftragtenzählen gemäß Art. 39 Abs. 1 DSGVO zur Einhaltung des Datenschutzes insbesondere:

  • Unterrichtung und Beratung des Verantwortlichen sowie der Beschäftigten hinsichtlich ihrer datenschutzrechtlichen Pflichten und Rechte
  • Überwachung der Einhaltung des Datenschutzrechts sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschl. der Zuweisung von Zuständigkeiten
  • Sensibilisierung und Schulung der Mitarbeiter und der diesbezüglichen Überprüfungen
  • Zusammenarbeit mit der Aufsichtsbehörde

Im Unterschied zur alten Rechtslage zählt es nicht mehr zu den Aufgaben des Beauftragten für Datenschutz in Firmen, das Verarbeitungsverzeichnis zu erstellen oder die TOMs umzusetzen.

So setzen Sie Datenschutz im Unternehmen rechtssicher um: Eine Checkliste

Um die Vorgaben der DSGVO in die Praxis umsetzen zu können, sollten Unternehmen ihre Pflichten in einzelne Schritte aufteilen. Besonders wichtig sind folgende Aufgaben:

  • Die Anpassung der Website-Datenschutzerklärung sowie der allgemeinen (Offline-)Datenschutzhinweise.
  • Die Meldung des DSB an die zuständige Aufsichtsbehörde.
  • Schulungen von Mitarbeitern: Weil Datenschutz im Unternehmen ein komplexes Thema ist, müssen Mitarbeiter selbst auch im Umgang mit personenbezogenen Daten immer wieder geschult werden. 
  • Schriftliche Verpflichtung: Mitarbeiter einer Firma, die mit personenbezogenen Daten arbeiten, müssen mit Blick auf Datenschutz, unternehmensbezogene Daten – zum Beispiel in der Buchhaltung – vertraulich behandeln.
  • TOM (technische sowie organisatorische Maßnahmen): Gemeint ist die Entwicklung eines Konzepts zum Umgang mit personenbezogenen Daten - z. B. abschließbare Aktenschränke oder Berechtigungsverfahren. 
  • Laut Artikel 30 der DSGVO muss jedes Unternehmen zur Einhaltung des Datenschutzes ein Verzeichnis aller Verarbeitungstätigkeiten von Daten führen. Dort werden Zweck, Löschfristen sowie Verantwortlichkeiten formuliert.
     

Im Vorfeld bedarf es folglich einer guten Planung mit Blick auf: 

  • das erforderliche Fachwissen zum Thema Datenschutz
  • auf die Zeit
  • auf das nötige Personal
  • auf das vorhandene Budget

Datensicherheit und Datenschutz im Unternehmen beachten

Datensicherheit und Datenschutz: Theorie und Praxis

Der Bereich Datenschutz umfasst mehr als „nur“ IT-Sicherheit. Denn er ist im Unternehmen auch im Offline-Bereich umzusetzen und gilt für analoge Daten, wie etwa Rechnungen auf Papier oder handgeschriebene Auftragsbestätigungen. AberIT-Sicherheit, gerade auch in Bezug auf Ihre Internetseite, Ihren Webshop oder Ihren Social-Media-Account, ist natürlich ein immens wichtiger, großer Teil der DSGVO. Daher dürfen Sie diesen auf gar keinen Fall vernachlässigen. Sie sehen, das Thema Datenschutzverordnung in Unternehmen umfasst eine ganze Reihe von Maßnahmen. 

Datenschutz im Internet

Die Einhaltung von Datenschutzvorschriften für Unternehmen sind eine ernst zu nehmende Aufgabe. Denn auf jeder nicht nur rein privat betriebenen Internetpräsenz, also auf Ihrer Unternehmensseite, in Ihrem Webshop oder auch in Ihrem Social-Media-Profil,müssen Sie eine Datenschutzerklärung bereitstellen. Die Rechtsgrundlagen dazu finden sich in Art. 13, 14 DSGVO.

Neben den gesetzlichen Pflichtangaben sind auch alle von Ihnen eingesetzten Online-Technologien zu beschreiben, mit deren Hilfe personenbezogene Daten, wie etwa die IP-Adresse von Besuchern Ihrer Website, verarbeitet werden. Dazu zählen im Hinblick auf den Online-Datenschutz insbesondere die Folgenden:

  • Analyse-Tools (Google Analytics, Matomo/ehem. Piwik, Etracker, Facebook Pixel…)
  • Kontaktformulare
  • Newsletter
  • Online-Werbung (Google Ads…)
  • Cookies
  • Social Plugins
  • eingebundene Schriftarten (Google WebFonts, FontAwesome…)
  • eingebundene Fremdinhalte (Youtube, Vimeo, Google Maps…)
  • Online-Stellenanzeigen
  • Gewinnspiele
  • Meinungsumfragen
  • Chat-Tools / Chat-Bots
  • Login- / Kundenbereich

Wo bekommt man eine allgemeine Datenschutzerklärung her?

Rechtsanwälte erstellen auf Anfrage rechtssichere Datenschutzerklärungen für Ihre Branche bzw. Ihre Geschäftsfeld. Hierfür müssen Sie zwar etwas Geld in die Hand nehmen, doch können Sie sich darauf verlassen, dass die erarbeitete Erklärung zum Datenschutz rechtskonform ist und somit den aktuellen DSGVO-Regelwerken entspricht. 

Wenn Sie einen sogenannten Datenschutz-Konfigurator nutzen möchten, dann können Sie online mit wenigen Klicks eine Standard-Datenschutzerklärung generieren. Es ist hierfür auf jeden Fall ratsam zu prüfen, wie aktuell die Website ist und zu sehen, wer die jeweilige Leistung anbietet – auch wenn sie kostenfrei ist. 

So verlockend die angeblich DSGVO-konformen Datenschutzerklärungen für Einzelunternehmerinnen und Einzelunternehmer als Muster im Netz sind, kopieren Sie sie besser nicht. Denn je nach Website und Unternehmensausrichtung sind die DSGVO- Anforderungen an die Inhalte verschieden. Selbst für eine einfache Datenschutzerklärung sollten Sie sich an einen Experten wenden. Denn Fehler verursachen Kosten und führen zu Abmahnungen oder sogar zu Bußgeldern.

Achtung

Urteil des EuGH

Nach dem sog. „Schrems II“-Urteil des EuGHs vom 16. Juli 2020 (Az. C-311/18) ist übrigens der Einsatz von Tools von US-Anbietern, wie Google oder Microsoft, in Bezug auf den Datenschutz derzeit noch mit einem sehr hohen Risiko verbunden, so dass davon bis auf Weiteres abzuraten ist.

E-Mail-Marketing: Double-Opt-In-Verfahren

Gemäß der Datenschutz-Grundverordnung müssen Unternehmen für das Verschicken elektronischer Werbung vorab eine Einwilligung des potenziellen Empfängers einholen. So regelt es § 7 Abs. 2 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG). Denn nur so können Sie sowohl Datenschutz als auch Datensicherheit im Internet gewährleisten – und dies Ihren Nutzern auch zeigen.

E-Mail-Marketing rechtssicher gestalten

Um rechtssicheres E-Mail-Marketing sicherzustellen, müssen Sie das sog. Double-Opt-in-Prinzip beachten. Denn schon eine unzulässige Werbemail von Unternehmen kann wegen Verletzung des Datenschutzes von Nutzern kostenpflichtig abgemahnt werden.

Der Ablauf des Double-Opt-in-Verfahrens kann am Beispiel eines Newsletters wie folgt beschrieben werden:

  • Der Empfänger muss den Newsletter selbst aktiv anfordern, z.B. durch Eintragen der eigenen Mail-Adresse in ein Web-Formular.
  • Es muss eine nicht-vorausgefüllte Checkbox vorhanden sein, die der Nutzer selbst per Mausklick aktivieren muss.
  • Anschließend muss eine Bestätigungs-Mail mit einem Aktivierungs-Link versandt werden, den der Nutzer zur Überprüfung anklicken muss.
  • Der Newsletter-Versand darf erst nach erfolgter Aktivierung starten.
  • Die einzelnen Newsletter müssen den Hinweis auf die Abmeldemöglichkeit enthalten.

Für die Werbung gegenüber Bestandskunden enthält § 7 Abs. 3 UWG eine Ausnahme vom Double-Opt-in-Prinzip. Diese greift dann, wenn Sie eine E-Mail-Adresse im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen erhalten haben. Gemäß den Richtlinien für Datenschutz dürfen Sie diese dann ausschließlich für Direktwerbung für eigene ähnliche Waren oder Dienstleistungen nutzen, sofern der Empfänger dem nicht ausdrücklich widersprochen hat. Zudem müssen Sie auch hierbei stets auf die Widerspruchsmöglichkeit hinweisen. Diese Ausnahmevorschrift hat jedoch recht hohe Voraussetzungen, die in der Praxis schwer nachzuweisen sind, und sollte daher in Hinblick auf das Thema Datenschutzzurückhaltend angewendet werden.

Recht auf Vergessenwerden

Die Richtlinien für Datenschutz für Unternehmen besagen, dass Personen sowohl ein Recht auf Vergessenwerden sowie ein Recht auf Löschung ihrer Daten haben, sobald diese nicht mehr benötigt werden. Jeder hat demnach die Möglichkeit, einer Verarbeitung von personenbezogenen Daten zu widersprechen – auch im Nachhinein. Dies bezieht sich auch auf Informationen, die unrechtmäßig gesammelt wurden.

Konsequenzen bei Datenschutzverstoß

Verstoßen Unternehmer gegen das Datenschutzrecht, drohen ihnen schwere Konsequenzen. Ein Datenverstoß hat nicht nur Bußgelder durch die Datenschutzaufsichtsbehörde oder Schadensersatz- bzw. Schmerzensgeldforderungen von Betroffenen zur Folge, sondern ggf. auch DSGVO-Abmahnungen von Seiten der Konkurrenz. 

Es ist zwar noch nicht abschließend geklärt, ob Abmahnungen in diesem Bereich überhaupt zulässig sind, aber die Gefahr besteht jedenfalls. Es verbleibt in jedem Fall das Risiko eines Bußgeldes oder einer Schadensersatzforderung. Das kann teuer genug werden, so dass Sie gut beraten sind, den Bereich Datenschutz nicht zu vernachlässigen. Dann haben Sie auch weder Probleme mit einem Verstoß, noch mit den dazugehörigen Strafen.