Der Begriff Datenschutz bezeichnet ein Grundrecht auf informelle Selbstbestimmung. Dies bedeutet, dass jede Person selbst entscheiden kann, welche persönlichen Daten von ihr freigegeben, gespeichert bzw. zur Verwendung weitergegeben werden dürfen. Kurz gesagt kann Datenschutz also mit dem Schutz personenbezogener Daten definiert werden. Die für den Datenschutz relevante Verordnung ist die sogenannte Datenschutz-Grundverordnung, kurz DSGVO. Die DSGVO ist am 25.05.2018 rechtswirksam geworden und garantiert ein einheitliches Datenschutzniveau in der Europäischen Union. Sie bildet also einen gemeinsamen Umsetzungsrahmen. Dadurch ist gewährleistet, dass Daten innerhalb der EU Mitgliedsstaaten frei fließen und übermittelt werden können. Die europarechtliche Grundlage ist somit einheitlich und garantiert die Rechte und Freiheiten für Betroffene in Deutschland, aber auch in den anderen Mitgliedsstaaten. In Deutschland wird die DSGVO zusätzlich ergänzt um das Bundesdatenschutzgesetz, kurz BDSG.
Warum ist Datenschutz im Unternehmen so wichtig?
Die gesetzlichen Vorgaben sind sicherlich der wichtigste Grund, warum sich Unternehmen mit dem Datenschutz befassen müssen. Unternehmen, die in der EU tätig sind, sind durch die DSGVO dazu verpflichtet, den Datenschutz umzusetzen. Auch durch das BDSG sowie die jeweiligen Landesdatenschutzgesetze müssen Unternehmen sich mit dem Schutz personenbezogener Daten befassen. Halten sich Unternehmen nicht an die Vorgaben der Datenschutz-Grundverordnung, müssen sie mit Sanktionen in Form von Bußgeldern rechnen.
Darüber hinaus gibt es aber noch andere Gründe, warum Unternehmen sich mit dem Thema befassen sollten. Da sind einerseits die Anforderungen der Kunden. So erwarten diese, dass ihre Daten geschützt und nicht unerlaubt verarbeitet und an Dritte weitergegeben werden. Halten sich Organisationen nicht an die Verpflichtungen, kann dies auch für Geschäftsbeziehungen ernsthafte Konsequenzen haben. Weitere Gründe, warum sich Unternehmen mit dem Thema befassen sollten, sind außerdem:
- Reduzierung des Haftungsrisikos
Halten sich Unternehmen an die Vorgaben zum Datenschutz, reduzieren sie gleichzeitig Haftungsrisiken sowie die Gefahr vor Geldbußen. - Schutz der Organisation durch Sensibilisierung von Mitarbeitern
Die Sensibilisierung von Mitarbeitern ist ein wichtiger Bestandteil des Datenschutzes und der Datensicherheit. Dadurch stellen Sie als Unternehmen auch sicher, dass eventuelle Schwachstellen frühzeitig entdeckt und behoben werden können. - Datenschutz als Bestandteil des Risiko- und Qualitätsmanagements
Auch im Rahmen des Risiko- und Qualitätsmanagements spielt der Datenschutz eine wichtige Rolle. So sollte der Schutz der Daten im Unternehmen ein zentraler Bestandteil des Risikomanagements sein. Ebenso fordert auch die ISO 9001 die Einhaltung rechtlicher und behördlicher Anforderungen, worunter auch der Datenschutz fällt.
Was sind die Ziele der Datenschutz-Grundverordnung DSGVO?
Die wesentlichen Ziele der Datenschutz-Grundverordnung sind der Betroffenenschutz sowie der Verbraucherschutz. Dabei sollen Informationen und die Datenverarbeitung transparent sein. Dadurch haben EU-Bürger eine bessere Kontrolle über ihre personenbezogenen Daten, können diese anfordern oder haben ein Recht auf Löschung. Demnach dürfen personenbezogene Daten nur verarbeitet werden, wenn hierzu eine Rechtsgrundlage oder individuelle Erlaubnis bzw. Einwilligung vorliegt.
Ein weiteres Ziel ist wie schon erwähnt eine einheitliche Regelung des Datenschutzes innerhalb der Europäischen Union und auch eine Anpassung des Rechts an die Anforderungen und Herausforderungen der Digitalisierung und der Technikgestaltung im 21. Jahrhundert. Zusätzlich sichert die DSGVO den freien Verkehr von personenbezogenen Daten innerhalb der Europäischen Union.
Wer muss die DSGVO umsetzen?
Die DSGVO ist Vorschrift für jedes Unternehmen mit Sitz in der EU. Einerseits müssen Organisationen mit mehr als 250 Mitarbeitern die Verordnung umsetzen. Aber auch für kleine und mittlere Unternehmen (KMU) ist die Umsetzung der Datenschutz-Grundverordnung erforderlich, sobald personenbezogene Daten verarbeitet werden. Somit fallen im Prinzip auch Vereine oder Schulen in den Anwendungsbereich der DSGVO.
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Während der Datenschutz Personen schützt, befasst sich die Datensicherheit allgemein mit dem Schutz von Daten. Ziel der Datensicherheit ist dabei der technische Schutz von Daten. Also können beide Begriffe nicht synonym verwendet werden.
Datenschutz
Datenschutz ist der Schutz personenbezogener Daten vor Missbrauch im Allgemeinen. Unter Missbrauch versteht man hier besonders unberechtigte Einsicht, zweckfremde Verwendung oder Fälschung von Daten. Dadurch soll die Privatsphäre von Personen geschützt und die informationelle Selbstbestimmung sichergestellt werden.
Datensicherheit
Bei der Datensicherheit handelt es sich um technische Maßnahmen, mit denen Daten vor Verlust, unberechtigtem Zugriff oder Manipulation geschützt werden sollen. Datensicherheit ist also der Soll-Zustand, der durch Einführung und dauerhafte Anwendung technischer Maßnahmen des Datenschutzes erreicht werden soll.
Was sind personenbezogene Daten?
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Besonders geschützt ist dabei die Verarbeitung und Speicherung von besonderen Daten-Kategorien. Hierzu zählen beispielsweise genetische Daten, ethnische Herkunft, Gesundheits- und biometrische Daten – vgl. Abs.9 DSGVO.
Doch was bedeutet das im Einzelnen? Im Folgenden möchten wir uns anhand eines Kfz-Kennzeichens genauer ansehen, wann es sich um personenbezogene Daten handelt.
Gehört ein Kfz-Kennzeichen zu den personenbezogenen Daten?
Für die Frage, ob ein Kfz-Kennzeichen zu den personenbezogenen Daten gehört und somit für den Datenschutz relevant ist, muss man immer den Betrachtungsrahmen mit einbeziehen. Als normale Person können wir aus einem beliebigen Kennzeichen, wie z.B. HH XY 123, keinen Rückschluss auf den Fahrer ziehen. Wir können diesen nicht feststellen oder identifizieren. Anders sieht es aus, wenn wir uns die Ermittlungsbehörden anschauen. Diese haben natürlich Zugriff auf die Halter-Datenbank und können somit den Kfz-Halter identifizieren.
Bei genauerem Blick stellen wir dann aber auch fest, dass der Halter eine natürliche Person oder aber eine juristische Person sein kann. Unternehmensfahrzeuge sind natürlich an Unternehmen gebunden. In diesem Fall ist der Halter in der Regel eine GmbH, Aktiengesellschaft oder eine sonstige Gesellschaftsform. Deswegen müssen Ermittlungsbehörden dann auch im Falle eines Bußgelds den Fahrer aus dem Unternehmen ermitteln, der dann wiederum die natürliche Person ist. So entsteht ein Personenbezug und wir reden von einer bestimmbaren natürlichen Person und somit von personenbezogenen Daten.
Das Beispiel eignet sich aber noch weiterhin, um zu ermitteln, in welchem Kontext personenbezogene Daten entstehen. Kfz-Kennzeichen sind z.B. auch für Unternehmen personenbezogene Daten. Bei einem Firmenfahrzeug muss der Arbeitgeber sich davon überzeugen, dass der Arbeitnehmer im Besitz einer gültigen Fahrerlaubnis ist. In der Regel überprüft der Arbeitgeber das, indem er sich die Fahrerlaubnis vorlegen lässt. Damit entsteht ein Personenbezug. Immer wenn der Arbeitgeber jetzt ein Fahrzeug an einen Mitarbeiter übergibt, kann identifiziert werden, welche natürliche Person zu diesem Fahrzeug gehört. Damit wird das Kfz-Kennzeichen innerhalb des Unternehmens regelmäßig zu einem personenbezogenen Datum und ist somit relevant für den Datenschutz.
Welche Ausbildung benötigen Sie für Ihren Datenschutz nach der DSGVO?
Mit unseren E-Learning Schulungen machen wir Sie fit für alle Belange des Datenschutzes im Unternehmen. In unserer Online Ausbildung zum Datenschutzbeauftragten (DSB) erfahren Sie, wie Sie als DSB die Einhaltung der Forderungen der DSGVO in Ihrem Unternehmen gewährleisten und überwachen können. Darüber hinaus können Sie auch Ihre Mitarbeiterunterweisung zum Datenschutz und zur Datensicherheit online als E-Learning durchführen. Hier finden Sie eine Übersicht zu unserem Gesamtangebot zum Datenschutz.
Sie wünschen sich ein extra auf Ihre Bedürfnisse ausgerichtetes Seminar in Ihrem Unternehmen? Mit unseren Inhouse Schulungen kommen wir zu Ihnen und schulen Sie zu Ihrem Wunschthema. Wir stehen Ihnen aber auch gerne beratend zur Seite – sprechen Sie uns einfach an.
Wer ist im Unternehmen für die Einhaltung des Datenschutzes nach der DSGVO verantwortlich?
Beim Thema Datenschutz war im BDSG seit 1979 immer die Rede von der verantwortlichen Stelle. Die Datenschutz-Grundverordnung verweist jetzt nur noch auf einen Verantwortlichen. Laut Abs. 24 DSGVO muss der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen, um die datenschutzkonforme Verarbeitung von Daten sicherzustellen. Dabei muss der Verantwortliche die Einhaltung nachweisen können. Rechtlich verantwortlich für die Einhaltung der DSGVO ist die Unternehmensleitung / die Unternehmensführung, sprich ein Geschäftsführer, ein Vorstand, ein Inhaber.
Je größer ein Unternehmen und die damit verbundene Organisation ist, umso mehr können Sie auch die Verantwortung in die Managementebene weiterleiten – z.B. an Vertriebsleiter, IT-Leiter oder Personalleiter. Auch diese sind ein Teil des Verantwortlichen und sind mit dem Inkrafttreten der Datenschutz-Grundverordnung mit in der Verantwortung für einen gelebten Datenschutz. Der Datenschutzbeauftragte dient nur als Berater und ist nur in der Verantwortung, wenn er die Vorgesetzten fehlerhaft informiert bzw. berät.
Welche Aufgaben hat ein Datenschutzbeauftragter?
Die Aufgaben des Datenschutzbeauftragten (DSB) sind vielfältig, hängen aber auch stark vom jeweiligen Unternehmen ab. In Abs. 39 DSGVO sind die wesentlichen Aufgaben definiert. Diese lassen sich dabei in beratende und in überwachende Tätigkeiten unterteilen. In der nebenstehenden Grafik finden Sie die verschiedenen Aufgaben aufgeführt.
Überwachende Tätigkeiten:
Die sicherlich wichtigste Aufgabe des Datenschutzbeauftragten ist die Überwachung der datenschutzrechtlichen Vorschriften. Dabei gilt es aber nicht nur die DSGVO, sondern auch die weiteren nationalen sowie internationalen Datenschutzvorschriften zu beachten. Zu den weiteren überwachenden Tätigkeiten eines DSB zählt unter anderem auch die Schulung und Sensibilisierung der Mitarbeiter. Diese kann z.B. durch eine Datenschutz Unterweisung erfolgen. Hier sind zumindest sämtliche Mitarbeiter einzubeziehen, die mit der Verarbeitung personenbezogener Daten betraut sind. Weiterhin fungiert der Datenschutzbeauftragte als Schnittstelle zwischen dem Unternehmen, der Aufsichtsbehörde und den Betroffenen.
Beratende Tätigkeiten:
Darüber hinaus übernimmt der DSB auch eine Beratungsfunktion im Unternehmen. So unterrichtet bzw. berät er Verantwortliche, aber auch Beschäftigte hinsichtlich ihrer Pflichten im Datenschutz. Aber auch die Beratung Betroffener hinsichtlich deren Rechte und Fragen gehört zu den Tätigkeiten des DSB. Auch die Datenschutzfolgeabschätzung inkl. Überwachung der Durchführung gem. Art. 35 DSGVO gehört im Falle einer Anfrage zu Ihren Aufgaben. Wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, sollte vor deren Einführung eine Datenschutz-Folgenabschätzung vorgenommen werden.
Die Funktion des Datenschutzbeauftragten ist dabei mit einer Stabsstelle vergleichbar. Unternehmen müssen sicherstellen, dass der DSB unabhängig ist. Er darf außerdem keinem Interessenskonflikt unterliegen.
Wie auch die modernen Managementsysteme lassen sich die Aufgaben des Datenschutzbeauftragten dem PDCA-Zyklus zuordnen. Der PDCA Zyklus sieht dabei den Problemlösungsprozess in den vier Schritten „Plan – Do – Check – Act“ vor.
Welche Vorlagen, Musterdokumente und Checklisten benötigen Sie für Ihren Datenschutz?
Wir bieten Ihnen verschiedene Checklisten und Mustervorlagen zum Datenschutz. Alle Vorlagen erhalten Sie dabei in einem offenen Format, sodass Sie diese auf Ihre Bedürfnisse anpassen und direkt im Unternehmen verwenden können. Mehr Informationen finden Sie in unserer Rubrik der Musterdokumente Datenschutz.
Unsere Serviceangebote im Bereich Datenschutz nach DSGVO
- E-Learning Kurse – steigen Sie umfassend oder kompakt ins Thema ein!
- Inhouse-Training – wir kommen zu Ihnen ins Haus
- Musterdokumente – im offenen Format zur Unterstützung Ihrer operativen Tätigkeit
- Fachzeitschrift ProSys – monatliche Fachinfos inklusive Musterdokumente
- Beratung – wir unterstützen Sie und stehen Ihnen beratend zur Seite
- Wissen – profitieren Sie von kostenlosen Fachartikeln in unserem Wissensbereich