Datenschutz im Unternehmen: Was müssen Firmen beim Datenschutz beachten?

Unternehmen haben Zugriff auf personenbezogene Daten, die sie erheben, verarbeiten oder auswerten. Im Umgang mit sensiblen Daten ist es wichtig, die nötigen Vorkehrungen zum Datenschutz zu treffen. Dabei kommt es auch darauf an, dass die Mitarbeiter für das Thema Datenschutz sensibilisiert und ausreichend geschult sind. Verstöße gegen den Datenschutz gehen oft auf menschliche Fehler zurück. Was Verantwortliche beim Datenschutz beachten sollten.

Pflichten von Unternehmen beim Datenschutz

In der modernen Arbeitswelt haben Unternehmen mit immer mehr Daten zu tun, die sie nutzen und verarbeiten. Zu den personenbezogenen Daten, die das betreffen kann, gehören zum Beispiel demografische Daten wie das Geburtsdatum oder der Familienstand, ebenso persönliche Kennnummern wie die Sozialversicherungsnummer, IP-Adressen oder Bankdaten. Während personenbezogene Daten früher primär mit analogen Methoden verarbeitet wurden, hat sich das durch die Digitalisierung geändert. Egal, ob beim Online-Shopping, beim Online-Banking oder dem Scrollen durch soziale Netzwerke – überall hinterlassen Menschen Spuren, und damit Daten.

Unternehmen sind in der Pflicht, die nötigen Vorkehrungen für einen möglichst umfassenden Datenschutz zu treffen. In welchem Rahmen das geschehen muss, geben insbesondere die Datenschutzgrundverordnung DSGVO und das Bundesdatenschutzgesetz, kurz BDSG, vor. Die Datenschutzgrundverordnung, die seit Mai 2018 gilt, verpflichtet jedes in der Europäischen Union tätige Unternehmen zum Datenschutz. Das Bundesdatenschutzgesetz enthält zusätzliche Regelungen zum Umgang mit personenbezogenen Daten.

Firmen dürfen Daten grundsätzlich nur erheben, nutzen und verarbeiten, wenn es dafür eine Rechtsgrundlage gibt. Außerdem ist es ihnen nicht erlaubt, beliebig personenbezogene Daten zu beziehen. Die Daten müssen vielmehr für geschäftliche Vorgänge notwendig sein und es muss ein berechtigtes Interesse an der Datennutzung geben. Bei der Erhebung und Verarbeitung von Daten müssen Unternehmen einen Zweck verfolgen.

Firmen müssen sensible Daten schützen

Arbeitgeber müssen dafür sorgen, dass sensible personenbezogene Daten vor dem Zugriff von unbefugten Personen geschützt sind und einer missbräuchlichen Verwendung von Daten durch geeignete Maßnahmen vorbeugen. Sollen personenbezogene Daten für Werbung oder Marketing genutzt werden, müssen die Betroffenen dem zugestimmt haben. Sie können einer solchen Nutzung aber noch nachträglich widersprechen. In diesem Fall darf das Unternehmen die Daten nicht mehr verwenden. Seit Mai 2018 bedarf es einer expliziten Einwilligung von Betroffenen für die Nutzung und Verarbeitung von persönlichen Daten. Unternehmen dürfen nicht mehr von einem stillschweigenden Einverständnis ausgehen.

Unternehmen müssen nicht nur die persönlichen Daten von Kunden oder anderen externen Personen schützen, soweit sie damit in Kontakt kommen. Der Datenschutz im Unternehmen erstreckt sich auch auf die personenbezogenen Daten der Mitarbeiter. Ihre persönlichen Daten dürfen nur erhoben oder verarbeitet werden, soweit es im Rahmen des Arbeitsverhältnisses oder eines möglichen Arbeitsverhältnisses notwendig ist. Wenn Betroffene es verlangen, müssen Unternehmen zudem Auskunft darüber geben, welche Daten sie erheben und verarbeiten und ob sie die Daten an Dritte weitergegeben haben.

Personenbezogene Daten dürfen nicht länger als nötig gespeichert werden. Es gibt keine allgemeingültigen Speicher- und Löschfristen; die Speicherung von Daten ist jedoch nur erlaubt, so lange es für die Zwecke, für die sie erhoben und verarbeitet wurden, erforderlich ist.

Wer ist im Unternehmen für Datenschutz verantwortlich? Verantwortlich dafür, dass die datenschutzrechtlichen Bestimmungen eingehalten werden, sind die Vertretungsberechtigten des Unternehmens. Das ist in der Regel die Geschäftsführung, der Vorstand oder Manager.

Warum ist Datenschutz im Unternehmen wichtig?

Datenschutz spielt für Unternehmen eine wichtige Rolle. Durch gesetzliche Bestimmungen sind sie ohnehin zum umfassenden Schutz von personenbezogenen Daten verpflichtet, zugleich sprechen auch andere Argumente für Datenschutz am Arbeitsplatz:

• Datenschutz im Unternehmen ist wichtig, um nicht gegen geltendes Recht zu verstoßen. Bei Verstößen gegen den Datenschutz drohen Strafen für Unternehmen – wer den Datenschutz nicht ernst nimmt, riskiert Bußgelder oder könnte sich schadensersatzpflichtig machen
• Persönliche Daten so gut es geht zu schützen, macht auch im Hinblick auf das eigene Image Sinn für Unternehmen. Verbraucher vertrauen Unternehmen eher, wenn diese sich ernsthaft um Datenschutz bemühen. Dieser Aspekt kann Kaufentscheidungen beeinflussen, weshalb Firmen Wettbewerbsvorteile haben können, wenn sie dem Datenschutz einen hohen Wert beimessen. Wer es hingegen mit dem Datenschutz nicht so eng sieht, riskiert Imageschäden, die den wirtschaftlichen Erfolg von Firmen negativ beeinflussen können
• Gegenüber den eigenen Mitarbeitern ist Datenschutz ebenfalls wichtig: Es zeugt von Wertschätzung, die sensiblen Daten von Beschäftigten zu schützen. Hohe Maßstäbe beim Datenschutz am Arbeitsplatz können ein Unternehmen als Arbeitgeber attraktiver machen – ein Pluspunkt im Wettkampf um die besten Fachkräfte

Datenschutz durch technische und organisatorische Maßnahmen

Zu den Datenschutz-Pflichten von Arbeitgebern gehört es, geeignete technische und organisatorische Maßnahmen zum Schutz von persönlichen Daten zu ergreifen. Wie kann ein solcher Datenschutz aussehen?

In technischer Hinsicht können Daten unter anderem durch Verschlüsselung, Passwortschutz und eine sichere Aufbewahrung von Daten geschützt werden. Unternehmen können Firewalls einsetzen oder Protokolle (Logging) erstellen, Sicherheitsabfragen oder biometrische Nutzeridentifikationen verwenden. Ebenso kann der technische Datenschutz im Unternehmen Maßnahmen umfassen, die Anlagen schützen, in denen Daten verarbeitet werden. Das können Türsicherungen zum Zugriffsschutz ebenso sein wie Alarmanlagen, Zäune, abschließbare Schränke oder Videokameras.

Technische Maßnahmen reichen nicht aus, um Daten zu schützen. Es braucht auch flankierende organisatorische Ansätze. Hierbei geht es in erster Linie darum, wie intern mit personenbezogenen Daten umgegangen wird und welche Personen in Kontakt mit welchen persönlichen Daten kommen. Im Fokus stehen betriebliche Abläufe und Sicherheitsvorkehrungen. Zu den organisatorischen Maßnahmen zum Datenschutz können unter anderem die folgenden Aspekte zählen:

• Aufklärung und Schulungen der Mitarbeiter
• Benennung eines Datenschutzbeauftragten
• Erarbeitung eines umfassenden Datenschutzkonzepts (Wie werden Daten erhoben, genutzt, verarbeitet, gespeichert und gelöscht?)
• Verpflichtung der Mitarbeiter zum vertraulichen Umgang mit Daten
• Konzepte zum Umgang mit Datenpartnern
• Dokumentation
• Verpflichtungserklärungen

IT-Sicherheit für besseren Datenschutz

IT-Sicherheit ist die Voraussetzung für den Datenschutz. Die Daten von Kunden, Geschäftskontakten, Internetnutzern und Mitarbeitern müssen sicher sein. Vertrauliche Daten dürfen nicht Unbefugten in die Hände fallen, die sich zum Beispiel durch Cyberangriffe Zugriff darauf verschaffen.

Verantwortliche Personen in Firmen müssen für eine ausreichende IT-Sicherheit sorgen. Digital gespeicherte Daten können beispielsweise mit spezieller Software, Verschlüsselungen, regelmäßigen Software-Updates und Firewalls geschützt werden. Bei der Auswahl von IT-Systemen sollten Verantwortliche genau hinsehen. Sensible Daten können je nach System besser oder schlechter geschützt sein. Es kommt auch darauf an, wo Daten gespeichert werden. Wichtig ist auch, mögliche Schwachstellen und Angriffspunkte ausfindig zu machen. Es kann sich lohnen, Systeme durch Experten überprüfen zu lassen. Sie können Optimierungspotenzial aufdecken und geeignete Datenschutzmaßnahmen vorschlagen.

Viele Beschäftigte arbeiten nicht nur vor Ort im Unternehmen, sondern auch unterwegs oder zuhause mit mobilen Geräten wie Smartphones oder Laptops. Auch darauf müssen Daten gut geschützt sein, zum Beispiel für den Fall eines Verlusts oder Angriffe von außen. Dabei kommt es einerseits auf einen möglichst guten Schutz der Daten an, andererseits ist es wichtig, dass Arbeitnehmer sensible Daten durch umsichtiges Verhalten im Umgang damit schützen.

Cloud Computing spielt für die meisten Unternehmen eine wichtige Rollen. Damit sind jedoch gewisse Risiken verbunden, zum Beispiel der Verlust von Daten, ein Zugriff auf persönliche Daten durch den Anbieter oder Dritte, aber auch die missbräuchliche Nutzung von Accounts. Es ist wichtig, dass Unternehmen auf sicheres Cloud Computing achten. So muss zum Beispiel die Datenhoheit – die Verfügungsgewalt über Daten – sichergestellt sein. Verantwortliche sollten auf die Feinheiten von Cloud-Computing-Verträgen achten, um Risiken für den Datenschutz zu minimieren.

Daten schützen bei der Kommunikation über E-Mail, Telefon & Social Media

Auch bei der internen und externen Kommunikation ist es wichtig, Daten zu schützen. Das gilt zum Beispiel für die Kommunikation mit E-Mails. Persönliche Daten sind zum Beispiel die E-Mail-Adresse selbst und der Inhalt der Nachricht. Es ist nicht ohne Weiteres erlaubt, E-Mails weiterzuleiten oder sie Dritte lesen zu lassen. Hierfür wäre das Einverständnis des digitalen Gesprächspartners erforderlich. Der Versand von Newslettern und anderer Werbung ist nur erlaubt, wenn die Empfänger dem Empfang solcher E-Mails ausdrücklich zugestimmt haben.

Besondere Vorsicht ist im Umgang mit E-Mail-Verteilern geboten. Es ist zum Beispiel nach den Bestimmungen der DSGVO nicht erlaubt, E-Mails an Verteiler zu schicken, die für alle Beteiligten einsehbar sind. Die übrigen E-Mail-Adressen müssen also verborgen werden. Auch bei der Aufbewahrung von E-Mails ist ein umsichtiges Verhalten gefragt. Es sollte außerdem sichergestellt werden, dass die E-Mails beim Provider sicher sind. Wer E-Mails verschickt, sollte darauf achten, keine privaten Informationen im Betreff der E-Mail zu erwähnen.

Der E-Mail-Datenschutz am Arbeitsplatz betrifft auch das Verhältnis zwischen Arbeitgebern und Beschäftigten. Arbeitgeber dürfen nicht einfach so Einsicht in die E-Mails ihrer Mitarbeiter verlangen. Es kommt dabei darauf an, ob der E-Mail-Account auch privat mitgenutzt werden darf. Wenn nicht, ist in begründeten Fällen vorstellbar, dass der Arbeitgeber die E-Mails seiner Beschäftigten liest beziehungsweise sich zeigen lässt.

Datenschutz und Social Media vertragen sich oft nicht

Zu den Pflichten von Unternehmen beim Datenschutz gehört auch, personenbezogene Daten in Telefonaten zu schützen. Persönliche Daten in diesem Zusammenhang können zum Beispiel Namen, Telefonnummern und das Anliegen der Person sein. Telefongespräche dürfen außerdem nicht ohne die Zustimmung der Betroffenen aufgezeichnet werden. Beschäftigte sollten zudem vorsichtig sein, an welchen Orten sie worüber sprechen – in der Öffentlichkeit über private Dinge zu sprechen ist nicht angebracht.

Die Nennung von Namen und Details in Telefonaten, wenn andere sie mithören können, kann einen Verstoß gegen den Datenschutz durch die Mitarbeiter darstellen. Problematisch wäre es auch, über Lautsprecher zu telefonieren – zum Beispiel bei Fahrten im Auto –, wenn man von Unbeteiligten begleitet wird.

Die meisten Unternehmen kommunizieren über Social-Media-Kanäle mit ihren Followern und Interessierten. Das ist im Hinblick auf den Datenschutz besonders problematisch, da der Datenschutz auf solchen Portalen meist nicht in ausreichendem Maße gewährleistet ist. Auch hier gilt: Es ist nur erlaubt, persönliche Daten zu erheben, speichern oder zu nutzen, wenn die betreffende Person dem zugestimmt hat, soweit die Daten nicht öffentlich zugänglich sind. Es ist auch riskant, Fotos zu teilen, wenn die nötige Berechtigung möglicherweise nicht vorliegt – auch das könnte einen Datenschutz-Verstoß darstellen.

Mitarbeiter für Datenschutz sensibilisieren

Verstöße gegen den Datenschutz hängen in den meisten Fällen mit menschlichem (Fehl-)Verhalten zusammen. Deshalb ist es für Verantwortliche in Unternehmen entscheidend, die Mitarbeiter ausreichend für das Thema zu sensibilisieren. Die Beschäftigten müssen wissen, welche Fallstricke sich im Zusammenhang mit dem Datenschutz bei verschiedenen Tätigkeiten ergeben können und wie sie Datenschutz-Verstößen vorbeugen können. Wenn sich Mitarbeiter darüber im Klaren sind, wie wichtig Datenschutz ist und was diesbezüglich zu beachten ist, sind Verstöße unwahrscheinlicher. Dadurch können Verantwortliche Schaden vom Unternehmen fernhalten und das Risiko für Imageschäden reduzieren.

Beschäftigte sollten zum Beispiel vorsichtig im Umgang mit E-Mails sein. Sie sollten wissen, wie sie Phishing-E-Mails erkennen und wie sie darauf reagieren können. Je stärker die Mitarbeiter für Betrugsversuche sensibilisiert sind, desto unwahrscheinlicher ist es, dass sie zum Opfer davon werden. Ebenso wichtig ist es, personenbezogene Daten vor dem Zugriff von Unbefugten zu schützen, zum Beispiel bei der Arbeit im Homeoffice.

Um die Mitarbeiter über Datenschutz-Aspekte aufzuklären, können sich Schulungen anbieten. Dabei erfahren die Beschäftigten mehr über die sichere und datenschutzkonforme Erhebung, Speicherung und Nutzung von personenbezogenen Daten. Sie sollten auch wissen, was sie bei Verstößen gegen den Datenschutz tun können oder müssen. Als Alternative zu Schulungen, bei denen die Beteiligten persönlich anwesend sind, können sich virtuelle Angebote eignen.

Zugleich ist es wichtig, es nicht bei einmaligen Aufklärungen zu belassen. Datenschutz sollte im Geschäftsalltag eine wichtige Rolle spielen und immer wieder thematisiert werden. Es ist Aufgabe von Führungskräften, das Thema Datenschutz präsent zu halten und den Mitarbeitern das nötige Wissen an die Hand zu geben, damit sie sich datenschutzkonform verhalten.

Wie umgehen mit Datenschutzverletzungen?

Verstöße gegen den Datenschutz können sich im Berufsalltag immer ergeben – auch dann, wenn in Unternehmen vorbildlich mit dem Thema umgegangen wird und geeignete Schutzmaßnahmen ergriffen werden.

Entscheidend ist, dass Verstöße gegen den Datenschutz überhaupt als solche erkannt werden. Auch hierfür ist es wichtig, Beschäftigte für datenschutzrechtliche Belange zu sensibilisieren. Im zweiten Schritt stellt sich die Frage, wie mit dem Datenschutzverstoß oder eine Datenschutzverletzung umgegangen werden kann und sollte. Möglicherweise ergeben sich auch Pflichten für Unternehmen: Es kann sein, dass der Vorfall an eine Aufsichtsbehörde gemeldet werden muss. Vielleicht müssen auch Geschäftspartner informiert werden.

Verantwortliche sollten prüfen, wie groß das Risiko für Betroffene durch die Datenschutzpanne ist. Bei einem großen Risiko sieht die DSGVO vor, dass die Betroffenen unverzüglich informiert werden. Datenschutzbeauftragte können einschätzen, wie gravierend der Vorfall ist und welche nächsten Schritte sinnvoll sind. Wird ein Datenschutzvorfall nicht gemeldet, obwohl das verpflichtend wäre, drohen Unternehmen Bußgelder.

Unabhängig davon, wozu Unternehmen gesetzlich verpflichtet sind, empfiehlt sich ein offener Umgang mit Datenschutzverletzungen. Transparenz schafft Vertrauen und kann helfen, Rufschäden zu vermeiden. Ein verantwortungsbewusster Umgang mit Datenpannen kann Fehler und Versäumnisse in vielen Fällen zumindest ein Stück weit ausbügeln.

Fazit: Datenschutz als wichtige Aufgabe für Unternehmen

• Durch die Digitalisierung haben viele Unternehmen heute Zugriff auf mehr personenbezogene Daten als je zuvor. Das macht einen verantwortungsbewussten Datenschutz erforderlich.
• Datenschutz ist für Unternehmen nicht nur gesetzlich verpflichtend, es lohnt sich aber auch aus Image-Gründen, sich dafür einzusetzen.
• Datenschutz im Unternehmen ist über technische und organisatorische Maßnahmen möglich.
• Datenschutz-Checklisten für Unternehmen können als Orientierung bei der Erarbeitung von individuellen Maßnahmen dienen.
• Es ist wichtig, die Mitarbeiter für das Thema Datenschutz zu sensibilisieren. Sie sind meist die Schwachstelle, wenn es zu Datenpannen und Datenschutzverstößen kommt.

Bildnachweis: Monster Ztudio / Shutterstock.com