Bei der Datenverarbeitung von Informationen über Beschäftigte, Kundschaft und Co. müssen Unternehmen sich an diverse Vorschriften und Gesetze halten, unter anderem an die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG neu).
Verstöße dagegen können zu hohen Bußgeldern führen.
Durch geeignete Maßnahmen können Unternehmen Risiken und Gefahren deutlich minimieren und damit den Zustand einer möglichst hohen Datensicherheit erreichen.
Gesetzliche Grundlagen
Das Datenschutzrecht wird in Deutschland durch diverse Gesetze geregelt. Für Unternehmen ist es daher enorm wichtig, die einzelnen Gesetze und Verpflichtungen zur Datensicherheit und zum Datenschutz genau zu kennen und deren Anforderungen einzuhalten.
Unternehmensrelevante Datenschutzbestimmungen, die für den umfassenden Schutz personenbezogener Daten der Bürgerinnen und Bürger gelten, werden in der EU-Datenschutz-Grundverordnung (DSGVO) geregelt. Da in ihr zahlreiche sogenannte Öffnungsklauseln enthalten sind, die es den nationalen Gesetzgebern gestatten, in Bezug auf einzelnen Details eigene Regelungen aufzustellen, wird die DSGVO durch nationales Recht, hierzulande in Form des Bundesdatenschutzgesetzes (BDSG neu) und die jeweiligen Landesdatenschutzgesetze (LDSG) , ergänzt.
Auch Spezialregelungen zum Datenschutz innerhalb anderer Gesetze, wie etwa im Digitale-Dienste-Gesetz (DDG) oder Telekommunikationsgesetz (TKG) sind zu beachten. Nicht zu vergessen verschiedene branchenspezifische Regelungen, wie das Transplantationsgesetz (TPG) .
Was sind personenbezogene Daten?
Die Definition von personenbezogenen Daten steht in Art. 4 Nr. 1 der DSGVO. Demnach gehören dazu alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
In der Praxis der Datenverarbeitung fallen darunter beispielsweise:
- Vor- und Nachname
- Anschrift
- Telefonnummer
- E-Mail-Adresse
- Kontodaten sowie Kreditkartenummern
- Personalnummer
- Kfz-Kennzeichen
- Angaben zum Aussehen
- IP-Adresse.
Angaben zum Beispiel zur Herkunft, zur politischen oder religiösen Einstellung, zum Gesundheitszustand oder zur Genetik sowie zur Sexualität eines Menschen sind besonders sensibel und gelten als besondere Kategorien personenbezogener Daten. Sie genießen einen zusätzlichen Schutz. Die Verarbeitung solcher Informationen ist nach Artikel 9 DSGVO mit nur wenigen Ausnahmen verboten.
0,00Millionen
Euro Bußgelder für Verstöße gegen die DSGVO wurden in Deutschland 2023 durch insgesamt 357 Bußgeldverfahren verhängt. Im Vergleich zu 2022 ein kleiner Rückgang der Höhe (5,8 Millionen Euro in 2022) und ein deutlicher Rückgang der Anzahl der Bußgelder (2022 waren es noch 453 Bußgelder). Quelle: DSGVO-Portal
Bedeutung des Datenschutzes für Unternehmen
Als Unternehmerin oder Unternehmer sind Sie dazu verpflichtet, wenn Sie personenbezogene Daten erhalten oder verarbeiten, entsprechende Datenschutzrichtlinien zu befolgen.
Der Datenschutz soll unter anderem die Grundrechte auf Privatsphäre und informationelle Selbstbestimmung einer jeden natürlichen Person – also keiner Körperschaften, Stiftungen und Gesellschaften – bewahren. Darunter fallen insbesondere auch Ihre Beschäftigten sowie Kundinnen, Kunden oder Vertragspartner.
Die Weitergabe sensibler Personendaten oder der Verstoß gegen die DSGVO und das BDSG kann weitreichende Folgen haben. Neben
- Identitätsklau,
- Manipulation,
- Erpressung
- oder Schadenersatzansprüchen
können Bußgelder in Höhe von 20 Millionen Euro oder 4 Prozent des weltweiten Firmenumsatzes drohen.
Nicht zuletzt stärken Sie durch ein hohes Datenschutzniveau das Vertrauen Ihrer Angestellten, Vertragspartner und Ihrer Kundschaft in Ihr Unternehmen, Ihre Produkte und Dienstleistungen.
Das Wichtigste zur DSGVO und wie Sie die Vorgaben einhalten, finden Sie in unserem Schwerpunktbeitrag.
Verarbeitung personenbezogener Daten
Die Grundsätze für die Verarbeitung von personenbezogenen Daten sind in Art. 5 der DSGVO geregelt. Die oberste Prämisse für die Gewährleistung des Datenschutzes: weniger ist mehr. Demnach dürfen Unternehmen nicht wahllos personenbezogene Daten sammeln und speichern. Die Erhebung von Daten muss immer begründet sein und sich auf das für die Zwecke der Datenverarbeitung notwendige Maß beschränken.
Für die Speicherung von personenbezogenen Daten bedarf es einer entsprechenden Rechtsgrundlage die sich aus Art. 6 der DSGVO ergibt.
Bei der Speicherung personenbezogener Daten müssen schließlich die technisch-organisatorischen Maßnahmen, zu finden in Art. 25, 32 ff. der DSGVO, eingehalten werden. Das kann gegebenenfalls eine Pseudonymisierung und Verschlüsselung personenbezogener Daten bedeuten.
Erfolgt die Verarbeitung personenbezogener Daten nicht auf gesetzlicher oder vertraglicher Grundlage, müssen Unternehmen vorab die freiwillige Einwilligung zur Datennutzung von der betroffenen Person einholen (Art. 7 DSGVO).
Datensicherheit versus Datenschutz
Neben dem Datenschutz, der sich ausschließlich mit personenbezogenen Daten befasst, zieht sich Datensicherheit durch sämtliche Bereiche eines Unternehmens. Es dreht sich hierbei um die Absicherung von Daten jeglicher Art – auch ohne Personenbezug, wie zum Beispiel Ihre Unternehmensstrategien. Datenschutz und Datensicherheit bedingen sich gegenseitig.
Maßnahmen zur Datensicherheit
Auch die Datensicherheit ist vor dem Hintergrund der hier aufgeführten gesetzlichen Anforderungen Pflichtprogramm für jedes Unternehmen. Maßnahmen zur Datensicherheit sollen vor Verlust, Manipulation, Ausspähen oder unberechtigtem Zugriff durch Cyberkriminelle schützen.
Datensicherheit im Unternehmen verfolgt drei grundlegende Schutzziele:
- Vertraulichkeit: Das heißt, der Datenzugriff wird durch Zugriffsberechtigungen auf definierte Personen(kreise) beschränkt
- Integrität: Die Richtigkeit und Unversehrtheit der Daten müssen sichergestellt sein
- Verfügbarkeit: Ziel ist es, dass die Daten bei Bedarf jederzeit verfügbar und zugänglich sein müssen
Um Datensicherheit zu erreichen und aufrechtzuerhalten, müssen Unternehmen verschiedene technische und organisatorische Maßnahmen ergreifen.
- Wichtige technische Maßnahmen:
- Regelmäßige Datensicherung durch Backups
- Netzwerksicherung durch zum Beispiel VPN-Verbindungen und starke Passwörter
- Mehr-Faktor-Authentifizierung
- Verwenden von stets aktueller Virenschutzsoftware
- Datenverschlüsselung
- Wichtige organisatorische Maßnahmen:
- Individuelles Datensicherheitskonzept, in dem alle Maßnahmen zur Datensicherheit in Ihrem Unternehmen festgehalten werden. Das Datensicherheitskonzept kann unter anderem als Leitfaden für verantwortliche Mitarbeitende dienen.
- Mitarbeitersensibilisierung durch regelmäßige Schulungen
- Datenklassifizierung in festgelegte Kategorien
- Besucherzutrittsregelungen zum Schutz vor unbefugtem Zutritt, zum Beispiel in Serverräume
Weitere Tipps zur Datensicherheit und wichtige Informationen zum Schutz vor Cyberkriminalität finden Sie in unserem Beitrag.
Die Gewährleistung höchstmöglicher Sicherheit sämtlicher Unternehmensdaten sollte zu den Zielen und zur täglichen Routine in jedem Unternehmen werden.
Sparen Sie nicht an Ihrer Sicherheit.
Häufige Fragen zur Datensicherheit und zum Datenschutz
Vor allem personenbezogene Daten von Mitarbeiterinnen und Mitarbeiter sind schützenswert. Welche genau dazugehören, steht in Art. 4 Nr. 1 der DSGVO. Darüber hinaus sind Informationen zur Herkunft, zur politischen oder religiösen Einstellung, zum Gesundheitszustand oder zur Genetik sowie zur Sexualität eines Menschen besonders sensibel und gelten als besondere Kategorien personenbezogener Daten und sind daher besonders zu schützen.
Welche drei Tätigkeiten tragen zur Datensicherheit bei?
Die drei grundlegenden Maßnahmen, um Datensicherheit herzustellen und aufrecht zu erhalten sind:
- Vertraulichkeit: Daten dürfen nur von berechtigten Personen eingesehen werden.
- Integrität: Es muss sichergestellt werden, dass Daten nicht unbemerkt verändert oder verfälscht werden.
- Verfügbarkeit: Ziel ist es, dass der Zugriff auf alle Daten jederzeit gewährleistet werden muss.
Was versteht man unter dem Begriff Datensicherheit?
Datensicherheit umfasst Maßnahmen zum Schutz aller Daten in einem Unternehmen vor Bedrohungen wie Verlust, Verfälschung, Ausspähung oder Cyberangriffen. Sie ist ein Zustand, den es in jedem Unternehmen zu erreichen und aufrechtzuhalten gilt. Dazu müssen Betriebe verschiedene Sicherheitsmaßnahmen umsetzen.
Wann muss ein Unternehmen einen Datenschutzbeauftragten bestellen?
Ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte muss nach der DSGVO in der Regel benannt werden, wenn mindestens 20 Mitarbeiterinnen oder Mitarbeiter – zum Beispiel Kundenbetreuerinnen und -betreuer, Callcenter-Mitarbeitende oder Beschäftigte in der Personalabteilung – ständig mit der Verarbeitung personenbezogener Daten im Betrieb beschäftigt sind. Wenn ein Unternehmen neben personenbezogenen Daten auch die nach DSGVO besonderen Datenkategorien wie ethnische Herkunft, politische Einstellungen, Religionszugehörigkeit, Mitgliedschaft in einer Gewerkschaft, Gesundheitszustand, Sexualität etc. verarbeitet, so ist ebenfalls die Ernennung eines oder einer Datenschutzbeauftragten Pflicht.
Auch wenn die Haupttätigkeit eines Unternehmens darin besteht, regelmäßig und systematisch personenbezogene Daten zu beobachten, zum Beispiel bei datengesteuerten Marketingaktivitäten oder bei der Standortverfolgung, bedarf es eines oder einer Datenschutzbeauftragten.
Darüber hinaus kann jedes Unternehmen freiwillig einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte bestellen.
Wer darf im Unternehmen Datenschutzbeauftragter sein?
Datenschutzbeauftragter oder -beauftragte kann zum einen innerhalb eines Betriebs in der Regel jeder Mitarbeiter oder jede Mitarbeiterin werden, wenn die persönlichen und fachlichen Voraussetzungen stimmen. Personen, die durch diese Aufgabe in einen Interessenkonflikt geraten könnten – wie Mitglieder der Unternehmensleitung, IT- und Personalleiter – sind von einer Ernennung auszuschließen.
Zum anderen kann ein Unternehmen auch eine externe Person für diese Position ernennen.
Wie viele Datenschutzbeauftragte braucht ein Unternehmen?
In der DSGVO ist die Rede von
der „Benennung eines Datenschutzbeauftragten“. Eine Verpflichtung zu mehreren Datenschutzbeauftragten
oder gar ein Verbot der Benennung weiterer
Datenschutzbeauftragter findet sich dort nicht. Sicher sinnvoller, als mehrere
Personen für diese Aufgabe zu ernennen, wäre in Fällen, wo die datenschutzrechtlichen
Aufgaben zu umfassend sind, dem oder der Datenschutzbeauftragten ein
unterstützendes Datenschutzteam an die Seite zu stellen.