zum Inhalt springen
Ein Mann sitzt an einem Schribtisch vor einem Monitor. Der Blick ist durch eine Glasscheibe mit Spiegelungen.

Datensicherheit und Datenschutz sind in jedem Unternehmen Pflicht

Anforderungen an die Datenverarbeitung
Um sicherzustellen, dass Bürgerinnen und Bürger sowie Unternehmen im Umgang mit Daten nicht schutzlos bleiben, ist die gewissenhafte Umsetzung von Datenschutz und Datensicherheit von größter Bedeutung. Verstöße und Nachlässigkeit können Unternehmen teuer zu stehen kommen.
Das Wichtigste in Kürze:
  • Bei der Datenverarbeitung von Informationen über Beschäftigte, Kundschaft und Co. müssen Unternehmen sich an diverse Vorschriften und Gesetze halten, unter anderem an die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG neu).

  • Verstöße dagegen können zu hohen Bußgeldern führen.

  • Durch geeignete Maßnahmen können Unternehmen Risiken und Gefahren deutlich minimieren und damit den Zustand einer möglichst hohen Datensicherheit erreichen.

Gesetzliche Grundlagen

Das Datenschutzrecht wird in Deutschland durch diverse Gesetze geregelt. Für Unternehmen ist es daher enorm wichtig, die einzelnen Gesetze und Verpflichtungen zur Datensicherheit und zum Datenschutz genau zu kennen und deren Anforderungen einzuhalten.

Unternehmensrelevante Datenschutzbestimmungen, die für den umfassenden Schutz personenbezogener Daten der Bürgerinnen und Bürger gelten, werden in der EU-Datenschutz-Grundverordnung (DSGVO)  geregelt. Da in ihr zahlreiche sogenannte Öffnungsklauseln enthalten sind, die es den nationalen Gesetzgebern gestatten, in Bezug auf einzelnen Details eigene Regelungen aufzustellen, wird die DSGVO durch nationales Recht, hierzulande in Form des Bundesdatenschutzgesetzes (BDSG neu)  und die jeweiligen Landesdatenschutzgesetze (LDSG) , ergänzt.

Auch Spezialregelungen zum Datenschutz innerhalb anderer Gesetze, wie etwa im Digitale-Dienste-Gesetz (DDG)  oder Telekommunikationsgesetz (TKG)  sind zu beachten. Nicht zu vergessen verschiedene branchenspezifische Regelungen, wie das Transplantationsgesetz (TPG) .

Was sind personenbezogene Daten?

Die Definition von personenbezogenen Daten steht in Art. 4 Nr. 1 der DSGVO. Demnach gehören dazu alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

In der Praxis der Datenverarbeitung fallen darunter beispielsweise:

  • Vor- und Nachname
  • Anschrift
  • Telefonnummer
  • E-Mail-Adresse
  • Kontodaten sowie Kreditkartenummern
  • Personalnummer
  • Kfz-Kennzeichen
  • Angaben zum Aussehen
  • IP-Adresse.

Angaben zum Beispiel zur Herkunft, zur politischen oder religiösen Einstellung, zum Gesundheitszustand oder zur Genetik sowie zur Sexualität eines Menschen sind besonders sensibel und gelten als besondere Kategorien personenbezogener Daten. Sie genießen einen zusätzlichen Schutz. Die Verarbeitung solcher Informationen ist nach Artikel 9 DSGVO mit nur wenigen Ausnahmen verboten.

0,00Millionen

Euro Bußgelder für Verstöße gegen die DSGVO wurden in Deutschland 2023 durch insgesamt 357 Bußgeldverfahren verhängt. Im Vergleich zu 2022 ein kleiner Rückgang der Höhe (5,8 Millionen Euro in 2022) und ein deutlicher Rückgang der Anzahl der Bußgelder (2022 waren es noch 453 Bußgelder). Quelle: DSGVO-Portal

Bedeutung des Datenschutzes für Unternehmen

Als Unternehmerin oder Unternehmer sind Sie dazu verpflichtet, wenn Sie personenbezogene Daten erhalten oder verarbeiten, entsprechende Datenschutzrichtlinien zu befolgen.

Der Datenschutz soll unter anderem die Grundrechte auf Privatsphäre und informationelle Selbstbestimmung einer jeden natürlichen Person – also keiner Körperschaften, Stiftungen und Gesellschaften – bewahren. Darunter fallen insbesondere auch Ihre Beschäftigten sowie Kundinnen, Kunden oder Vertragspartner.

Die Weitergabe sensibler Personendaten oder der Verstoß gegen die DSGVO und das BDSG kann weitreichende Folgen haben. Neben

  • Identitätsklau,
  • Manipulation,
  • Erpressung
  • oder Schadenersatzansprüchen

können Bußgelder in Höhe von 20 Millionen Euro oder 4 Prozent des weltweiten Firmenumsatzes drohen.

Nicht zuletzt stärken Sie durch ein hohes Datenschutzniveau das Vertrauen Ihrer Angestellten, Vertragspartner und Ihrer Kundschaft in Ihr Unternehmen, Ihre Produkte und Dienstleistungen.

Das Wichtigste zur DSGVO und wie Sie die Vorgaben einhalten, finden Sie in unserem Schwerpunktbeitrag.

Verarbeitung personenbezogener Daten

Die Grundsätze für die Verarbeitung von personenbezogenen Daten sind in Art. 5 der DSGVO geregelt. Die oberste Prämisse für die Gewährleistung des Datenschutzes: weniger ist mehr. Demnach dürfen Unternehmen nicht wahllos personenbezogene Daten sammeln und speichern. Die Erhebung von Daten muss immer begründet sein und sich auf das für die Zwecke der Datenverarbeitung notwendige Maß beschränken.

Für die Speicherung von personenbezogenen Daten bedarf es einer entsprechenden Rechtsgrundlage die sich aus Art. 6 der DSGVO ergibt.

Bei der Speicherung personenbezogener Daten müssen schließlich die technisch-organisatorischen Maßnahmen, zu finden in Art. 25, 32 ff. der DSGVO, eingehalten werden. Das kann gegebenenfalls eine Pseudonymisierung und Verschlüsselung personenbezogener Daten bedeuten.

Erfolgt die Verarbeitung personenbezogener Daten nicht auf gesetzlicher oder vertraglicher Grundlage, müssen Unternehmen vorab die freiwillige Einwilligung zur Datennutzung von der betroffenen Person einholen (Art. 7 DSGVO).

Datensicherheit versus Datenschutz

Neben dem Datenschutz, der sich ausschließlich mit personenbezogenen Daten befasst, zieht sich Datensicherheit durch sämtliche Bereiche eines Unternehmens. Es dreht sich hierbei um die Absicherung von Daten jeglicher Art – auch ohne Personenbezug, wie zum Beispiel Ihre Unternehmensstrategien. Datenschutz und Datensicherheit bedingen sich gegenseitig.

Maßnahmen zur Datensicherheit

Auch die Datensicherheit ist vor dem Hintergrund der hier aufgeführten gesetzlichen Anforderungen Pflichtprogramm für jedes Unternehmen. Maßnahmen zur Datensicherheit sollen vor Verlust, Manipulation, Ausspähen oder unberechtigtem Zugriff durch Cyberkriminelle schützen.

Datensicherheit im Unternehmen verfolgt drei grundlegende Schutzziele:

  • Vertraulichkeit: Das heißt, der Datenzugriff wird durch Zugriffsberechtigungen auf definierte Personen(kreise) beschränkt
  • Integrität: Die Richtigkeit und Unversehrtheit der Daten müssen sichergestellt sein
  • Verfügbarkeit: Ziel ist es, dass die Daten bei Bedarf jederzeit verfügbar und zugänglich sein müssen

Um Datensicherheit zu erreichen und aufrechtzuerhalten, müssen Unternehmen verschiedene technische und organisatorische Maßnahmen ergreifen.

  • Wichtige technische Maßnahmen:
    • Regelmäßige Datensicherung durch Backups
    • Netzwerksicherung durch zum Beispiel VPN-Verbindungen und starke Passwörter
    • Mehr-Faktor-Authentifizierung
    • Verwenden von stets aktueller Virenschutzsoftware
    • Datenverschlüsselung
  • Wichtige organisatorische Maßnahmen:
    • Individuelles Datensicherheitskonzept, in dem alle Maßnahmen zur Datensicherheit in Ihrem Unternehmen festgehalten werden. Das Datensicherheitskonzept kann unter anderem als Leitfaden für verantwortliche Mitarbeitende dienen.
    • Mitarbeitersensibilisierung durch regelmäßige Schulungen
    • Datenklassifizierung in festgelegte Kategorien
    • Besucherzutrittsregelungen zum Schutz vor unbefugtem Zutritt, zum Beispiel in Serverräume

Weitere Tipps zur Datensicherheit und wichtige Informationen zum Schutz vor Cyberkriminalität finden Sie in unserem Beitrag.

Die Gewährleistung höchstmöglicher Sicherheit sämtlicher Unternehmensdaten sollte zu den Zielen und zur täglichen Routine in jedem Unternehmen werden.

Sparen Sie nicht an Ihrer Sicherheit.

Lassen Sie sich von unseren Expertinnen und Experten beraten. Erreichen Sie hier Ihre Sparkasse vor Ort.
Zu meiner Sparkasse

Häufige Fragen zur Datensicherheit und zum Datenschutz

Vor allem personenbezogene Daten von Mitarbeiterinnen und Mitarbeiter sind schützenswert. Welche genau dazugehören, steht in Art. 4 Nr. 1 der DSGVO. Darüber hinaus sind Informationen zur Herkunft, zur politischen oder religiösen Einstellung, zum Gesundheitszustand oder zur Genetik sowie zur Sexualität eines Menschen besonders sensibel und gelten als besondere Kategorien personenbezogener Daten und sind daher besonders zu schützen.

2

Warum ist Datensicherheit im Unternehmen wichtig?

Datensicherheit ist wie der Datenschutz für jedes Unternehmen unabdingbar. Das Hauptziel ist es, sämtliche Daten – auch personenunabhängige wie Ihre Unternehmensstrategien – im Unternehmen umfassend vor unterschiedlichen Bedrohungen zu schützen und mögliche Gefahren zu minimieren. Bedrohungen meint hier zum Beispiel

  • Cyberattacken,
  • Verlust,
  • Manipulation
  • oder Ausspähen.

Um dies zu gewährleisten, müssen Betriebe angemessene technische und organisatorische Maßnahmen umsetzen. Diese sind auch maßgeblich entscheidend für die Einhaltung des Datenschutzes nach den geltenden Verordnungen. Verstöße oder Unachtsamkeiten können zu schwerwiegenden Konsequenzen wie Datenverlust, hohen Bußgeldern oder führen

Die drei grundlegenden Maßnahmen, um Datensicherheit herzustellen und aufrecht zu erhalten sind:

  • Vertraulichkeit: Daten dürfen nur von berechtigten Personen eingesehen werden.
  • Integrität: Es muss sichergestellt werden, dass Daten nicht unbemerkt verändert oder verfälscht werden.
  • Verfügbarkeit: Ziel ist es, dass der Zugriff auf alle Daten jederzeit gewährleistet werden muss.

Datensicherheit umfasst Maßnahmen zum Schutz aller Daten in einem Unternehmen vor Bedrohungen wie Verlust, Verfälschung, Ausspähung oder Cyberangriffen. Sie ist ein Zustand, den es in jedem Unternehmen zu erreichen und aufrechtzuhalten gilt. Dazu müssen Betriebe verschiedene Sicherheitsmaßnahmen umsetzen.

Ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte muss nach der DSGVO in der Regel benannt werden, wenn mindestens 20 Mitarbeiterinnen oder Mitarbeiter – zum Beispiel Kundenbetreuerinnen und -betreuer, Callcenter-Mitarbeitende oder Beschäftigte in der Personalabteilung – ständig mit der Verarbeitung personenbezogener Daten im Betrieb beschäftigt sind. Wenn ein Unternehmen neben personenbezogenen Daten auch die nach DSGVO besonderen Datenkategorien wie ethnische Herkunft, politische Einstellungen, Religionszugehörigkeit, Mitgliedschaft in einer Gewerkschaft, Gesundheitszustand, Sexualität etc. verarbeitet, so ist ebenfalls die Ernennung eines oder einer Datenschutzbeauftragten Pflicht.

Auch wenn die Haupttätigkeit eines Unternehmens darin besteht, regelmäßig und systematisch personenbezogene Daten zu beobachten, zum Beispiel bei datengesteuerten Marketingaktivitäten oder bei der Standortverfolgung, bedarf es eines oder einer Datenschutzbeauftragten.

Darüber hinaus kann jedes Unternehmen freiwillig einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte bestellen.

Datenschutzbeauftragter  oder -beauftragte kann zum einen innerhalb eines Betriebs in der Regel jeder Mitarbeiter oder jede Mitarbeiterin werden, wenn die persönlichen und fachlichen Voraussetzungen stimmen. Personen, die durch diese Aufgabe in einen Interessenkonflikt geraten könnten – wie Mitglieder der Unternehmensleitung, IT- und Personalleiter – sind von einer Ernennung auszuschließen.

Zum anderen kann ein Unternehmen auch eine externe Person für diese Position ernennen.

In der DSGVO ist die Rede von der „Benennung eines Datenschutzbeauftragten“. Eine Verpflichtung zu mehreren Datenschutzbeauftragten oder gar ein Verbot der Benennung weiterer Datenschutzbeauftragter findet sich dort nicht. Sicher sinnvoller, als mehrere Personen für diese Aufgabe zu ernennen, wäre in Fällen, wo die datenschutzrechtlichen Aufgaben zu umfassend sind, dem oder der Datenschutzbeauftragten ein unterstützendes Datenschutzteam an die Seite zu stellen.

Das könnte Sie auch interessieren

Porträt eines Mannes, der ein digitales Tablet in einem Serverraum benutzt. Er schaut freundlich Richtung Kamera.
Cyberkriminalität so hoch wie nie
So schützen Sie Ihr Unternehmen vor Cyberangriffen
Die Anzahl der Cyberangriffe auf Unternehmen ist so hoch wie nie. Dabei sind viele Firmen weder ausreichend informiert noch dagegen gewappnet. Wir zeigen, wie Sie sich schützen können.
Ein Mann und eine Frau in einer modernen Schneiderwerkstatt besprechen sich vor einem Laptop
Die Europäische Datenschutz-Grundverordnung (DSGVO) betrifft nicht nur große Firmen, sondern auch kleine und mittelständische Unternehmen. Hier finden Sie alle wichtigen Informationen, damit Sie Ihr Unternehmen erfolgreich und sicher durchs Datenschutz-Dickicht führen können.
Zwei Frauen stehen in einer Fabrikhalle. Sie unterhalten sich. Vor ihnen liegt ein Tablet.
Auf in die digitale Welt. Das steht bei vielen kleineren, mittleren und größeren Unternehmen auf der Agenda. Damit sie ihre Potenziale in dieser Hinsicht besser ausschöpfen können, gibt es Fördermöglichkeiten vom Bund, den Ländern sowie aus der Sparkassen-Finanzgruppe.