Welche Anforderungen stellt der Datenschutz an Unternehmen?

13 Nov Welche Anforderungen stellt der Datenschutz an Unternehmen?

Der Datenschutz an Unternehmen ist heute ein großes Thema. Denn dass die Digitalisierung im unternehmerischen Bereich längst angekommen ist, bringt zwar viele Vorteile mit sich. Produktionsprozesse können z. B. schneller gesteuert werden. Lieferwege verkürzen sich, weil Bestellung und Warenannahme komfortabler organisiert werden. Die Buchhaltung schickt die Rechnung gleich nach Ausführung des Auftrags an den Kunden und die Kommunikation verläuft mit der Nutzung eines E-Mailprogramms auch flexibler.

 

Dennoch ist bei aller Euphorie auch Vorsicht geboten. Der wirtschaftliche Schaden durch den Missbrauch von Daten geht allein in Deutschland in die Milliardenhöhe. Datenklau, Industriespionage und Sabotage werden in deutschen Unternehmen immer salonfähiger. Daneben übernehmen die Unternehmen auch eine Verpflichtung, wenn sie die Kunden um ihre E-Mal bitten oder zu einer Zahlung auffordern und dafür die benötigten Daten erheben.

 

Damit ein Unternehmen nicht nur wichtige interne Informationen und Betriebsgeheimnisse schützt, sondern auch sorgsam mit den personenbezogenen Daten der Kunden umgeht, hat die Europäische Union den Datenschutz in Unternehmen innerhalb der Europäischen Union neu geregelt. In Deutschland finden außerdem das Bundesdatenschutzgesetz und die datenschutzrechtlichen Bestimmungen der Länder Anwendung.

 

Die rechtlichen Grundlagen des Datenschutzes

 

Die rechtlichen Grundlagen des Datenschutzes, die insbesondere von Betrieben zu beachten sind, finden sich in der Datenschutzgrundverordnung, dem Bundesdatenschutzgesetz und den Regelungen, die die einzelnen Bundesländer zum Schutz der Daten getroffen hat.

 

Die Datenschutzgrundverordnung (DSGVO)

 

Um den Herausforderungen zielgerichtet zu begegnen, die der Datenschutz an ein Unternehmen stellt, das im Zuge der zunehmenden Globalisierung immer größere Datenmengen verarbeitet, hat die Europäische Union im Frühjahr 2018 die Datenschutzgrundverordnung – DSGVO – auf den Weg gebracht. Die hier geregelten Bestimmungen sind für jeden Betrieb, der in einem Mitgliedsstaat der Europäischen Union ansässig ist, verbindlich.

 

In der gesetzlichen Grundlage auf europäischer Ebene ist festgelegt, dass jedes Unternehmen bei bestimmten Voraussetzungen einen externen Datenschutzbeauftragten bestellen muss. Zu diesen Voraussetzungen zählt z. B., dass das Unternehmen große Datenmengen erhebt und für betriebseigene Zwecke speichert.

 

Ein weiteres Thema, das die DSGVO behandelt ist die sachgemäße Auftragsverarbeitung. Mit der Auftragsverarbeitung ist neben dem Erheben und der Verarbeitung auch die Nutzung personenbezogener Daten gemeint. Art 28 Absatz 3 DSGVO führt bestimmte Mindestanforderungen auf, die ein Betrieb bei der Auftragsverarbeitung zu beachten hat. So muss bei der Auftragsverarbeitung z. B. insbesondere geklärt werden, welcher Art die Daten sind, die der Betrieb von seinem Kunden für eine weitere Verarbeitung speichert.

 

Die für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortliche Person muss überdies noch weiter Pflichten erfüllen. Bei der verantwortlichen Person kann es sich in kleineren Betrieben um den Unternehmer selbst handeln. In größeren Konzernen muss die Aufgabe zwingend an einen externen Datenschutzbeauftragten delegiert werden. In jedem Fall muss ein Verzeichnis bestehen. Dies gibt über alle Verarbeitungstätigkeiten Auskunft, die im Zusammenhang mit der Speicherung externer Daten stehen. Weitere Angaben geben an, welche technischen und organisatorischen Maßnahmen ein Betrieb ergriffen hat, um den Datenschutz im eigenen Unternehmen umzusetzen.

 

Der Einsatz von Cookies

 

Eine weitere Regelung trifft die DSGVO mit dem Einsatz von Cookies. Die Europäische Union hat zwar bewusst darauf verzichtet, den Begriff in dem Gesetzestext explizit zu nennen. Dennoch geht die EUGH-Rechtsprechung davon aus, dass jeder Webseitenbetreiber die Einwilligung der Nutzer zur Speicherung personenbezogener Daten einholen muss. Dies geschieht durch das Setzen sogenannter Cookies.

 

Cookies sind kleine Textdateien, die es einem Webseitenbetreiber ermöglichen, personenbezogene Daten zu speichern und zu verarbeiten. Damit er dies darf, muss ein Besucher seiner Webseite der Nutzung von Cookies zustimmen. Dieser profitiert davon, dass er sich z. B. nicht noch einmal anmelden muss, wenn er die Webseite erneut besucht.

 

In der DSGVO hat der europäische Gesetzgeber überdies ein besonderes Auskunftsrecht der betroffenen Personen geregelt. Der Besucher einer Webseite kann verlangen, dass der Betreiber ihn über die Verarbeitung seiner personenbezogenen Daten unterrichtet. Außerdem kann er sowohl eine Berichtigung der Daten als auch eine Löschung verlangen.

 

Kommt der Webseitenbetreiber seiner Verpflichtung nicht nach, muss er mit Sanktionen rechnen. Auch das Sanktionsrecht hat Eingang in die Datenschutzgrundverordnung der Europäischen Union gefunden. Hiernach ist die zuständige Aufsichtsbehörde für den Datenschutz z. B. berechtigt, ein Bußgeld gegen das Unternehmen zu verhängen.

 

Das Bundesdatenschutzgesetz

 

Im Bundesdatenschutzgesetz hat der deutsche Gesetzgeber die europäische Datenschutzrichtlinie der europäischen Union in nationales Recht umgesetzt. Hiermit sollen die Nutzer vor einer Verletzung ihrer Persönlichkeitsrechte geschützt werden. Deshalb stellt auch das Bundesdatenschutzgesetz hohe Anforderungen, an den Datenschutz und deren Umsetzung in den Unternehmen.

 

Die Legitimation des hat das Bundesverfassungsgericht bestätigt. In der Begründung heißt es, dass ein Nutzer im Internet nicht überschauen kann, was mit seinen Daten passiert, wenn er sich z. B. für einen Newsletter anmeldet oder seine Bankdaten weitergibt, weil er eine Leistung bezahlen möchte. Um das Persönlichkeitsrecht des Einzelnen zu wahren, verpflichtet das Bundesdatenschutzgesetz jeden Webseitenbetreiber daher sorgfältig mit den Daten umzugehen. Ein Nutzer darf in keinem Fall die vollständige Kontrolle verlieren.

 

Regelungen zum Datenschutz auf Länderebene

 

Zusätzlich zur DSGVO und zum Bundesdatenschutzgesetz haben die einzelnen Bundesländer Bestimmungen zum Datenschutz in Unternehmen getroffen. Beispielhaft wird hier das Datenschutzgesetz aus Nordrhein-Westfalen angeführt.

 

Das Gesetz regelt insbesondere den Umgang im unternehmerischen Bereich, wenn der Betrieb personenbezogene Daten erhebt. So überträgt das Gesetz die Verantwortung für den Datenschutz an die Stelle, die die Daten erhebt und verarbeitet. Hierfür ist in jedem Fall die Zustimmung der Person erforderlich, dessen Daten der Betrieb erhebt. Werden die Daten trotz des Fehlens der Einwilligung erhoben, muss der Betrieb die rechtlichen Konsequenzen tragen.

 

Kein Konzernprivileg – Wie ist der Datenschutz in Konzernen geregelt?

 

Das Konzernprivileg für große Konzerne findet bei den datenschutzrechtlichen Bestimmungen keine Anwendung. Unternehmen, die sich zu einem Konzernverbund zusammenschließen, können insbesondere steuerliche Erleichterungen und andere wirtschaftliche Vorteile für sich in Anspruch nehmen.

 

Hierzu zählen aber nicht die Bestimmungen der DSGVO und des Bundesdatenschutzgesetzes. Nach den Bestimmungen, die der Gesetzgeber hier getroffen hat, ist jeder Betrieb, der einem Konzern angehört als eigenständige Stelle zu betrachten. Das bedeutet, jeder Betrieb muss für sich Maßnahmen ergreifen, die dazu beitragen, dass der Datenschutz gesetzkonform umgesetzt wird.

 

Bedeutung des Datenschutzes für große Unternehmen

 

Nach dem Willen des Gesetzgebers soll der Datenschutz in Konzernen einen ebenso großen Stellenwert einnehmen wie in kleinen und mittleren Unternehmen. Dies bedeutet, dass jede eigenständige Stelle Sorge dafür trägt, dass ein externer Datenschutzbeauftragter bestellt wird. Diese Person unterstützt und berät die Unternehmensführung bei der Entwicklung von Maßnahmen, die dazu beitragen, dass der Datenschutz gewahrt bleibt.

 

Wer trägt die Verantwortung?

 

Für die Umsetzung der Maßnahmen zum Datenschutz im eigenen Unternehmen bleibt auch nach der Bestellung eines externen Datenschutzbeauftragten der Betriebsinhaber selbst verantwortlich. Die Verantwortung kann nicht übertragen werden.

 

Die Aufgaben eines Konzerns zur Umsetzung der datenschutzrechtlichen Bestimmungen

 

Damit der Datenschutz in einem Unternehmen gesetzeskonform umgesetzt wird, muss der Betriebsinhaber oder eine vertretungsberechtigte Person – z. B. der Geschäftsführer einer GmbH – bestimmte Aufgaben erfüllen.

 

Zu den vordringlichsten Aufgaben zählen die Bestellung eines externen Datenschutzbeauftragten und die Entwicklung eines Datenschutzkonzepts, in dem die gesetzlichen Vorgaben umgesetzt werden. Damit die Daten eines Nutzers nach dessen Beantragung schnell wieder gelöscht werden, muss der Betrieb ein passendes Löschkonzept entwickeln.

 

Damit die Auftragsverarbeitung in dem Unternehmen regelkonform verläuft, muss der Konzern entsprechende Verträge ausarbeiten, welche die Auftragsverarbeitung mit dem Kunden regeln.

 

Der neue Datenschutzrecht sieht vor, dass Betroffene Anfragen bezüglich ihrer gespeicherten Daten an den Betrieb stellen können. Damit diese Anfragen möglichst zufriedenstellend beantwortet werden können, sollte der Betrieb eine separate Stelle schaffen, die sich um die Beantwortung dieser Anfragen kümmert.

 

Da kein System perfekt ist und es auch bei der Verarbeitung von Daten immer wieder zu Pannen kommen kann, muss das Unternehmen sich hierauf vorbereiten. Dies bedeutet, dass der Betrieb Maßnahmen entwickelt, wie mit Datenpannen umzugehen ist. So trägt ein Betriebsinhaber dazu bei, dass der Datenschutz in seinem Unternehmen gewahrt bleibt.

 

Datenschutz in KMU

 

Die Europäische Kommission fasst unter dem Begriff KMU kleine und mittlere Unternehmen zusammen. Diese sind von den datenschutzrechtlichen Bestimmungen nicht ausgenommen. Dies bedeutet, dass auch ein kleiner Handwerkbetrieb mit nur wenigen Mitarbeitern die Vorschriften der DSGVO zum Datenschutz durch geeignete Maßnahmen umsetzen muss. Insbesondere müssen die Beschäftigten auf ihre Verantwortung hingewiesen werden. Auch sie müssen sensibel mit den Daten der Kunden umgehen und dürfen keine Informationen verarbeiten, ohne die Zustimmung der Betroffenen einzuholen.

 

Bei der Erstellung einer Webseite muss der Betreiber darauf achten, dass er seine Besucher mit einer Datenschutzerklärung auf die Erhebung und Verarbeitung der personenbezogenen Daten hinweist.

 

Datenschutz im Homeoffice

 

Wer als publizierender Freiberufler (z. B. freier Journalist oder Autor) tätig ist, arbeitet überwiegend im Homeoffice. Hier müssen ebenso die datenschutzrechtlichen Grundlagen beachtet werden wie bei einem Arbeitnehmer, der vom eigenen Schreibtisch aus für seinen Betrieb tätig ist.

 

Der Datenschutz für das Homeoffice ist explizit in der DSGVO geregelt. So darf ein Arbeitnehmer hier nur die Arbeitsgeräte (z. B. Laptop) verwenden, die sein Arbeitgeber ihm für die Erledigung der Tätigkeiten zur Verfügung gestellt hat. Die datenschutzrechtlichen Bestimmungen sind insbesondere bei der Speicherung von personenbezogenen Daten zu beachten. Der Arbeitnehmer darf hierfür keine eigenen Speichermedien verwenden. Eine Speicherung der Daten auf der Festplatte des Laptops ist damit ausgeschlossen. Die Daten dürfen nur auf einem USB-Stick abgespeichert werden, der zum betrieblichen Inventar des Unternehmens gehört. Bestenfalls erfolgt ein verschlüsselter Datentransfer auf den unternehmenseigenen Server.

 

Computerausdrucke, die personenbezogene Daten enthalten, müssen aus datenschutzrechtlichen Gründen auf das Notwendigste beschränkt werden. Benötigt der Arbeitnehmer diese nicht mehr, muss er sie umgehend und sicher vernichten. Dies bedeutet, dass keine unternehmensfremde Person Zugang zu den personenbezogenen Daten bekommt.

 

Dem Datenschutz im Homeoffice trägt der Unternehmer insbesondere dadurch Rechnung, dass keine Person aus seinem Haushalt den Raum nutzen darf und Zugang zum Laptop und den gespeicherten Daten erhält. Kommt es doch zu einer Datenschutzverletzung, muss der im Homeoffice tätige Arbeitnehmer umgehend Meldung machen. Hierzu setzt er sich mit dem Datenschutzbeauftragten seines Unternehmens in Verbindung. Dieser erfüllt seine Verpflichtung, wenn er die Datenschutzverletzung an die zuständige Datenschutzbehörde weiterleitet.

 

Verstoß gegen den Datenschutz – Welche Sanktionen drohen?

 

Die Sanktionen, die bei einem Verstoß gegen datenschutzrechtliche Bestimmungen gegen ein Unternehmen verhängt werden können, finden sich in der DSGVO und im Bundesdatenschutzgesetz.

 

Als Höchststrafe sieht die Datenschutzgrundverordnung ein Bußgeld vor. Dieses kann bis zu einem Betrag von 20 Millionen Euro festgesetzt werden. Alternativ ein Unternehmen eine Strafzahlung leisten, die bis zu 4 % des weltweiten Umsatzes beträgt.

 

Das Bundesdatenschutzgesetz sieht neben einer Geldstrafe – diese liegt derzeit bei 300.000 Euro – auch eine Freiheitsstrafe von bis zu zwei Jahren vor.

 

Für die Festsetzung der Strafe spielt es eine entscheidende Rolle, ob das Unternehmen vorsätzlich oder fahrlässig gehandelt hat. Kann der Betrieb nachweisen, dass in der Verletzung der datenschutzrechtlichen Bestimmungen keine Absicht lag, behandelt das Bundesdatenschutzgesetz den Datenmissbrauch als Ordnungswidrigkeit. In diesem Fall setzt die Datenschutzbehörde ein Bußgeld von maximal 50.000 Euro fest.

 

Handelt ein Unternehmer vorsätzlich, muss er sich wegen eines strafrechtlichen Tatbestands verantworten. Die Geldstrafe fällt hier mit einem Maximalbetrag von 300.000 Euro deutlich höher aus. Bei schwerwiegenden Fällen ist das zuständige Gericht berechtigt, eine Freiheitsstrafe von höchstens zwei Jahren zu verhängen.

 

Zusammenfassung

 

Datenschutz soll in Unternehmen großgeschrieben werden. Damit nicht nur unternehmensinterne Daten, sondern insbesondere auch die Daten der Verbraucher und Kunden geschützt bleiben, haben die Europäische Union und die einzelnen Mitgliedsstaaten mehrere rechtlichen Grundlagen geschaffen.

 

Neben der Datenschutzgrundverordnung, die für alle Mitgliedsstaaten der Europäischen Union verbindlich ist, gibt es in Deutschland das Bundesdatenschutzgesetz. Weitere Regelungen ergeben sich aus den Datenschutzgesetzen auf Länderebene.

 

Die datenschutzrechtlichen Bestimmungen gelten für alle Unternehmen, die große Datenmengen speichern und für betriebseigene Zwecke verwenden. Dies betrifft Konzerne sowie kleine und mittlere Unternehmen.

 

Zu den Aufgaben, die einem Betriebsinhaber oder dem gesetzlichen Vertreter des Unternehmens obliegen, gehören die Bestellung eines Datenschutzbeauftragten und die Entwicklung eines Datenschutzkonzepts.

 

Die datenschutzrechtlichen Bestimmungen der DSGVO finden auch Anwendung, wenn ein Arbeitnehmer oder ein Freiberufler in einem Homeoffice tätig wird. Hier muss der Tätige insbesondere darauf achten, dass er nur Geräte verwendet, die das Unternehmen ihm zur Verfügung stellt. Die Speicherung personenbezogener Daten erfolgt bestenfalls auf den unternehmenseigenen Servern. Die Daten darf man dann aber auch nur in verschlüsselter Form übertragen.

 

Eine weitere Pflicht zur Wahrung des Datenschutzes erfüllt ein Arbeitnehmer, der im Homeoffice tätig ist, wenn er jeder Person den Zugang verweigert, die unternehmensfremd ist.

 

Verstöße gegen die Bestimmungen des Datenschutzes kann die Datenschutzbehörde aufgrund der Regelungen im Bundesdatenschutzgesetz und in der DSGVO sanktionieren. Im Höchstfall muss ein Unternehmen, das gegen den Datenschutz verstößt, mit einer Geldstrafe von bis zu 300.000 Euro oder einer Freiheitsstrafe rechnen.

 

Die DSGVO sieht eine Geldstrafe von 4 % des weltweiten Jahresumsatzes oder einem Höchstbetrag von 20 Millionen Euro vor.