Datenschutz im Unternehmen rechtssicher umsetzen, Teil 1

Datenschutz im Unternehmen rechtssicher umsetzen, Teil 1

Verantwortungsvoller und zuverlässiger Datenschutz ist nicht nur gesetzlich vorgeschrieben, sondern schafft auch Vertrauen. In einem ausführlichen Ratgeber geben wir Infos und Tipps, wie Unternehmen den Datenschutz rechtssicher umsetzen.

Anzeige

Datenschutz im Unternehmen rechtssicher umsetzen, Teil 1

Die gesetzlichen Grundlagen zum Datenschutz

Personenbezogene, geschäftliche und interne Daten sind ein sensibles Thema, das Aufmerksamkeit erfordert. Sobald ein Unternehmen mit Kunden- oder Mitarbeiterdaten zu tun hat, muss es sich deshalb mit dem Datenschutz befassen.

Das gilt für eine kleine Firma oder ein mittelständisches Unternehmen genauso wie für einen Großkonzern.

In Deutschland regelt das Bundesdatenschutzgesetz den Umgang mit personenbezogenen Daten. Das Gesetz ist eng mit der EU-weit geltenden Datenschutz-Grundverordnung verknüpft und verlangt, dass personenbezogene Daten ordnungsgemäß, transparent und nachvollziehbar verarbeitet werden.

Jeder kann selbst bestimmen, ob und wie Unternehmen seine persönlichen Daten nutzen dürfen. Allerdings können die verschiedenen Datenschutzgesetze in Unternehmen durchaus Unsicherheiten hervorrufen.

Die Datenschutz-Grundverordnung (DSGVO)

Für Unternehmen ist Datenschutz EU-weit Pflicht. Seit Mai 2018 regelt deshalb die DSGVO den Umgang mit personenbezogenen Daten. Das Ziel der Verordnung ist, den Datenschutz einerseits zu vereinheitlichen und andererseits das Recht der Bürger auf Privatsphäre zu stärken.

Zu den wesentlichen Aspekten der DSGVO gehören das Erheben, Speichern und Verarbeiten von Daten sowie die Pflicht zu Transparenz, Sicherheit und Datensparsamkeit.

Für Bürger sieht die DSGVO außerdem das Recht auf Auskunft, Berichtigung, Widerspruch und Löschung vor. Verstöße gegen die Verordnung können mit Geldbußen von bis zu 20 Millionen Euro geahndet werden.

Ein wichtiges Thema der DSGVO ist auch das Prinzip der Datenminimierung. Demnach dürfen Unternehmen nur die personenbezogenen Daten erheben und verarbeiten, die tatsächlich notwendig sind.

Auf diese Weise soll das Risiko von Verletzungen des Datenschutzes ebenfalls gesenkt werden.

Das Bundesdatenschutzgesetz (BDSG)

Das BDSG existiert schon seit 1978. Zusammen mit der DSGVO trat 2018 die dritte Fassung in Kraft und dient dabei vor allem als Ergänzung. Denn einige Punkte lässt die DSGVO offen. Das BDSG knüpft auf nationaler Ebene an und definiert konkrete und spezifische Regelungen für den Datenschutz in Deutschland.

Jedes Unternehmen hierzulande, das personenbezogene Daten erhebt, nutzt oder verarbeitet, muss die Vorgaben aus dem BDSG einhalten.

Dazu gehören unter anderem Vorschriften zu Datenschutzerklärungen, Datenschutzbeauftragten, dem Umgang mit Mitarbeiterdaten oder zur Auskunftspflicht. Gibt es Widersprüche zwischen dem BDSG und der DSGVO, hat aber die DSGVO immer Vorrang.

Das Landesdatenschutzgesetz (LDSG)

Neben der europäischen und nationalen Ebene gibt es in Deutschland noch die Regelungen auf Landesebene.

Das LDSG beinhaltet spezielle Vorgaben für den Umgang mit personenbezogenen Daten in den einzelnen Bundesländern. Die Vorschriften gelten für Behörden, Gemeinden und andere öffentliche Stellen. Privatrechtliche Unternehmen wie eine AG, OHG oder GmbH müssen das LDSG nicht berücksichtigen.

Der Datenschutz im Internet

Mittlerweile ist es nicht nur normal, im Internet präsent zu sein, sondern fast unumgänglich, um Neu- und Bestandskunden zu erreichen.

Besucher lesen auch gerade folgenden Beitrag:  3 Gerichtsurteile zum Stichwort "Telefonwerbung"

Ein Unternehmen, das eine Webseite betreibt oder einen Newsletter verschickt, muss aber einige datenschutzrechtliche Aspekte beachten:

  • Jede Webseite muss ein Impressum und eine Datenschutzerklärung haben. Dadurch können Nutzer in Erfahrung bringen, wer der Anbieter der Seite ist. Außerdem können sie nachvollziehen, in welchem Umfang und zu welchen Zwecken Daten erhoben und verarbeitet werden.

  • Kommen Cookies oder Tracking-Tools zum Einsatz, müssen Nutzer einerseits verständlich und umfassend darüber informiert werden. Andererseits müssen sie ausdrücklich einwilligen. Eine stillschweigende Zustimmung reicht nicht aus. Stattdessen müssen Kontrollkästchen zum Anklicken vorhanden sein und spezifische Einstellungen ausgewählt werden können.

  • In den Versand von Newslettern müssen die Empfänger im sogenannten Double-Opt-In-Verfahren ausdrücklich einwilligen. Denn gemäß DSGVO zählt die E-Mail-Adresse zu den personenbezogenen Daten und unterliegt deshalb dem Datenschutz.

Generell dürfen Unternehmen E-Mail-Daten nur in begrenztem Umfang erheben. E-Mail-Adressen von Privatpersonen und Kunden dürfen zum Beispiel für eine Kaltakquise weder ungefragt kontaktiert noch herausgegeben werden.

Die Datenschutzerklärung

Für Unternehmen gilt eine Informationspflicht. Sie müssen Nutzer über die Erhebung und Verarbeitung ihrer Daten und ihre Rechte diesbezüglich informieren. Diese Aufgabe übernimmt die Datenschutzerklärung, die im Internet gesetzlich vorgeschrieben ist.

Die Datenschutzerklärung wird auch Datenschutzhinweis genannt und klärt darüber auf, welche personenbezogenen Daten auf der Webseite erhoben und zu welchem Zweck sie verarbeitet werden.

Außerdem informiert sie die Nutzer über deren Rechte, beispielsweise mit Blick auf Datenauskunft oder Löschung von Daten. Daneben enthält die Datenschutzerklärung Angaben über Cookies, Tracking-Tools und andere Technologien, die zur Datenerhebung eingesetzt werden.

Auch ob erhobene Daten an Dritte übermittelt werden, ist im Datenschutzhinweis aufgeführt. Dabei muss die Datenschutzerklärung leicht zugänglich und verständlich formuliert sein.

Der Auftragsverarbeitungsvertrag (AVV)

Art. 28 DSGVO schreibt einen AVV vor, sobald ein externer Dienstleister personenbezogene Daten einsieht oder verarbeitet. Der AVV legt den Zweck und die Dauer der Datenverarbeitung fest.

Außerdem regelt er die technischen und organisatorischen Maßnahmen zum Datenschutz und stellt sicher, dass der jeweilige Auftragsverarbeiter die Datenschutzvorschriften einhält.

Unternehmen sind dadurch in der Verantwortung. Denn sie müssen für ein entsprechendes Datenschutzniveau sorgen, sobald Dritte personenbezogene Daten verarbeiten.

Ein AVV wird unter anderem notwendig, wenn das Unternehmen

  • eine externe Buchhaltung oder Lohnabrechnung nutzt.

  • ein Call-Center oder einen Newsletter-Dienstleister beauftragt.

  • für Projekte, die Kundendaten beinhalten, mit einer Marketingagentur zusammenarbeitet.

  • seine IT-Systeme technisch warten lässt.

Ein AVV kann aber entfallen, wenn ein externer Dienstleister ohnehin zur Gruppe der Berufsgeheimnisträger gehört. Das gilt zum Beispiel für Rechtsanwälte, Steuerberater und Wirtschaftsprüfer.

Mehr Ratgeber, Tipps und Anleitungen:

Anzeige

Thema: Datenschutz im Unternehmen rechtssicher umsetzen, Teil 1

Autoren Profil:
FB/Twitter
Letzte Artikel von Autoren Profil: (Alle anzeigen)

Veröffentlicht von

Autoren Profil:

Verlagsinhaber Christian Gülcan (Artdefects Media Verlag), Marketing Experte in Onlinemarketing, SEO, SEA, Social Media, Printmedien und Vermarktung von Unternehmen seit 2006. Kooperationspartner zu Werbeagenturen, Medienagenturen und Marketing-Profis. Verleger von Fachpresse in Print und Online verschiedener Branchen und Themengebiete. Gründer & Unternehmer diverser Firmen inkl. Leitung des Vertriebs und externer Tätigkeiten als Head of Marketing. Ferya Gülcan, Founder Internetmedien-Agentur.

Kommentar verfassen