Datenschutz im Unternehmen rechtssicher umsetzen, Teil 2

Datenschutz im Unternehmen rechtssicher umsetzen, Teil 2

Durch einen verantwortungsbewussten, sicheren und zuverlässigen Datenschutz erfüllt ein Unternehmen nicht nur die gesetzlichen Pflichten, sondern schafft auch Vertrauen. Doch vor dem Hintergrund der vielen Vorschriften und Richtlinien ist es gar nicht so einfach, den Überblick zu bewahren und den Datenschutz im Unternehmen rechtssicher umzusetzen.

Wir haben deshalb einen ausführlichen Ratgeber zum Thema erstellt. Dabei haben wir in Teil 1 die gesetzlichen Grundlagen erläutert und den Datenschutz im Internet beschrieben.

Außerdem haben wir erklärt, was es mit der Datenschutzerklärung und dem Auftragsverarbeitungsvertrag auf sich hat.

Hier ist Teil 2!:

Technisch organisatorische Maßnahmen (TOM) für den Datenschutz im Unternehmen

Wenn ein Unternehmen personenbezogene Daten erhebt und verarbeitet, muss es sicherstellen, dass diese Daten auch geschützt sind. An dieser Stelle kommen die TOM für den Datenschutz zum Tragen.

Art. 32 DSGVO (Datenschutz-Grundverordnung) schreibt vor, dass ein Unternehmen folgende Maßnahmen ergreifen muss:

• Personenbezogene Daten pseudonymisieren und verschlüsseln

• Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherstellen, die für die Datenverarbeitung genutzt werden

• Zugang zu personenbezogenen Daten bei einem technischen oder physischen Zwischenfall wiederherstellen

• Wirksamkeit der TOM regelmäßig überprüfen und bewerten

Ein Unternehmen muss alle Maßnahmen, die es getroffen hat, dokumentieren. Dadurch ist gewährleistet, dass die Vorkehrungen für einen Schadensfall erfasst sind und sowohl auf Vollständigkeit als auch auf mögliche Mängel überprüft werden können.

Der Beschäftigtendatenschutz

Der sogenannte Beschäftigtendatenschutz definiert die datenschutzrechtlichen Regelungen innerhalb eines Arbeitsverhältnisses. Er regelt also, welche Informationen der Arbeitgeber über seine Mitarbeiter erheben, speichern, verwenden und weitergeben darf.

Zu diesen Daten gehören die Personalnummer, die Kontaktdaten, Informationen über die Vergütung, Krankheitsdaten und auch Angaben zu Mitarbeitergesprächen.

In § 26 BDSG (Bundesdatenschutzgesetz) ist eine spezielle Regelung zum Beschäftigtendatenschutz verankert. Demnach dürfen in Deutschland Mitarbeiterdaten verarbeitet werden, wenn sie notwendig sind, um ein Arbeitsverhältnis zu begründen, durchzuführen oder zu beenden. Außerdem ist eine Verarbeitung zulässig, wenn der Mitarbeiter damit einverstanden ist.

Wichtig zu wissen ist, dass diese Regelung schon während des Bewerbungsverfahrens Anwendung findet. Das Gesetz behandelt Bewerberinnen und Bewerber also wie Beschäftigte.

Die Bewerbungsunterlagen darf ein Unternehmen maximal sechs Monate lang aufbewahren. Kommt es nicht zu einer Einstellung, müssen die Daten der Bewerberin oder des Bewerbers nach spätestens einem halben Jahr gelöscht werden.

Der Datenschutz bei der internen Kommunikation

Der Grundsatz, dass die Weitergabe von personenbezogenen Daten nur mit Zustimmung der betroffenen Person zulässig ist, gilt auch für die interne Kommunikation unter Kollegen.

Informationen über einen Mitarbeiter wie zum Beispiel private Kontaktdaten, Krankheitsgründe oder persönliche Dinge dürfen also nicht ohne Weiteres an andere Kollegen weitergeleitet werden.

Ein Beispiel: Eine Krankmeldung gibt Auskunft über den Gesundheitszustand einer Person. Laut DSGVO enthält die Krankmeldung damit besondere personenbezogene Daten. Die genauen Gründe für die Erkrankung dürfen die Kollegen untereinander nicht verbreiten.

Eigentlich dürfte zum Beispiel der Vorgesetzte noch nicht einmal kommunizieren, dass der Mitarbeiter überhaupt krank ist. Doch die Aufgaben im Tagesgeschäft und Projekte laufen weiter, auch wenn ein Kollege ausfällt.

Um reibungslose Abläufe sicherzustellen, ist deshalb zulässig, die Kollegen über die Krankmeldung zu informieren. Gegenüber einem Kunden zu erklären, dass ein Mitarbeiter für eine bestimmte Zeit krankheitsbedingt ausfällt, ist aber nicht erlaubt.

Die Vertraulichkeitsvereinbarung und die Verschwiegenheitserklärung

Die größte Schwachstelle beim Datenschutz in der internen Kommunikation ist der Mensch.

Wichtig ist deshalb, dass die Mitarbeiter regelmäßig über die aktuellen Datenschutzbestimmungen informiert und zu diesem Thema geschult werden. Eine gute Datenschutzkultur im Unternehmen setzt auch ein Bewusstsein für den Datenschutz unter Kollegen voraus.

Zwei Instrumente, die zu einem verbesserten Datenschutz im Unternehmen beitragen können, sind die Vertraulichkeitsvereinbarung und die Verschwiegenheitserklärung. Sie verpflichten alle Beteiligten dazu, vertrauliche Informationen und personenbezogene Daten geheim zu halten.

Relevant sind die Vereinbarungen vor allem dann, wenn es um sensible Daten aus den Bereichen Forschung, Entwicklung und Personal sowie um Geschäftsgeheimnisse geht.

Durch eine Vertraulichkeitsvereinbarung und eine Verschwiegenheitserklärung ist eindeutig festgelegt, welche Informationen vertraulich behandelt werden müssen, welche Regeln im Umgang mit den Daten gelten und wie Verstöße gegen die Regelungen sanktioniert werden.

Die beiden Instrumente sind aber lediglich eine Ergänzung zu den Datenschutzvorgaben aus der DSGVO und dem BDSG. Sie sind kein Ersatz dafür.

Das Verarbeitungsverzeichnis

Gemäß Art. 30 DSGVO muss jeder ein Verarbeitungsverzeichnis führen, der personenbezogene Daten verarbeitet. Die Pflicht gilt für Behörden, Unternehmen, Vereine und Einzelpersonen gleichermaßen.

Bei dem Verarbeitungsverzeichnis handelt es sich um ein detailliertes Register, das alle Prozesse bei der Datenverarbeitung dokumentiert.

Es muss folgende Angaben enthalten:

• Kategorien der gespeicherten Daten

• Zweck der Datenverarbeitung

• Dauer der Datenspeicherung und Löschfristen

• Technische und organisatorische Maßnahmen rund um den Datenschutz

• Empfänger der Daten in Kategorien

Das Verzeichnis kann ein Unternehmen eigenständig erstellen, einen Dienstleister damit beauftragen oder ein Datenschutz-Management-System nutzen. Die Tätigkeiten bei der Datenverarbeitung müssen schriftlich dokumentiert sein, können dabei aber elektronisch festgehalten werden.

Beschäftigt ein Unternehmen weniger als 250 Mitarbeiter, kann es von der Pflicht, ein Verarbeitungsverzeichnis zu führen, befreit werden. Voraussetzung dafür ist, dass das Unternehmen nur gelegentlich Daten verarbeitet hat, bei denen es sich nicht um sensible Daten handelte.

Außerdem darf die Datenverarbeitung nicht mit Risiken für die Rechte und Freiheiten der betroffenen Personen einhergehen. In allen anderen Fällen ist ein Verarbeitungsverzeichnis Pflicht.

Mehr Ratgeber, Tipps und Anleitungen:

• Datenschutz im Unternehmen rechtssicher umsetzen, Teil 1
• Verpackungskosten senken – Infos & Tipps
• Öffnungsrate des Newsletters verbessern – Infos und Tipps, 2. Teil
• Öffnungsrate des Newsletters verbessern – Infos und Tipps, 1. Teil
• Die fünf wichtigsten Kennzahlen im Marketing
• Infos und Tipps zum Identitätsmanagement
• Infos und Tipps rund um mündliche und schriftliche Verkaufsbotschaften, 2. Teil
• Infos und Tipps rund um mündliche und schriftliche Verkaufsbotschaften, 1. Teil

Thema: Datenschutz im Unternehmen rechtssicher umsetzen, Teil 2

• Über
• Letzte Artikel

FB/Twitter

Autoren Profil:

Inhaber bei Artdefects Media Verlag

Verlagsinhaber Christian Gülcan (Artdefects Media Verlag), Marketing Experte in Onlinemarketing, SEO, SEA, Social Media, Printmedien und Vermarktung von Unternehmen seit 2006.
Kooperationspartner zu Werbeagenturen, Medienagenturen und Marketing-Profis. Verleger von Fachpresse in Print und Online verschiedener Branchen und Themengebiete. Gründer & Unternehmer diverser Firmen inkl. Leitung des Vertriebs und externer Tätigkeiten als Head of Marketing. Ferya Gülcan, Founder Internetmedien-Agentur.

FB/Twitter

Letzte Artikel von Autoren Profil: (Alle anzeigen)

• Diversity-Management im Marketing, 2. Teil - 5. April 2024
• 7 Marketingstipps für Dienstleistungsunternehmen - 7. März 2024
• Diversity-Management im Marketing, 1. Teil - 6. März 2024