Datenschutz: Diese Regeln sollten im Unternehmen eingehalten werden

Einführung

Im betrieblichen Alltag werden Unmengen an Daten produziert und genutzt. Hierzu zählen zum einen Daten, die im Rahmen betrieblicher Prozesse produziert werden, z. B. Druckdaten für Prospekte, Schriftstücke, Programme zur Maschinensteuerung etc. Von diesen Daten sind solche zu unterscheiden, die Auskunft über eine menschliche Person geben. Die personenbezogenen Daten von Menschen genießen dabei einen besonderen Schutz, also die Daten von Mitarbeitern, Kunden, Lieferanten, Geschäftspartnern.

Hinsichtlich personenbezogener Daten müssen sich Unternehmen spätestens seit dem 25. Mai 2018 an die Regeln der EU-Datenschutz-Grundverordnung (DSGVO) sowie den damit einhergehenden Änderungen des Bundesdatenschutzgesetzes (BDSG) halten. Durch die EU-DSGVO soll ein in allen Mitgliedsstaaten einheitliches Schutzniveau personenbezogener Daten erreicht werden. Zur Durchsetzung der Vorschriften wurden insbesondere die Strafen deutlich erhöht. Nunmehr drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Umsatzes.

1 Grundlagen des Datenschutzes

Im Unternehmen sind insbesondere folgende Bereiche besonders sensibel für datenschutzrechtliche Belange:

• Interne Daten, wie Finanzdaten, Erfindungen, Businessplanning etc.
• Mitarbeiterdaten sowie Daten im Rahmen der Mitarbeitergewinnung (z. B. Bewerber)
• Daten von Kunden und Lieferanten
• Daten, die im Rahmen von Kommunikationsmaßnahmen und Internetauftritten erhoben werden

Die internen, nicht personenbezogenen Daten von Unternehmen sind grundsätzlich deshalb schützenswert, weil das Unternehmen diese für die eigene Tätigkeit benötigt. Weitere betriebliche Daten sind beispielsweise steuerrelevante Daten, wie Rechnungen, Lieferscheine, Angebote, Gesellschafterbeschlüsse etc. Diese sind zu schützen und aufzubewahren aufgrund einschlägiger gesetzlicher Vorschriften, wie beispielsweise den Grundsätzen ordnungsgemäßer Buchführung, dem Umsatzsteuerrecht, dem Handelsrecht usw. Hierbei geht es primär darum, Geschäftsprozesse nachzuvollziehen und öffentlich-rechtliche Verpflichtungen zu erfüllen.

Von Kunden und Lieferanten überlassene Daten sind regelmäßig aufgrund vertraglicher Verpflichtungen zu schützen, bzw. vor Zugriffen und Kenntnisnahme durch unberechtigte Dritte. Solche Verpflichtungen können als Haupt- oder Nebenpflicht bei Verträgen einschlägig sein oder sich auch aus dem Berufsrecht ergeben, z. B. bei Rechtsanwälten, Steuerberatern, Ärzten, Finanzdienstleistern.

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, zum Beispiel:

• Name
• Anschrift
• Alter
• Beruf
• Staatsangehörigkeit
• Religionszugehörigkeit etc.

Unternehmen bzw. Unternehmer, die im Bereich der Europäischen Union tätig sind, müssen sich insbesondere im Hinblick auf personenbezogene Daten generell an die einschlägigen Datenschutzvorschriften halten, insbesondere die EU-Datenschutz-Grundverordnung (DSGVO). In Deutschland gilt zusätzlich das Bundesdatenschutzgesetz (BDSG 2018).

Achtung

DSGVO und BDSG gelten für alle Unternehmen

Die datenschutzrechtlichen Vorschriften von DSGVO und BDSG 2018 gelten für alle Unternehmen bzw. Unternehmer unabhängig von der Rechtsform. Darüber hinaus können weitere Vorschriften im Einzelfall zur Anwendung kommen. Hierzu zählen branchenspezifische Vorschriften beispielsweise für Rechtsanwälte, Steuerberater, Ärzte, Versicherungen, Banken und Telekommunikationsanbieter.

Hinweis

Marktortprinzip bei DSGVO beachten

Bei der DSGVO gilt das Marktortprinzip. Damit werden nicht nur in der EU niedergelassene Unternehmen erfasst, es reicht bereits aus, dass sich das Angebot an einen nationalen Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient. So sollen Unternehmen, die Waren und Dienstleistungen auf dem europäischen Markt anbieten, die gleichen Wettbewerbsbedingungen in Bezug auf den Umgang mit personenbezogen Daten haben.

2 Datenschutz in Bezug auf personenbezogene Daten

Arbeitsabläufe sowie Auswahl und Gestaltung von Datenverarbeitungssystemen sollen an dem Ziel ausgerichtet werden, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

Bei der Verarbeitung personenbezogener Daten gelten die folgenden Grundsätze:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Rechtmäßigkeit ist gegeben, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person...