Datenschutz: Diese Regeln sollten im Unternehmen eingehalten werden

Einführung

Im betrieblichen Alltag werden Unmengen an Daten produziert und genutzt. Hierzu zählen zum einen Daten, die im Rahmen betrieblicher Prozesse produziert werden, z. B. Druckdaten für Prospekte, Schriftstücke, Programme zur Maschinensteuerung etc. Von diesen Daten sind solche zu unterscheiden, die Auskunft über eine menschliche Person geben. Die personenbezogenen Daten von Menschen genießen dabei einen besonderen Schutz, also die Daten von Mitarbeitern, Kunden, Lieferanten, Geschäftspartnern.

Hinsichtlich personenbezogener Daten müssen sich Unternehmen spätestens ab dem 25. Mai 2018 an die Regeln der EU-Datenschutz-Grundverordnung (DSGVO) sowie den damit einhergehenden Änderungen des Bundesdatenschutzgesetzes (BDSG) halten. Durch die EU-DSGVO soll ein in allen Mitgliedsstaaten einheitliches Schutzniveau personenbezogener Daten erreicht werden. Zur Durchsetzung der Vorschriften wurden insbesondere die Strafen deutlich erhöht. Nunmehr drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Umsatzes.

1. Grundlagen des Datenschutzes

Im Unternehmen sind insbesondere folgende Bereiche besonders sensibel für datenschutzrechtliche Belange:

  • Interne Daten, wie Finanzdaten, Erfindungen, Businessplanning etc.
  • Mitarbeiterdaten sowie Daten im Rahmen der Mitarbeitergewinnung (z. B. Bewerber)
  • Daten von Kunden und Lieferanten
  • Daten, die im Rahmen von Kommunikationsmaßnahmen und Internetauftritten erhoben werden

Die internen, nicht personenbezogenen Daten von Unternehmen sind grundsätzlich deshalb schützenswert, weil das Unternehmen diese für die eigene Tätigkeit benötigt. Weitere betriebliche Daten sind beispielsweise steuerrelevante Daten, wie Rechnungen, Lieferscheine, Angebote, Gesellschafterbeschlüsse etc. Diese sind zu schützen und aufzubewahren aufgrund einschlägiger gesetzlicher Vorschriften, wie beispielsweise den Grundsätzen ordnungsgemäßer Buchführung, dem Umsatzsteuerrecht, dem Handelsrecht usw. Hierbei geht es primär darum, Geschäftsprozesse nachzuvollziehen und öffentlich-rechtliche Verpflichtungen zu erfüllen.

Von Kunden und Lieferanten überlassene Daten sind regelmäßig aufgrund vertraglicher Verpflichtungen zu schützen, bzw. vor Zugriffen und Kenntnisnahme durch unberechtigte Dritte. Solche Verpflichtungen können als Haupt- oder Nebenpflicht bei Verträgen einschlägig sein oder sich auch aus dem Berufsrecht ergeben, z. B. bei Rechtsanwälten, Steuerberatern, Ärzten, Finanzdienstleistern.

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, zum Beispiel:

  • Name
  • Anschrift
  • Alter
  • Beruf
  • Staatsangehörigkeit
  • Religionszugehörigkeit etc.

Unternehmen bzw. Unternehmer, die im Bereich der Europäischen Union tätig sind, müssen sich insbesondere im Hinblick auf personenbezogene Daten generell an die einschlägigen Datenschutzvorschriften halten, insbesondere die EU-Datenschutz-Grundverordnung (DSGVO). In Deutschland gilt zusätzlich das Bundesdatenschutzgesetz (BDSG).

Achtung

DSGVO und BDSG gelten für alle Unternehmen

Die datenschutzrechtlichen Vorschriften von DSGVO und BDSG gelten für alle Unternehmen bzw. Unternehmer unabhängig von der Rechtsform. Darüber hinaus können weitere Vorschriften im Einzelfall zur Anwendung kommen. Hierzu zählen branchenspezifische Vorschriften beispielsweise für Rechtsanwälte, Steuerberater, Ärzte, Versicherungen, Banken und Telekommunikationsanbieter.

Hinweis

Marktortprinzip bei DSGVO beachten

Bei der DSGVO gilt das Marktortprinzip. Damit werden nicht nur in der EU niedergelassene Unternehmen erfasst, es reicht bereits aus, dass sich das Angebot an einen nationalen Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient. So sollen Unternehmen, die Waren und Dienstleistungen auf dem europäischen Markt anbieten, die gleichen Wettbewerbsbedingungen in Bezug auf den Umgang mit personenbezogen Daten haben.

2. Datenschutz in Bezug auf personenbezogene Daten

Arbeitsabläufe sowie Auswahl und Gestaltung von Datenverarbeitungssystemen sollen an dem Ziel ausgerichtet werden, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

Bei der Verarbeitung personenbezogener Daten gelten die folgenden Grundsätze:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Rechtmäßigkeit ist gegeben, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

 

1.

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

2.

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

3.

die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

4.

die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

5.

die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

6.

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Zweckbindung

Die Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Datenminimierung

Die Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Richtigkeit

Die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Speicherbegrenzung

Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen dienen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden.

Integrität und Vertraulichkeit

Die Verarbeitung hat in einer Weise zu erfolgen, die eine angemessene Sicherheit der personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung .

Rechenschaftspflicht

Das Unternehmen ist für die Einhaltung dieser Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und muss deren Einhaltung nachweisen können.

Hinweis: Aufgrund dieser Nachweispflicht sollten alle datenschutzrechtlichen Vereinbarungen, Abreden, Verträge etc. schriftlich protokolliert und archiviert werden.

Hinweis:

Bedarf an gespeicherten Daten vorher prüfen

In vielen Bereichen galt und gilt das Prinzip, dass man möglichst viel über Personen wissen möchte. Doch nur in den wenigsten Fällen können diese Daten später tatsächlich sinnvoll verwendet werden. Daher sollte im Vorfeld der Datenerhebung genau geprüft werden, welche Daten man wofür erheben möchte. Je mehr Daten erhoben und verarbeitet werden, desto größer ist das Risiko, dass man Fehler begeht und gegen rechtliche Vorschriften verstößt. Zudem können im Falle eines Datenverlusts die Folgen für das Unternehmen unangenehmer werden. Werden bspw. durch ein Datenleck oder einen Hackerangriff – was täglich bei allen Unternehmensgrößen vorkommt – Daten gestohlen, so ist es weitaus weniger imageschädigend, wenn man den betroffenen Personen oder der Presse mitteilen muss, dass Adressen abhandengekommen sind, als wenn auch Geburtsdaten, persönliche Verhältnisse etc. in fremden Händen sind.

2.1 Rechte der Betroffenen

Die Betroffenen, deren Daten erhoben, gespeichert und verarbeitet worden sind, haben ein Recht auf Auskunftserteilung, Berichtigung oder Löschung ihrer Daten:

  • Es muss darüber Auskunft erteilt werden, welche Daten über die jeweilige Person gespeichert sind, die Herkunft der Daten und der Zweck der Speicherung sowie ggf. der Empfänger der Daten, falls Daten an Dritte übermittelt wurden. Die Auskunft hat unentgeltlich und in Textform zu erfolgen.
  • Bei unrichtigen Daten besteht ein Anspruch auf Berichtigung.
  • Werden die Daten nicht mehr für den Zweck der Erhebung, Speicherung oder Verarbeitung benötigt, so müssen sie gelöscht werden. Das Gleiche gilt bei einer unzulässigen Speicherung. Alternativ zur Löschung kann in besonderen Fällen eine Sperrung der Daten stattfinden (z. B. bei Mitarbeiterdaten, siehe Kap. 4). Sowohl von der Löschung als auch von der Sperrung der Daten müssen auch andere Unternehmen benachrichtigt werden, an die Daten weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen.

Abhandengekommene besonders geschützte Daten

In jedem Unternehmen besteht grundsätzlich das Risiko, dass Daten Dritten zur Kenntnis gelangen, z. B. wenn E-Mails an falsche Adressen gesendet werden oder Speichermedien, wie ungesicherte USB-Sticks oder Smartphones, abhandenkommen. Kommen Daten abhanden, so ist der Schutz der Betroffenen besonders wichtig. Handelt es sich um einen der folgenden Fälle, so müssen unverzüglich die zuständige Aufsichtsbehörde und auch die Betroffenen informiert werden:

  • Es geht um besondere Arten personenbezogener Daten wie Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
  • Die Daten unterliegen einem Berufsgeheimnis.
  • Es handelt sich um personenbezogene Daten zu Bank- oder Kreditkartenkonten und es drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen.

Neben der Information der Betroffenen müssen auch Handlungsempfehlungen gegeben werden, um den persönlichen Schaden möglichst zu begrenzen, wie etwa Änderung von Passwörtern, Zugangsdaten, Kontoüberwachung hinsichtlich ungewöhnlicher Zahlungsvorgänge bis hin zur Kontosperrung. Wenn die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens 2 bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen, gleich geeignete Maßnahme.

Hinweis:

Risikoschwerpunkte für Datenverlust

Dass große Datenmengen wie etwa Kreditkarten- oder Kontodaten in die Hände von Dritten gelangen oder öffentlich einsehbar sind, ist ein Risiko, dem insbesondere Onlineshops ausgesetzt sind. Aber auch nicht ausreichend gegen unbefugten Zugriff geschützte Sicherungsdateien auf mobilen Datenträgern oder in der „Cloud“ können ein erhöhtes Risiko darstellen.

Neben der Meldung an die Aufsichtsbehörde und die Betroffenen muss das Unternehmen angemessene Maßnahmen zur Sicherung der Daten ergreifen.

2.2 Verantwortliche für den Datenschutz

Die Verantwortung für den Datenschutz im Unternehmen kann bei unterschiedlichen Gruppen liegen. Infrage kommen hier der oder die Geschäftsführer, die Mitarbeiter sowie gegebenenfalls ein Datenschutzbeauftragter.

  • Geschäftsführer sind grundsätzlich für alle Belange des Unternehmens verantwortlich, damit auch für den Bereich des Datenschutzes, d. h. die Einrichtung personeller, organisatorischer und technischer Maßnahmen zur Einhaltung des Datenschutzes. Hierzu zählt auch gegebenenfalls die Bestellung eines Datenschutzbeauftragten.
  • Der Datenschutzbeauftragte im Sinne des BDSG haftet im Rahmen seiner Tätigkeit für die ihm obliegenden Pflichten. Er muss insbesondere überwachen, ob die Regelungen des BDSG eingehalten werden, sowie die Mitarbeiter zum Thema Datenschutz schulen.
  • Jeder einzelne Mitarbeiter, der mit der Datenverarbeitung beschäftigt ist, muss das Datengeheimnis wahren und sich im Rahmen der betrieblichen Vorgaben bewegen (selbstverständlich nur, soweit diese gesetzeskonform sind). Die Mitarbeiter müssen bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis verpflichtet werden. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

2.3 Betrieblicher Datenschutzbeauftragter

Immer wieder übersehen Unternehmen, dass sie möglicherweise verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu bestellen, der auf die Einhaltung der Datenschutzvorschriften hinwirkt. Dieser Verstoß kann mit einem Bußgeld von bis zu 50.000 EUR geahndet werden.

Ein Datenschutzbeauftragter muss bestellt werden, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, ist unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter zu benennen.

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.

Der Datenschutzbeauftragte kann ein geeigneter Mitarbeiter des Unternehmens sein oder ein Externer. Bei externen Datenschutzbeauftragten wird die Vertragsdauer individuell zwischen den Parteien bestimmt, wobei zur Gewährleistung der Unabhängigkeit ein Mindestzeitraum von 2 bis 3 Jahren für eine wirksame Bestellung erforderlich ist.

Vorteile eines externen Datenschutzbeauftragten

Viele Unternehmen bestellen keinen internen Datenschutzbeauftragten, sondern nutzen externe Dienstleister. Die Gründe hierfür sind vielfältig. So zum Beispiel:

  • Es ist kein entsprechender Experte im Unternehmen selber vorhanden.
  • Datenschutzbeauftragte müssen sich permanent weiterbilden, was für das Unternehmen zusätzliche Kosten bei internen Datenschutzbeauftragten verursacht.
  • Interne Datenschutzbeauftragte unterliegen einem besonderen Kündigungsschutz.
  • Vermeidung von Interessenkonflikten.

3. Maßnahmen zum Datenschutz

3.1 Technische und organisatorische Maßnahmen

Was hinsichtlich des Datenschutzes zu tun ist, hängt von verschiedenen Faktoren ab. Zum einen gibt es allgemeine Empfehlungen, die immer beachtet werden sollten, auch wenn hierzu keine expliziten vertraglichen oder gesetzlichen Verpflichtungen bestehen. Diese Regeln dienen dem Schutz des Unternehmens vor vermeidbaren Unannehmlichkeiten durch einen Datenmissbrauch durch Dritte. Des Weiteren sind vertragliche sowie gesetzliche Verpflichtungen zu beachten.

Bei nicht-personenbezogenen Daten – z. B. Finanzdaten – regeln verschiedene Vorschriften Maßnahmen zum Datenschutz. So sieht bspw. das Steuerrecht vor, dass alle steuerrelevanten Daten gesichert werden und lesbar sein müssen (i. d. R. für mindestens 10 Jahre). Hierzu muss das Unternehmen die geeignete Technologie vorhalten, also bspw. auch alte Software.

In Bezugs auf personenbezogene Daten verlangen DSGVO und BDSG, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen schließen unter anderem Folgendes ein:

 

1.

die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

2.

die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

3.

die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

4.

ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Soweit möglich, sollte (IT-)systemisch eine Trennung zwischen personenbezogenen Merkmalen und Inhaltsdaten, die Verwendung von Pseudonymen und die Anonymisierung personenbezogener Daten, erfolgen. Gemäß dem Gedanken des „Privacy by Design“ sollten IT-Systeme so gestaltet werden, dass ein hohes Datenschutzniveau erreicht wird. So etwa, dass bei der (online) Datenerfassung in der Benutzeroberfläche bereits nur die Daten abgefragt oder verschlüsselt weitergegeben werden, die tatsächlich für den vorgegebenen Zweck benötigt werden, ohne dass der Nutzer hier aktiv tätig werden muss.

3.2 Datenschutz-Folgenabschätzung

Art. 35 DSGVO verpflichtet Unternehmen zu einer sog. „Datenschutz-Folgenabschätzung“. Dies soll der Fall sein, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Solche Fälle sind bspw.

  • die Bewertung und Einstufung (Scoring) einschließlich Prognosen und Profilerstellung,
  • sensitive, insbesondere personenbezogene Daten, wie bspw. Gewerkschaftszugehörigkeit,
  • Datentransfers in Länder außerhalb der EU etc.[1]

In solchen Fällen ist vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen.

Die Folgenabschätzung soll zumindest Folgendes enthalten:

 

1.

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

2.

eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

3.

eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und

4.

die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Achtung

Beweispflicht liegt bei den Unternehmen

Nach Art. 5 Abs. 2 DSGVO müssen Unternehmen nachweisen, dass sie die Vorgaben der DSGVO einhalten. Nach Art. 24 Abs. 1 DSGVO besteht eine Beweispflicht für den Arbeitgeber bei diesbezüglichen Streitfällen.

3.3 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss das Unternehmen unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Weitere empfehlenswerte Vorkehrungen – unabhängig von einer rechtlichen Verpflichtung:

  • Sensibilisierung der Mitarbeiter für Sicherheitsfragen, z. B. durch interne Rundschreiben und Schulungen.
  • Durchführung einer regelmäßigen Datensicherung und Aufbewahrung der Sicherungskopien an einem geeigneten, sicheren Ort.
  • Regelmäßige Aktualisierung von Software (insbesondere von Antiviren- und Firewall Software), Betriebssystem, Internetbrowser und Kommunikationsprogrammen.
  • Nutzung von verschlüsselter Kommunikation bspw. bei E-Mails.
  • Dass eine Firewall, Antivirensoftware und mit dem aktuellen Standard abgesicherte WLAN-Netze zu verwenden sind, sollte selbstverständlich sein.

Hinweis:

Datenträger und Papierabfall richtig entsorgen

Datenschutz fängt bereits bei augenscheinlich banalen Dingen an, wie dem Umgang mit „Papierabfall“ oder ausgedienten Datenträgern. Beides gehört nicht einfach in den Müll. Daten auf Datenträgern, die nur gelöscht oder formatiert und nicht mit entsprechender Software bereinigt worden sind, lassen sich oftmals einfach wiederherstellen und auslesen. Ausdrucke von E-Mails enthalten oftmals nicht öffentlich bekannte Absender und Empfängermailadresse. Werbepost von Lieferanten enthält fast immer die (eigene) Kundennummer, Vor- und Zunamen des Adressaten etc. Ausdrucke von Entwürfen u. Ä. können angefangen von Adressen über Kontodaten bis zu Betriebsgeheimnissen alles enthalten.

Zum Schutz vor Missbrauch sollten daher alle Schriftstücke im Aktenvernichter geschreddert werden und Datenträger mit Löschsoftware bereinigt und/oder physisch zerstört werden. Am einfachsten ist es, statt einzelner Maßnahmen auf professionelle Anbieter für Akten- und Datenträgervernichtung zurückzugreifen, die Papier, Datenträger usw. einsammeln und anschließend vernichten.

Unternehmen sollten daher prüfen, ob entsprechende Datenschutzvorgaben bereits vorhanden sind und inwieweit diese ergänzt bzw. erweitert werden müssen. Gegebenenfalls können professionelle Dienstleister, wie externe Datenschutzbeauftragte, hinzugezogen werden, um einen Status quo zu erstellen.

Achtung

Mitarbeiter regelmäßig zu den größten Risiken sensibilisieren

Ein hohes Risiko für Unternehmen besteht auch darin, dass Mitarbeiter gefälschte oder präparierte E-Mails öffnen, und somit Schadsoftware in die IT-Struktur des Unternehmens einschleusen. Solche Mails können sich bspw. als Rechnungen, Bewerbungen, Auftragsbestätigungen etc. tarnen und nach Aktivierung Daten an Dritte übertragen oder ganze Systeme lahmlegen. Hier sollten Mitarbeiter immer wieder für die Risiken sensibilisiert und bspw. durch Aushänge oder Rundschreiben auf die aktuellen Bedrohungen hingewiesen werden. Auch interne Prozessabläufe können helfen. So kann bspw. geregelt werden, dass PDF-Dokumente zunächst nur mit eingeschränkten Funktionen geöffnet werden können, das Ausführen von Makros bspw. in Office-Software deaktiviert ist und Administratorrechte sollten nur IT-Mitarbeitern gewährt werden.

4. Besonderheiten bei Mitarbeiterdaten

Personenbezogene Daten von Beschäftigten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn dies dem Unternehmen gestattet ist. Dabei sind die gesetzlichen und arbeitsvertraglichen Regelungen zu beachten. Auch hier gilt, dass der Betroffene auch seine Einwilligung in Bezug auf den Umgang mit seinen Daten erteilen kann. Diese Einwilligung darf aber nicht durch Druckausübung oder Täuschung erlangt werden. Für die Beurteilung der Freiwilligkeit der Einwilligung ist insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht in Textform aufzuklären.

Hinweis

Bisherige Regeln sind eine gute Grundlage

Wer bislang die Regeln des BDSG sowie ggf. kollektivvertragliche Vorschriften beachtet hat, ist auch nach den geänderten Vorschriften auf Grund der DSGVO gut aufgestellt. Die zentrale Norm im neuen BDSG ist künftig § 26 BDSG.

Im Vergleich zum bisherigen Datenschutzrecht bezieht der neue § 26 BDSG ausdrücklich auch Leiharbeitnehmer im Verhältnis zum Entleiher und Freiwillige, die einen Dienst nach dem Bundesfreiwilligendienstgesetz leisten, mit ein.

Nach Art. 5 Abs. 2 DSGVO müssen Unternehmen nachweisen, dass sie die Vorgaben der DSGVO einhalten. Nach Art. 24 Abs. 1 DSGVO besteht eine Beweispflicht für den Arbeitgeber bei diesbezüglichen Streitfällen.

4.1 Personaldaten/Personalakten

Eine wichtige Bedeutung kommt der Personalakte zu. Diese beinhaltet alle Daten über den einzelnen Mitarbeiter, angefangen von der Bewerbung bis hin zum Ausscheiden aus dem Unternehmen. Der Datenschutz gilt unabhängig davon, ob die Akten elektronisch oder konventionell in Papierform geführt werden.

Personalakten müssen vertraulich geführt und aufbewahrt werden. Damit ist ein wirksamer Zugriffsschutz unumgänglich. Zudem müssen die Personalakten auch vollständig und nachvollziehbar sein.

Der Schutz personenbezogener Daten umfasst nicht nur die Daten von aktiven Mitarbeitern, sondern auch die von Bewerbern sowie ausgeschiedenen Mitarbeitern.

Umgang mit Bewerberdaten

Die Datenschutzregeln gelten sowohl für Bewerbungen auf Stellenangebote, als auch für Initiativbewerbungen. Im Rahmen der Bewerbung dürfen nur solche Daten erhoben werden, die für die jeweilige Stelle tatsächlich von Bedeutung sind und in einem entsprechenden sachlichen Zusammenhang stehen. Auch hier kann der Bewerber natürlich freiwillig mehr Daten übermitteln, was oftmals im Rahmen von Initiativbewerbungen geschieht. Inwieweit öffentlich zugängliche Bewerberdaten, z. B. von Webseiten, Foren oder Plattformen wie XING, LinkedIn oder Facebook, in das Bewerbungsverfahren aktiv einbezogen werden dürfen, ist strittig. Dennoch spielen diese Informationen eine immer wichtigere Rolle, denn auch ohne aktive, sprich dokumentierte Einbeziehung kann man sich dadurch ein besseres Bild vom Bewerber machen.

Nach Abschluss des Bewerbungsverfahrens sind die personenbezogenen Daten von abgelehnten Bewerbern unverzüglich zu löschen (bzw. zu vernichten), sofern diese nicht mehr für die Zweckerfüllung benötigt werden. Personenbezogene Daten, die weiterhin gespeichert bleiben können, sind Name, Anschrift und Geburtsdatum, da diese gegebenenfalls in einem neuen Bewerbungsverfahren nochmals genutzt werden müssen.

Hinweis:

Aufbewahrung von Bewerberdaten

Da der (potenzielle) Arbeitgeber den Grund für die Absage eines Bewerbers dokumentieren muss und bis zu 2 Monate nach Zugang der Ablehnung mit einer Schadensersatzklage rechnen muss, können die Bewerbungsunterlagen (Daten und/oder Kopien) bis zu 6 Monate aufbewahrt werden. Die entsprechenden Unterlagen sind für diesen Zeitraum zu sperren.

Das sollte in Bezug auf Mitarbeiterdaten veranlasst werden:

  • Standard Schutzvorkehrungen, wie Datensicherung, Virenscanner und Firewall.
  • Alle Vorgänge Unterlagen, E-Mails etc. nachvollziehbar dokumentieren.
  • Datenträger müssen vor Zugriffen Unberechtigter geschützt sein, z. B. durch eigene Laufwerke oder besonders geschützte Verzeichnisse mit gesonderten Zugängen für Personalverantwortliche.
  • Bei papierhafter Aktenführung: Abgeschlossene Karteischränke, die nur von Personalverantwortlichen eingesehenen werden können.

4.2 Daten über die Internet- und E-Mail-Nutzung eigener Mitarbeiter

Die Internet-Nutzung und E-Mail-Nutzung des einzelnen Arbeitnehmers kann technisch umfangreich protokolliert und ausgewertet werden. Dabei können beispielsweise

  • Benutzeridentifikation,
  • IP-Adressen,
  • Datum und Uhrzeit des Zugriffs,
  • Datenmenge
  • sowie Zieladresse des Zugriffs

erfasst werden. Anhand dieser Daten wäre es für den Arbeitgeber möglich nachzuvollziehen, wann der Arbeitnehmer was gelesen hat. Dies kann einen Eingriff in die Persönlichkeitsrechte des Arbeitnehmers darstellen. Was protokolliert und ausgewertet werden darf, hängt u. a. davon ab, ob eine private Internet- und E-Mail-Nutzung erlaubt wurde oder nicht.

Im Falle der nur dienstlichen Nutzung richtet sich die Zulässigkeit der Verarbeitung personenbezogener Daten nach DSGVO und BDSG. Danach sind das Recht des Beschäftigten auf informationelle Selbstbestimmung und die Interessen des Arbeitgebers an der vorgesehenen Datenverarbeitung gegeneinander abzuwägen.

Hat der Arbeitgeber die private Nutzung erlaubt oder geduldet, so muss er grundsätzlich zusätzlich das Fernmeldegeheimnis der Beschäftigten beachten. Danach dürfen die Daten nur verarbeitet und genutzt werden, soweit dies für die Erbringung des Internetdienstes und dessen Abrechnung erforderlich ist. Der Arbeitgeber ist jedoch nicht verpflichtet, die private Nutzung des Internets am Arbeitsplatz zu gestatten. Wenn er dies dennoch tut, kann er die Gestattung davon abhängig machen, dass die Arbeitnehmer einer Protokollierung zur Durchführung einer angemessenen Kontrolle der Netzaktivitäten zustimmen. Diese Einschränkungen gelten bei einem Verbot der privaten Nutzung nicht. In jedem Fall gilt jedoch das Gebot der Datensparsamkeit, d. h. es sollen nur die Daten erhoben werden, die tatsächlich notwendig sind.

Einsichtsrechte in E-Mails

Bei dienstlichen E-Mails ist die Einsicht durch den Arbeitgeber zulässig. Bei privaten E-Mails hingegen darf die Inhaltskontrolle aus datenschutzrechtlichen Aspekten unabhängig von der Erlaubnis der Privatnutzung nur erfolgen, wenn ein begründeter Verdacht besteht, dass das Verhalten des Arbeitnehmers einen Straftatbestand erfüllt oder eine schwerwiegende Verletzung des Arbeitsvertrags sein könnte.

Wichtig

Betriebsvereinbarungen mit Berührungspunkten zum Datenschutz anpassen

Im Hinblick auf bestehende Betriebsvereinbarungen ist zu gewährleisten, dass diese ab 25. Mai 2018 den Anforderungen der Datenschutz-Grundverordnung entsprechen.

 

5. Besonderheiten bei Kundendaten

Kunden sind für die meisten Unternehmen das wichtigste Gut, denn ohne Kunden kann kein Unternehmen Waren der Dienstleistungen absetzen. „Kundendatenschutz“ bedeutet Schutz von Unternehmen UND Personen. Im Einzelnen sind dies insbesondere:

  • Schutz von Daten, die im Rahmen von Geschäftsprozessen genutzt werden. So zum Beispiel Arbeitsergebnisse, Vorlagen, übergebene Unterlagen, Entwürfe, aber auch Korrespondenz via E-Mail etc.
  • Schutz von Daten über den Kunden als Unternehmen (nicht einer einzelnen natürlichen Person), wie Adressen, E-Mail-Adressen u. Ä. Diese Daten sind nicht durch das BDSG geschützt, da es sich nicht um Daten von natürlichen Personen handelt.

Hinweis:

Gedanklicher Rollentausch

Weil Kunden derart wichtig sind, sollte man sich selbst die Frage stellen, was zum Schutz der Kundendaten tatsächlich getan wird. Wie gut sind die Daten geschützt und was wird den Kunden und potenziellen Kunden hinsichtlich des Umgangs mit ihren Daten mitgeteilt. Jetzt gilt es gedanklich die Rolle zu tauschen und sich selbst zu fragen, würde man, wenn es um die eigenen Daten ginge, auf mehr Datenschutz bestehen? Wenn ja, sollte hier auf jeden Fall nachgebessert werden. Datenschutz ist heutzutage auch ein Imagefaktor für das Unternehmen.

Das sollte in Bezug auf Kundendaten beachtet werden:

  • Die Verpflichtung zum Schutz von Kundendaten kann sich aus konkreten vertraglichen Vereinbarungen oder als gesetzliche Nebenpflicht zum Vertrag ergeben. Prüfen Sie Verträge auf derartige Klauseln hin.

Hinweis:

Verträge überprüfen Verträge sollten auf derartige Klauseln hin überprüft und die Sicherung der Daten ggf. entsprechend angepasst werden.

  • Kundendaten sind immer möglichst sicher aufzubewahren. Bei mobilen Endgeräten bedeutet dies, dass die Daten nicht dauerhaft auf Smartphones etc. gespeichert sein sollten. Zudem sollte eine Datenverschlüsselung bei der Speicherung bzw. in Cloudspeichern verwendet werden.

Achtung

Verlust besonders geschützter Daten

Kommen bestimmte personenbezogene Daten, z. B. medizinische Daten, Personalakten oder Daten, die einem Berufsgeheimnis unterliegen, abhanden, so müssen darüber unter Umständen die Betroffenen und die zuständigen Aufsichtsbehörden unterrichtet werden. Dies ist auf jeden Fall imageschädigend und einem Kunden nur schwer zu erklären.

  • Ein weiteres Risiko stellen die Kommunikationsdaten des Kunden, wie seine persönliche E-Mail-Adresse oder eine nicht veröffentlichte Telefonnummer dar. Wird hiermit leichtfertig umgegangen, können Schadensersatzforderungen aus der Verletzung einer vertraglichen Hauptpflicht, sofern vereinbart, entstehen. Daneben sind ebenfalls negative Auswirkungen auf das Unternehmensimage zu bedenken.

6. Besonderheiten bei Lieferantendaten

Der Lieferantendatenschutz ist ähnlich gelagert wie der Schutz von Kundendaten. Auch hier dürfen personenbezogene Daten nur unter Beachtung der bereits genannten Voraussetzungen für den Datenschutz nach dem BDSG erhoben, gespeichert oder verarbeitet werden.

Bei eigenen Lieferanten wird häufig übersehen, dass auch hier in vielen Verträgen Geheimhaltungsklauseln enthalten sind, so z. B. eingeräumte Konditionen, Preise etc. Solche vertraulichen Informationen dürfen nicht unbefugt an Dritte weitergegeben werden. Sollte dies dennoch geschehen, richten sich die Rechtsfolgen grundsätzlich nach den in den jeweiligen Verträgen vereinbarten Vertragsstrafen.

Das sollte in Bezug auf Lieferantendaten veranlasst werden:

Mitarbeiter sollten dafür sensibilisiert werden, dass nicht nur Kundendaten zu schützen sind, sondern auch die Daten und Vertragsinhalte in Bezug auf Lieferanten. Hier insbesondere die persönlichen Daten wie Geburtstag, Privatanschrift oder Daten der persönlichen Kommunikation, wie Telefondurchwahl, persönliche E-Mail-Adresse oder Mobiltelefonnummer.

7. Besonderheiten bei Kommunikationsmaßnahmen/Werbung

Ob geschäftlicher Internetauftritt oder Direktmarketingaktionen: Überall werden Daten von Nutzern erhoben, verarbeitet oder gespeichert – wenn oftmals auch nur für wenige Augenblicke. Auch hier gelten Datenschutzvorschriften. Besonders das Gebot der Datensparsamkeit wird häufig missachtet. Gerade das Internet mit seinen vielfältigen Möglichkeiten reizt die Datensammelleidenschaft vieler Unternehmen, denn je mehr man über seine Nutzer weiß, desto genauer und erfolgreicher kann man sein Angebot auf den Nutzer ausrichten.

Hinweis:

DSGVO/BDSG schützt nur Daten von natürlichen Personen

Vom DSGVO / BDSG sind nur die Daten von Menschen geschützt, nicht die Adressen etc. von Unternehmen an sich. Nicht personalisierte Mailings an Unternehmen sind daher in Bezug auf DSGVO / BDSG unproblematisch.

Der jeweilige Nutzer und Adressat der Werbung (auch bei Briefwerbung) hat ein Recht auf Auskunft darüber, welche Daten über seine Person gespeichert sind und über die Herkunft der Daten und Zweck der Speicherung. Die Auskunft hat unentgeltlich und in Textform zu erfolgen.

Die Daten müssen gelöscht werden, wenn sie nicht mehr für Werbezwecke benötigt werden. Eine Sperrung statt Löschung der Daten kommt dann infrage, wenn der Adressat mitteilt, dass er keine oder eine bestimmte Form der Werbung an seine Adresse nicht mehr wünscht, und man sichergehen will, dass die Adresse nicht versehentlich nochmals genutzt wird, etwa weil die Daten im Rahmen eines Einkaufs erneut erfasst wurden. Von der Löschung als auch von der Sperrung der Daten müssen auch andere Unternehmen benachrichtigt werden, an die Daten weitergegeben wurden, soweit dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen.

Die Verarbeitung oder Nutzung personenbezogener Daten für Werbezwecke, beispielsweise Briefwerbung, ist nur zulässig, soweit der Adressat hierzu zuvor schriftlich eingewilligt hat. Wird die Einwilligung nur mündlich erteilt, z. B. im Rahmen eines Telefongesprächs, so muss dem Betroffenen der Inhalt der Einwilligung schriftlich bestätigt werden. Wird die Einwilligung elektronisch erklärt (z. B. auf einer Internetseite) muss sicherstellt sein, dass die Einwilligung protokolliert wird und deren Inhalt jederzeit vom Betroffenen abgerufen und jederzeit mit Wirkung für die Zukunft widerrufen werden kann.

Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben. Zudem darf der Abschluss eines Vertrags nicht von der Einwilligung des Betroffenen abhängig gemacht werden, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Ohne Einwilligung dürfen personenbezogene Daten für Werbezwecke grundsätzlich nur in diesem Rahmen genutzt werden:

  • Es handelt sich um allgemein zugängliche Daten aus Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen (Listenprivileg).

Und:

  • Die Daten beschränken sich auf Zugehörigkeit zu einer Gruppe (z. B. Hobbys, wie Mountainbikefahrer), die Berufs-, Branchen- oder Geschäftsbezeichnung, den Namen, Titel, akademischen Grad, Anschrift und Geburtsjahr (nicht Geburtsdatum!) des Betroffenen.

Und:

  • Die Daten werden für Werbung für eigene Angebote oder für berufliche Werbung an die berufliche Anschrift oder für Spendenwerbung einer steuerbegünstigten Organisation genutzt.
  • Die Daten wurden rechtmäßig erhoben und die erstmalig erhebende Stelle geht eindeutig als Datenquelle aus der Werbung hervor. Die notwendigen Angaben sind Firma/Name und ladungsfähige Anschrift. In der Regel wird die Datenquelle im Fußbereich des Werbebriefs genannt.
  • Es muss auf das Widerspruchsrecht zur werblichen Datennutzung hingewiesen werden.

Achtung

Widerspruch des Kunden ernst nehmen

Sofern ein Adressat von seinem Widerspruchsrecht gegen die Verarbeitung oder Nutzung seiner Daten Gebrauch macht, ist die Nutzung seiner Daten zu Werbezwecken auf jeden Fall unzulässig.

Neben den datenschutzrechtlichen Gegebenheiten müssen auch die Vorschriften des UWG etc. beachtet werden.

Dies ist bei Internet und Onlinediensten zu beachten:

  • Im Rahmen von Webauftritten oder Onlinediensten (z. B. Webshop) muss sich die Datenerhebung auf das Notwendige beschränken, um die Leistung erbringen zu können.
  • Der Nutzer muss darüber informiert werden, welche Daten über ihn gesammelt und gespeichert werden.
  • Werden personenbezogene Daten erhoben, so ist hierzu entweder eine gesetzliche Erlaubnis oder die Einwilligung des Nutzers in die Datenerhebung und -verwendung notwendig.
  • Wird ein Newsletter angeboten oder ist ein Webshop integriert, so werden immer Daten elektronisch verarbeitet und eine entsprechende Datenschutzerklärung ist notwendig.
  • Werden Dienste Dritte, wie beispielsweise Google Analytics, so muss der Nutzer darüber zu Beginn der Nutzung informiert werden und sein Einverständnis erklären.

8. Datenschutz beim Outsourcing

Unter „Outsourcing“ wird das Verlagern von Prozessen oder Tätigkeiten an Stellen außerhalb des Unternehmens verstanden. Werden Daten dazu an Dritte herausgegeben, so sollte schon bei der Auswahl der Partner auf einen ausreichenden Datenschutz geachtet werden. Zudem sollte schriftlich geregelt sein, wie mit den übergebenen Daten verfahren wird. Hierzu zählen beispielsweise auch Geheimhaltungsverpflichtungen, ggf. mit vereinbarter Vertragsstrafe.

Problematisch werden die Punkte, die oftmals „vergessen“ werden, wie beispielsweise wo lagern die Daten, nutzt der Vertragspartner eventuell selbst wiederum Dienstleister, hält der Vertragspartner die Vorschriften des BDSG ein etc.

Hinweis:

Datenschutz vereinbaren

In Bezug auf den Umgang mit personenbezogenen Daten sollte mit dem externen Dienstleister vereinbart werden, dass die Daten gemäß den aktuellen Datenschutzvorschriften behandelt werden.

Hinweis:

Genau informieren

Vor Vertragsschluss sollte man sich informieren, wo und wie die Daten verarbeitet und gespeichert werden. Am besten nutzt man Anbieter, die die Daten in Ländern speichern, die der DSGVO vergleichbare Datenschutzregeln haben. Dies sind zum Beispiel alle Mitgliedsländer der EU. In große Rechenzentren ausgelagerte Server sind oftmals sicherer als Rechner, die irgendwo in einem Büro ungeschützt stehen.

Dies sollte bei Apps und Co. Beachtet werden:

Smartphones und Tablett-PCs, die Android oder Applebetriebssysteme nutzen, arbeiten mit Apps. Diese Software läuft zwar auf dem jeweiligen Gerät, nutzt und übermittelt aber häufig Daten an Dritte, wie die Anbieter der Apps. Dabei werden beispielsweise Zugangsdaten oder der aktuelle Standort weitergegeben. Beim Speichern von Dateien, wie Kontaktdaten oder Fotos werden diese immer öfter nicht auf dem Endgerät selber, sondern in der Datencloud des jeweiligen Anbieters gespeichert. Das gilt zunehmend auch für Office Software.

Daher sollten private und geschäftliche Nutzung auf unterschiedlichen Endgeräten erfolgen oder zumindest Sicherheitssoftware genutzt werden, wie Firewall- und Antivirussoftware für mobile Endgeräte sowie Verschlüsselungs- und Zugriffsschutz. Empfehlenswert ist auch Software, mit der sich abhandengekommene Endgeräte aufspüren oder aus der Ferne löschen lassen.

 

9. Folgen bei Verletzung des Datenschutzes

Bei Datenschutzverletzungen drohen sowohl gesetzlich normierte als auch vertraglich festgelegte Sanktionen.

9.1 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener

Daten

Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine erhebliche Gefahr für Rechtsgüter betroffener Personen zur Folge, so müssen die betroffenen Personen unverzüglich über den Vorfall benachrichtigt werden.

Die Benachrichtigung muss in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und zumindest die folgenden Informationen und Maßnahmen enthalten:

  • den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung und eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung und der getroffenen Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Von der Benachrichtigung kann abgesehen werden, wenn

  • der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden;
  • der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach keine erhebliche Gefahr mehr besteht;
  • dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Hinweis

Insbesondere die „öffentliche“ Bekanntmachung von derartigen Datenschutzverletzungen bspw. durch betroffene Kunden über Social Media Plattformen kann sich für Unternehmen deutlich negativer auswirken als evtl. verhängte Strafen.

9.2 Haftung kraft Gesetz

Ein Verstoß gegen Datenschutzvorschriften hat schmerzliche Konsequenzen für Unternehmen. Dabei wurden Verstöße gegen das BDSG eher hingenommen als bspw. gegen vertragliche Vereinbarungen. Jetzt verlangt die DSGVO jedoch, dass jede Aufsichtsbehörde sicherstellt, „dass die Verhängung von Geldbußen (..) für Verstöße gegen diese Verordnung (..) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“ Dabei ist u. a. Folgendes gebührend zu berücksichtigen:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen;
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Es können Bußgelder bis zu 4 % des Jahresumsatzes eines Unternehmens bzw. 20 Mio. Euro verhängt werden, wobei der jeweils höhere Wert gilt. Dabei ist auf den gesamten weltweiten Jahresumsatz des betreffenden Unternehmens abzustellen und nicht etwa nur auf den in Europa erwirtschafteten.

9.3 Haftung aus Vertrag

Neben der unmittelbaren Haftung aus der Verletzung einer Datenschutznorm, dürfen auch vertraglich vereinbarte Sanktionen nicht außer Acht gelassen werden. Das Unternehmen kann gegenüber Kunden, Lieferanten oder Mitarbeitern haften, sofern gegen vertragliche Vereinbarungen oder Pflichten verstoßen wurde.

Am häufigsten kommen wohl Verstöße gegen explizit geregelte Geheimhaltungspflichten vor. Die Rechtsfolgen sind in der Regel Vertragsstrafen (in Geld oder auch Sonderkündigungsrechte, beispielsweise bei Dienstleistungsverträgen) sowie Schadensersatz- und/oder Unterlassungsansprüche. Daneben müssen die Anwalts- und Prozesskosten getragen werden.

Klauseln über Stillschweigen

Klauseln, die ein Stillschweigen über die Vereinbarung oder einzelne Umstände des Vertrags regeln, werden nicht durch das BDSG oder ähnliche Rechtsnormen überflüssig, da so auch solche Sachverhalte geregelt werden können, die weder Geschäftsgeheimnisse noch geschützte Daten, wie personenbezogene Daten, beinhalten.

Ein weiterer Bereich ist der Onlinedatenschutz. Neben dem bereits erwähnten Schutz der Kunden- und Nutzerdaten, dürfen Nutzervereinbarungen zwischen dem Unternehmen und Onlinediensten nicht übersehen werden. So verlangt bspw. Google bei der Nutzung von Google Analytics und auch anderen Diensten, dass sich der Websitebetreiber an die einschlägigen gesetzlichen Datenschutzregeln hält und eine vollständige Datenschutzerklärung zu Beginn der Websitenutzung durch den User bereithält, den sog. Cookie-Hinweis. Das Fehlen oder nachträgliche Entfernen des Hinweises kann von Google abgestraft werden, bspw. durch ein schlechteres Ranking, was für Unternehmen ein ernsthaftes Problem darstellen kann. Solche Regeln sind zwar Vereinbarungen, de facto kann sich das Unternehmen hiergegen aber nicht wehren. Zudem entsprechen die Regelungen den gesetzlichen Vorschriften.

Die Datenschutzregeln sollten unabhängig von gesetzlichen oder vertraglichen Vorschriften beachtet werden, um zu verhindern, dass dem Unternehmen Schäden z. B. durch Imageverlust oder Datenweitergabe an Dritte entstehen.