Worum geht's?
Nicht nur nach außen, also etwa in der Datenschutzerklärung, muss datenschutzrechtlich alles korrekt abgebildet sein. Selbstverständlich müssen Sie die Datenschutzprozesse, die die DSGVO vorschreibt, auch im Unternehmen umsetzen. Wichtige Themen sind hier vor allem der Datenschutzbeauftragte, die Auftragsverarbeitung und das Verfahrensverzeichnis. Wie Sie den Datenschutz im Unternehmen richtig umsetzen, lesen Sie in unserem Artikel.
1. Warum ist Datenschutz für Unternehmen so wichtig?
Zuallererst bilden die Datenschutzgrundverordnung (auch Datenschutz-Grundverordnung, kurz: DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) einen gesetzlichen Rahmen für den Datenschutz in Deutschland. Die DSGVO ersetzt dabei seit 2018 die EU-Datenschutzrichtlinie und gilt in der gesamten Europäischen Union. Unternehmen und Behörden müssen sich an das Datenschutzrecht halten. Tun Sie dies nicht, kassieren Sie empfindliche Bußgelder und Abmahnungen. Das kann vor allem für kleinere und mittlere Unternehmen schnell existenzgefährdend sein.
Außerdem steigt die Sensibilität der Bevölkerung bezüglich des Datenschutzes stetig an. Internetnutzern ist die Sicherheit und der Umgang mit personenbezogenen Daten wichtig und somit kann ein guter Datenschutz im Unternehmen ein Wettbewerbsvorteil für Sie sein.
Unternehmen stehen in der Pflicht, die personenbezogenen Daten ihrer Kunden, Mitarbeiter und Geschäftspartner in besonderem Maße zu schützen. Dafür müssen entsprechende Maßnahmen ergriffen werden. Welche dies sind, erläutern wir in den folgenden Kapiteln.
2. Wann brauche ich nach der DSGVO einen Datenschutzbeauftragten?
Sie sind als Unternehmer in fünf Fällen verpflichtet, einen Datenschutzbeauftragten zu bestellen, damit Datenschutz und Datensicherheit gewährleistet wird. Diese lauten wie folgt:
- Sensible Daten
Sie verarbeiten besondere Kategorien von Daten gemäß Artikel 9 DSGVO
Beispiele: Gesundheitsdaten, Daten zur rassischen und ethnischen Herkunft, genetische Daten, Daten zur sexuellen Orientierung - Überwachung von betroffenen Personen ist Ihre Kerntätigkeit
Ihre Kerntätigkeit macht eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich.
Beispiele: Verarbeitung von Gesundheitsdaten für ein Krankenhaus, Verarbeitung von Adressdaten für Auskunfteien - Mindestens 20 Mitarbeiter
Sie beschäftigen in der Regel mindestens 20 Personen (als Angestellte oder auch freie Mitarbeiter) ständig mit der automatisierten Verarbeitung personenbezogener Daten. - Datenschutz-Folgenabschätzung
Ihr Unternehmen ist verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen (Artikel 35 DSGVO). - Markt- oder Meinungsforschung
Sie verarbeiten personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.
Sie können aber auch immer freiwillig einen Datenschutzbeauftragten bestellen. Sinnvoll ist das, wenn Sie Ihre internen Prozesse besser im Blick haben wollen. Und auch nach außen hin macht es einen guten Eindruck, weil es zeigt, dass Ihnen der Datenschutz Ihrer Kunden wichtig ist.
Praxis-Tipp
Sie wollen den Datenschutz im Unternehmen überprüfen lassen? Unsere Partnerkanzlei Siebert Lexow bietet dazu einen Datenschutz-Audit an. Unsere versierten Anwälte überprüfen Ihre Datenschutzprozesse. Ein Datenschutzexperte nimmt Sie an die Hand und klärt offene Fragen.
Was mache ich, wenn ich einen Datenschutzbeauftragten haben will?
Wenn Sie einen Datenschutzbeauftragten benennen wollen oder müssen, ist noch Folgendes wichtig zu wissen:
- Form: Sie müssen den Datenschutzbeauftragten schriftlich benennen.
- Aufgaben: Der Datenschutzbeauftragte
- überwacht die Einhaltung der Datenschutzgrundsätze im Unternehmen.
- führt das Verarbeitungsverzeichnis.
- unterstützt bei der Datenschutz-Folgenabschätzung.
- ist innerhalb und außerhalb des Unternehmens (Behörden) für den Datenschutz zuständig.
- Ausbildung: Er muss keine besondere Qualifikation nachweisen. Sinnvoll ist aber eine juristische Ausbildung oder ein Zertifikat vom TÜV oder der IHK.
- Intern oder extern: Der Datenschutzbeauftragte kann aus Ihrem Unternehmen kommen oder ein externer Datenschutzbeauftragter sein. Beides hat Vor- und Nachteile: Interne Datenschutzbeauftragte kennen das Unternehmen und die Prozesse gut, es besteht aber die Gefahr, dass er nicht weisungsfrei arbeitet.
Wichtig
Sobald Sie den Datenschutzbeauftragten benannt haben, müssen Sie seine Kontaktdaten auf Ihrer Website veröffentlichen.
3. Wann muss ich einen Vertrag zur Auftragsverarbeitung abschließen?
Viel häufiger als Sie wahrscheinlich denken. Eine Auftragsverarbeitung liegt vor, wenn ein anderes Unternehmen in Ihrem Auftrag personenbezogene Daten Ihrer Nutzer und Kunden erhebt, verarbeitet oder nutzt.
Beispiele:
- Einsatz eines externen Kundencenters (z.B. Callcenter)
- externer Newsletter-Anbieter
- Cloud Computing
- Einsatz externer Unternehmen beim Marketing
- Externes Rechenzentrum
In diesen Fällen müssen Sie einen AV-Vertrag mit Ihrem Dienstleister schließen. Diese "Auftragsverarbeitung" regelt genau, wie er nach Ihren Weisungen die personenbezogenen Daten Ihrer Kunden verarbeitet. Dazu gehören auch eigene Pflichten des Dienstleisters. Er muss zum Beispiel mit Ihnen gemeinsam:
- mit der Aufsichtsbehörde zusammenarbeiten
- technische und organisatorische Maßnahmen ergreifen, damit die Daten hinreichend geschützt werden
4. Muss ich als Unternehmer ein Verfahrensverzeichnis führen?
Ja. Sie müssen ein Verzeichnis mit allen Daten-Verarbeitungstätigkeiten des Unternehmens anlegen und führen. Die Inhalte sind ähnlich wie die, die in Ihre Datenschutzerklärung gehören. Das sind:
- Name und Kontaktdaten des Unternehmens, Vertreters und Datenschutzbeauftragten
- der Zwecke der Datenverarbeitung
- die Kategorien betroffener Personen
- die Kategorien personenbezogener Daten
- die Kategorien von Empfängern der Daten
- die Übermittlungen personenbezogener Daten in ein Drittland
- Fristen für die Löschung der verschiedenen Datenkategorien
- Eine Beschreibung der technischen und organisatorischen Maßnahmen einen angemessenen Datenschutz
Achtung
Führt Ihr Dienstleister als Auftragsverarbeiter ein solches Verzeichnis, muss er nur eine "abgespeckte" Variante führen:
- Name und Kontaktdaten des Auftragsverarbeiters, seiner Vertreter und seines Datenschutzbeauftragten
- die Kategorien der Verarbeitungen, die er im Auftrag durchführt
- die Übermittlungen personenbezogener Daten in ein Drittland
- Eine Beschreibung der technischen und organisatorischen Maßnahmen einen angemessenen Datenschutz
Außerdem sollten Sie beachten, dass Sie das Verarbeitungsverzeichnis nur intern führen und nur auf Verlangen der Datenschutzbehörde vorzeigen müssen. Sie können es schriftlich und elektronisch anlegen. Zudem bietet es sich an, das Verarbeitungsverzeichnis auch zu führen, wenn Sie nur ein kleines Unternehmen haben, dennoch aber regelmäßig Kundenkontakt pflegen.
5. Betroffenenrechte der DSGVO
Es ist sicher schon einmal vorgekommen, dass sich bei Ihnen jemand gemeldet hat, der wollte, dass Sie seine Daten löschen oder gefragt hat, was Sie über ihn gespeichert haben. Eine schlechte Idee ist es, solche Schreiben oder Mails einfach zu ignorieren. Denn es ist das gute Recht Ihrer Nutzer, Kunden und Besucher, Sie darum zu bitten. Sofern Sie Ihre personenbezogenen Daten in irgendeiner Weise verarbeiten, haben die Betroffenen folgende Rechte:
Auskunftsrecht
Sie müssen Ihren Kunden auf Verlangen Informationen über die bei Ihnen gespeicherten personenbezogenen Daten zusenden. Dazu gehören insbesondere folgende Informationen:
- Zweck der Datenverarbeitung: Wozu nutzen Sie die Daten?
- Kategorien personenbezogener Daten:Ist es der Name, die Adresse oder das Alter?
- Empfänger oder Kategorien von Empfängern der Daten:Wer bekommt die Daten? oder bekommt eine bestimmte Gruppe die Daten, z.B. Krankenkassen?
- Übermittlungen personenbezogener Daten in ein Drittland
- geplante Speicherdauer oder Kriterien für die Festlegung:Wie lange speichern Sie die Daten? Wenn Sie das nicht genau sagen können: Woran machen Sie das fest?
- Beschwerde:die Betroffenen können sich bei einer Aufsichtsbehörde beschweren
- Betroffenenrechte:die Betroffenen haben weitergehende Rechte
Recht auf Berichtigung nach DSGVO
Wenn die Daten unrichtig sind, dürfen Ihre Nutzer verlangen, dass Sie diese vervollständigen oder berichtigen.
Recht auf Löschung nach DSGVO
Ihre Nutzer dürfen in bestimmten Fällen von Ihnen verlangen, dass Sie die Daten löschen. Die wichtigsten Fälle sind:
- Sie brauchen die Daten nicht mehr für den Zweck, für den Sie sie erhoben haben
- Der Nutzer widerruft seine Einwilligung
- Sie durften die Daten nicht verarbeiten
In bestimmten Fällen können Sie allerdings unter Umstände das Recht haben, die Löschung zu verweigern. Dazu gehören beispielsweise folgende Fälle:
- Sie sind rechtlich dazu verpflichtet, die Daten aufzubewahren.
- Die Öffentlichkeit hat ein Interesse daran, dass Sie die Daten aufbewahren, und dieses ist berechtigt.
- Sie möchten eigene Rechte geltend machen oder Rechtsansprüche verteidigen.
Einschränkung der Verarbeitung
In bestimmten Fällen dürfen die Nutzer auch verlangen, dass Sie die Verarbeitung einschränken:
- Der Nutzer bestreitet, dass die Daten richtig sind und Sie überprüfen dies. So lange ist die Verarbeitung eingeschränkt.
- Sie durften die Daten nicht verarbeiten und der Nutzer verlangt diese einzuschränken, statt sie zu löschen.
- Sie brauchen die Daten für die Zwecke nicht mehr, der Nutzer möchte aber damit Rechtsansprüche geltend machen.
- Der Nutzer hat Widerspruch gegen die Verarbeitung eingelegt und es ist noch ungeklärt, ob Ihr Interesse an der Aufbewahrung überwiegt.
Recht auf Datenherausgabe und Übertragbarkeit
Nutzer dürfen ihre Daten zu einem anderen Anbieter "mitnehmen". Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen weiterzugeben.
Ignorieren Sie also solche Schreiben auf keinen Fall und prüfen Sie das Anliegen - am besten mit Ihrem Datenschutzbeauftragten gemeinsam.
6. Datenschutzerklärung
Die Datenschutzerklärung ist ein wichtiger Bestandteil Ihrer Website. Sie muss von jeder Unterseite aus innerhalb von höchstens zwei Klicks erreichbar sein. In der Datenschutzerklärung informieren Sie Ihre Kunden oder User über die Datenverarbeitung. Bei einem Vertragsabschluss muss der Nutzer der Datenschutzerklärung aktiv zustimmen.
Haben Sie noch keine Datenschutzerklärung? Mit unserem kostenlosen Datenschutz-Generator erhalten Sie innerhalb von wenigen Minuten eine rechtskonforme Datenschutzerklärung für Ihre Website. Probieren Sie es gleich aus!
7. Technische und organisatorische Maßnahmen (TOM) und Datenschutz in der Firma für Mitarbeiter
Bei den TOM handelt es sich um spezielle DSGVO-Maßnahmen, die die Sicherheit bei der Verarbeitung von personenbezogenen Daten gewährleisten soll. Dazu gehört u. a. die Verschlüsselung und Pseudonymisierung von personenbezogenen Daten sowie die Verfügbarkeit der personenbezogenen Daten.
Wichtig für den Datenschutz im Unternehmen ist zudem, dass Sie als Arbeitgeber regelmäßig Ihre Mitarbeiter bezüglich des Umgangs mit personenbezogenen Daten am Arbeitsplatz schulen. Ähnlich wie Erste-Hilfe-Kurse sollten die Datenschutzschulungen auch regelmäßig aufgefrischt werden.
8. Checkliste: Welche Datenschutzrechtlichen Pflichten hat ein Unternehmen?
- Prüfen Sie, ob Sie einen Datenschutzbeauftragten brauchen!
- Schließen Sie Auftragsdatenverarbeitungen mit Dienstleistern!
- Führen Sie ein Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten) nach DSGVO!
- Denken Sie an Betroffenenrechte und reagieren Sie auf Mails und Schreiben von Nutzern!
- Aktualisieren und verlinken Sie Ihre Datenschutzerklärung!
- Bieten Sie Mitarbeiterschulungen an!
- Setzen Sie die TOM durch!
9. FAQ: Datenschutz in Unternehmen
- Zurück zur Übersicht: "Datenschutz"
- Google Analytics
- Google Consent Mode
- Datenschutz bei Zoom
- Datenschutz bei Videokonferenzen
- Datenschutz von Mitarbeiterdaten
- Formulare
- Pur-Abo-Modell für Content-Unternehmen
- Datenschutz & Datenschutzerklärung für Handwerker
- Datenschutz für Immobilienmakler
Alles, was Sie wissen müssen