Nichteinhaltung der Datenschutz-Richtlinien hat harte Konsequenzen
Verstöße gegen die Datenschutzgrundverordnung (DSGVO) geschehen oft im Rahmen von scheinbar unbedeutenden, routinemäßigen Handlungen im Unternehmensalltag: E-Mails an Kunden werden über einen offenen Verteiler verschickt, sodass alle Adressen für den gesamten Adressatenkreis sichtbar sind. Bewerbungsunterlagen werden nicht wie vorgeschrieben vernichtet. Daten von ehemaligen Mitarbeitern werden nicht von allen unternehmensrelevanten Internetseiten gelöscht.
Der rechtswidrige Umgang mit personenbezogenen Daten birgt enorme finanzielle Risiken für Mitarbeiter und Unternehmen. Sie können Schadenersatzforderungen auslösen (§ 6 BDSG, Art. 82 DSGVO, § 83 BDSG) oder Bußgelder in Höhe von bis zu 20.000.000 € bzw. eine Freiheitsstrafe von bis zu 3 Jahren nach sich ziehen (§ 42 BDSG, Art. 83 DSGVO, Art. 84 DSGVO).
Gefahren bestehen allerdings nicht allein in finanzieller Hinsicht, denn Datenschutzskandale haben vor allem auch fatale Folgen für das Image des Unternehmens. Geschäftspartner und Kunden verlieren das Vertrauen. Es zurückzugewinnen, kann sehr mühsam und langwierig sein.
Der arglose Umgang mit personenbezogenen Daten ist meist auf Unwissenheit zurückzuführen. Für Unternehmen wird es daher immer wichtiger, die Kenntnisse in Sachen Datenschutz in der gesamten Belegschaft auf dem neuesten Stand zu halten.
Personenbezogene Daten stehen unter besonderem gesetzlichen Schutz
Um personenbezogene Daten zu schützen, hat das Bundesverfassungsgericht bereits im sog. Volkszählungsurteil von 1983 das „Recht auf informationelle Selbstbestimmung“ als Grundrecht anerkannt. Es verleiht dem Einzelnen die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Das Recht auf informationelle Selbstbestimmung ist Bestandteil des allgemeinen Persönlichkeitsrechts, das durch das Grundgesetz (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) geschützt wird.
Laut der Datenschutzgrundverordnung handelt es sich bei personenbezogenen Daten um „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen” (Art. 4 DSGVO).
Um Informationen über eine „identifizierte Person“ handelt es sich dann, wenn diese mit einem bestimmten Namen verbunden sind oder sich aus deren Inhalt unmittelbar ein Bezug dazu herstellen lässt. Als „indentifizierbar“ wird eine Person dann angesehen, wenn sie direkt oder indirekt identifiziert werden kann, z. B. durch Zuordnung zu einer bestimmten Nummer, “zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind” (Art. 4 DSGVO).
Welche Daten sind demnach personenbezogen?
Informationen, über die sich ein Personenbezug zu einem Mitarbeiter oder Geschäftskunden herstellen lässt, sind zum Beispiel:
- Name
- Alter
- Familienstand
- Geburtsdatum (ausschließliche Nutzung des Geburtsjahres erlaubt)
- Anschrift
- Telefonnummer
- E-Mail-Adresse
- Konto- und Kreditkartennummer
- Gehalt
- Kraftfahrzeugnummer und Kfz-Kennzeichen
- Personalausweis- und Sozialversicherungsnummer
- Genetische Daten und Gesundheitsdaten
- Passwörter und IP-Adressen von Rechnern
Zu beachten gilt es, dass die technische Form der Informationen nicht von Bedeutung ist. Auch Fotos, Videos, Röntgenbilder oder Tonbandaufnahmen können personenbezogene Daten enthalten.
Mitunter ist die Frage, ob es sich bei bestimmten Informationen um personenbezogene Daten handelt, nicht ganz leicht zu beantworten. Würden Sie beispielsweise die Arbeitszeiten Ihrer Mitarbeiter zu den personenbezogenen Daten zählen? Nach einem Urteil des Europäischen Gerichtshofes müssen Sie dies tun (EuGH, Urteil v. 30.5.2013 – C-342/12).
Zu beachten ist außerdem Art. 9 DSGVO, in welchem besondere Arten personenbezogener Daten gelistet werden. Dazu zählen rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Nur unter diesen rechtlichen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden:
Personenbezogene Daten dürfen nur erhoben, gespeichert, verarbeitet, übermittelt oder in einer sonstigen Weise genutzt werden, wenn sie folgenden Grundsätzen des Bundesdatenschutzgesetzes (§ 47 BDSG) und der Datenschutzgrundverordnung (Art. 5 DSGVO) genügen:
Rechtmäßigkeit
Jede Nutzung personenbezogener Daten bedarf einer rechtlichen Grundlage. Dabei kann es sich um ein Gesetz, einen Vertrag, eine betriebliche Regelung oder eine Einwilligung der betroffenen Person handeln.
Einwilligung
Die betroffene Person muss der Verwendung ihrer Daten zustimmen. Diese Einwilligung ist nur dann wirksam, wenn der Betroffene ausreichend informiert worden ist und seine Einwilligung freiwillig erteilt hat.
Freiwillig bedeutet in diesem Kontext, dass die betroffene Person “eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden” (ErwG. 42 DSGVO).
Zweckbindung
Personenbezogene Daten dürfen nur für den vorher definierten Zweck erhoben werden. Es ist rechtswidrig, sie in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterzuverarbeiten. Entfällt der ursprüngliche Zweck der Erhebung und Speicherung und besteht keine besondere Aufbewahrungsfrist für die Daten, so sind diese zu löschen.
Datensparsamkeit
Es dürfen nicht mehr Daten erhoben werden als für den konkreten Zweck erforderlich, d.h. die Datenverarbeitung ist auf den notwendigen Umfang zu begrenzen. Teildaten, die nicht mehr benötigt werden, sind zu löschen.
Transparenz
Jede betroffene Person ist vor der Speicherung von persönlichen Daten umfassend über Art und Umfang der Datenerhebung und -verarbeitung zu informieren.
Datensicherheit
Speichert und verarbeitet ein Unternehmen personenbezogene Daten, so ist es auch für deren Sicherheit verantwortlich. Es muss technische und organisatorische Maßnahmen im Sinne des § 64 BDSG bzw. Art. 32 DSGVO treffen, die sicherstellen, dass die Daten nicht durch Unberechtigte eingesehen, verändert oder gelöscht werden können.
Kontrolle
Die Datenverarbeitung muss einer internen und externen Kontrolle unterliegen.
Bedeutung des Datenschutzes im Personalmanagement
Im Rahmen einer Studie der Unternehmensberatung Deloitte aus dem Jahr 2022 wurden Datenschutzbeauftragte, Geschäftsführer und Personalverantwortliche unterschiedlich großer Unternehmen aus verschiedenen Branchen zu ihrer Haltung zum Thema Datenschutz befragt.
Datenschutz nimmt hohen Stellenwert ein
59 Prozent der befragten Unternehmen gaben dabei an, für das Jahr 2022 Projekte geplant zu haben, die den Datenschutz verbessern sollen.
Vor allem die Weiterbildung der eigenen Mitarbeitenden steht dabei im Vordergrund. So planen rund zwei Drittel der Unternehmen die Durchführung von Schulungen, um ihren betrieblichen Datenschutz zu verbessern.
Dabei besteht ein hohes Risikobewusstsein: 75 Prozent der befragten Unternehmen schätzen den Abfluss personenbezogener Daten als kritisch oder sogar sehr kritisch ein. Zudem wird das Thema Datenschutz in 88 Prozent der Unternehmen bei Projekten und Entscheidungen berücksichtigt.
Rasante technologische Entwicklung wirkt verunsichernd
Die Präsenz von Arbeitgebern in sozialen Netzwerken, die Nutzung von Intranet- und Internet-Portalen für Kommunikation mit Bewerbern und Mitarbeitern, die Verlagerung personalwirtschaftlicher Daten in die Cloud externer Dienstleister, die Zusammenführung von Personaldaten über nationale Grenzen hinweg – Personalmanager fühlen sich stark verunsichert, was die Datensicherheit im Online-Bereich betrifft.
Wie gut funktioniert Datenschutz in Ihrem Unternehmen?
Wo steht Ihr Unternehmen in puncto Datenschutz? Halten Ihre Mitarbeiter alle Richtlinien ein, um Datenschutzpannen zu verhindern? Wäre bei Vergehen eine Enthaftung für den Geschäftsführer, Datenschutzbeauftragten oder der Institution gewährleistet? Der folgende Quick-Check hilft Ihnen, Ihre aktuelle Situation besser einzuschätzen.
Haben Sie eine dieser Fragen mit „Nein“ beantwortet? Dann sollten Sie an Ihrem Datenschutzmanagement arbeiten.
Anmerkungen zum Quick-Check
1. Einen Datenschutzbeauftragten berufen
Wenn Sie mindestens zwanzig Mitarbeiter haben, die personenbezogene Daten automatisch verarbeiten, z.B. in einer Datenbank, müssen Sie einen Datenschutzbeauftragten berufen (§ 38 BDSG), der sicherstellt, dass die Daten nach außen hin ausreichend geschützt sind. Verarbeiten sie personenbezogene Daten geschäftsmäßig, müssen Sie unabhängig von der mit der Verarbeitung befassten Anzahl an Personen einen Datenschutzbeauftragten berufen. Tun Sie dies nicht, kann die Aufsichtsbehörde ein Bußgeld von 50.000 € verhängen.
2. Vorabkontrolle durchführen
Sofern „automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“, muss der Datenschutzbeauftragte eine Datenschutz-Folgeabschätzung durchführen. (Art. 35 DSGVO) Das gilt beispielsweise für den Fall einer Videoüberwachung, der Einführung eines GPS-Systems oder der Erstellung von Kundenprofilen.
3. Verzeichnis der verarbeitungstätigkeit erstellen
Laut Art. 70 DSGVO müssen Sie ein Verzeichnis der Verarbeitungstätigkeit (VTT) führen. Unterschieden wird dabei zwischen dem Verzeichnis, das vom datenschutzrechtlichen Verantwortlichen geführt werden muss und dem deutlich kürzeren Verzeichnis für Auftragsverarbeiter.
In jedem Fall müssen u.A. folgende Informationen im VTT enthalten sein:
- Datenkategorien
- Zweck der Verarbeitung
- Auflistung der Betroffenen
- Übersicht der getroffenen technisch organisatorischen Maßnahmen (TOM)
- Löschfristen
- Name und Kontaktdaten der Verantwortlichen
Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz sind regelmäßig beide Verfahrensverzeichnisse vorzulegen.
4. Verpflichtung auf das Datenschutzgeheimnis abgeben
Alle Mitarbeiter, die mit der Verarbeitung personenbezogener Daten zu tun haben werden, müssen bei Aufnahme ihrer Tätigkeit eine Verpflichtung auf das Datengeheimnis abgeben. Ein Muster für die Geheimhaltungsvereinbarung stellt das BfDI zur Verfügung. Die Verpflichtung zur Wahrung des Datengeheimnisses besteht nach Beendigung der Tätigkeit fort (§ 53 BDSG).
5. Datenschutzkonzept erstellen
Um die Art und den Umfang der erhobenen, verarbeiteten oder genutzten personenbezogenen Daten zu dokumentieren, sollten Sie ein Datenschutzkonzept erstellen, aus dem die im Unternehmen umgesetzten technischen und organisatorischen Maßnahmen zum Datenschutz nach Art. 32 DSGVO bzw. § 64 BDSG hervorgehen. Die Darstellung dient auch als Grundlage für datenschutzrechtliche Prüfungen. Ein Muster stellt Ihnen die Unternehmensberatung activeMind zur Verfügung.
6. IT-Sicherheitskonzept
Vor dem Hintergrund des Wandels zum vernetzten Unternehmen mit global ausgelagerten Daten gewinnt IT-Sicherheit immer stärker an Bedeutung. Entsprechend wichtig ist es, ein IT-Sicherheitskonzept zu entwerfen. Die Forderung nach technischen Maßnahmen zum Datenschutz ist in § 9 BDSG verankert:
Diese Maßnahmen sind wichtig für Ihre IT-Sicherheit
- Zutrittskontrolle: Sie müssen sicherstellen, dass Unbefugte keinen Zutritt zu Ihren Datenverarbeitungsanlagen erhalten.
- Zugangskontrolle: Sie müssen gewährleisten, dass Unbefugte Ihre Datenverarbeitungssysteme nicht nutzen können.
- Zugriffskontrolle: Sie müssen dafür sorgen, dass die zur Benutzung Ihres Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung oder Nutzung und nach der Speicherung nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden können.
- Weitergabekontrolle: Sie müssen sicherstellen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
- Eingabekontrolle: Sie müssen gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Ihre Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
- Auftragskontrolle: Sie müssen garantieren, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
- Verfügbarkeitskontrolle: Sie müssen dafür sorgen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und dass die Daten nach ihrer Entsorgung nicht wiederherstellbar und somit durch Unbefugte einsehbar sind.
- Trennungsgebot: Sie müssen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Unternehmen sollten den Datenschutzbeauftragten in die Erstellung und Umsetzung eines IT-Sicherheitskonzepts einbinden und dieses regelmäßig auf mögliche Schwachstellen überprüfen lassen.
7. Datenpannen und Sicherheitslücken
Für den Fall, dass sich Sicherheitslücken ergeben, sollten Unternehmen einen klaren Prozess vorbereiten und die möglichen „Datenpannen“ zeitnah melden. Nach Art. 33 DSGVO muss dies innerhalb von 72h geschehen. Dabei müssen sowohl die Aufsichtsbehörden als auch die Betroffenen über den Vorfall unterrichtet werden.
Wie viel Datenschutz Ihr Unternehmen braucht, ist in erster Linie eine Entscheidung der Unternehmensführung. Der Datenschutz muss zu Ihrer Unternehmenskultur passen und die Erwartungen Ihrer Kunden und Mitarbeiter erfüllen. Hier ergibt sich in aller Regel bereits Gesprächsbedarf mit den Datenschutzexperten.
Datenschutz als Wettbewerbsvorteil
Bemühungen um Datensicherheit dienen nicht allein dazu, Konflikte mit dem Gesetz zu verhindern. Datenschutz kann auch ein wichtiges Thema sein, wenn es um die „Vermarktung“ Ihres Unternehmens geht. Laut einer umfassenden Studie zum Thema Datenschutz erfuhren 92 % der Unternehmen, die sich aktiv um eine Einhaltung der DSGVO bemühten, einen deutlichen Zuwachs im Kundenvertrauen.
Um Kunden, Investoren und auch die eigenen Mitarbeiter zu überzeugen und langfristig zu binden, sollten Sie Ihre Anstrengungen im Bereich Datenschutz in Ihre Marketingaktivitäten integrieren und das Alleinstellungsmerkmal „Datenschutz und Datensicherheit“ herausarbeiten.
Für die Vermarktung der Datenschutzbemühungen eignen sich auch formalisierte Verfahren wie ein Datenschutz-Gütesiegel (z.B. durch eine Zertifizierung nach ISO 27001) oder eine datenschutzrechtliche und datensicherheitstechnische Begleitung durch unabhängige Datenschutzexperten.
Stellen Sie Einhaltung der Datenschutz-Richtlinien im gesamten Unternehmen sicher
Es reicht bei Weitem nicht aus, wenn sich nur einzelne Personen um den formalen Datenschutz im Unternehmen bemühen. Stattdessen muss jedem einzelnen Mitarbeiter bewusst gemacht werden, dass bei der Verarbeitung personenbezogener Daten rechtliche und kulturelle Rahmenbedingungen zu berücksichtigen sind. Dies kann nur dann der Fall sein, wenn die Mitarbeiter regelmäßig zu dem Thema sensibilisiert werden. Hierfür eignen sich interne Kommunikationskanäle wie Newsletter, Intranet oder ein Jour fixe.
E-Learning schlägt Präsenztraining
Um Ihre Mitarbeiter so in das Thema Datenschutz einzuweisen, dass eine Enthaftung für das Unternehmen gewährleistet ist, benötigen Sie ein nachhaltiges und nachweisbares Schulungskonzept. Dieses können Sie entweder selbst erstellen oder sich einen Dienstleister suchen, der entsprechende Trainings anbietet. Einweisungen für die Belegschaft können in diesen Formaten erfolgen:
- Sie schicken Ihre Mitarbeiter zu externen Schulungen.
- Sie halten In-House Schulungen ab – mit oder ohne externen Dienstleister.
- Sie etablieren E-Learning Lösungen für Compliance-Schulungen. Entweder als reine E-Learning Lösung oder als Blended Learning Konzept kombiniert mit In-House Schulungen.
Da Compliance-Training aus einer rechtlichen Verpflichtung heraus entsteht und zu einem hohen Anteil aus Frontal-Belehrungen besteht, ist der Mehrwert in einem Präsenzseminar beschränkt. Daher bleibt es fraglich, ob man mit externen Schulungen Reisestress und Abwesenheitszeiten rechtfertigen möchte. Selbst In-House erzeugt es oft enorme Opportunitätskosten, die gesamte Belegschaft in Präsenzveranstaltungen zu versammeln, besonders wenn sie auf verschiedene Standorte verteilt ist.
Daher haben E-Learning Lösungen klare Vorteile bei Compliance-Schulungen. Neben den wegfallenden Kosten für Reisen und Versammlungen bietet E-Learning maximale Flexibilität und Wiederholbarkeit ohne jeglichen Aufwand. Video-Trainings bieten hierbei eine einfache und optisch ansprechende Form des E-Learnings dar.
Online-Compliance-Training für Ihr Unternehmen
Lecturio bietet Compliance Schulungen mit hochqualitativen und praxisnahen Online-Video-Trainings. Sie erhalten Ihre eigene Online-Akademie und können Ihre Mitarbeiter und Führungskräfte schnell und kosteneffizient in alle relevanten Compliance- und Sicherheitsregeln einweisen. Für weniger als 10 € pro Mitarbeiter pro Jahr können Sie sich und Ihr Unternehmen enthaften und vor Compliance-Schäden bewahren.
Quellen
- Umfrage zum Datenschutz 2022 via Deloitte
- Personenbezogene Daten via Wolfram Becker Datenschutzberater
- Datenschutz als Wettbewerbsvorteil via Datenschutzexperte
- Datenschutz-Grundverordnung via DSGVO-Gesetz.de
- Verzeichnis von Verarbeitungstätigkeiten via DSGVO-Gesetz.de
- Der Schutz des Rechts auf informationelle Selbstbestimmung via Bundezentrale für politische Bildung