Datenschutz im Unternehmen: Das ist für Sie wichtig

Laut Definition wird der Begriff „Datenschutz“ in vielfältiger Weise verwendet. In den Medien taucht er seit Wirksamwerden der EU-Datenschutzgrundverordnung (DSGVO) zum 25. Mai 2018 verstärkt auf. Ihre Pflicht als Unternehmer ist es dabei, die Rechte aller Personen zu schützen, die Ihnen ihre Daten überlassen haben. Denn immer dann, wenn Sie als Unternehmer personenbezogene Daten erhalten bzw. verarbeiten, müssen Sie Richtlinien zur Umsetzung des Datenschutzes in Ihrem Unternehmen einhalten.

Zu den Daten mit Personenbezug zählen also beispielsweise die folgenden:

• Persönliche Daten (Name, Anschrift, Geburtsdatum etc.)
• Kontaktdaten (Telefonnummer, E-Mail etc.)
• Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.)
• Allgemeine äußere Merkmale (Größe, Gewicht, Haar- bzw. Augenfarbe etc.)
• Biometrische Daten (Fingerabdruck, DNA-Probe etc.)
• Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.)
• digitale Fotos mit erkennbar abgebildeten Personen
• Kfz-Kennzeichen
• IP-Adressen (sozusagen die „Anschrift“ von Computern in einem Netzwerk)

An den beiden letztgenannten Datenkategorien können Sie erkennen, dass die Möglichkeit zur Identifizierung einer Person ausreicht, auch wenn dies nicht von Ihnen selbst, sondern nur z. B. durch die Kfz-Zulassungsbehörde erfolgen kann. Insgesamt ist der Personenbezug sehr weitgehend zu verstehen. Nur etwa reine Maschinen- oder Statistikdaten werden nicht erfasst. Im Zweifel sollten Sie also davon ausgehen, dass Sie es mit personenbezogenen Daten zu tun haben.

Weiterhin gibt es besondere personenbezogene Daten, bei denen Unternehmen gemäß Datenschutz höhere Anforderungen für eine Nutzung garantieren müssen:

• Ethnische Herkunft
• Politische Überzeugung
• Religiöse Überzeugung
• Philosophische Überzeugung
• Gewerkschaftszugehörigkeit
• Gesundheit
• Sexualleben

Was bedeutet es für Sie, dass Sie in Ihrem Unternehmen tagtäglich unweigerlich mit einer Vielzahl von personenbezogenen Daten umgehen? Grundsätzlich ist ein vorsichtiger Umgang mit vertraulichen Informationen gefragt.

Die gesetzlichen Ausnahmetatbestände liefert Art. 6 DSGVO. Demnach ist eine Datenverarbeitung rechtmäßig, wenn es um Folgendes geht:

• die Erfüllung eines Vertrags oder die Durchführung vorvertraglicher Maßnahmen
• die Erfüllung einer rechtlichen Verpflichtung zum Schutz lebenswichtiger Interessen einer betroffenen Person oder einer anderen natürlichen Person (z. B. zur Rettung eines Schwerverletzten durch Ärzte in der Notaufnahme)
• die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (z. B. Erfüllung von Kernaufgaben durch die öffentliche Verwaltung).

Datenschutz spielt im Alltag von Unternehmen stets eine große Rolle. Denn Daten werden dort regelmäßig zur Erfüllung (vor-)vertraglicher Pflichten verarbeitet, beispielsweise um bestellte Ware auszuliefern oder um einem potenziellen Kunden das gewünschte Angebot zukommen zu lassen. In diesen Fällen ist Datenschutz zwar notwendig und natürlich auch sinnvoll, eine Verarbeitung aber zwingend notwendig. Das bedeutet, dass Sie sich als Unternehmer häufig für die Erhebung der entsprechenden Kundendaten auf die Rechtsgrundlage „Erfüllung eines Vertrags“ (Art. 6 Abs. 1 lit. b) DSGVO) berufen können und eben nicht noch zusätzlich eine Einwilligung von Kundenseite benötigen. Für die Erfüllung von handels- oder steuerrechtlichen Pflichten kommt die Rechtsgrundlage „Erfüllung einer rechtlichen Verpflichtung“ nach Art. 6 Abs. 1 lit. c) DSGVO in Betracht.

Soweit keine der genannten Ausnahmetatbestände passt, können Unternehmen, was den Datenschutz angeht, noch auf den Grundsatz der Einwilligung oder der berechtigten Interessen zurückgreifen.

Als DSB kommen solche Personen nicht in Betracht, bei denen ein möglicher Interessenkonflikt besteht. Dazu zählen insbesondere:

• der Inhaber bzw. die Geschäftsführung des Unternehmens
• der Personalchef
• Abteilungsleiter
• externe IT-Dienstleister

Egal, ob ein interner oder ein externer DSB benannt ist, er muss generell eine entsprechende berufliche Qualifikation (z.B. Jurist oder ITler) sowie Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis besitzen. Allerdings ist nirgendwo definiert, wie das Fachwissen konkret aussehen muss.

Zu den konkreten Aufgaben des Datenschutzbeauftragten zählen gemäß Art. 39 Abs. 1 DSGVO zur Einhaltung des Datenschutzes im Unternehmen insbesondere:

• Unterrichtung und Beratung des Verantwortlichen sowie der Beschäftigten hinsichtlich ihrer datenschutzrechtlichen Pflichten und Rechte
• Überwachung der Einhaltung des Datenschutzrechts sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschl. der Zuweisung von Zuständigkeiten
• Sensibilisierung und Schulung der Mitarbeiter und der diesbezüglichen Überprüfungen
• Zusammenarbeit mit der Aufsichtsbehörde

Im Unterschied zur alten Rechtslage zählt es nicht mehr zu den Aufgaben des Beauftragten für Datenschutz in Firmen, das Verarbeitungsverzeichnis zu erstellen oder die TOMs umzusetzen.

Um die Vorgaben der DSGVO in die Praxis umsetzen zu können, sollten Unternehmen ihre Pflichten in einzelne Schritte aufteilen. Besonders wichtig sind folgende Aufgaben:

• Die Anpassung der Website-Datenschutzerklärung sowie der allgemeinen (Offline-)Datenschutzhinweise.
• Die Meldung des DSB an die zuständige Aufsichtsbehörde.
• Schulungen von Mitarbeitern: Weil Datenschutz im Unternehmen ein komplexes Thema ist, müssen Mitarbeiter selbst auch im Umgang mit personenbezogenen Daten immer wieder geschult werden.
• Schriftliche Verpflichtung: Mitarbeiter einer Firma, die mit personenbezogenen Daten arbeiten, müssen mit Blick auf Datenschutz, unternehmensbezogene Daten – zum Beispiel in der Buchhaltung – vertraulich behandeln.
• TOM (technische sowie organisatorische Maßnahmen): Gemeint ist die Entwicklung eines Konzepts zum Umgang mit personenbezogenen Daten - z. B. abschließbare Aktenschränke oder Berechtigungsverfahren.
• Laut Artikel 30 der DSGVO muss jedes Unternehmen zur Einhaltung des Datenschutzes ein Verzeichnis aller Verarbeitungstätigkeiten von Daten führen. Dort werden Zweck, Löschfristen sowie Verantwortlichkeiten formuliert.
   

Im Vorfeld bedarf es folglich einer guten Planung mit Blick auf: 

• das erforderliche Fachwissen zum Thema Datenschutz
• auf die Zeit
• auf das nötige Personal
• auf das vorhandene Budget

Der Bereich Datenschutz umfasst mehr als „nur“ IT-Sicherheit. Denn er ist im Unternehmen auch im Offline-Bereich umzusetzen und gilt für analoge Daten, wie Rechnungen auf Papier oder handgeschriebene Auftragsbestätigungen. Aberein gutes IT-Sicherheitskonzept, gerade auch in Bezug auf Ihre Internetseite, Ihren Webshop oder Ihren Social-Media-Account, ist natürlich ein immens wichtiger, großer Teil der DSGVO. Daher dürfen Sie diesen auf gar keinen Fall vernachlässigen. Sie sehen, dass das Thema Datenschutzverordnung in Unternehmen eine ganze Reihe von Maßnahmen umfasst. 

Die Einhaltung von Datenschutzvorschriften für Unternehmen ist eine ernst zu nehmende Aufgabe. Denn auf jeder nicht nur rein privat betriebenen Internetpräsenz, also auf Ihrer Unternehmensseite, in Ihrem Webshop oder auch in Ihrem Social-Media-Profil, müssen Sie eine Datenschutzerklärung bereitstellen. Die Rechtsgrundlagen dazu finden sich in Art. 13, 14 DSGVO.

Neben den gesetzlichen Pflichtangaben sind auch alle von Ihnen eingesetzten Online-Technologien zu beschreiben, mit deren Hilfe personenbezogene Daten, wie etwa die IP-Adresse von Besuchern Ihrer Website, verarbeitet werden. Dazu zählen im Hinblick auf den Online-Datenschutz, insbesondere die Folgenden:

• Analyse-Tools (Google Analytics, Matomo/ehem. Piwik, Etracker, Facebook Pixel…)
• Kontaktformulare
• Newsletter
• Online-Werbung (Google Ads…)
• Cookies
• Social Plugins
• eingebundene Schriftarten (Google WebFonts, FontAwesome…)
• eingebundene Fremdinhalte (Youtube, Vimeo, Google Maps…)
• Online-Stellenanzeigen
• Gewinnspiele
• Meinungsumfragen
• Chat-Tools / Chatbots
• Login- / Kundenbereich

Rechtsanwälte erstellen auf Anfrage rechtssichere Datenschutzerklärungen für Ihre Branche bzw. Ihr Geschäftsfeld. Hierfür müssen Sie zwar etwas Geld in die Hand nehmen, doch können Sie sich darauf verlassen, dass die erarbeitete Erklärung zum Datenschutz rechtskonform ist und somit den aktuellen DSGVO-Regelwerken entspricht. 

Wenn Sie einen sogenannten Datenschutz-Konfigurator nutzen möchten, dann können Sie online mit wenigen Klicks eine Standard-Datenschutzerklärung generieren. Es ist hierfür auf jeden Fall ratsam zu prüfen, wie aktuell die Website ist und zu sehen, wer die jeweilige Leistung anbietet – auch wenn sie kostenfrei ist. 

So verlockend die angeblich DSGVO-konformen Datenschutzerklärungen für Einzelunternehmerinnen und Einzelunternehmer als Muster im Netz sind, kopieren Sie sie besser nicht. Denn je nach Website und Unternehmensausrichtung sind die DSGVO- Anforderungen an die Inhalte verschieden. Selbst für eine einfache Datenschutzerklärung sollten Sie sich an einen Experten wenden. Denn Fehler verursachen Kosten und führen zu Abmahnungen oder sogar zu Bußgeldern.

Um rechtssicheres E-Mail-Marketing sicherzustellen, müssen Sie das sog. Double-Opt-in-Prinzip beachten. Denn schon eine unzulässige Werbemail von Unternehmen kann wegen Verletzung des Datenschutzes von Nutzern kostenpflichtig abgemahnt werden.

Der Ablauf des Double-Opt-in-Verfahrens kann am Beispiel eines Newsletters wie folgt beschrieben werden:

• Der Empfänger muss den Newsletter selbst aktiv anfordern, z.B. durch Eintragen der eigenen Mail-Adresse in ein Web-Formular.
• Es muss eine nicht vorausgefüllte Checkbox vorhanden sein, die der Nutzer selbst per Mausklick aktivieren muss.
• Anschließend muss eine Bestätigungs-Mail mit einem Aktivierungs-Link versandt werden, den der Nutzer zur Überprüfung anklicken muss.
• Der Newsletter-Versand darf erst nach erfolgter Aktivierung starten.
• Die einzelnen Newsletter müssen den Hinweis auf die Abmeldemöglichkeit enthalten.

Für die Werbung gegenüber Bestandskunden enthält § 7 Abs. 3 UWG eine Ausnahme vom Double-Opt-in-Prinzip. Diese greift dann, wenn Sie eine E-Mail-Adresse im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen erhalten haben. Gemäß den Richtlinien für Datenschutz in Unternehmen dürfen Sie diese dann ausschließlich für Direktwerbung für eigene ähnliche Waren oder Dienstleistungen nutzen, sofern der Empfänger dem nicht ausdrücklich widersprochen hat. Zudem müssen Sie auch hierbei stets auf die Widerspruchsmöglichkeit hinweisen. Diese Ausnahmevorschrift hat jedoch recht hohe Voraussetzungen, die in der Praxis schwer nachzuweisen sind, und sollte daher im Sinne des Datenschutzes zurückhaltend angewendet werden.

Die Richtlinien für Datenschutz für Unternehmen besagen, dass Personen sowohl ein Recht auf Vergessenwerden als auch ein Recht auf Löschung ihrer Daten haben, sobald diese nicht mehr benötigt werden. Jeder hat demnach die Möglichkeit, einer Verarbeitung von personenbezogenen Daten zu widersprechen – auch im Nachhinein. Dies bezieht sich auch auf Informationen, die unrechtmäßig gesammelt wurden.

Verstoßen Unternehmer gegen das Datenschutzrecht, drohen ihnen schwere Konsequenzen. Ein Datenverstoß hat nicht nur Bußgelder durch die Datenschutzaufsichtsbehörde oder Schadensersatz- bzw. Schmerzensgeldforderungen von Betroffenen zur Folge, sondern ggf. auch DSGVO-Abmahnungen vonseiten der Konkurrenz. 

Es ist zwar noch nicht abschließend geklärt, ob Abmahnungen in diesem Bereich überhaupt zulässig sind, aber die Gefahr besteht jedenfalls. Es verbleibt in jedem Fall das Risiko eines Bußgeldes oder einer Schadensersatzforderung. Das kann teuer genug werden, so dass Sie gut beraten sind, den Bereich Datenschutz nicht zu vernachlässigen. Dann haben Sie auch weder Probleme mit einem Verstoß noch mit den dazugehörigen Strafen.