DSGVO in Unternehmen – was regelt sie?

Die EU-Datenschutzgrundverordnung oder DSGVO betrifft alle Unternehmen und Arbeitgeber, die personenbezogene Daten von Kunden, Bewerbern oder Mitarbeitern verarbeiten. Es gibt keine Schwellenwerte für Umsatz oder Mitarbeiterzahl, die die Gültigkeit einschränken. Das heißt: Die Grundverordnung gilt für Amazon genauso wie für den Einzelhändler, für den DAX-Konzern ebenso wie für den Handwerker mit drei Angestellten.

Zu den personenbezogenen Daten zählen unter anderem:

• allgemeine Personendaten: z. B. Name, Geburtsdatum, Geburtsort, Postanschrift, E-Mail-Adresse, Rufnummern
• körperliche Merkmale: z. B. Geschlecht, Haar- und Augenfarbe, Statur
• Kennnummern: z. B. Sozialversicherungsnummer, Personalausweisnummer, Steueridentifikationsnummer
• Online-Daten: z. B. IP-Adresse, Standortdaten
• Bankdaten: z. B. Kontostände, Kontonummern, Kreditinformationen
• Vermögen und Besitz: z. B. Immobilien, Fahrzeuge, Grundbucheintragungen, Kfz-Kennzeichen
• Werturteile: z. B. Schul-, Hochschul- und Arbeitszeugnisse
• Kundendaten: z. B. Bestellungen, Adressdaten, Kontodaten

Darüber hinaus gibt es „besondere personenbezogene Daten“, für die noch einmal strengere Vorschriften zur Sammlung und Verarbeitung gelten. Es handelt sich dabei um folgende Daten:

• Angaben über „rassische bzw. ethnische Herkunft“ (Art. 9 Abs. 1 DSGVO)
• politische Ansichten
• religiöse und philosophische Überzeugung
• Gewerkschaftszugehörigkeit
• biometrische und genetische Angaben sowie Angaben zur Gesundheit
• Angaben zur Sexualität

Eine Datenverarbeitung kann nach der DSGVO auch auf berechtigte Interessen des verantwortlichen Unternehmens gestützt werden. In dem Fall muss die Verarbeitung zur Wahrung der berechtigten Interessen erforderlich sein. Dabei dürfen die Interessen der betroffenen Person nicht überwiegen und die Datenverarbeitung muss für den verfolgten Zweck notwendig sein. Zudem müssen Sie die Interessenabwägung dokumentieren und im Zweifel auch nachweisen können.

Mit einer Einverständniserklärung zur Datenverarbeitung der betroffenen Person sind Sie dagegen in Bezug auf den Datenschutz fast immer „auf der sicheren Seite“. Oberste Regel ist hierbei, dass die Einwilligung freiwillig abgegeben wurde. Außerdem sollten für verschiedene Verarbeitungsvorgänge auch gesonderte Einwilligungen eingeholt werden. Bitte beachten Sie aber, dass eine Einwilligung jederzeit ohne Angabe von Gründen widerrufen werden kann.

Ein wichtiger Teil des Datenschutzrechts oder der damit verbundenen Verordnung beschäftigt sich mit den Rechten der Betroffenen (sogenannte Betroffenenrechte) und der Löschung ihrer Daten: Daten müssen auf Verlangen eines Kunden gelöscht werden, insbesondere dann, wenn der Zweck, für den die Daten gespeichert wurden, nicht mehr besteht. Es besteht auch dann eine Löschpflicht, wenn der Kunde seine Einwilligung zur Datenspeicherung widerruft oder wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

Als Unternehmer sind Sie gemäß DSGVO grundsätzlich verpflichtet, Ihre Kunden darüber zu informieren, wenn Sie personenbezogene Daten, wie z. B. E-Mail-Adressen, speichern oder weitergeben. Dabei müssen Sie nach DSGVO unter anderem die folgenden Fragen beantworten:

• Welche Daten werden gespeichert?
• Wofür werden diese benötigt?
• An wen werden sie weitergegeben?

In der DSGVO ist insbesondere auch ein Auskunftsrecht verankert. Der Kunde kann jederzeit Auskunft darüber verlangen, welche Daten von ihm gespeichert und wie diese verarbeitet werden. Diese Auskunft muss unverzüglich, spätestens jedoch innerhalb eines Monats erteilt werden. Das bedeutet: In jedem Unternehmen muss ein Prozessgeschaffen werden, der den Auskunftsansprüchen gerecht wird.

Neu ist ein Widerspruchsrecht gegen die Datenverarbeitung,das unter bestimmten Voraussetzungen greift. Natürlich kann dem Unternehmen nicht verwehrt werden, Daten zu speichern, die für die Vertragserfüllung oder Verfolgung von Ansprüchen benötigt werden. Daten, die ausschließlich zu Marketingzwecken verarbeitet werden, müssen dagegen auf Verlangen gelöscht werden.

Das Verarbeitungsverzeichnis nimmt im Datenschutz Ihres Unternehmens eine zentrale Rolle ein. Die Datenschutzbehörde muss anhand des Verzeichnisses der Verarbeitungstätigkeiten (VVT) erkennen können, ob Ihr Unternehmen rechtskonform arbeitet. Zur Form gibt es dabei keine Vorschriften, wichtig ist aber, dass alle durch die Grundverordnung vorgeschriebenen Pflichtangaben enthalten sind.

Das Datenverarbeitungsverzeichnis sollte grundsätzlich Folgendes enthalten:

• Kontaktdaten Ihres Unternehmens und, falls vorhanden, des Datenschutzbeauftragten
• Analyse und Beschreibung der Geschäftsprozesse bzw. der Verarbeitungsvorgänge Ihres Unternehmens gemäß Art. 30 DSGVO
• Schilderung der technischen und organisatorischen Maßnahmen (kurz: TOM) für alle Verarbeitungsvorgänge, bspw. Maßnahmen der IT-Sicherheit, IT-Richtlinien oder Arbeitsanweisungen

Erfahren Sie in unserem weiterführenden Artikel, welche Vorgehensweise wir mit Blick auf die DSGVO Ihrem Unternehmen empfehlen und wie es Ihnen gelingt, ein Verzeichnis von Verarbeitungstätigkeiten korrekt zu erstellen.

Jedes Unternehmen mit einer Webseite kennt das: Man muss nicht nur ein Impressum auf seine Seite stellen, sondern mit einer Erklärung zum Datenschutz über die Erhebung und Verarbeitung personenbezogener Daten informieren. Die DSGVO geht bei Unternehmen darüber hinaus. Denn die Informationspflicht gilt auch im Offline-Bereich. Wer offline Daten erhebt, etwa in einem Kunden- oder Bewerbungsgespräch, muss ebenfalls über die Verarbeitung der Daten informieren. Unter anderem müssen Sie auf Folgendes hinweisen:

• den Zweck der Datenverarbeitung
• die Dauer der Datenspeicherung
• das Recht zur Beschwerde

Erfahren Sie in unserem Artikel, welche weiteren Pflichtinhalte Sie in Ihre Datenschutzhinweise aufnehmen und wann Sie die Informationen bereitstellen müssen.

Datenpannen können z. B. durch Hacker-Angriffe sowie den Verlust eines Datenträgers oder mobilen Endgeräts verursacht werden. Die Meldepflicht dieser Vorfälle an die Aufsichtsbehörde ist mit der DSGVO deutlich umfangreicher geworden: Vor Inkrafttreten der Grundverordnung war nur im Ausnahmefall eine Meldung an die zuständige Datenschutzbehörde erforderlich. Nach DSGVO muss jede Verletzung des Datenschutzes binnen 72 Stunden der Aufsichtsbehörde gemeldet werden – unter Umständen auch den Betroffenen. Deshalb sollte jedes Unternehmen über einen internen Prozess verfügen, der im Falle von Datenlecks greift.

Die DSGVO sieht eine Pflicht zur Bestellung eines Datenschutzbeauftragten für das Datenschutzmanagement im Unternehmen vor, wenn sich mehr als 20 Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Prinzipiell kann jeder zum Datenschutzbeauftragten ernannt werden und sich um das Datenschutzmanagement kümmern. Bestimmte Anforderungen werden aber dennoch gestellt. So müssen Datenschutzbeauftragte beispielsweise beruflich qualifiziert sein und über Fachwissen im Datenschutzrecht verfügen. Der Beauftragte für Datenschutz in Unternehmen darf sich auch nicht selbst kontrollieren, denn dann läge eine Interessenkollision vor. Das wäre z. B. als Geschäftsführer oder Leiter der IT-Abteilung der Fall.

Informieren Sie sich in unserem Ratgeber-Artikel über die Aufgaben des Datenschutzbeauftragten zur Einhaltung der DSGVO in Unternehmen, seine Stellung und in welchem Maße er für Datenschutzverletzungen und -pannen haftet.

Grundsätzlich gilt: Alle Daten, die Sie zu einem Kunden speichern, haben einen Personenbezug. Die Tatsache, dass sich ein Kunde für ein bestimmtes Produkt interessiert, ohne es zu kaufen, ist genauso personenbezogen wie die Zahlungsfrist oder die Anzahl (und der Inhalt) der Mahnungen, die versendet wurden. Dies ist offensichtlich, wenn es sich um Privatkunden handelt. Im B2B-Bereich gilt die Regelung ebenfalls, z. B. wenn die Daten zu einem Ansprechpartner gespeichert werden.

Für jedes einzelne Datum muss geprüft werden, ob ein Rechtfertigungsgrund vorliegt und wie lange dieser reicht. So besteht beispielsweise kein Grund, eine Kaufabsicht für ein konkretes Produkt ewig zu speichern. Je nach Investment muss diese Information schon wenige Wochen später wieder gelöscht werden. Die Auftragshistorie darf dagegen länger – im Zweifel bis zum Ablauf der jeweiligen Verjährungsfrist – gespeichert werden.

So ist für jedes Datum eine Löschfrist zu ermitteln. Kreditkartendaten dürfen in aller Regel nur mit zusätzlicher Einwilligung des Kunden gespeichert werden.

Fast jedes Unternehmen versendet heutzutage mehr oder weniger regelmäßig E-Mail-Nachrichten an Kunden und Interessenten. Die Datenschutzgrundverordnung lässt die gesetzlichen Vorschriften (u. a. Gesetz gegen den unlauteren Wettbewerb, UWG) zur Zulässigkeit solcher Marketing-Aktionen unberührt. Insbesondere bleibt es dabei, dass jedenfalls grundsätzlich eine vorherige ausdrückliche Einwilligung des Empfängers vorliegen muss. Es ist nach Grundverordnung darauf zu achten, dass diese Einwilligung auch den datenschutzrechtlichen Anforderungen genügt. 

Soll der Newsletter personalisiert werden und Wissen über den Empfänger in die Inhalte einfließen (z. B. Bestellverhalten oder Öffnungsrate), ist dies eine Verarbeitung von Daten, die wiederum rechtfertigungsbedürftig ist. Je nachdem, welche Daten für die Individualisierung des Marketingmaterials tatsächlich verwendet werden, lässt sich das womöglich mit berechtigten Interessen des werbenden Unternehmens rechtfertigen. Hier hilft die Verordnung, die das Direktmarketing ausdrücklich als mögliches berechtigtes Interesse bezeichnet. In Zweifelsfällen sollten diese zusätzlichen Marketingmaßnahmen aber auch durch eine Einwilligung legitimiert werden.