Skip to content

DATENSCHUTZ KMU

Transparenter Datenschutz im Unternehmen schafft Vertrauen.

Der Datenschutz geht mit einem hohen technischen und personellen Aufwand einher. Aber er bietet auch Chancen. Unternehmen, die auf hohe Standards in Sachen Datenschutz setzen, wirken auf den Verbraucher vertrauensvoller. Und dieses Vertrauen beeinflusst die Kaufentscheidung vieler Kunden immer häufiger.

Welche Regelungen zum Datenschutz müssen Unternehmen beachten?

Die Regelungen, die beim Datenschutz im Unternehmen beachtet werden müssen, betreffen zunächst personenbezogene Daten, die in automatisierten Verfahren verarbeitet wurden. Nicht alle Unternehmen dürfen beliebig personenbezogene Daten beziehen. Die Vorschriften begrenzen die Nutzung auf:

  • rechtsgeschäftliche Vorgänge oder rechtsgeschäftsähnliche Schuldverhältnisse, für die die Daten notwendig sind;
  • ein vorliegendes berechtigtes Interesse der Stelle, soweit dieses dem schutzwürdigen Interesse des Betroffenen nicht entgegensteht;
  • Daten, die allgemein zugänglich sind.

Für den Datenschutz im Unternehmen ist eine Zweckgebundenheit bei der Datenerhebung und Datenverarbeitung notwendig. Die Zweckentfremdung der erhobenen Daten ist nicht zulässig. Eine besondere Zweckbindung gilt für Daten, die nach § 31 BDSG “ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherheit oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden”.

Dokumentationspflichten

Warum muss dokumentiert werden?

  • Nachweis der Einhaltung bestimmter Datenschutzgrundsätze
  • Wenn ein Datenschutzvorfall gemeldet wurde, soll die Dokumentation ermöglichen, dass die Meldung auf ihre sachliche Richtigkeit geprüft werden kann, um gegebenenfalls aufsichtsrechtliche oder sanktionsrechtliche Maßnahmen einzuleiten.
  • Wenn der Verantwortliche aufgrund eines zu geringen Risikos von einer Meldung abgesehen hat, ergibt sich durch die Dokumentation die Möglichkeit für Aufsichtsbehörden, die Richtigkeit der Wertung zu überprüfen.

Im Zweifel stehen Verantwortliche und Auftragsverarbeiter in der Pflicht, die Rechtmäßigkeit der Datenverarbeitung nachzuweisen. Die ist nur möglich, wenn sie ihrer Dokumentationspflicht ausreichend nachkommen. Ein Missachten der Dokumentationspflicht kann mit Bußgeldern sanktioniert werden.

Was muss dokumentiert werden?

Verantwortliche sind verpflichtet, schriftlich oder elektronisch Verzeichnisse zu führen, in denen folgendes dokumentiert wird:

  • Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Vertreters des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Zweck der Verarbeitung personenbezogener Daten
  • Beschreibung der Kategorien von
    o betroffenen Personen
    o personenbezogenen Daten
    o Dritten, die personenbezogene Daten empfangen
  • Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
  • Nennung des betreffenden Drittlands oder der betreffenden internationalen Organisation
  • Fristen für die Löschung der Datenkategorien
  • Beschreibung der technischen und organisatorischen Maßnahmen

Verarbeitungsverzeichnis

Im Verarbeitungsverzeichnis sind alle wesentlichen Angaben zur Datenverarbeitung eines Unternehmens zu machen. Welche genauen Anforderungen an das Verzeichnis gestellt werden und wie es geführt werden muss, erläutern wie hier.

Auftragsverarbeitung

Im Auftragsverarbeitungsvertrag werden geschlossene Verträge dokumentiert und aufbewahrt. Dies dient ebenfalls dazu, im Zweifel nachweisen zu können, dass die Datenverarbeitung rechtmäßig durchgeführt wird.

Datenschutzverletzungen

Wenn eine Verletzung des Schutzes von personenbezogenen Daten vorliegt und sich daraus ein Risiko für die Rechte und Freiheiten des Betroffenen ergeben, ist dem Verantwortlichen durch die DSGVO auferlegt, diesen Vorfall der Aufsichtsbehörde zu melden.

Neben der Pflicht zur Meldung einer Verletzung des Schutzes personenbezogener Daten, hat der Verantwortliche auch eine Dokumentationspflicht. Es müssen die Verletzungen des Schutzes personenbezogener Daten beschrieben werden.

Zudem sind die Auswirkungen und die ergriffenen Maßnahmen zu beschreiben. Wird eine Datenschutzverletzung nicht bei der Aufsichtsbehörde gemeldet, ist der Grund für den Verzicht ebenfalls zu dokumentieren.

Sie möchten einen Datenschutzvorfall melden? Das können Sie hier tun: Datenschutzvorfall melden

Datenschutz-Folgenabschätzung

Muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden, schreibt die DSGVO auch in diesem Bereich eine Dokumentation vor. Wann Sie eine DSFA durchführen müssen, können Sie hier nachlesen: Datenschutz-Folgenabschätzung 

Datenschutz für KMU

Social Media

Die Bedeutung und der Einfluss von Social Media Plattformen wie Facebook, Twitter oder Youtube ist mittlerweile so groß, dass sich Unternehmen damit auseinandersetzen müssen. Täglich werden diese Plattformen von Millionen Menschen genutzt.
Es gibt jedoch einige Herausforderungen, die die Nutzung mit sich bringt. Daher sollten Unternehmen einen angemessenen Social Media Datenschutz gewährleisten.

Was sollten Unternehmen beachten?

Unternehmen sollten sich überlegen ob Sie die Nutzung sozialer Medien erlauben oder verbieten möchten. Um die private Nutzung von Social Media während der Arbeitszeit zu vermeiden, bietet es sich an ein allgemeines Verbot durchzusetzten. Insbesondere wenn Mitarbeiter aber beruflich mit den Netzwerken zu tun haben, müssen Ausnahmeregelungen geschaffen werden.

Das Unternehmen kann sich durch ein Weisungsrecht absichern und nur einzelnen Abteilungen die rein geschäftliche Nutzung genehmigen. Wenn ein Unternehmen soziale Kanäle wie z.B. Facebook nutzt, muss darauf geachtet werden, dass das Betriebsgeheimnis bewahrt wird. Daten, die ausschließlich für die interne Verarbeitung genutzt werden, dürfen nicht an die Öffentlichkeit gelangen.

Was sollten Social Media Guidelines enthalten?

Social Media Guidelines sind Handlungsempfehlungen eines Unternehmens für den Umgang mit sozialen Medien. Diese geben vor, wie und von welchen Mitarbeitern soziale Medien genutzt werden dürfen. Das Unternehmen kann grundsätzlich selbst entscheiden, wie das Rahmenwerk gestaltet werden soll. Wir empfehlen, folgende Aspekte aufzugreifen:

  • Gültigkeitsbereich: Für wen gelten die Regeln? Welche Social Media Plattformen sind eingeschlossen?
  • Kommunikation: In welcher Form erfolgt die Kommunikation? (ggf. Bezug auf Inhalte und Umgangston)
  • Einhaltung rechtlicher Vorschriften: Welche Risiken können auftreten? Wie können diese Vermieden werden?
  • Datensicherheit: Wie wird mit Betriebsgeheimnissen, Passwörtern etc. umgegangen?

Eine sehr umfassende Übersicht über deutschsprachige Social Media Guidelines, die eine erste Orientierung bieten können, finden sich im Internetblog von Christian Buggisch. Gerne unterstützen wir Sie auch bei der Erstellung von Social Media Guidelines.

ECommerce

Das Kleingedruckte zum Thema Datenschutz wird von vielen Onlinehändlern häufig vernachlässigt. Gründe dafür? In der Regel keine böse Absicht; in den meisten Fällen fehlt es an der nötigen Kenntnis über teils komplexen Informationspflichten, die ein Shop-Betreiber seinen Online-Kunden bereitzustellen hat:

  • Verwendung der Kundendaten zu Werbezwecken (Email-Newsletter)
  • Datenweitergabe - sofern sie nicht zur Vertragserfüllung erfolgt
    Nutzerprofilerstellung bzw. Aufbereitung von Kundendaten zur gezielten Werbeansprache
  • Cookies (dauerhafte Speicherung von personenbezogenen Daten)
  • Bonitätsprüfung (sofern kein berechtigtes Interesse vorliegt)

Datenschutz im Bewerbungsprozess

Vom Azubi bis zur Führungskraft: Unternehmen suchen neue Mitarbeiter. Diese Suche muss im Einklang mit den Vorgaben der DSGVO geschehen. Deshalb müssen Unternehmen die Bewerber möglichst transparent und nachvollziehbar über den Umgang mit ihren Daten informieren. Was sich einfach anhört, ist in der betrieblichen Praxis eine echte Herausforderung.

Die Datenschutzgrundverordnung (DSGVO) hat die Rechte der Betroffenen erheblich gestärkt; jedes Unternehmen muss die Bewerber rechtzeitig und detailliert über den Umgang mit ihren Daten informieren. Was einerseits positiv zu werten ist, bedeutet andererseits für Unternehmen eine erhebliche Umstellung ihrer Prozesse.

Informationspflicht bei Bewerbungen

Der Betroffene - also auch jeder Bewerber - ist nach Art. 13 und 14 DSGVO umfänglich zu informieren; zum Beispiel

  • über die Identität des Verantwortlichen;
  • den Datenschutzbeauftragten des Unternehmens;
  • über Art, Umfang und Zweck der Datenverarbeitung sowie über die dazugehörigen Rechtsgrundlagen
  • ggf. die berechtigten Interessen für die Verarbeitung;
  • die Kategorien von Dritten, an die die Daten gegebenenfalls übermittelt werden;
  • ob eine Übermittlung in einen sogenannten unsicheren Drittstaat erfolgt;
  • die Speicherdauer sowie die Rechte des Betroffenen auf Auskunft, Löschung etc. oder auch über seine Widerspruchs- und Beschwerderechte zu unterrichten.

Und nicht zu vergessen: Erhebt der Verantwortliche die Daten nicht direkt bei dem Betroffenen, muss zudem eine Information über die Herkunft der Daten erfolgen.

Wann muss ein Bewerber informiert werden?

Der Zeitpunkt der Information richtet sich danach, ob der Verantwortliche (also das Unternehmen) die Daten direkt vom Bewerber erhebt oder ob die personenbezogenen Daten über Dritte zur Verfügung gestellt werden.

Direkte Erhebung

Eine direkte Erhebung der Daten liegt zum Beispiel vor,

  • wenn der Bewerber seine Daten z. B. in einem Bewerbungsportal dem potenziellen Arbeitgeber zur Verfügung stellt;
  • die Daten zur Person per Post an den neuen Arbeitgeber versendet werden;
  • die Informationen zur Person im Bewerbungsgespräch preisgegeben werden.

Indirekte Erhebung

Beispiele für eine indirekte Erhebung von personenbezogenen Daten im Bewerbungsprozess:

  • ein Headhunter übermittelt Daten an den potenziellen Arbeitgeber
  • eine Unternehmensholding ein zentrales Bewerberportal betreibt und die Daten im Unternehmensverbund anderen Unternehmen diese Daten zur Verfügung stellt;
  • wenn vor Anstellung eines neuen Mitarbeiters ein Screening (Pre-Employment) im Internet stattfindet
  • oder Daten vom ehemaligen Arbeitgeber den anzustellenden Kandidaten abfragt.

Weitere Infos zu diesem Thema finden Sie in unserem Blogbeitrag "DSGVO-Stolperfallen im Bewerbungsverfahren".

Vertrauen durch Datenschutz-Zertifizierung

Mit dem Datenschutz-Siegel 100 % Datenschutz zeigen Sie Ihren Kunden und Interessenten, welchen Stellenwert Sie dem vertrauensvollen Umgang mit personenbezogenen Daten beimessen. Nach der Prüfung (ggfs. Anpassung) der wesentlichen Datenschutzelemente erhalten Sie von uns das Datenschutz-Siegel, inklusive aller inhaltlichen und textlichen Optimierungen; das Logo können Sie für Ihre Webpräsenz verwenden:

  • Impressum
  • Datenschutzerklärung
  • ggfs. Tracking-Analyse
  • Newsletter
  • Kontaktformulare
  • Bestellprozess
  • Social Media-Nutzung
  • ggfs. Art und Umfang der Datennutzung in ERP, CRM, DMS

Lassen Sie sich die erreichte Qualität Ihrer Datenschutzmaßnahmen bescheinigen; unterstreichen Sie, welchen Stellenwert eine sichere Datenverarbeitung in Ihrem Unternehmen besitzt. Unser Datenschutz-Siegel bietet Ihnen die Möglichkeit, bestehende Geschäftsbeziehungen nachhaltig zu binden und mögliche Neukunden von Ihrer Zuverlässigkeit mittels einen zeitgemäßen Außendarstellung zu überzeugen.

Grenzen Sie sich ab; zeigen Sie Flagge in Sachen Datenschutz!

Checkliste zum Datenschutz im Unternehmen

Die folgende Checkliste gibt einen Überblick über mögliche Maßnahmen zum Datenschutz im Unternehmen und dient als Orientierung. Je nach Ausrichtung Ihres Unternehmens können einzelne Punkte entfallen oder weitere hinzutreten.

Im Folgenden eine kurze Zusammenfassung der wichtigsten Eckpunkte, die beim Datenschutz im Unternehmen berücksichtigt werden müssen:

  • Gespeicherte Daten müssen vor dem Zugriff Unbefugter und einem möglichen Datenmissbrauch auf aktuellstem technischem Stand geschützt werden.
  • Die DSGVO verlangt bei der Datenverarbeitung geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO).
  • Regelungen um die Ziele des Datenschutzes zu erfüllen sind festzulegen. Etwa Datenschutzleitlinien, Datenschutzhandbuch, Richtlinie zur IT-Nutzung.
  • Datenerhebung, -nutzung und -verarbeitung zu Zwecken der Werbung, des Adresshandels oder Marketingstrategien ist nur zulässig, sofern der Betroffene zustimmt. Widerspricht der Betroffene, besteht für das Unternehmen ein Nutzungsverbot.
  • Es bedarf der Einwilligung des Betroffenen bei der Erhebung und Verarbeitung seiner persönlichen Daten.
  • Der Umgang mit Anträgen von betroffenen Personen nach Art. 15 bis 21 DSGVO ist festzulegen.
  • Die Informationspflichten der Art. 13 und 14 DSGVO sind von jeder verantwortlichen Stelle zu erfüllen.
  • Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten. Es genügt eine Tabelle in der aufgelistet ist, welche Daten wann, wie und zu welchem Zweck erhoben und verarbeitet werden.
  • Sofern die Dienstleister eines Unternehmens im Auftrag und auf Weisung Daten verarbeiten, ist ein Auftragsverarbeitungsvertrag zu schließen. Das Gleiche gilt, wenn Sie selbst Daten für ein anderes Unternehmen verarbeiten.
  • Alle Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu ernennen, sobald mehr als neun Personen dauerhaft mit der Datenerhebung, Datenverarbeitung und Datennutzung betraut sind.
  • Es gilt das Koppelungsverbot, das heißt, Unternehmen dürfen den erfolgreichen Vertragsabschluss nicht in Abhängigkeit zur Einwilligung des Betroffenen stellen.
  • Unternehmen dürfen personenbezogene Daten an befugte Stellen und in zulässiger Form übermitteln, sofern die Empfänger sich an eine eigens errichtete Zweckbindung bei der Nutzung halten.
  • Werden personenbezogene Daten anonymisiert, müssen diese getrennt von Angaben gespeichert werden, die eine Identifizierung der Person möglich oder wahrscheinlich machen.
  • Alle nicht öffentlichen Stellen müssen auf Verlangen des Betroffenen hin offenlegen, welche Daten sie zu welchem Zweck erhoben haben, woher diese Daten stammen und an wen sie zu welchem Zweck übermittelt wurden.
  • Falsche, verjährte oder veraltete Informationen müssen die nicht öffentlichen Stellen löschen, berichtigen oder zugangssicher speichern.
  • Alle Mitarbeiter, die mit personenbezogenen Daten hantieren, müssen auf das Datengeheimnis nach § 5 BDSG verpflichtet werden.
  • Datenschutzverletzungen gem. Art. 33 und 34 DSGVO sind nach max. 72 Stunden der Behörde zu melden. Ohne standardisierten Prozess bzw. eine Richtlinie für Datenschutznotfälle ist diese Frist kaum einzuhalten.
  • Sensibilisierung der Mitarbeiter: Mitarbeiter sind regelmäßig hinsichtlich des Datenschutzes zu schulen.
  • Beim Umgang mit besonders sensiblen Daten kann die Notwendigkeit bestehen, eine sog. Datenschutzfolgenabschätzung gem. Art. 35 DSGVO durchzuführen.

Was bedeuten die Regelungen für Datenschutz im Unternehmen?

Der Datenschutz zielt auf die Bewahrung der Privatsphäre und informationelle Selbstbestimmung einer Person ab – darunter fallen auch die eigenen Mitarbeiter. Mit Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) können bei Verstößen, Bußgelder in Höhe von 20 Millionen oder 4 Prozent des weltweiten Firmenumsatzes drohen.

Die Einhaltung von Regeln zum Datenschutz im Unternehmen bedeutet nicht nur einen erhöhten Aufwand, sondern kann das Vertrauen der Verbraucher dank nachweislich erhöhter Datensicherheit stärken und Kaufentscheidungen positiv beeinflussen. Der Datenschutz kostet damit nicht nur Geld, sondern kann selbst zur Geldquelle werden.

Im Übrigen: Um das Vertrauen der Verbraucher zu stärken, können nicht öffentliche Stellen einen Datenschutzaudit durchführen lassen. Dabei werden die oben genannten Punkte und das gesamte Datenschutzkonzept eines Unternehmens geprüft. Das Prüfergebnis fungiert als Datenschutzzertifizierung, mit der die Unternehmer auch öffentlich werben dürfen.

Unser Angebot für den Mittelstand

Wir sind gespannt auf Ihre Anfrage!

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter Osnabrück - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Download

Laden Sie hier Ihren Ratgeber Beschäftigtendatenschutz vom Landesbeauftragten für Datenschutz und Informationsfreiheit herunter.

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download