Datenschutz im Unternehmen: Welche Maßnahmen Arbeitgeber ergreifen müssen

Unternehmen müssen eine Vielzahl von Datenschutz-Vorschriften einhalten. Die Geschäftsführung trägt die Verantwortung dafür, dass diese Regelungen umgesetzt und entsprechende Maßnahmen durchgeführt werden. Gegebenenfalls setzt die Geschäftsführung Mitarbeiter oder externe Dienstleister ein, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.

Die wichtigsten Rechtsgrundlagen für den betrieblichen Datenschutz sind das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO), die den Datenschutz regeln.

Geschätzte Lesedauer: 6 Minuten

Verarbeitung von personenbezogenen Daten

Das Thema Datenschutz spielt dann eine Rolle, wenn es um die Verarbeitung personenbezogener Daten geht.

Gemäß Art. 4 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder auf eine identifizierbare natürliche Person beziehen, wie zum Beispiel Name, Geburtsdatum, Adresse, Telefonnummer, Kontonummer etc.

Vorgänge im Zusammenhang mit personenbezogenen Daten, wie zum Beispiel das Erfassen, Speichern, Abfragen, Verwenden, Übermitteln, Abgleichen und Löschen von Daten, gelten als „Verarbeitung“.

Überblick über grundlegende Rechte und Pflichten

1. Datenmissbrauch verhindern

Unternehmen müssen gespeicherte Daten durch technische und organisatorische Maßnahmen vor dem Zugriff von Unbefugten schützen.

2. Zustimmung der betroffenen Personen einholen

Für die Erhebung und Verarbeitung von personenbezogenen Daten bedarf es in der Regel der Zustimmung des Betroffenen. Unternehmen müssen eine Zustimmung einholen, wenn sie Kundendaten zu Werbe- oder Marketingzwecken erheben oder nutzen.

3. Spezielle Regelung für den Umgang mit Mitarbeiterdaten

Unternehmen dürfen die Daten ihrer eigenen Arbeitnehmer – ohne Zustimmung des Betroffenen – verarbeiten, wenn dies zur Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses notwendig ist.

4. Auskunftspflicht beachten

Personen, von denen ein Unternehmen personenbezogene Daten erhebt, verarbeitet und nutzt, können Auskunft darüber verlangen, welche Daten das Unternehmen zu welchem Zweck erhoben hat, woher es die Daten stammt und wohin es die Daten zu welchem Zweck übermittelt hat.

Grundsätze bei der Verarbeitung personenbezogenen Daten

In Art. 5 DSGVO sind die folgenden Grundsätze festgelegt, die bei der Verarbeitung personenbezogener Daten zu beachten sind:

• Rechtmäßigkeit: Unternehmen müssen personenbezogene Daten auf rechtmäßige Weise verarbeiten.
• Verarbeitung nach Treu und Glauben: Personenbezogene Daten sind nach dem Grundsatz von Treu und Glauben zu verarbeiten.
• Transparenz: Unternehmen müssen die betroffenen Personen darüber informieren, wenn sie Daten von ihnen verarbeiten.
• Zweckbindung: Unternehmen dürfen personenbezogene Daten nur erheben und speichern, wenn sie einem festgelegten, eindeutigen und legitimen Zweck dienen.
• Datenminimierung: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
• Richtigkeit: Unternehmen müssen dafür sorgen, dass die verarbeiteten Daten inhaltlich korrekt bzw. sachlich richtig sind.
• Speicherbegrenzung: Unternehmen müssen personenbezogene Daten in einer Form speichern, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke erforderlich ist, für die sie verarbeitet werden.et werden. 
• Integrität und Vertraulichkeit: Personenbezogene Daten sind so zu verarbeiten, dass sie vor einem Zugriff Unbefugter und vor Verlust geschützt sind. 

Arbeitgeber müssen dafür sorgen, dass die genannten Grundsätze eingehalten werden. Sie müssen auch nachweisen können, dass sie die Grundsätze einhalten.

Welche Maßnahmen Arbeitgeber veranlassen müssen

Gemäß Art. 32 DSGVO müssen Unternehmen geeignete technische und organisatorische Maßnahmen treffen, um den Datenschutz im Betrieb zu gewährleisten. Diese Maßnahmen umfassen unter anderem:

• die Pseudonymisierung und Verschlüsselung personenbezogener Daten
• die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Datenverarbeitung auf Dauer sicherzustellen
• die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Datenschutz-Maßnahmen

Außerdem legt § 64 BDSG konkrete Maßnahmen fest, welche Arbeitgeber ergreifen müssen:

• Zugangskontrolle: Unbefugte Personen dürfen keinen Zugang zu Datenverarbeitungsgeräten haben.
• Datenträgerkontrolle: Unbefugtes Lesen, Kopieren, Verändern oder Löschen von Datenträgern ist zu verhindern. 
• Speicherkontrolle: Unbefugte dürfen bereits gespeicherte Daten nicht verändern oder löschen können.
• Benutzerkontrolle: Die Nutzung automatisierter Verarbeitungssysteme durch Unbefugte ist zu verhindern. 
• Zugriffskontrolle: Nur die jeweiligen Zugriffsberechtigten sollen Zugriff auf die personenbezogenen Daten haben.
• Übertragungskontrolle: Unternehmen müssen überprüfen und feststellen können, an welche Stellen sie personenbezogene Daten übermitteln können.
• Eingabekontrolle: Unternehmen müssen sicherstellen, dass sie nachträglich überprüfen und feststellen können, welche personenbezogenen Daten wann und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert wurden.
• Transportkontrolle: Unternehmen müssen gewährleisten, dass sie bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten schützen.
• Wiederherstellbarkeit: Es muss sichergestellt werden, dass die Datenverarbeitungssysteme im Störungsfall wiederhergestellt werden können.
• Zuverlässigkeit: Die Datenverarbeitungssysteme müssen zuverlässig sein, Fehlfunktionen müssen gemeldet werden.
• Datenintegrität: Gespeicherte personenbezogene Daten dürfen nicht durch Fehlfunktionen des Systems beschädigt werden.
• Auftragskontrolle: Es muss gewährleistet sein, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
• Verfügbarkeitskontrolle: Personenbezogene Daten müssen gegen Zerstörung oder Verlust geschützt sein.
• Trennbarkeit: Personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben werden, müssen getrennt voneinander verarbeitet werden können.

Wichtig: Die jeweilige Geschäftsführung trägt die Gesamtverantwortung für die Umsetzung dieser Maßnahmen. Sie kann bei Bedarf externe Dienstleister, Experten und Berater hinzuziehen. Zudem steht der betriebliche Datenschutzbeauftragte als Ansprechpartner zur Verfügung.

Datenschutz-Folgenabschätzung

Art. 35 DSGVO verpflichtet Unternehmen, eine sogenannte Datenschutz-Folgenabschätzung durchzuführen, wenn sie ein Datenverarbeitungsverfahren planen, das voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Dies kann beispielsweise bei der Verwendung neuer Technologien der Fall sein oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung.

Bei der Datenschutz-Folgenabschätzung muss der betriebliche Datenschutzbeauftragte eingebunden werden.

Dokumentations- und Informationspflichten

Die Verantwortlichen müssen die datenschutzrechtlichen Dokumentations- und Informationspflichten beachten. Sie müssen die getroffenen technischen und organisatorischen Maßnahmen dokumentieren, um deren Durchführung im Zweifel nachweisen zu können.

Der Person, von der Daten verarbeitet werden, muss insbesondere Folgendes mitgeteilt werden: 

• die Kontaktdaten des betrieblichen Datenschutzbeauftragten
• der Zweck der Datenverarbeitung, 
• die Rechtsgrundlage für die Verarbeitung, 
• der Name und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen sowie 
• die Kontaktdaten des betrieblichen Datenschutzbeauftragten

Haben Sie noch weitere Fragen zum Thema „Datenschutz im Unternehmen“? Kontaktieren Sie uns heute noch. Wir helfen Ihnen gerne weiter!