Themenwelt Datenschutz

Was ist Datenschutz?

Die gesetzliche Verpflichtung zum Datenschutz soll gewährleisten, dass personenbezogene Daten ausnahmslos rechtmäßig und transparent verarbeitet werden. Zu diesem Zweck müssen Unternehmen technische und organisatorische Maßnahmen ergreifen, um Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Parallel dazu sollten Unternehmen klar und verständlich über ihre Datenverarbeitungspraktiken informieren, was dazu beiträgt, das Vertrauen von Kund*innen und Geschäftspartner*innen zu stärken.

Entdecken Sie hier aktuelle und relevante Themen rund um das Thema Datenschutz im Unternehmen:

>Rechtliche Grundlagen für den Datenschutz: DSGVO, BDSG und TTDSG

>Gesetzestexte

>Die Bedeutung von Datenschutz im Unternehmen

>Datenschutz am Arbeitsplatz

>Download: Beispiele für personen- und unternehmensbezogene Daten

>Ab wann benötigen Unternehmen eine*n Datenschutzbeauftragte*n?

>Zum Präsenztraining: Datenschutzbeauftragter DSB-TÜV

>Umgang mit personenbezogenen Daten im Unternehmensalltag: Datenschutz bei Kundendaten und Verträgen

>Zum Download: Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DS-GVO)

>Datenschutz am Arbeitsplatz

>Zur Datenschutzausbildung: E-Learnings und Präsenztrainings der TÜV SÜD Akademie

>Datenschutz auf der Unternehmenswebsite

>Externe Datenschutzlösungen für Unternehmen

>Erfolgreiches Datenschutzmanagement

>Zum TÜV SÜD Datenschutz-Fachportal

>FAQ

>TÜV SÜD Fachwissen

 

Rechtliche Grundlagen für den Datenschutz: DSGVO, BDSG und TTDSG

 

Die Datenschutz-Grundverordnung (DSGVO) harmonisiert den Datenschutz in der gesamten Europäischen Union. Sie legt die Grundsätze für die Verarbeitung personenbezogener Daten fest – beispielsweise Datensicherheit, Einwilligung zur Datenverarbeitung sowie datenschutzfreundliche Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default).

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO auf nationaler Ebene und enthält spezifische Regelungen für Deutschland, während das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) Vorschriften zum Schutz der Privatsphäre im Zusammenhang mit Telekommunikation und Telemedien vorsieht. Das TTDSG dient der Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG in Deutschland und gilt für öffentlich zugängliche elektronische Kommunikationsdienste. Es regelt unter anderem die Aufgaben und Befugnisse der Datenschutzbehörden.

 

Die Bedeutung von Datenschutz im Unternehmen

Welche datenschutzrechtlichen Pflichten hat ein Unternehmen?

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen dazu, personenbezogene Daten transparent zu verarbeiten. Dazu müssen Organisationen dokumentieren, wie, warum und in welchem Umfang sie solche Daten nutzen. Die DSGVO fordert auch, dass Unternehmen Prozesse und Zuständigkeiten definieren, um Risikoanalysen durchzuführen und Betroffenen Auskunft zu erteilen.

Eine besondere Herausforderung ist die Umsetzung eines Löschkonzepts für personenbezogene Daten. Die Klassifizierung von Daten und die Festlegung von Aufbewahrungs- und Löschfristen erfordern oft hohen Aufwand. Viele Unternehmen haben keinen vollständigen Überblick über ihre IT-Systeme und die darin verarbeiteten Daten. Zudem ist der Begriff „personenbezogene Daten“ weit gefasst und beinhaltet alle Informationen, die auf eine identifizierbare Person verweisen.

Wer kontrolliert den Datenschutz im Unternehmen?

Ab einer bestimmten Unternehmensgröße oder bei bestimmten Arten der Datenverarbeitung ist die Bestellung einer/eines Datenschutzbeauftragten erforderlich. Datenschutzbeauftragte überwachen die Einhaltung der Datenschutzvorschriften, beraten das Unternehmen und agieren als verlängerter Arm der Aufsichtsbehörden im Unternehmen. Sie sind weisungsfrei und unterstehen direkt der Geschäftsleitung. 

Diese Bereiche betrifft Datenschutz im Unternehmen

Unternehmen müssen personenbezogene Daten ihrer Mitarbeitenden gemäß den Datenschutzregelungen verarbeiten. Dies betrifft Informationen wie Gehaltsdaten, Krankheitsverläufe, Arbeitszeiten und mehr.

Im Homeoffice sind Daten und IT-Technik der unmittelbaren Kontrolle der Arbeitgeber*innen entzogen. Daher müssen Unternehmen technische und organisatorische Maßnahmen ergreifen, um die Datensicherheit auch im Homeoffice zu gewährleisten.

Eine Homeoffice-Vereinbarung kann dabei helfen, spezifische Sicherheitsmaßnahmen zu definieren und das Verhältnis von betrieblicher und privater Nutzung der verwendeten Endgeräte zu regeln. Unternehmen, die Cloud-Dienste nutzen, sollten auf die Einhaltung der Datenschutzregeln achten. Datenschutzzertifizierungen können die Vertrauenswürdigkeit von Dienstleistern bestätigen.

Ab wann benötigen Unternehmen eine*n Datenschutzbeauftragte*n? (DSB) 

Unternehmen müssen eine*n Datenschutzbeauftragte*n bestellen, wenn

ihre Kerntätigkeit in einer Datenverarbeitung besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordert (Artikel 37 Absatz 1 Buchstabe b DSGVO)

besondere Arten von personenbezogenen Daten oder Angaben über strafrechtliche Verurteilungen und Straftaten verarbeitet werden (Artikel 37 Absatz 1 Buchstabe c DSGVO)

Jedes Unternehmen, in dem mehr als 20 Personen dauerhaft mit der Datenerhebung, -verarbeitung und -nutzung betraut sind, muss eine*n Datenschutzbeauftragte*n ernennen. 

Aufgabenbereiche von Datenschutzbeauftragten

Datenschutzbeauftragte nehmen verschiedene Aufgaben wahr, um so die Einhaltung der Datenschutzvorschriften sicherzustellen. Wichtig ist ihre frühzeitige Einbindung in Projekte und Prozesse, um von Grund auf datenschutzfreundliche Lösungen zu gestalten.

Datenschutzbeauftragte beraten das Unternehmen, überwachen die Einhaltung der Datenschutzregeln und sind Ansprechpartner*innen für betroffene Personen. Darüber hinaus arbeiten sie als Kontaktpersonen mit der zuständigen Datenschutz-Aufsichtsbehörde zusammen.

Die Einhaltung der einschlägigen Datenschutzpflichten stärkt nicht nur das Vertrauen von Kund*innen und Geschäftspartner*innen, sondern ist auch eine gesetzliche Verpflichtung.

Unsere bewährte Ausbildung zum DSB-TÜV

Umgang mit personenbezogenen Daten im Unternehmensalltag: Datenschutz bei Kundendaten und Verträgen

Kundendaten dürfen nur dann gespeichert, verarbeitet und genutzt werden, wenn dies gesetzlich erlaubt ist oder die Betroffenen ausdrücklich eingewilligt haben.

Dabei ist Zweckbindung ein wichtiger Datenschutzgrundsatz: Zweckbindung bedeutet, dass die erhobenen Daten für den vorgesehenen Zweck geeignet sein müssen und Unternehmen nur personenbezogene Daten erheben und verarbeiten dürfen, die im Zusammenhang mit Vertragsabschluss und -erfüllung stehen. Dazu gehören vor allem Adress- und Kontodaten. Solche Daten dürfen nur für den festgelegten Zweck verwendet werden und müssen nach dessen Erfüllung gelöscht werden.

Unternehmen sollten in ihrer Datenschutzerklärung klar darlegen, wie sie mit Kundendaten umgehen. Kund*innen müssen wissen, welche Daten zu welchem Zweck erfasst werden, und wie lange sie gespeichert werden.

Datenschutz am Arbeitsplatz

Auf den Datenschutz am Arbeitsplatz finden neben den Grundsätzen der DSGVO auch die Prinzipien des Bundesdatenschutzgesetzes (BDSG) Anwendung. So dürfen Arbeitgeber personenbezogene Daten nur erheben, verarbeiten oder nutzen, wenn eine rechtliche Vorschrift dies eindeutig gestattet oder die Betroffenen dem ausdrücklich zugestimmt haben. Dies gilt auch für die Mitarbeiterdaten, die für die Aufnahme, Durchführung oder Beendigung eines Beschäftigungsverhältnisses notwendig sind.

Grundsätzlich dürfen Daten nur für den Zweck verarbeitet und genutzt werden, für den sie bei der Erhebung gedacht waren. Im Kontext eines Arbeitsverhältnisses bedeutet dies, dass Arbeitgeber*innen personenbezogene Daten nur im Rahmen der Beschäftigung verwenden dürfen – beispielsweise für Gehaltsabrechnungen, Krankmeldungen oder Dienstpläne.

Arbeitgeber*innen müssen ihre Mitarbeitenden über den Umgang mit ihren Daten informieren. Dazu ist eine klar formulierte Datenschutzerklärung unerlässlich. Beschäftigte sollten wissen, welche Daten erfasst werden, zu welchem Zweck, und wie lange sie gespeichert werden. Arbeitnehmende haben das Recht auf informationelle Selbstbestimmung: Sie können kontrollieren, welche Daten über sie erhoben und verarbeitet werden.

Datenschutz auf der Unternehmenswebsite

Eine Datenschutzerklärung ist auf jeder Unternehmenswebsite Pflicht. Sie informiert die Nutzer*innen darüber, welche persönlichen Daten erhoben, gespeichert und verwendet werden. Dabei geht es um Maßnahmen, die das Unternehmen ergreift, um die Sicherheit und ordnungsgemäße Verwendung der Kunden- bzw. Nutzerdaten zu gewährleisten.

Die Datenschutzerklärung gibt Auskunft darüber, wie diese Daten gesammelt, gespeichert und eingesetzt werden, und ob bzw. wie sie an Dritte weitergegeben werden. Unternehmen sollten ihre Datenschutzerklärung transparent und verständlich gestalten, um das Vertrauen der Besucher zu stärken und rechtliche Anforderungen zu erfüllen.


Inhalte der Datenschutzerklärung im Detail

Eine Datenschutzerklärung beschreibt, wie Daten (insbesondere personenbezogene) von einem datenschutzrechtlich Verantwortlichen verarbeitet werden. Sie informiert darüber,

 

Datenschutzrechtlicher Umgang mit Cookies

Cookies sind kleine Textdateien, die von Websites auf dem Computer der Nutzer*innen gespeichert werden. Sie dienen dazu, Informationen über das Nutzerverhalten zu sammeln und die Website zu optimieren. 

Gemäß DSGVO dürfen Cookies, die technisch nicht notwendig sind, nur unter bestimmten Bedingungen eingesetzt werden. Die Nutzer*innen müssen in die Verwendung solcher Cookies ausdrücklich einwilligen. Ein bloßer Hinweis auf ihre Verwendung reicht nicht aus!

Datenübertragung an Drittstaaten

Bei der Datenübertragung an Drittstaaten werden personenbezogene Daten aus der Europäischen Union (EU) oder dem Europäischen Wirtschaftsraum (EWR) an Länder außerhalb dieser Region weitergegeben. Laut DSGVO ist der Datentransfer an Drittländer nur unter bestimmten Voraussetzungen erlaubt. Daher müssen Unternehmen prüfen, ob das Drittland ein angemessenes Datenschutzniveau bietet.

Liegt kein Angemessenheitsbeschluss vor, mit dem die Europäische Kommission bestätigt, dass ein Drittstaat ein angemessenes Schutzniveau bietet, müssen zusätzliche Schutzmaßnahmen ergriffen werden: Beispielsweise können Betroffene in Standardvertragsklauseln über den Transfer ihrer Daten ins Ausland informiert werden.

Die Einhaltung dieser Vorschriften ist entscheidend, um die Privatsphäre der Betroffenen zu schützen und einen reibungslosen Datentransfer zu gewährleisten.

Externe Datenschutzlösungen für Unternehmen

Erfolgreiches Datenschutzmanagement 

Ein erfolgreiches Datenschutzmanagement regelt unter Berücksichtigung der anwendbaren Rechtsvorschriften (DSGVO, BDSG, TTDSG sowie ggf. zusätzliche branchenspezifische) den sicheren und korrekten Umgang mit personenbezogenen Daten im Unternehmen. Dabei sind neben den rechtlichen auch technische und organisatorische Aspekte zu beachten. Artikel 32 DSGVO versteht darunter z. B. die

Pseudonymisierung und Verschlüsselung personenbezogener Daten

Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitungssysteme auf Dauer sicherzustellen

Fähigkeit, den Zugang zu den personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Relevantes Praxiswissen für ein erfolgreiches Datenschutzmanagement, Checklisten, DSGVO-Schulungen für Mitarbeitende sowie aktuelle Urteile zum Thema finden Sie übrigens im Datenschutz-Fachportal von TÜV SÜD – registrieren Sie sich schnell und unkompliziert für einen vierwöchigen Testzugang!

 

FAQ

Die häufigsten gestellten Fragen zum Thema Datenschutz

Die Einhaltung der Datenschutzvorschriften ist nicht nur eine gesetzliche Verpflichtung, sondern stärkt auch das Vertrauen von Kund*innen und Geschäftspartner*innen.

Beim Datenschutz geht es darum, zu gewährleisten, dass personenbezogene Daten ausnahmslos rechtmäßig und transparent verarbeitet werden. Deshalb sollten Unternehmen klar und verständlich über ihre Datenverarbeitungspraktiken informieren und gleichzeitig technische und organisatorische Maßnahmen ergreifen, um Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu bewahren.

Datenschutz und Datensicherheit gehen Hand in Hand, doch während sich das Erfordernis der Datensicherheit auf sämtliche Daten einer Organisation erstreckt – also auch z. B. Fertigungs- und Finanzdaten, Zeichnungen, Pläne, Rezepturen oder sonstiges Know-how umfasst – betrifft der Datenschutz ausschließlich personenbezogene Daten, beispielsweise von Mitarbeiter*innen und Kund*innen (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Bankverbindung, Gesundheitsdaten etc.).

Die datenschutzrechtlichen Aufbewahrungsfristen sind im Einzelnen in der DSGVO geregelt. Anders als in anderen Bereichen geht es im Datenschutz grundsätzlich nicht darum, wie lange Daten aufbewahrt werden müssen, sondern wie lange sie aufbewahrt werden dürfen.

Da Daten im Sinne der Zweckbindung nach Artikel 5 Absatz 1 Buchstabe b DSGVO nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen, sind sie unter Einhaltung der anwendbaren Standards zu vernichten bzw. irreversibel zu löschen, wenn sie ihren Zweck erfüllt haben. Dies gilt auch, wenn die Betroffenen ihre Einwilligung widerrufen und die Löschung ihrer Daten verlangen.

Die Verantwortung für den Datenschutz in einem Unternehmen liegt beim Verantwortlichen im Sinne der Definition gemäß Artikel 4 Ziffer 7 DSGVO. In der Regel handelt es sich dabei um das Unternehmen als juristische Person, nicht um die/den Datenschutzbeauftragte*n oder um einzelne Mitarbeitende, sodass folglich die Geschäftsleitung für den Datenschutz in der Verantwortung steht.

Wenn der Verantwortliche jedoch nachweisen kann, dass er für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich ist, ist er von der Haftung befreit.

Bei Verstößen gegen das Datenschutzgesetz können die Aufsichtsbehörden Bußgelder verhängen. Nach Artikel 82 DSGVO hat zudem jede Person, die durch einen Datenschutzverstoß Schaden erlitten hat, Anspruch auf Schadensersatz durch den Verantwortlichen oder den Auftragsverarbeiter.

Dabei handelt es sich beim Verantwortlichen im Sinne der DSGVO um „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, während ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Auftragsverarbeiter können zum Beispiel Onlineshops und Websites, Cloud-Dienste, Call Center oder externe Dienstleister*innen für Sekretariats- und Lohnverrechnungstätigkeiten sein.

Entsprechend haftet nicht die/der Datenschutzbeauftragte, sondern der Verantwortliche – also das Unternehmen – für Datenschutzverstöße.

Im Falle von Datenschutzverstößen sind Unternehmen verpflichtet, die Aufsichtsbehörden und ggf. auch die Betroffenen zu informieren.

Unternehmen haften nach Artikel 83 DSGVO sowohl für unabsichtliche als auch für schuldhafte Datenschutzverstöße ihrer Beschäftigten. Die Geschäftsleitung kann die Haftung also nicht einfach an die/den Datenschutzbeauftragte*n oder die jeweilige Person weitergeben.

Einzig wenn es sich um einen Exzess handelt – also ein*e Mitarbeiter*in zu persönlichen Zwecken auf Daten zugreift, ohne dass das Unternehmen davon Kenntnis hat und dies duldet – kann diese Person ihrerseits zum Verantwortlichen werden und damit im eigenen Namen haften.

Datenschutzunterweisungen sind laut DSGVO nicht ausdrücklich vorgeschrieben, sollten aber trotzdem regelmäßig stattfinden – am besten einmal jährlich, oder wenn sich die Vorschriften verändern.

Regelmäßige Schulungen für die Mitarbeitenden tragen dazu bei, das Bewusstsein für Datenschutzrisiken im Unternehmen zu schärfen und sicherzustellen, dass die Datenschutzvorschriften verstanden und eingehalten werden.

Schutzwürdig im Sinne der DSGVO sind einzig personenbezogene Daten wie Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Bankverbindung, Gesundheitsdaten etc., die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Nicht geschützt werden müssen hingegen

anonymisierte Daten, bei denen personenbezogene Daten so verändert wurden, dass die betroffenen Personen nicht mehr identifiziert werden können

pseudonymisierte Daten, bei denen die personenbezogenen Daten zum Beispiel durch eine Kennnummer oder einen Code ersetzt wurden, sofern die zugehörige Person nicht mehr identifizierbar ist

nicht personenbezogene Daten, wie statistische Auswertungen, technische Daten und andere Informationen, die keine Rückschlüsse auf die Identität einer Person zulassen

Zu beachten ist jedoch, dass die Grenze zwischen personenbezogenen und nicht personenbezogenen Daten oft fließend sein kann!

Das zweite DatenschutzAnpassungs- und Umsetzungsgesetz EU (2. DSAnpUG)

Oder: Wie man Unternehmen verwirrt

Sie sind Unternehmer und haben sich rechtzeitig und vorbildlich um die Umsetzung der EU-Datenschutzgrundverordnung (EU-DSGVO) in Ihrem Unternehmen gekümmert? Sie haben keine Aufwände und Kosten gescheut, um die unternehmensinterne Compliance im Datenschutz sicherzustellen? Dann bestraft Sie der Gesetzgeber jetzt für Ihre offenbar voreilige Gesetzeshörigkeit mit Änderungen, aus denen folgt, dass Sie an der einen oder anderen Stelle unnötig investiert haben.

Am Donnerstag, den 27. Juni 2019 hat der Deutsche Bundestag das zweite Gesetz zur Anpassung des Datenschutzrechts an
die Verordnung (EU) 2016/679 (EU-Datenschutzgrundverordnung) und zur Umsetzung der Richtlinie (EU) 2016/680 beschlossen. Wir stellen Ihnen in diesem Beitrag
die wesentlichen Änderungen und ihre Auswirkungen auf Unternehmen vor.

Vieles spricht für eine Weiterbildung bei uns


  • Nachhaltiges Unternehmen
  • Mehr als 100.000 Seminarteilnehmer
    pro Jahr
  • Flexible Lernangebote: Präsenz oder Digital
  • Garantierte Durchführung
Jetzt Newsletter abonnieren