Neuerungen im Datenschutz für Unternehmen

Neuerungen im Datenschutz für Unternehmen

Rita Bottler, Datenschutzbeauftragte der IHK für München und Oberbayern, erklärt im Interview, wie sich Unternehmen für die kommende DS-GVO rüsten und Ihren Datenschutz optimieren können.

Welche Arten von Daten sind durch die DS-GVO geschützt?
Alle Arten von personenbezogenen Daten (pbD) werden durch die DS-GVO geschützt und dies unabhängig davon, um welche Kategorie von Personen es geht, also ob es sich hierbei um Mitarbeiter-, Kunden- oder z. B. Lieferantendaten handelt.

Denn für die DS-GVO gilt ebenso wie für alle weiteren Datenschutzgesetze: Diese sind immer dann zu beachten, wenn Unternehmen mit sog. „personenbezogenen Daten“ umgehen. Hierunter versteht man alle Informationen, die sich direkt oder indirekt (z. B. über eine Kennung) auf einen Menschen (sog. „identifizierte oder identifizierbare natürliche Person“ bzw. „Betroffener“) beziehen lassen.

Beispiele hierfür sind: Name, Anschrift sowie Kontaktdaten von Kunden, Vertragspartnern oder Mitarbeitern, Prüfungsnoten, Kontodaten, Daten über das Kaufverhalten eines Kunden, Standortdaten, das Geburtsdatum, Bonitätsdaten.

Sind Daten nicht personenbeziehbar (z. B. anonymisierte Statistikdaten), so sind Datenschutzgesetze wie die DS-GVO nicht zu beachten.

Welche Grundsätze sind bei der Verarbeitung personenbezogener Daten laut DS-GVO zu beachten?

Als zentrale Pflicht wird über die DS-GVO die sog. Rechenschaftspflicht eingeführt. Dies bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze:
•Rechtmäßigkeit: Verarbeitung von Daten auf Basis einer Rechtsgrundlage (Einwilligung oder gesetzliche Ermächtigung)
•Verarbeitung nach Treu und Glauben: zweckgebundene und verhältnismäßige Datenverarbeitung, keine Verwendung verborgener Techniken
•Transparenz: keine „heimliche“ Verarbeitung, Gewährleistung der Wahrnehmung der Betroffenenrechte
•Zweckbindung: Zweckfestlegung, d. h. Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke sowie Zweckbindung ieS = Verbot der Verarbeitung personenbezogener Daten in einer Weise, die mit dem Erhebungszweck unvereinbar ist.
•Datenminimierung: Beschränkung auf das für den Zweck der Verarbeitung angemessene, sachlich relevante und notwendige Maß
•Richtigkeit der Daten: Verbot der Erhebung oder Speicherung von falschen Daten,Gebot der Aktualisierung unrichtig gewordener Daten und Gebot der Löschung oder Berichtigung solcher Daten
•Speicherbegrenzung: konkretisiert Datensparsamkeit in zeitlicher Hinsicht, d. h. eine Speicherdauer ist auf das „unbedingt erforderliche Mindestmaß“ zu beschränken. Regelmäßige Prüfung der Zweckerreichung!
•Integrität und Vertraulichkeit: Schutz der Unversehrtheit der Daten und Schutz der Daten vor unbefugter Kenntnisnahme/Verarbeitung. → Gewährleistung durch technische und organisatorische Maßnahmen zum Schutz der Daten nach Vorgaben der DS-GVO

Wie können Unternehmen die DS-GVO umsetzen, um im Mai keine bösen Überraschungen zu erleben?

Schon Gründer sollten sich von Beginn an überlegen, wie sie ihre Geschäftsprozesse datenschutzkonform gestalten und wie sie dies effizient dokumentieren.
Die Rechenschaftspflicht setzt auch bei kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation voraus, um so die Einhaltung des Datenschutzes nachweisen zu können. Damit werden Unternehmen über ein Datenschutz-Managementsystem sicherstellen müssen, dass ihre Geschäftsprozesse datenschutzkonform sind.

Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept.
Von Stolperfallen und Verantwortung

Wo liegen aus Ihrer Sicht besondere Stolperfallen für Startup-Unternehmen?

Eine besondere Stolperfalle wäre, wenn Startups sich nicht um den Datenschutz kümmern würden. Eine derartige Handhabung wäre heutzutage sicher keinem Startup mehr zu raten. Datenschutzfragen sollten bereits in der Gründungsphase geklärt werden. Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt kann Datenschutz auch ein Marketingvorteil sein.

Worauf ist in Sachen Datenschutz zu achten, wenn ich andere Unternehmen beauftrage?

Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Dies gilt vor allem bei Verträgen über eine Auftragsverarbeitung. Beauftragende Unternehmen trifft hier eine Prüfpflicht. Sie dürfen nur solche Auftragsverarbeiter einsetzen, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.

Wer trägt die Verantwortung, wenn es zu datenschutzrechtlichen Verletzungen kommt?

Die Verantwortung trägt das Unternehmen (sog. verantwortliche Stelle). Hierbei wird die DS-GVO die Verantwortung des Unternehmens für Datenschutzverletzungen erweitern. Denn diese werden wie bisher zur Verantwortung gezogen werden für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen des Unternehmens. Zusätzlich werden sie zudem nach DS-GVO aber auch für Handlungen eines Beschäftigten oder eines eingeschalteten externen Beauftragten die Verantwortung im Außenverhältnis gegenüber dem Betroffenen tragen.

Auch bei Auftragsverarbeitungsverhältnissen wird es neue Haftungsszenarien geben. So wird ein Auftragsverarbeiter selbst wie ein Verantwortlicher nach DS-GVO haften, wenn er gegen Weisungen des Auftraggebers verstößt und Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Neu werden zudem auch spezielle Haftungsregelungen für Auftragsverarbeiter im Falle von Datenschutzverletzungen eingeführt werden, d. h. Betroffene werden ihnen gegenüber bei Verstößen direkt Schadensersatzforderungen geltend machen können.

Checkliste zur Anpassung für Ihr Unternehmen

Verordnungstexte