DSGVO

In Betrieben wird mit zahlreichen Daten gearbeitet. In der Datenschutzgrundverordnung geht es immer um personenbezogene Daten, also Informationen über Personen, die sich unmittelbar oder mittelbar zuordnen lassen. Dazu zählen der Name, das Alter, die Anschrift, die Personalnummer, die Kontoverbindung, die IP-Adresse oder die Sozialversicherungsnummer.

Darüber hinaus gibt es besondere Kategorien personenbezogener Daten, die noch strenger geschützt sind – etwa zur ethnischen Herkunft, zu Krankheiten oder zur Gewerkschaftszugehörigkeit. Für diese höchst sensiblen Daten gelten besondere Vorschriften.

1. Die Datenverarbeitung muss grundsätzlich erlaubt sein
Entscheidend ist immer, dass die jeweiligen personenbezogenen Daten auch tatsächlich erforderlich sind, um den konkreten Zweck zu erreichen. So darf der Vertrieb die E-Mail-Adresse eines Kunden in den Verteiler aufnehmen, wenn der einen Newsletter abonniert. Und die Personalabteilung darf die Kontoverbindungen der Mitarbeiter speichern, um das Gehalt zu überweisen.

2. Betroffene müssen über die Verarbeitung ihrer Daten informiert sein.
Die Personen müssen erkennen können, dass Daten über sie gespeichert werden: Von wem werden welche Informationen warum dokumentiert?

3. Die Verarbeitung der Daten muss sicher sein.
Personenbezogene Daten dürfen nicht abhandenkommen kommen und nicht von Unbefugten eingesehen oder gar verändert werden. Dafür müssen Unternehmen technische Vorkehrungen treffen – wie etwa eine sichere Aktenvernichtung, das Verschlüsseln von Dokumenten oder das Sperren von Computern, wenn ein Mitarbeiter seinen Arbeitsplatz für eine Pause verlässt.

4. Sobald Daten nicht mehr benötigt werden, müssen sie gelöscht werden.
Die Pflicht Daten zu löschen, gilt für alle Speicherorte wie Mail-Accounts, Server, Clouds oder auch gedruckte Dokumente. Bewerbungsunterlagen müssen zum Beispiel drei Monate nach der Stellenbesetzung gelöscht werden, wenn nichts anderes vereinbart ist.

Laut DSGVO müssen Unternehmen dokumentieren, wie Daten in ihren Systemen hin- und herfließen. Das Gesetz nimmt zwar kleinere Unternehmen bis 250 Mitarbeiter von der Pflicht aus. Das gilt jedoch nicht, wenn regelmäßig Daten verarbeitet werden. Sobald Sie also einen Newsletter verschicken oder Mitarbeiterdaten verwalten, müssen Sie für Transparenz sorgen.

In dem Verzeichnis der Verarbeitungstätigkeiten wird dokumentiert, welche Daten wann, wie und warum verarbeitet werden. Hier wird auch festgehalten, ob Daten weitergegeben werden. Zum Beispiel Kunden-Adressen an Marketing-Agenturen oder Mitarbeiter-Bankdaten für die externe Gehaltsabrechnung. Muster für solche Verarbeitungsverzeichnisse finden Sie – zugeschnitten auf verschiedene Branchen – auf der Internetseite des Bayrischen Landesamts für Datenschutzaufsicht. Übrigens: Auch Dienstleister wie eine Marketing-Agentur oder ein Lohnbüro müssen mit einem solchen Verzeichnis Licht in ihre Prozesse bringen.

Tipp: Wenn Sie mit besonders sensiblen Daten arbeiten wie etwa Versicherungen gelten für sie besondere Regeln. Dann müssen sie eine Datenschutz-Folgenabschätzung durchführen – ein Instrument zur Risiko-Bewertung. Einen Überblick dazu liefert die Stiftung Datenschutz in ihrem Informationspapier.

Betriebe müssen außerdem einen Datenschutzbeauftragten benennen. Das gilt aber nur, wenn dauerhaft mehr als zwanzig Personen mit personenbezogenen Daten arbeiten. Kleine Betriebe werden von dieser Regel nicht erfasst. Es sei denn, sie beschäftigen sich mit besonders sensiblen Daten und erstellen zum Beispiel Bonitäts- oder Gesundheitsprofile. In diesen Fällen ist ein Datenschützer Pflicht.

Das Thema Datenschutz ist sehr komplex und in der Praxis stellen sich für jedes Unternehmen individuelle Fragen: Wie klappt die Videoüberwachung des Betriebsgeländes rechtssicher? Was muss ich rund um den Datenschutz beachten, wenn meine Mitarbeiter im Homeoffice arbeiten? Welche Regeln gelten, wenn die Daten außerhalb der Europäischen Union gehostet werden? Wie kann ich den Kunden meines Onlineshops aufgrund früherer Käufe neue Produkte vorschlagen? Ist es erlaubt in einer Kantine das Bezahlen per Fingerabdruck einzuführen?

Viele Infos, Praxistipps und Checklisten zu diesen und weiteren Fragen finden Sie bei der Stiftung Datenschutz, die von der Bundesregierung gegründet wurde. Ganz wichtig: Denken Sie den Datenschutz von Anfang an mit, sonst sind im Zweifel ganze Geschäftsmodelle in Gefahr. Lassen Sie sich zu individuellen Fragen beraten, denn Kunden und Mitarbeiter wollen ihre Daten in sicheren Händen wissen. Und sie haben ein Recht darauf.