Wer von Datenschutzbestimmungen betroffen ist

Das Verarbeiten und Speichern von Daten ist ein selbstverständlicher Bestandteil der modernen Arbeitswelt. Eine zentrale Rolle spielt dabei auch der Datenschutz. Die Geschäftsleitung ist verantwortlich dafür, dass alle relevanten Datenschutzbestimmungen im Unternehmen beachtet und entsprechende Maßnahmen durchgeführt werden.

Was die Geschäftsführung in Sachen Datenschutz nicht selbst leisten kann, muss sie an entsprechend qualifizierte Mitarbeiterinnen und Mitarbeiter, an betriebliche Datenschutzbeauftragte oder an externe Dienstleister delegieren.

Um die Einhaltung der Datenschutzbestimmungen sicherzustellen, verpflichtet die Geschäftsleitung alle Mitarbeitenden dazu, die Bestimmungen einzuhalten. Das betrifft vor allem diejenigen, die mit personenbezogenen Daten von Beschäftigten oder Kunden zu tun haben. Und das wiederum betrifft insbesondere die Führungskräfte im Unternehmen.

Die wichtigsten Rechtsgrundlagen zum Datenschutz

Die wichtigsten Rechtsgrundlagen für den betrieblichen Datenschutz sind:

  • die Datenschutz-Grundverordnung (DSGVO)
  • in Deutschland das Bundesdatenschutzgesetz (BDSG)
  • in Österreich das Datenschutzgesetz (DSG)
  • in der Schweiz das Bundesgesetz über den Datenschutz (DSG)

Darüber hinaus gibt es in den jeweiligen Ländern weitere Einzelbestimmungen und Richtlinien, die für den Datenschutz wichtig sind.

Grundlegende Rechte und Pflichten beim Datenschutz

Wichtig ist zunächst, sich einen Überblick über die grundlegenden Rechte und Pflichten in Bezug auf Datenschutz zu verschaffen:

Kein Zugriff auf Daten für Unbefugte

Unternehmen sind dazu verpflichtet, gespeicherte Daten durch technische und organisatorische Maßnahmen so zu schützen, dass Unbefugte keinen Zugriff darauf haben und dass ein Datenmissbrauch verhindert wird.

Zustimmung von Betroffenen notwendig

Die Erhebung, Nutzung und Verarbeitung von Kundendaten für Werbe- oder Marketingzwecke bedürfen der Zustimmung des Betroffenen.

Auskunftspflicht auf Nachfrage

Unternehmen haben gegenüber Personen, von denen sie personenbezogen Daten erheben, verarbeiten und nutzen, eine Auskunftspflicht. Das heißt: Die Betroffenen können Auskunft darüber verlangen, welche Daten das Unternehmen zu welchem Zweck erhoben hat, woher die Daten stammen und wohin die Daten zu welchem Zweck übermittelt wurden.

Was sind „personenbezogene Daten“?

Gemäß der Definition in Art. 4 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder auf eine identifizierbare natürliche Person beziehen.

Beispiele:

  • Name
  • Alter oder Geburtsdatum
  • Familienstand
  • Adressdaten
  • Telefonnummer
  • Kontonummer
  • Kfz-Kennzeichen
  • Gesundheitsdaten und genetische Daten

Was bedeutet „Verarbeitung von Daten“?

Als Verarbeitung gilt jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie zum Beispiel:

  • Erheben und Erfassen von Daten
  • Datenspeicherung
  • Abfragen von Daten
  • Verwendung von Daten
  • Übermittlung oder Verbreitung von Daten
  • Datenabgleich
  • Datenlöschung

Grundsätze für die Verarbeitung personenbezogener Daten

Art. 5 DSGVO benennt verschiedene Grundsätze, die bei der Verarbeitung personenbezogener Daten eingehalten werden müssen:

  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Begrenzung der Speicherzeit
  • Integrität und Vertraulichkeit

Außerdem beinhaltet Art. 5 DSGVO eine Rechenschaftspflicht. Das bedeutet: Wer personenbezogene Daten verarbeitet, ist für die Einhaltung der oben genannten Grundsätze verantwortlich und muss nachweisen können, dass diese Grundsätze eingehalten werden.

Beispiel

Was bedeuten Grundsätze des Datenschutzes in der Praxis?

Zweckbindung: Ein Unternehmen darf nicht einfach Daten erheben oder sammeln; es braucht einen nachvollziehbaren Grund dafür. Dieser Grund muss dokumentiert und auf Nachfrage auch benannt werden. Beispiele sind:

Für die Rechnungsstellung braucht das Unternehmen eine Anschrift (Adressdaten) des Kunden.

Liegt bei einem Mitarbeiter eine Behinderung vor, ist dies in den Personalakten vermerkt, weil damit Nachweise gegenüber der Sozialversicherung erbracht werden.

Begrenzung der Speicherzeit: Für die Aufbewahrung von Geschäftsunterlagen wie Rechnungen gibt es Aufbewahrungspflichten aufgrund von steuerlichen oder vertraglichen Vorgaben. Mit Ablauf der Aufbewahrungszeit müssen die Daten aber gelöscht werden.

Personenbezogene Daten von Beschäftigten müssen im Falle einer betrieblichen Altersversorgung 30 Jahre aufbewahrt werden, nachdem diese aus dem Unternehmen ausgeschieden sind. Andere Unterlagen müssen nach der Verjährungsfrist (3 Jahre) gelöscht werden.

Technische und organisatorische Maßnahmen

In Art. 32 DSGVO werden technische und organisatorische Maßnahmen genannt, die zur Gewährleistung des Datenschutzes durchgeführt werden müssen. Dazu zählen:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Datenverarbeitung
  • rasche Wiederherstellung der Verfügbarkeit personenbezogener Daten sowie des Zugangs zu den Daten bei einem physischen oder technischen Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Darüber hinaus legt § 64 BDSG technische und organisatorische Maßnahmen zum Datenschutz fest. Demnach müssen die Verantwortlichen beispielsweise Maßnahmen ergreifen, damit

  • Unbefugte keinen Zugang zu Datenverarbeitungsgeräten haben (Zugangskontrolle),
  • unbefugtes Lesen, Kopieren, Verändern oder Löschen von Daten verhindert wird (Datenträgerkontrolle),
  • Unbefugte bereits gespeicherte Daten nicht verändern oder löschen können (Speicherkontrolle),
  • ausschließlich die jeweiligen Zugriffsberechtigten Zugriff auf die personenbezogenen Daten haben (Zugriffskontrolle),
  • die zur Datenverarbeitung eingesetzten Systeme im Störungsfall wiederhergestellt werden können,
  • die Zuverlässigkeit der Datenverarbeitungssysteme gewährleistet ist und
  • gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).

Wer muss die Maßnahmen zum Datenschutz umsetzen?

Selbstverständlich kann von einer Führungskraft nicht erwartet werden, dass sie all diese Maßnahmen eigenhändig durchführt. Insbesondere wenn es um die technische Umsetzung geht, bietet es sich an, einen (externen) Dienstleister zu beauftragen.

Als interner Ansprechpartner für Datenschutzfragen dient der betriebliche Datenschutzbeauftragte.

Gleichwohl trägt die Geschäftsführung eines Unternehmens die Gesamtverantwortung dafür, dass die Datenschutzvorschriften beachtet und entsprechende Maßnahmen durchgeführt werden.

Dokumentations- und Informationspflicht beachten

Art. 24 Abs. 1 DSGVO schreibt vor, dass der jeweilige Verantwortliche die getroffenen technischen und organisatorischen Maßnahmen dokumentieren muss. Es reicht also nicht aus, die Datenschutzmaßnahmen durchzuführen, diese sind auch zu dokumentieren.

Gemäß Art. 13 DSGVO treffen den Verantwortlichen umfangreiche Informationspflichten, wenn personenbezogene Daten erhoben werden. Unter anderem muss dem oder der Betroffenen der Zweck der Datenverarbeitung und die Rechtsgrundlage für die Verarbeitung mitgeteilt werden.

Verarbeitung sensibler Daten

Bestimmte Daten gelten im Datenschutzrecht als besonders schützenswert. Grundsätzlich verboten ist die Verarbeitung personenbezogener Daten, aus denen die Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Das Gleiche gilt für Gesundheitsdaten, genetischen Daten, biometrischen Daten zur Identifizierung einer Person oder Daten zur sexuellen Orientierung.

Diese besonders schützenswerten Daten dürfen nur dann verarbeitet werden, wenn es einen speziellen Grund dafür gibt. Die Verarbeitung solcher sensibler Daten ist unter anderem erlaubt, wenn

  • der oder die Betroffene ausdrücklich eingewilligt hat,
  • die Datenverarbeitung erforderlich ist, damit der Verantwortlich oder die betroffene Person seine oder ihre rechtlichen Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes ausüben kann,
  • die Datenverarbeitung zu Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person erforderlich ist oder
  • sich die Verarbeitung auf personenbezogene Daten bezieht, welche der oder die Betroffene offensichtlich öffentlich gemacht hat.

Umgang mit Mitarbeiterdaten

Gemäß § 26 BDSG dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Liegt eine dieser Voraussetzungen für die Datenverarbeitung und Datenspeicherung vor, ist eine Zustimmung des Mitarbeiters nicht zusätzlich notwendig.

Gründe für eine Speicherung von Mitarbeiterdaten

Mitarbeiterdaten dürfen beispielsweise gespeichert werden:

  • im Rahmen des Bewerbungsverfahrens
  • für die Entgeltabrechnung
  • zur Dokumentation in der elektronischen Personalakte
  • im Rahmen eines betrieblichen Eingliederungsmanagements (BEM)

Neben Gesetzen dürfen auch sogenannte Kollektivvereinbarungen – Tarifverträge oder Betriebsvereinbarungen – geeignete Rechtsgrundlagen für eine Datenverarbeitung schaffen. Auch hier gelten selbstverständlich Grenzen – insbesondere in Form des allgemeinen Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung.

Einwilligung als Rechtsgrundlage

Unabhängig von den oben genannten Voraussetzungen kann die Erhebung und Verarbeitung von Mitarbeiterdaten erfolgen, wenn der Beschäftigte vorher zugestimmt hat. Zu beachten ist: Die Einwilligung zur Verarbeitung personenbezogener Daten muss grundsätzlich schriftlich erfolgen.

Außerdem müssen Arbeitgeber den Mitarbeiter oder die Mitarbeiterin über den Zweck der Datenverarbeitung informieren und über das Recht, die Einwilligung zu widerrufen, in Textform aufklären.

Auskunftsanspruch der Beschäftigten

Auf Verlangen müssen Sie den Arbeitnehmern Auskunft zur Verarbeitung persönlicher Daten geben. Art. 15 DSGVO gewährt den Beschäftigten ein Auskunftsrecht. Das heißt, sie können bezüglich der Verarbeitung personenbezogene Daten bestimmte Informationen verlangen, zum Beispiel

  • zu welchem Zweck die Datenverarbeitung erfolgt,
  • wie lange die Daten gespeichert werden oder
  • inwiefern ein Recht auf Löschung der Daten besteht. 
Hinweis

Datenschutz im Homeoffice

Die Datenschutzvorschriften sind auch bei der Arbeit im Homeoffice zu beachten. Das heißt: Der häusliche Arbeitsplatz und dessen technische Ausstattung müssen ebenfalls den Datenschutzbestimmungen genügen. Auch hier ist der Arbeitgeber, die Geschäftsleitung, verantwortlich, dafür zu sorgen, dass die Vorgaben entsprechend umgesetzt werden.

Betrieblicher Datenschutzbeauftragter

Der betriebliche Datenschutzbeauftragte ist ein entsprechend geschulter Mitarbeiter, der sich um die Datenschutzthemen in Unternehmen kümmert. Gemäß § 38 Abs. 1 BDSG ist ein betrieblicher Datenschutzbeauftragter zu benennen,

  • wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  • schwellenwertunabhängig, wenn Datenverarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Typische Aufgaben eines betrieblichen Datenschutzbeauftragten:

  • Beratung der Geschäftsleitung und der Beschäftigten in Fragen des Datenschutzes
  • Schulung von Mitarbeitenden im Hinblick auf Datenschutzthemen
  • Kontrolle, ob die Datenschutzbestimmungen im Unternehmen eingehalten werden
  • Kontrolle, ob die Datenschutzstrategie des Unternehmen in der betrieblichen Praxis umgesetzt wird
  • Beratung und Kontrolle im Rahmen einer Datenschutz-Folgenabschätzung
  • Ansprechpartner für die zuständige Aufsichtsbehörde
Hinweis

Was bedeutet Datenschutz-Folgenabschätzung?

Art. 35 DSGVO verpflichtet Unternehmen dazu, in bestimmten Fällen eine Datenschutz-Folgenabschätzung durchzuführen – und zwar dann, wenn ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheit der Betroffenen birgt.

Dies kann beispielsweise bei Verwendung neuer Technologien der Fall sein oder sonst aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung. Der betriebliche Datenschutzbeauftragte muss bei der Datenschutz-Folgenabschätzung eingebunden werden.

Praxis

Klären Sie als Führungskraft in Ihrem Unternehmen und für Ihr Team:

Konzept und Regelungen zum Datenschutz

  • Erstellen Sie ein Datenschutzkonzept für Ihr Unternehmen.
  • Installieren Sie eine betriebliche Datenschutzrichtlinie.
  • Informieren und schulen Sie Ihre Beschäftigten hinsichtlich der gesetzlichen Datenschutzvorschriften und der betrieblichen Datenschutzrichtlinie.
  • Stellen Sie sicher, dass Unbefugte keinen Zugriff auf betriebliche Daten haben.
  • Dokumentieren Sie, wer befugt ist und wer gegebenenfalls Zugriff haben könnte auf personenbezogene Daten Ihres Unternehmens; zum Beispiel Auftragsdatenverarbeiter, Cloud-Betreiber etc.

Datenschutz und Kunden

  • Wenn Sie Daten zu Werbe- oder Marketingzwecken verwenden: Holen Sie vorab die Zustimmung des/der Betroffenen ein.
  • Informieren Sie Betroffene über Zweck, Art und Umfang der Nutzung der personenbezogenen Daten sowie über die Rechtsgrundlage für die Datenverarbeitung.
  • Dokumentieren Sie, welche organisatorischen und technischen Maßnahmen zum Datenschutz im Unternehmen getroffen wurden.
  • Informieren Sie den/die Betroffene über die Möglichkeit, die Einwilligung zur Erhebung, Verarbeitung und Nutzung seiner/ihrer Daten zu widerrufen.
  • Stellen Sie sicher, dass im Falle eines Widerrufs die erhobenen Daten nicht mehr verwendet werden.

Datenschutz und Mitarbeitende

  • Stellen Sie sicher, dass Mitarbeiterdaten nur im Zusammenhang mit der Aufnahme, Durchführung oder Beendigung des Arbeitsverhältnisses erhoben, verarbeitet und genutzt werden.
  • Stellen Sie sicher, dass die übermittelten Daten von Stellenbewerbern nach einer erfolgten Absage gelöscht werden.

Technische Maßnahmen zum Datenschutz

  • Ist Ihr System durch eine Firewall ausreichend gegen unerlaubte Zugriffe von außen geschützt?
  • Besteht ein aktueller Schutz vor Schadsoftware (Virenschutz)?
  • Sind die Arbeitsplätze mit einer Benutzeridentifikation ausgestattet?
  • Verwenden die Mitarbeiter und Mitarbeiterinnen sichere Passwörter?
  • Sind personenbezogene Daten durch eine Verschlüsselung geschützt?
  • Werden Daten im System fristgerecht gelöscht?
  • Werden Dokumente und Datenträger mit personenbezogenen Daten ordnungsgemäß geschreddert?
  • Sind alle Betriebsgebäude (und gegebenenfalls Fahrzeuge) ausreichend gegen den Zutritt Unbefugter gesichert?

Ernennung eines betrieblichen Datenschutzbeauftragten

  • Sind in Ihrem Unternehmen 20 oder mehr Personen mit der Verarbeitung personenbezogener Daten beschäftigt?
  • Werden in Ihrem Unternehmen Daten verarbeitet, die einer Datenschutz-Folgenabschätzung bedürfen?
  • Werden in Ihrem Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet?

Ist eine dieser Fragen mit „Ja“ zu beantworten, müssen Sie einen betrieblichen Datenschutzbeauftragten ernennen.

In der folgenden Checkliste sind diese wichtigen Regelungen, Bestimmungen und Anforderungen zum Datenschutz für Sie als Führungskraft zusammengefasst.

Dazu im Management-Handbuch

Vorlagen nutzen

Weitere Kapitel zum Thema