Einführung
Im betrieblichen Alltag werden Unmengen an Daten produziert und genutzt. Hierzu zählen zum einen Daten, die im Rahmen betrieblicher Prozesse produziert werden, z. B. Druckdaten für Prospekte, Schriftstücke, Programme zur Maschinensteuerung etc. Von diesen Daten sind solche zu unterscheiden, die Auskunft über eine menschliche Person geben. Die personenbezogenen Daten von Menschen genießen dabei einen besonderen Schutz, also die Daten von Mitarbeitenden, Kunden, Lieferanten und Geschäftspartnern.
Hinsichtlich personenbezogener Daten müssen sich Unternehmen spätestens seit dem 25.5.2018 an die Regeln der EU-Datenschutz-Grundverordnung (DSGVO) sowie den damit einhergehenden Änderungen des Bundesdatenschutzgesetzes (BDSG) halten. Durch die EU-DSGVO soll ein in allen Mitgliedsstaaten einheitliches Schutzniveau personenbezogener Daten erreicht werden. Zur Durchsetzung der Vorschriften wurden insbesondere die Strafen deutlich erhöht. Bei schweren Datenschutzverletzungen drohen Bußgelder von bis zu 20 Mio. EUR oder bis zu 4 % des weltweiten Umsatzes.
1 Grundlagen des Datenschutzes
Im Unternehmen sind insbesondere folgende Bereiche besonders sensibel für datenschutzrechtliche Belange:
- Interne Daten, wie Finanzdaten, Erfindungen, Businessplanning etc.
- Daten von Mitarbeitenden sowie Daten im Rahmen des Personalwachstums (z. B. Bewerbende)
- Daten von Kunden und Lieferanten
- Daten, die im Rahmen von Kommunikationsmaßnahmen und Internetauftritten erhoben werden
Die internen, nicht personenbezogenen Daten von Unternehmen sind grundsätzlich deshalb schützenswert, weil das Unternehmen diese für die eigene Tätigkeit benötigt. Weitere betriebliche Daten sind z. B. steuerrelevante Daten, wie Rechnungen, Lieferscheine, Angebote, Gesellschafterbeschlüsse etc. Diese sind zu schützen und aufzubewahren aufgrund einschlägiger gesetzlicher Vorschriften, wie z. B. den Grundsätzen ordnungsgemäßer Buchführung, dem Umsatzsteuerrecht, dem Handelsrecht usw. Hierbei geht es primär darum, Geschäftsprozesse nachzuvollziehen und öffentlich-rechtliche Verpflichtungen zu erfüllen.
Die von Kunden und Lieferanten zur Verfügung gestellten Daten sind regelmäßig aufgrund vertraglicher Verpflichtungen bzw. vor dem Zugriff und der Kenntnisnahme unberechtigter Dritter zu schützen. Solche Verpflichtungen können als Haupt- oder Nebenpflicht bei Verträgen einschlägig sein oder sich auch aus dem Berufsrecht ergeben, z. B. bei Branchen des Rechts, der Steuerberatung, der Medizin oder der Finanzdienstleistungen.
Personenbezogene Daten sind laut Art. 4 Abs. 1 DSGVO alle Angaben, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, z. B.:
- Name
- Anschrift
- Alter
- Beruf
- Staatsangehörigkeit
- Religionszugehörigkeit etc.
Verarbeitung sind laut Art. 4 Abs. 2 DSGVO alle Vorgänge im Zusammenhang mit personenbezogenen Daten, die mit oder ohne automatisierte Verfahren durchgeführt werden, wie z. B. Erheben, Erfassen, Speichern, Verändern, Auslesen, Abfragen, Verwendung, Offenlegung, Übermittlung, Verbreitung, Abgleich, Verknüpfung, Einschränkung, Löschen oder Vernichtung.
Pseudonymisierung ist laut Art. 4 Abs. 5 DSGVO die Verarbeitung von personenbezogenen Daten in einer Weise, dass diese Daten ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Die zusätzlichen Informationen müssen separat aufbewahrt werden, und technische und organisatorische Maßnahmen müssen sicherstellen, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können.
Verantwortlicher ist laut Art. 4 Abs. 7 DSGVO die Person oder Institution, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Wenn die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben sind, kann der Verantwortliche oder die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
Als Dritter wird laut Art. 4 Abs. 10 eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle bezeichnet, die außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt ist, die personenbezogenen Daten zu verarbeiten.
Eine Einwilligung ist laut Art. 4 Abs. 11 DSGVO eine freiwillige, informierte und eindeutige Willensbekundung in Form einer Erklärung oder Handlung, mit der eine Person zustimmt, dass ihre personenbezogenen Daten verarbeitet werden.
DSGVO und BDSG gelten für alle Unternehmen
Die datenschutzrechtlichen Vorschriften von DSGVO und BDSG gelten für alle Unternehmen, die im Bereich der Europäischen Union tätig sind, unabhängig von der Rechtsform. Darüber hinaus können weitere Vorschriften im Einzelfall zur Anwendung kommen. Hierzu zählen branchenspezifische Vorschriften z. B. für Rechtsanwälte, Steuerberater, Ärzte, Versic...