Was müssen Unternehmen beim Datenschutz beachten?
Moez Ayadi
Business Engineer | Driving Success in SaaS Sales | Passionate about Fostering Business Growth through Innovative Solutions
Seit der EU-Verordnung aus dem Jahr 2016 gelten neue Datenschutzrichtlinien, die sogenannte DSGVO (Datenschutz-Grundverordnung) für die Europäische Union. Sie stärken den Datenschutz, schützen die Verarbeitung personenbezogener Daten von natürlichen Personen und garantieren den freien Verkehr dieser Daten. Aber was genau bedeutet die DSGVO für Unternehmen, welche Anforderungen müssen beim Datenschutz beachtet werden? Und wie lässt sich eine Datenschutzpolitik erfolgreich implementieren? Wir fassen übersichtlich und kurz zusammen, was Sie beim Thema Datenschutz auf jeden Fall wissen sollten.
Welche Lösungen sollten Unternehmen für den Datenschutz einsetzen?
Informationen und Daten haben einen hohen Stellenwert und werden von Jahr zu Jahr in größerer Menge und höherer Frequenz länderübergreifend ausgetauscht und gespeichert. Große Rechenzentren ermöglichen die Verarbeitung von schieren Datenmassen und garantieren so eine kontinuierliche technologische Weiterentwicklung. Die Speicherung gewisser Daten erleichtert uns dabei allen den Alltag, durch Konten und Datenspeicherung ist das nächste Zugticket mit einem Klick reserviert und bezahlt. Dafür merkt sich das System im Hintergrund die personenbezogenen Daten, von der privaten Facebook-Seite, über das Instagram Profil bis hin zur Datenspeicherung bei diversen Online-Shopping-Seiten. Beim Umgang mit solchen personenbezogenen Daten muss einiges beachtet werden.
Was ist Datenschutz?
Beim Datenschutz geht es wie bereits angesprochen um den Schutz personenbezogener Daten von natürlichen Personen bei der Erfassung, Verarbeitung und Weitergabe dieser. Laut DSGVO handelt es sich beim Datenschutz um ein Grundrecht und die Grundfreiheit einer jeden natürlichen Person. Ganz besonders wenn es hierbei um personenbezogene Daten geht. Innerhalb der europäischen Union ist ebenfalls der freie Verkehr personenbezogener Daten Bestandteil des Datenschutzes.
Nach DSGVO sind personenbezogene Daten, alle Angaben, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Unter den Begriff der natürlichen Person fallen alle Menschen für die Dauer ihres Lebens. Personen sind dann identifizierbar wenn Ihnen eine Kennung zugeordnet wird, z.B. eine Onlinekennung, oder wenn mehrere Informationen der Person zu einem Profil gruppiert werden. Ein Beispiel für personenbezogene Daten ist die Telefonnummer, der Vorname, IP-Adressen oder biometrische Daten der Person.
Welche Anforderungen müssen Unternehmen beim Datenschutz erfüllen?
Wenn Unternehmen personenbezogene Daten verarbeiten, müssen sie die allgemeinen Grundsätze des Datenschutzes beachten. Die Einhaltung dieser Richtlinien muss von Datenschutzverantwortlichen innerhalb des Unternehmens auch nachgewiesen werden können. In Deutschland herrscht beim Datenschutz ein wahrer Dschungel an Richtlinien und Gesetzen. Daher sollten sich Unternehmen genau darüber informieren, welche Datenschutzrichtlinien und -Gesetze für ihren Standort und ihr Unternehmen im Einzelfall gelten.
Ganz grundsätzlich ist jedoch jedes Unternehmen, das innerhalb der EU geschäftlich tätig ist, dazu verpflichtet die Datenschutzverordnung (DSGVO) zu erfüllen. Auch Kleinstunternehmen, Selbstständige und KMUs müssen die Gesetze zum Datenschutz berücksichtigen. Bei Verstößen gegen die DSGVO drohen harte Bußgelder und Sanktionen, die im Einzelfall gar existenzgefährdend für Unternehmen werden können. Unternehmen sollten einen internen oder externen Datenschutzbeauftragte/n benennen, der mit Spezialwissen zum Datenschutz im Unternehmen als erste Anlaufstelle gilt. Für welche Unternehmen die Pflicht zur Ernennung von Datenschutzbeauftragten besteht, lässt sich Artikel 30 der DSGVO entnehmen. Gleichzeitig sollten alle Mitarbeitenden, die direkt mit personenbezogenen Daten arbeiten, eine Vertrauenserklärung unterzeichnen. Diese verpflichtet sie zur Geheimhaltung von personen- und unternehmensbezogener Daten.
Datenschutzerklärung zentral beim Datenschutz in Unternehmen
Ein weiterer Punkt zum erfolgreichen Datenschutz in Unternehmen ist das Verzeichnis von Verarbeitungstätigkeiten, auch VVT genannt. In diesem Dokument sollten Verantwortlichkeiten und die Zwecke der Datenverarbeitung und die Fristen zur Datenlöschung aufgelistet werden. Das Konzept zur Datenlöschung ist wichtig, da hier gesetzliche Fristen berücksichtigt werden müssen. Diese definieren ab wann die Daten endgültig gelöscht werden müssen. Oftmals arbeiten Unternehmen mit Dienstleistern zusammen und leitet hierfür Datenpakete an diese weiter. Verarbeitet der Dienstleister im Auftrag und auf Weisung des Unternehmens personenbezogene Daten, dann sollte ein Auftragsverarbeitungsvertrag (AV-Vertrag) abgeschlossen werden. Im Rahmen dieses Vertrags können die Rechte und Pflichten zwischen Unternehmen und Dienstleister geklärt werden.
Die Datenschutzerklärung ist ein weiterer Meilenstein beim Datenschutz. Mit dieser können betroffene Personen über die Datenverarbeitung informiert werden. Kunden und Kundinnen können mithilfe der Datenschutzerklärung der Verarbeitung ihrer personenbezogenen Daten zustimmen und nachlesen, inwiefern ihre Daten verarbeitet werden. Wenn Unternehmen eine Webseite verwalten und online gestellt haben, müssen sie ihre Datenschutzerklärung dort zugänglich machen und einbetten.
Empfohlen von LinkedIn
TOM-Konzepte vervollständigen Datenschutz in Unternehmen
Darüber hinaus empfiehlt es sich, dass Unternehmen technische und organisatorische Maßnahmen zum Umgang mit personenbezogenen Daten einführen. Ein einfaches Beispiel solcher TOM-Konzepte sind Regelungen zu Berechtigungen innerhalb von Softwares oder verschließbare Aktenschränke im Personalbüro. Eine weitere sinnvolle Maßnahme bilden Mitarbeiterschulungen zum Thema Datenschutz. Der menschliche Faktor bleibt beim Datenschutz das größte Sicherheitsrisiko. Daher sind spezifische Softwares, die DSGVO konform arbeiten und den Datenschutz in Unternehmen unterstützen, fast unerlässlich.
Risiken für Unternehmen beim Datenschutz
Wie bereits in den vorangegangenen Kapiteln angesprochen, sind Unternehmen, die in der EU tätig sind, dazu verpflichtet die DSGVO zu berücksichtigen. Neben empfindlichen Geldstrafen und teuren Gerichtsverfahren droht Unternehmen auch ein Imageverlust in der Öffentlichkeit, wenn bekannt wird, dass beim Datenschutz gepfuscht wurde. Gerade im Hinblick auf Kundenbindung und professionelle Geschäftsbeziehungen ist es zentral personenbezogene Daten von Kunden, Lieferanten und Mitarbeitenden korrekt zu verarbeiten und zu speichern. Das Thema Datenschutz gewinnt in den letzten Jahren vermehrt an Popularität und immer mehr Menschen sensibilisieren sich für den Schutz ihrer personenbezogenen Daten. Wird der Datenschutz erfolgreich von der Konkurrenz umgesetzt nicht jedoch vom eigenen Unternehmen, kann dies im schlimmsten Fall sogar einen Wettbewerbsnachteil darstellen.
Jede betroffene Person, die Verstöße gegen die DSGVO oder missbräuchliche Verarbeitung ihrer personenbezogenen Daten bemerkt, kann Beschwerde bei einer Aufsichtsbehörde einlegen.
Um die Risiken beim Datenschutz so gering wie möglich zu halten, sollten Unternehmen eine interne Datenschutzpolitik erstellen. Damit kann sichergegangen werden, dass alle im Unternehmen dieselben Datenschutzregeln umsetzen und Daten unternehmens- und abteilungsübergreifend korrekt verwaltet werden.
Wie kann man eine Datenschutzpolitik erfolgreich umsetzen?
Unternehmen sind wie allgemeinhin bekannt keine natürlichen Personen und handeln daher nicht selbst als Entität. Die Einhaltung des Datenschutzes wird daher in Unternehmen von der Geschäftsleitung, Führungskräften und Datenschutzbeauftragten überwacht. Das Vorhandensein einer Datenschutzpolitik kann für Unternehmen zahlreiche Vorteile haben.
Zu den zentralen Punkten der DSGVO und demzufolge einer erfolgreichen Datenschutzpolitik gehört Folgendes:
Entscheiden Sie sich für eine Lösung die Ihre Daten schützt
Mit einer sicheren Lösung zur Digitalisierung ihres Ausgabenmanagements , werden Belege und Daten gesetzeskonform archiviert und für die gesetzlich vorgeschriebene Dauer gespeichert. So können Unternehmen sich getrost vom Zettelchaos verabschieden. Durch die virtuellen Zahlungskarten verringert sich auch das Risiko bei Kartendiebstahl oder Bankdatenraub. Finanzverantwortliche behalten zu jeder Zeit die Kontrolle über ihre Budgets und können in Echtzeit Ausgaben genehmigen und Karten deaktivieren.