Der Datenschutz im Betrieb spielt in der heutigen Zeit - vor allem seit der Einführung der Datenschutz-Grundverordnung (DS-GVO) im Mai 2018 - eine wichtige Rolle im beruflichen Alltag.
Dementsprechend müssen sich Geschäftsführer, Unternehmer und Fachverantwortliche den Anforderungen der DS-GVO und unzähliger weiterer Gesetze, die den Datenschutz im Betrieb tangieren, täglich stellen. Hierzu fehlt vielen Unternehmen häufig das Fachwissen und die zeitlichen Kapazitäten zur Bewältigung ihrer gesetzlichen Anforderungen.
Die wichtigsten Fragen zum Datenschutz im Betrieb
Die wichtigsten Begriffe im Datenschutz
Personenbezogene Daten sind alle Angaben, die sich auf natürliche Personen (also Menschen) beziehen. Darunter fallen Angaben zu persönlichen Verhältnissen (wie z.B. Name, Alter, Anschrift, Telefonnummer, Beruf, Hobbies, Bankverbindung etc.) und Angaben zu sachlichen Verhältnissen (Einkommen, Kennzeichen, Steuern, Internetnutzung etc.). Hinzu kommen die sogenannten sensiblen Daten (wie ethnische Herkunft/Religionszugehörigkeit, politische Meinung oder die Gesundheitsdaten einer natürlichen Person). Hier finden Sie eine Auflistung von verantwortlichen Stellen und den personenbezogenen Daten, die dort jeweils verarbeitet werden.
Als Betroffene werden in der DS-GVO Personen bezeichnet, deren Daten erhoben, gespeichert oder verarbeitet werden. Grundsätzlich gilt dabei, dass jeder Mensch selbst bestimmen soll, wem er welche Informationen über sich bekannt gibt. Allerdings gibt es hier auch Ausnahmen. Zwei gängige Beispiele wären die Verarbeitung Ihrer persönlichen Daten durch das Finanzamt oder durch einen Handelsbetrieb. Die gesetzlichen Verpflichtungen Ihre Daten zu verarbeiten, zum Beispiel für eine Steuererklärung durch das Finanzamt oder zur Aufbewahrung Ihres Kassenbons nach einem Einkauf durch einen Handelsbetrieb, haben ein höheres Gewicht, als Ihr Recht, jene Verarbeitungen zu unterbinden. Zusammengefasst kann man festhalten, dass grundsätzlich nur Gesetze Ihr Recht auf informationelle Selbstbestimmung einschränken können.
Verantwortliche sind natürliche oder juristische Personen, also Unternehmen, Behörden, Organisationen, Einrichtungen oder andere Stellen, die über die Zwecke (die Frage nach dem Warum) sowie Mittel (die Frage nach dem Wie) einer Verarbeitung personenbezogener Daten entscheiden.
Pflichten der Mitarbeiter beim Datenschutz im Betrieb
Mitarbeiter haben folgende Pflichten zu tragen, um die Rechte der Betroffenen zu schützen:
1. Verwenden Sie ein sicheres Passwort. Sie sollten niemals ein Passwort für mehrere Seiten oder Accounts nutzen.
2. Unterbinden Sie es, dass Unbefugte Einblick oder Zugriff auf den Bildschirm Ihres PCs bekommen.
3. Verschlüsseln Sie die Daten, mit denen Sie arbeiten.
4. Gehen Sie sorgfältig mit papiergebundenen und elektronischen Daten um.
5. Vermeiden Sie unüberlegte Datenweitergaben und das Erstellen unnötiger Vervielfältigungen.
6. Wahren Sie stets das Datengeheimnis.
Nicht nur der Verantwortliche des Unternehmens, sondern auch Sie als Mitarbeiter tragen eine Meldepflicht.
Besteht also der Verdacht, dass ein Verstoß gegen die DS-GVO vorliegt und dass eine Gefahr für die Rechte einer betroffenen Person besteht, ist dies binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden.
Sie als Mitarbeiter müssen den Sachverhalt daher umgehend an den betrieblichen Datenschutzbeauftragten oder an die Geschäftsleitung kommunizieren.
Kontrollen durch die Datenschutzbehörden
Für die Überwachung der Einhaltung der Verordnung sind unabhängige Aufsichtsbehörden zuständig. Es gibt pro Bundesland jeweils eine Landesbehörde und eine bundesweite Behörde für Deutschland.
Die für Ihr Unternehmen zuständige Datenschutzbehörde ist diejenige Landesdatenschutzbehörde, in dessen Bundesland der Hauptsitz Ihres Unternehmens registriert ist, also seinen Unternehmenssitz hat.
Sofern es sich um mehrere eigenständige Unternehmen handelt, für die der Datenschutzbeauftragte gemäß Beratungsvertrag und Benennungsurkunde benannt ist, muss die Meldung für jede Gesellschaft separat vorgenommen werden, und zwar jeweils bei derjenigen Landesdatenschutzbehörde des Bundeslandes der Hauptniederlassung.
Die Datenschutzbehörden führen in den Unternehmen Kontrollen durch, um zu prüfen, ob die Datenschutz-Grundverordnung richtig umgesetzt wird. Diese Kontrollen können in Form von Vor-Ort-Kontrollen im Unternehmen oder durch den Versand von Fragebögen stattfinden.
In der Regel werden die Behörden nur dann tätig, wenn ihnen eine Beschwerde eines Kunden oder eines Mitarbeiters, bzw. eines Betroffenen vorliegt oder wenn sie selbst beschließen zu einem bestimmten Zeitpunkt bestimmte Unternehmen einer Branche zu überprüfen.
Auch der Datenschutzbeauftragte hat eine Kontrollfunktion im Unternehmen, da er mit den zuständigen Aufsichtsbehörden zusammenarbeitet.
DS-GVO-konforme Datenschutzerklärung
Grundsätzlich sollten Sie wissen, dass laut DS-GVO jeder Betreiber einer Webseite eine Datenschutzerklärung haben muss.
Wichtig ist, dass die Datenschutzerklärung präzise und transparent ist. Außerdem muss sie für jeden Besucher der Webseite leicht zugänglich, sowie in einer klaren und einfachen Sprache formuliert sein, sodass sie für jedermann verständlich ist. Hier finden Sie eine kostenlose Checkliste zur Erstellung einer Datenschutzerklärung.
Inhaltlich muss eine Datenschutzerklärung Auskunft über folgende Informationen geben:
- Der Name und die Kontaktdaten des Verantwortlichen (also den Betreiber der Webseite)
- Der Datenschutzbeauftragte und seine Kontaktdaten, falls einer bestellt ist
- Allgemeine Hinweise zur Nutzung der Website, darunter der Zweck und die Rechtsgrundlage für die Datenverarbeitung
- Bei einer Verarbeitung wegen berechtigter Interessen müssen Sie diese Interessen erläutern
- Die Empfänger der Daten, wenn Sie diese weitergeben
- Übermittlung in ein Drittland, falls eine solche stattfindet
- Die geplante Dauer der Speicherung der Daten
- Ein Hinweis über das Auskunftsrecht
- Der Hinweis auf das Recht auf Löschung, Widerspruch und Übertragung der Daten
- Der Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
- Ein Hinweis zu Cookies, sofern Sie auf Ihrer Webseite Cookies verwenden
- Detaillierte Hinweise zu den eingesetzten Drittanbietertools (wie Google Analytics oder Maps)
Die Eckpfeiler Ihres Datenschutz-Teams im Betrieb
Der Verantwortliche
In der Regel handelt es sich beim Verantwortlichen um die Geschäftsleitung des jeweiligen Unternehmens.
Der Datenschutzbeauftragte
Der interne oder externe DSB (und seine Stellvertretung) wirkt auf die Einhaltung der gesetzlichen Vorgaben aus der DS-GVO hin.
Der Datenschutzkoordinator
Je nach Größe des Unternehmens ist der Koordinator der erste Ansprechpartner des DSB. Er streut die Infos des DSB und beschafft ihm ggf. alle Infos, die den Datenschutz im Betrieb betreffen.
Der IT-Verantwortliche
Im Zuge der intensiver werdenden Digitalisierung ist ein Zusammenspiel zwischen Ihrer IT und dem Datenschutz unverzichtbar, um alle relevanten personenbezogenen Daten im Betrieb zu schützen.
Der Personalverantwortliche
Der Umgang mit persönlichen Daten ist einer der Hauptbestandteile der Personalabteilung. Betroffene Datenkategorien sind z.B. Namen und Sozialversicherungsnummern bis hin zu medizinischen- oder Bankdaten.
Benötigen Sie Unterstützung beim Datenschutz in Ihrem Betrieb?
Die Experten der exkulpa stehen Ihnen als Berater und Auditoren im Bereich Datenschutz zur Seite, um sicherzustellen, dass Sie in Ihrem Unternehmen alle gesetzlichen Vorgaben und Maßnahmen effektiv umsetzen.
Im Rahmen unserer umfassenden Beratung im Bereich Datenschutz bieten wir Ihnen zahlreiche Leistungen:
Wir übernehmen die Funktion des externen Datenschutzbeauftragten in Ihrem Unternehmen, unterstützen Sie beim Aufbau Ihres Datenschutz-Management-Systems, schulen und sensibilisieren Ihre Mitarbeiter zu datenschutzrelevanten Themen und überprüfen Ihren Webauftritt hinsichtlich der Anforderungen der DS-GVO.
Beratung durch externe Datenschutzbeauftragte
Das Einholen von Datenschutzexpertise für Ihr Unternehmen ist ein wichtiger Bestandteil jedes ordentlichen Datenschutzmanagementsystems (DSMS). Egal ob Sie ein kleines Unternehmen oder ein Konzern sind, unsere externen Datenschutzbeauftragten aus Heinsberg können Ihre Datenschutzanforderungen bestimmen, auditieren und bei Bedarf als externe Beauftragte für Sie erfüllen.
Wir bieten praktische und rechtskonforme Lösungen für alle Herausforderungen mit dem Datenschutz, egal wie komplex sie sind. Unser Expertenteam verfügt über das Datenschutz-Wissen und die Erfahrung, um Ihr praxisnahes und rechtssicheres DSMS aufzubauen und zu implementieren.
Dadurch sorgen Sie dafür, dass die sensiblen Daten Ihres Unternehmens vor unbefugtem Zugriff, Offenlegung, Zerstörung oder Veränderung geschützt und gleichzeitig die Einhaltung geltender gesetzlicher Vorschriften wie der Datenschutzgrundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG-neu), des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gewährleistet sind.
Sie sehen vor lauter Datenschutzbäumen keinen Wald mehr?
Sprechen Sie uns an und vereinbaren Sie ein kostenfreies Erstgespräch mit einem unserer Berater zum Datenschutz in Ihrem Betrieb.