Datenschutz im Unternehmen

Obwohl es seit der DSGVO im Jahr 2018 in aller Munde ist, so war und ist Datenschutz im Unternehmen schon immer ein wichtiges Thema. Ganz gleich, wie groß ein Unternehmen ist, es ist bei Verarbeitungstätigkeiten von personenbezogenen Daten verpflichtet, die geltenden Regelungen einzuhalten.

Warum ist Datenschutz im Unternehmen wichtig?

Das Thema Datenschutz ist für Unternehmen nicht nur aus rein ethischen Gründen wichtig, sondern abgesehen davon auch, um Bußgelder bei Datenschutzverstößen zu vermeiden. Generell ist es jedoch von großer Bedeutung, die personenbezogenen Daten von Geschäftspartnern, Mitarbeitern und Kunden zu schützen. Das sollte unabhängig von eventuellen Bußgeldern für jedes Unternehmen Priorität haben.

Datenschutz im Unternehmen
Bildquelle: depositphotos.com

Worauf müssen Unternehmen besonders achten beim Datenschutz?

Mit der EU-DSGVO ist einheitlich geregelt, wie kleine und große Unternehmen gleichermaßen mit dem Datenschutz umzugehen haben. Dieser Umgang muss zudem lückenlos nachgewiesen werden können, wenn es zu einer Prüfung der Aufsichtsbehörde kommen sollte.

Wann dürfen Unternehmen überhaupt Daten speichern?

Generell sollten Unternehmen datensparsam agieren. Das bedeutet, dass sie nicht wahllos Daten sammeln, sondern stets einen guten Grund haben sollten, überhaupt personenbezogene Daten zu sammeln. Diese Gründe liegen bei Firmen natürlich relativ schnell vor, weshalb „ein Grund" alleine nicht ausreicht.

Es muss auch eine Einwilligung beziehungsweise eine Erlaubnis vorliegen, diese Daten zu sammeln. Rechtskonform ist diese Einwilligung nur, wenn die jeweilige Person über den Sachverhalt aufgeklärt wurde. Das wiederum muss

  • leicht zugänglich ,
  • verständlich,
  • und in einer klaren und einfachen Sprache

erfolgen. Gleichzeitig dürfen die betreffenden Personen diese Erlaubnis jederzeit widerrufen.

Was ist eine Auftragsdatenverarbeitung?

Sobald Unternehmen Daten erhält und diese im beispielsweise Kundenauftrag verarbeitet, liegt eine Auftragsdatenverarbeitung vor. Die Abkürzung hierfür lautet AV. Diese Form der Verarbeitung muss einem AV-Vertrag zugrunde liegen.

Müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen?

Wenn Unternehmen Verarbeitungstätigkeiten vornehmen, wird auch ein Verzeichnis von Verarbeitungstätigkeiten benötigt. Dazu waren Unternehmen schon nach dem damaligen BDSG verpflichtet und auch mit Einführung der DSGVO hat sich dies nicht geändert.

Wer also als Unternehmen mit personenbezogenen Daten arbeitet, muss diese Prozesse und Verfahren dokumentieren. Und zwar:

  • lückenlos
  • übersichtlich
  • nachvollziehbar

Mit einem Datenschutzmanagement-System lässt sich das Verfahrensverzeichnis besonders einfach umsetzen. Dies ist zudem mit Einführung der DSGVO sogar Pflicht. Es reicht nicht länger aus, dass Unternehmen nur sicherstellen, dass die Vorgaben eingehalten werden, es muss im Falle einer Prüfung auch jederzeit nachprüfbar sein.

Welche Rechte haben Kunden in Bezug auf den Datenschutz?

Nach der DSGVO haben „Betroffene", also beispielsweise Kunden eines Online-Shops, gewisse Rechte. Diese sind in Kapitel 3 der DSGVO notiert und enthalten:

  • das Recht auf Auskunft der eigenen Daten
  • das Recht auf eine Berichtigung der Daten
  • das Recht auf Löschung der personenbezogenen eigenen Daten
  • das Recht auf eine Einschränkung der Verarbeitung der eigenen Daten
  • das Recht auf Widerspruch gegen die Verarbeitung der Daten
  • das Recht auf Übertragung der Daten

Zusammengefasst können Kunden also jederzeit erfahren, ob Daten von ihnen erhoben werden und welche das sind. Sie können außerdem zu jeder Zeit entscheiden, ob das weiterhin in Ordnung ist, wie die Daten erhoben werden dürfen oder ob es Einschränkungen oder Löschungen geben soll.

Datenschutz im Unternehmen
Bildquelle: depositphotos.com

Wie gelangen Kunden an diese Informationen?

Die betroffene Person, die von den Rechten der DSGVO Gebrauch machen möchte, hat ein Auskunftsrecht. Dieses ist in Art. 15 DSGVO geregelt. Unternehmen müssen auf dieses Auskunftsrecht, also die Anfrage des Kunden, reagieren und folgende Informationen bereitstellen:

  • Werden personenbezogene Daten erhoben?
  • Wenn ja:
    • Zu welchem Verarbeitungszweck werden diese Daten erhoben?
    • In welche Kategorie fallen die verarbeiteten Daten?
    • Wer sind die Empfänger oder die zukünftig beabsichtigten Empfänger der Daten?
    • Wie hoch ist die geplante Dauer der Speicherung der Daten oder wie werden entsprechende Kriterien festgelegt?
    • Gibt es ein Recht auf Einschränkung, Widerspruch, Löschung oder Berichtigung?
    • Woher kommen die Daten, wenn sie nicht direkt von der betroffenen Person erhoben wurden?
    • Gibt es ein automatisiertes Entscheidungsverfahren und wenn ja, wie ist die entsprechende Logik sowie zu welchem Zweck dient das Verfahren?
    • Gibt es Garantien, wie beispielsweise Zertifizierungen, sofern Daten an internationale Organisationen oder an ein Drittland übermittelt werden?

Kunden haben demnach viele Rechte und können von Unternehmen eine Auskunft dieser Informationen verlangen. Auf diese Weise lässt sich jederzeit nachvollziehen, ob und welche Daten in welcher Form und zu welchem Zweck erhoben werden. Genau aus diesem Grund, ob Kunden davon nun Gebrauch machen oder nicht, ist es wichtig, sich um ein vollständiges Verfahrensverzeichnis zu kümmern und das Thema Datenschutz im Unternehmen ernst zu nehmen.

Weitere Tipps und Quellen:

  • Anleitung zur rechtssicheren Gestaltung einer WordPress Website: wpbest.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert