Kostenlose Ratgeber
Icon Shop
Shop
Icon Ratgeber
Ratgeber
Suche
Suche
Suche
Alle Ergebnisse anzeigen

Datenschutz im Unternehmen: DSGVO umsetzen

© stockpics | stock.adobe.com
Datenschutz
6 min | Stand 24.01.2023
Redaktion SafetyXperts
Das Thema Datenschutz ist für Unternehmen auf verschiedensten Ebenen von Bedeutung: Denn nicht nur die Verarbeitung und Speicherung der Informationen über Kunden oder Klienten müssen laut den gesetzlichen Vorgaben genau protokolliert werden – auch die Pflichten von Unternehmen im Umgang mit den personenbezogenen Daten ihrer Beschäftigten unterliegt strengen Vorschriften. Erfahren Sie hier, wie Arbeits- und Datenschutz miteinander verknüpft sind und was Sie im Hinblick auf DSGVO und Co. beachten sollten.
Inhaltsverzeichnis

Datenschutz in Unternehmen: Was hat das mit Arbeitsschutz zu tun? 

Beim Stichwort Arbeitsschutz denken die meisten Unternehmer vor allem an angemessene Schutzkleidung oder den Umgang mit Gefahrgütern. Doch auch der Datenschutz spielt in diesem Bereich eine wichtige Rolle. Der Grund liegt vor allem in der juristischen Dimension des Begriffs: Denn die Rechtsgrundlage für geltende Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) ist bereits in den Grundrechten jeder Person angelegt. 

Das sogenannte „Recht auf informationelle Selbstbestimmung“ beruht dabei auf der Grundlage des allgemeinen Persönlichkeitsrechts sowie der Menschenwürde – und lässt sich sowohl aus dem Deutschen Grundgesetz als auch aus der EU-Menschenrechtscharta ableiten. Dieses Recht auf Informationsfreiheit ist deshalb als Grundrecht anerkannt. 

In der Praxis bedeutet das: Jede Person kann prinzipiell selbst bestimmen, wo und wann eine Speicherung oder Verarbeitung der personenbezogenen Daten stattfindet und wer auf diese Informationen Zugriff hat. 

Das betrifft nicht nur offensichtlich persönliche Daten wie Name, Adresse oder Geburtsdatum, sondern beispielsweise auch folgende Informationen:

  • Telefonnummern und E-Mail-Adressen
  • Fotos und andere Abbildungen
  • IP-Adressen und Standort-Daten
  • religiöse Zugehörigkeit oder sexuelle Orientierung
  • Daten über den Gesundheitszustand

Bereits an diesen Beispielen wird deutlich, was den Schutz personenbezogener Daten so wichtig macht: Geraten Informationen dieser Art nämlich in falsche Hände oder werden für zwielichtige Zwecke missbraucht, bedeutet dies nicht nur einen ernstzunehmenden Eingriff in die Privatsphäre – auch die Gesundheit einer Person kann sowohl auf geistiger und emotionaler als auch auf körperlicher Ebene gefährdet sein. 

Betrachtet man den Datenschutz aus dieser Perspektive, ist er also durchaus als Teil des Arbeitsschutzes zu sehen. Für Unternehmen sind die zugehörigen Gesetze und Vorschriften deshalb sowohl im Hinblick auf die Verarbeitung von Kundendaten als auch im Zusammenhang mit den eigenen Beschäftigten relevant.

Was steckt hinter den Abkürzungen DSGVO und BDSG?

Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) bilden die Rechtsgrundlage für die Nutzung personenbezogener Informationen in Deutschland. Während es sich bei der DSGVO jedoch um eine Verordnung auf EU-Ebene handelt, die den Datenschutz in der gesamten Europäischen Union regelt, gilt das BDSG ausschließlich in Deutschland.

Allerdings dient das Bundesdatenschutzgesetz gemeinsam mit den entsprechenden Gesetzen der einzelnen Bundesländer hauptsächlich der praktischen Umsetzung der Vorschriften in der DSGVO – und ist deshalb vor allem für die deutschen Sicherheitsbehörden relevant, da die Rechtsgrundlage der EU hier nicht anwendbar ist. Für Unternehmen sind dagegen bereits die Vorschriften der DSGVO verbindlich.

Warum ist die DSGVO für Unternehmen wichtig?

Die Datenschutz-Grundverordnung (DSGVO) beruht hauptsächlich auf der Grundlage des Verbotsprinzips. Jede Speicherung, Verarbeitung oder Nutzung von personenbezogenen Daten ist also grundsätzlich erst einmal verboten.

In der Praxis werden persönliche Informationen aller Art jedoch für zahlreiche wichtige Aufgaben benötigt. Laut Art. 6 Abs. 1 DSGVO ist die Datenverarbeitung und -erhebung deshalb auch ohne ausdrückliche Zustimmung des Betroffenen möglich – besonders wenn:

  • die Daten zur Erfüllung eines rechtlich bindenden Vertrags mit der betroffenen Person benötigt werden (z. B. zum Versand von bestellter Ware).
  • die Datenverarbeitung zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist (z. B. bei der Berechnung des Arbeitslosengelds durch das Arbeitsamt).
  • öffentliche oder lebenswichtige Interessen den Schutz des Grundrechts auf informationelle Selbstbestimmung überwiegen (z. B. zur medizinischen Behandlung bei akuter Lebensgefahr).

Kann die Person oder Institution jedoch kein berechtigtes Interesse im Sinne der DSGVO nachweisen, ist für jegliche Datenverarbeitung oder -nutzung eine ausdrückliche Einwilligung der betroffenen Person erforderlich. Unternehmen begegnen diesem Problem vor allem im Online-Bereich – speziell im Hinblick auf Cookie-Dienste und andere Marketing-Aktivitäten ihrer Internetseiten. 

Doch auch Betriebe aus Verarbeitung und Industrie oder Dienstleister sollten auf ihren Umgang mit personenbezogenen Daten und die Auswirkungen des Datenschutzrechts der EU achten: So ist beispielsweise auch Vorsicht geboten, wenn es um die Speicherung von Fotos der letzten Betriebsfeier oder die Nutzung persönlicher Gespräche über den Chat aus dem Homeoffice geht.

Einwilligung in die Datenverarbeitung: Was sollten Unternehmen beachten?

Lässt sich die Verarbeitung der Daten von Kunden oder Beschäftigten nicht im Rahmen der Ausnahmen im Art. 6 Abs. 1 DSGVO begründen, müssen Unternehmen eine ausdrückliche und schriftliche Einwilligung der betroffenen Person einholen. In diesem „Vertrag“ sind nicht nur alle Zwecke der Speicherung oder Verwendung der erhobenen Daten darzulegen – auch der mögliche Zugriff anderer Nutzer außerhalb des Unternehmens (z. B. Dienstleister) muss in der Einwilligungs-Erklärung unmissverständlich erläutert sein.

Um das Recht auf Privatsphäre der jeweiligen Person zu wahren, ist den Betroffenen außerdem ein Anspruch auf die folgenden Aktionen und Dienste einzuräumen:

  • Widerruf der Einwilligung in die Datenverarbeitung
  • Auskunft über die Art der gespeicherten Daten sowie deren Zweck und Herkunft
  • Berichtigung falscher oder veränderlicher Informationen
  • Löschung der bereits erhobenen personenbezogenen Daten
  • Untersagung der Weitergabe von Informationen an Dritte

Daneben sollten Unternehmen auch besonderes Augenmerk auf das sogenannte Koppelungsverbot legen: Denn laut Art. 7 Abs. 4 DSGVO darf die Erfüllung eines Vertrages oder einer Dienstleistung nicht von der Einwilligung in die Verarbeitung personenbezogener Daten abhängig gemacht werden. Verweigern Betroffene ihre Zustimmung, sind negative Konsequenzen im Rahmen das Arbeits- oder Kundenverhältnisses rechtswidrig.

Was ist ein Datenschutzkonzept?

Das Datenschutzkonzept (DSK) ist eine Zusammenfassung, in der alle datenschutzrechtlichen Aspekte eines Unternehmens dokumentiert werden. Dazu gehören nicht nur die Grundlagen sowie die Ziele der Datenverarbeitung und -erhebung, sondern auch alle zugehörigen Dokumentationspflichten. Und auch die Benennung der verantwortlichen Stellen, wie zum Beispiel des Datenschutzbeauftragten ist Teil des Konzepts.

Obwohl die Pflicht zur Erstellung eines Datenschutzkonzepts für Unternehmen weder in der DSGVO noch im BDSG explizit formuliert ist, gehört das Dokument in den meisten Betrieben zum Standard. Denn ein solches Konzept erleichtert nicht nur den Nachweis der gesetzlichen Rechenschaftspflicht, sondern bildet auch die Grundlage für die Dokumentation der verschiedenen technischen und organisatorischen Maßnahmen zum Schutz der erhobenen Daten. Gleichsam ist das Datenschutzkonzept außerdem eine gute Möglichkeit, um Auftraggeber, Kunden und Mitarbeiter über ihre Rechte und Pflichten zu informieren.

Da der jeweilige Sinn und Nutzen personenbezogener Daten jedoch immer direkt von der Ausrichtung eines Unternehmens abhängen, können auch die Inhalte der Datenschutzkonzepte je nach Betrieb stark variieren. Allgemein sollten jedoch die folgenden Bereiche immer abgedeckt sein: 

  • Absteckung des datenschutzrechtlichen Rahmens für das Unternehmen
  • Definition der einzelnen Pflichten 
  • Benennung der verantwortlichen Stellen (z. B. Datenschutzbeauftragter)
  • Dokumentation bestehender und organisatorischer Maßnahmen

Verarbeitet ein Unternehmen besonders viele oder sensible personenbezogene Daten, zum Beispiel im Rahmen des Profilings zu Marketing-Zwecken, ist laut Art. 35 DSGVO außerdem eine sogenannte Datenschutz-Folgenabschätzung (DSFA) erforderlich. 

Diese wird von der verantwortlichen Person gemeinsam mit dem Datenschutzbeauftragten erstellt und soll einerseits den Nutzen und die Verhältnismäßigkeit der erhobenen Daten genauer erläutern – andererseits aber auch eventuelle Risiken für die Rechte der Betroffenen sowie mögliche Abwendungsmaßnahmen definieren. Die hier gewonnenen Erkenntnisse bilden dann die Grundlage für das Datenschutzkonzept des Unternehmens.

Fazit: Datenverarbeitung im Unternehmen – Nutzen und Risiken genau abwägen

Spätestens seit Einführung der DSGVO ist das Thema Datenschutz für jedes Unternehmen relevant. Das betrifft die Betreiber von Internetseiten genauso wie mittelständische Dienstleister oder Betriebe in der Verarbeitung und Industrie. Um Nutzen und Risiken der Datenverarbeitung und -erhebung dabei genau abzuwägen, müssen sich Unternehmer deshalb eingehend mit den entsprechenden Gesetzen und Vorschriften vertraut machen. 

Besonders kleinere Betriebe ohne eigene Rechtsabteilung sollten sich vor der Erstellung eines Datenschutzkonzepts am besten mit einem Anwalt für Datenschutzrecht in Verbindung setzen. Dieser ist nicht nur mit allen Rechtsgrundlagen vertraut, sondern kann auch bei der Abwägung des Nutzens einzelner Datensätze oder technischer Möglichkeiten bei der automatischen Datenverarbeitung unterstützen.

Von: Redaktion SafetyXperts
Das Redaktionsteam SafetyXperts besteht aus erfahrenen Arbeitsschutz-Experten, die ihr Fachwissen in praxisnaher, nutzwertiger und leicht verständlicher Form aufbereiten und zur Verfügung stellen. Alle bereitgestellten Inhalte werden geprüft und überzeugen von hoher Aktualität und Qualität. Das Expertennetzwerk verfolgt das Ziel, Sicherheitsfachkräfte und Verantwortliche des Gesundheits-, Brand- und Arbeitsschutzes im Unternehmen in ihrem oft komplexen Arbeitsalltag aktiv zu unterstützen. Damit erweist sich das Experten-Team von SafetyXperts als Ihr kompetenter Partner zu allen Fragen rund um die Arbeitssicherheit in Ihrem Betrieb.
Mehr zum Thema Datenschutz
Datenschutzkonzept: Nutzen, Inhalte und Erstellung
Datenschutzkonzept
Torsten Niermann
Seit Einführung der DSGVO im Jahr 2018 hat der Schutz von personenbezogenen Daten in Deutschland höchste Priorität. Wieso ein Datenschutzkonzept für Unternehmen zielführend ist und wie man es...
Artikel lesen
8 min | 24.01.2023
DSGVO: Bedeutung, Zweck, Regelungen und Pflichten 
DSGVO
Torsten Niermann
Viele Unternehmen sind mit der Gefahr konfrontiert, nationale oder internationale Datenschutzrechte zu verletzen. Die Weitergabe einer Kundenadresse, der Versand eines Newsletters an einen Empfänger, der der Verarbeitung seiner...
Artikel lesen
7 min | 06.10.2022
Artikel zum Thema
Großraumbüros: So vermeiden Sie Datenschutz-Risiken
Datenschutz
Es sorgt für mehr Kommunikation und Interaktion, ist platzsparend, kostengünstig und in Unternehmen immer häufiger anzutreffen: das Großraumbüro. Vielleicht sind offene Bürostrukturen auch in Ihrem Unternehmen bereits Realität...
Artikel lesen
7 min | 27.07.2021
Bestellung zum Datenschutzbeauftragten: Achten Sie auf diese Details
Bestellung zum Datenschutzbeauftragten: Achten Sie auf diese Details
Datenschutz
Wolfram von Gagern
Ist die Bestellung zum Datenschutzbeauftragten auch tatsächlich wirksam? Meistens sind es nämlich kleine Formalia, die nicht beachtet werden und schon verliert die Bestellung ihre Gültigkeit.
Artikel lesen
5 min | 18.01.2021
So sieht eine perfekte Grundlagenschulung zum Datenschutz aus:
Datenschutz
Günter Stein
Die Reform des Bundesdatenschutzgesetzes liegt zwar jetzt über ein Jahr zurück – doch immer wird festgestellt, dass es bei der Umsetzung noch hapert.
Artikel lesen
5 min | 15.12.2020
Datenschutz: So schützen Sie bei Kundenumfragen persönliche Daten
Datenschutz
Die Geschäftswelt hat sich verändert. In Zeiten des Internets ist das Angebot an Produkten und Dienstleistungen jederzeit und fast überall verfügbar.
Artikel lesen
7 min | 14.12.2020
Regeln zum Datenschutz: Der richtige Umgang mit Kundendaten
Datenschutz
Sebastian Tausch
Die Wandlung des Kundenverhaltens, die in den letzten Jahren beobachtet wurde, ist vor allem von der in den Alltag eingreifenden Digitalisierung geprägt. Durch stetig wachsende Möglichkeiten, Informationen über...
Artikel lesen
5 min | 29.04.2020
Datenschutz: So verabschieden Sie ausscheidende Mitarbeiter richtig
Datenschutz
Das Jahr 2017 ist in wenigen Wochen vorbei. Für manchen Mitarbeiter geht am 31.12. nicht nur das Jahr, sondern auch das Beschäftigungsverhältnis in Ihrem Unternehmen zu Ende. Egal...
Artikel lesen
4 min | 20.12.2017
Abwesenheitsnotiz & Co.: So handhaben Sie Datenschutz in der Urlaubszeit
Datenschutz
Es gibt Zeiten im Jahr, da wird jedem schnell klar, dass unter Datenschutzgesichtspunkten Handlungsbedarf besteht. So vielleicht jetzt, da viele Mitarbeiter in Urlaub sind und die verschiedensten mehr...
Artikel lesen
2 min | 21.08.2017
Zwingend oder nicht? Die Namensnennung des Datenschutzbeauftragten
Datenschutz
Frage: Unser Unternehmen betreibt einige Online-Angebote. Die notwendigen Anpassungen im Zusammenhang mit der kommenden Datenschutz-Grundverordnung (DS-GVO) soll eine Arbeitsgruppe ohne meine Beteiligung erarbeiten. Nur das Ergebnis soll ich...
Artikel lesen
2 min | 17.02.2017
Diebstahlprävention in der Umkleide: Videoüberwachung möglich?
Datenschutz
Wolfram von Gagern
In jedem Unternehmen kann es passieren, dass Besucher, Beschäftigte oder gar Führungskräfte sich am Hab und Gut anderer bedienen. Selbst bei Polizeidienststellen oder Staatsanwaltschaften kommt es zu Diebstählen.
Artikel lesen
4 min | 01.06.2016
Ausgeschiedene Mitarbeiter: Vorsicht bei der Löschung des E-Mail-Postfachs
Datenschutz
Wolfram von Gagern
Die Nutzung von E-Mails als Kommunikations- und Arbeitsmittel gehört bestimmt auch in Ihrem Unternehmen zum Alltag. Und vielleicht ist es in Ihrem Unternehmen sogar so, dass man hinsichtlich...
Artikel lesen
3 min | 28.05.2015
Name von Mitarbeitern auf der Rechnung – erlaubt?
Datenschutz
Wolfram von Gagern
Frage: Kürzlich habe ich in unserem Unternehmen eine Datenschutzschulung durchgeführt. Dabei war auch ein neu eingestellter Kollege aus dem Bereich Rechnungswesen. Dieser bemängelte, dass auf den Ausgangsrechnungen des...
Artikel lesen
1 min | 11.09.2012
Wie viele Zeichen muss ein sicheres Passwort haben?
Datenschutz
Wolfram von Gagern
Viele Menschen geben sich beim Ausdenken von Passwörtern keine große Mühe und machen es damit Hackern leicht. Sie als Datenschutzbeauftragter sollten es besser machen und Ihren Kollegen auch...
Artikel lesen
2 min | 31.07.2012
Darauf kommt es bei der Videoüberwachung in Verkaufsräumen an
Datenschutz
Günter Stein
Die Schäden, die durch Ladendiebstahl jedes Jahr in Deutschland verursacht werden, gehen schier ins Unermessliche. Weil Ladendiebstahl kaum noch von Staatsanwaltschaften verfolgt wird, gerät möglicherweise auch Ihr Unternehmen...
Artikel lesen
8 min | 26.09.2011
Die Personalakte: Wer sie sonst noch einsehen darf
Datenschutz
Günter Stein
Die Personalakten unterliegen dem Grundsatz der Vertraulichkeit. Demnach müssen Sie die Personalakte vertraulich behandeln und vor Einsicht durch unbefugte Dritte schützen. Mitglieder Ihres Betriebsrats können unter Umständen auch...
Artikel lesen
2 min | 22.09.2011
Urlaubslisten: Hier schlägt der Datenschutz erbarmungslos zu!
Datenschutz
Günter Stein
Ein Leser hat Probleme mit den Urlaubslisten, die in seinem Betrieb ausliegen. Einige Arbeitnehmer möchten das nicht und argumentieren, dass solche Listen gegen den Datenschutz verstoßen. Liegen sie...
Artikel lesen
2 min | 21.06.2011
Die acht Grundregeln des Datenschutzes
Datenschutz
Wolfram von Gagern
Kennen Sie schon die „8 Grundregeln des Datenschutzes“? Sie ergeben sich aus den Nr. 1 bis 8 der „Anlage zu § 9 Satz 1“ des BDSG. Sie stellen...
Artikel lesen
2 min | 17.05.2011
Betrieblicher Datenschutz: Diskussionshilfe – Wie viel Zeit braucht ein Datenschutzbeauftragter für seine Arbeit?
Datenschutz
Wolfram von Gagern
Ab und zu ein kleiner Tipp im Datenschutznewsletter war eine schöne Tradition, die ich in letzter Zeit etwas vernachlässigt habe, aber in der Zukunft wieder etwas aufleben lassen...
Artikel lesen
1 min | 13.09.2010
Arbeitnehmerdatenschutz: Dürfen Sie eine Bewerbung weitergeben?
Datenschutz
Wolfram von Gagern
Die Frage: Immer wieder kommt es vor, dass ich Bewerbungen erhalte, die für mich, beziehungsweise meine Abteilung uninteressant sind, möglicherweise aber für andere Unternehmensteile (wir sind ein Verbundunternehmen)...
Artikel lesen
1 min | 19.12.2009
Hinweis: Selbstverständlich können Sie unsere kostenlosen Sonder-Reports auch ohne einen E-Mail-Newsletter anfordern. Schreiben Sie uns dafür einfach eine kurze Email. Wenn Sie den schnellsten Weg beibehalten wollen gilt wie immer unser Versprechen: Alle ausgewiesenen Sonder-Reporte sind zu 100% kostenlos und jeden Newsletter können Sie sofort am Ende des Newsletters wieder abbestellen.