Datenschutz im Unternehmen: DSGVO umsetzen

Datenschutz in Unternehmen: Was hat das mit Arbeitsschutz zu tun? 

Beim Stichwort Arbeitsschutz denken die meisten Unternehmer vor allem an angemessene Schutzkleidung oder den Umgang mit Gefahrgütern. Doch auch der Datenschutz spielt in diesem Bereich eine wichtige Rolle. Der Grund liegt vor allem in der juristischen Dimension des Begriffs: Denn die Rechtsgrundlage für geltende Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) ist bereits in den Grundrechten jeder Person angelegt. 

Das sogenannte „Recht auf informationelle Selbstbestimmung“ beruht dabei auf der Grundlage des allgemeinen Persönlichkeitsrechts sowie der Menschenwürde – und lässt sich sowohl aus dem Deutschen Grundgesetz als auch aus der EU-Menschenrechtscharta ableiten. Dieses Recht auf Informationsfreiheit ist deshalb als Grundrecht anerkannt. 

In der Praxis bedeutet das: Jede Person kann prinzipiell selbst bestimmen, wo und wann eine Speicherung oder Verarbeitung der personenbezogenen Daten stattfindet und wer auf diese Informationen Zugriff hat. 

Das betrifft nicht nur offensichtlich persönliche Daten wie Name, Adresse oder Geburtsdatum, sondern beispielsweise auch folgende Informationen:

• Telefonnummern und E-Mail-Adressen
• Fotos und andere Abbildungen
• IP-Adressen und Standort-Daten
• religiöse Zugehörigkeit oder sexuelle Orientierung
• Daten über den Gesundheitszustand

Bereits an diesen Beispielen wird deutlich, was den Schutz personenbezogener Daten so wichtig macht: Geraten Informationen dieser Art nämlich in falsche Hände oder werden für zwielichtige Zwecke missbraucht, bedeutet dies nicht nur einen ernstzunehmenden Eingriff in die Privatsphäre – auch die Gesundheit einer Person kann sowohl auf geistiger und emotionaler als auch auf körperlicher Ebene gefährdet sein. 

Betrachtet man den Datenschutz aus dieser Perspektive, ist er also durchaus als Teil des Arbeitsschutzes zu sehen. Für Unternehmen sind die zugehörigen Gesetze und Vorschriften deshalb sowohl im Hinblick auf die Verarbeitung von Kundendaten als auch im Zusammenhang mit den eigenen Beschäftigten relevant.

Was steckt hinter den Abkürzungen DSGVO und BDSG?

Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) bilden die Rechtsgrundlage für die Nutzung personenbezogener Informationen in Deutschland. Während es sich bei der DSGVO jedoch um eine Verordnung auf EU-Ebene handelt, die den Datenschutz in der gesamten Europäischen Union regelt, gilt das BDSG ausschließlich in Deutschland.

Allerdings dient das Bundesdatenschutzgesetz gemeinsam mit den entsprechenden Gesetzen der einzelnen Bundesländer hauptsächlich der praktischen Umsetzung der Vorschriften in der DSGVO – und ist deshalb vor allem für die deutschen Sicherheitsbehörden relevant, da die Rechtsgrundlage der EU hier nicht anwendbar ist. Für Unternehmen sind dagegen bereits die Vorschriften der DSGVO verbindlich.

Warum ist die DSGVO für Unternehmen wichtig?

Die Datenschutz-Grundverordnung (DSGVO) beruht hauptsächlich auf der Grundlage des Verbotsprinzips. Jede Speicherung, Verarbeitung oder Nutzung von personenbezogenen Daten ist also grundsätzlich erst einmal verboten.

In der Praxis werden persönliche Informationen aller Art jedoch für zahlreiche wichtige Aufgaben benötigt. Laut Art. 6 Abs. 1 DSGVO ist die Datenverarbeitung und -erhebung deshalb auch ohne ausdrückliche Zustimmung des Betroffenen möglich – besonders wenn:

• die Daten zur Erfüllung eines rechtlich bindenden Vertrags mit der betroffenen Person benötigt werden (z. B. zum Versand von bestellter Ware).
• die Datenverarbeitung zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist (z. B. bei der Berechnung des Arbeitslosengelds durch das Arbeitsamt).
• öffentliche oder lebenswichtige Interessen den Schutz des Grundrechts auf informationelle Selbstbestimmung überwiegen (z. B. zur medizinischen Behandlung bei akuter Lebensgefahr).

Kann die Person oder Institution jedoch kein berechtigtes Interesse im Sinne der DSGVO nachweisen, ist für jegliche Datenverarbeitung oder -nutzung eine ausdrückliche Einwilligung der betroffenen Person erforderlich. Unternehmen begegnen diesem Problem vor allem im Online-Bereich – speziell im Hinblick auf Cookie-Dienste und andere Marketing-Aktivitäten ihrer Internetseiten. 

Doch auch Betriebe aus Verarbeitung und Industrie oder Dienstleister sollten auf ihren Umgang mit personenbezogenen Daten und die Auswirkungen des Datenschutzrechts der EU achten: So ist beispielsweise auch Vorsicht geboten, wenn es um die Speicherung von Fotos der letzten Betriebsfeier oder die Nutzung persönlicher Gespräche über den Chat aus dem Homeoffice geht.

Einwilligung in die Datenverarbeitung: Was sollten Unternehmen beachten?

Lässt sich die Verarbeitung der Daten von Kunden oder Beschäftigten nicht im Rahmen der Ausnahmen im Art. 6 Abs. 1 DSGVO begründen, müssen Unternehmen eine ausdrückliche und schriftliche Einwilligung der betroffenen Person einholen. In diesem „Vertrag“ sind nicht nur alle Zwecke der Speicherung oder Verwendung der erhobenen Daten darzulegen – auch der mögliche Zugriff anderer Nutzer außerhalb des Unternehmens (z. B. Dienstleister) muss in der Einwilligungs-Erklärung unmissverständlich erläutert sein.

Um das Recht auf Privatsphäre der jeweiligen Person zu wahren, ist den Betroffenen außerdem ein Anspruch auf die folgenden Aktionen und Dienste einzuräumen:

• Widerruf der Einwilligung in die Datenverarbeitung
• Auskunft über die Art der gespeicherten Daten sowie deren Zweck und Herkunft
• Berichtigung falscher oder veränderlicher Informationen
• Löschung der bereits erhobenen personenbezogenen Daten
• Untersagung der Weitergabe von Informationen an Dritte

Daneben sollten Unternehmen auch besonderes Augenmerk auf das sogenannte Koppelungsverbot legen: Denn laut Art. 7 Abs. 4 DSGVO darf die Erfüllung eines Vertrages oder einer Dienstleistung nicht von der Einwilligung in die Verarbeitung personenbezogener Daten abhängig gemacht werden. Verweigern Betroffene ihre Zustimmung, sind negative Konsequenzen im Rahmen das Arbeits- oder Kundenverhältnisses rechtswidrig.

Was ist ein Datenschutzkonzept?

Das Datenschutzkonzept (DSK) ist eine Zusammenfassung, in der alle datenschutzrechtlichen Aspekte eines Unternehmens dokumentiert werden. Dazu gehören nicht nur die Grundlagen sowie die Ziele der Datenverarbeitung und -erhebung, sondern auch alle zugehörigen Dokumentationspflichten. Und auch die Benennung der verantwortlichen Stellen, wie zum Beispiel des Datenschutzbeauftragten ist Teil des Konzepts.

Obwohl die Pflicht zur Erstellung eines Datenschutzkonzepts für Unternehmen weder in der DSGVO noch im BDSG explizit formuliert ist, gehört das Dokument in den meisten Betrieben zum Standard. Denn ein solches Konzept erleichtert nicht nur den Nachweis der gesetzlichen Rechenschaftspflicht, sondern bildet auch die Grundlage für die Dokumentation der verschiedenen technischen und organisatorischen Maßnahmen zum Schutz der erhobenen Daten. Gleichsam ist das Datenschutzkonzept außerdem eine gute Möglichkeit, um Auftraggeber, Kunden und Mitarbeiter über ihre Rechte und Pflichten zu informieren.

Da der jeweilige Sinn und Nutzen personenbezogener Daten jedoch immer direkt von der Ausrichtung eines Unternehmens abhängen, können auch die Inhalte der Datenschutzkonzepte je nach Betrieb stark variieren. Allgemein sollten jedoch die folgenden Bereiche immer abgedeckt sein: 

• Absteckung des datenschutzrechtlichen Rahmens für das Unternehmen
• Definition der einzelnen Pflichten 
• Benennung der verantwortlichen Stellen (z. B. Datenschutzbeauftragter)
• Dokumentation bestehender und organisatorischer Maßnahmen

Verarbeitet ein Unternehmen besonders viele oder sensible personenbezogene Daten, zum Beispiel im Rahmen des Profilings zu Marketing-Zwecken, ist laut Art. 35 DSGVO außerdem eine sogenannte Datenschutz-Folgenabschätzung (DSFA) erforderlich. 

Diese wird von der verantwortlichen Person gemeinsam mit dem Datenschutzbeauftragten erstellt und soll einerseits den Nutzen und die Verhältnismäßigkeit der erhobenen Daten genauer erläutern – andererseits aber auch eventuelle Risiken für die Rechte der Betroffenen sowie mögliche Abwendungsmaßnahmen definieren. Die hier gewonnenen Erkenntnisse bilden dann die Grundlage für das Datenschutzkonzept des Unternehmens.

Fazit: Datenverarbeitung im Unternehmen – Nutzen und Risiken genau abwägen

Spätestens seit Einführung der DSGVO ist das Thema Datenschutz für jedes Unternehmen relevant. Das betrifft die Betreiber von Internetseiten genauso wie mittelständische Dienstleister oder Betriebe in der Verarbeitung und Industrie. Um Nutzen und Risiken der Datenverarbeitung und -erhebung dabei genau abzuwägen, müssen sich Unternehmer deshalb eingehend mit den entsprechenden Gesetzen und Vorschriften vertraut machen. 

Besonders kleinere Betriebe ohne eigene Rechtsabteilung sollten sich vor der Erstellung eines Datenschutzkonzepts am besten mit einem Anwalt für Datenschutzrecht in Verbindung setzen. Dieser ist nicht nur mit allen Rechtsgrundlagen vertraut, sondern kann auch bei der Abwägung des Nutzens einzelner Datensätze oder technischer Möglichkeiten bei der automatischen Datenverarbeitung unterstützen.