Datenschutz in Unternehmen
Datenschutz ist ein Thema, dass in der Regel jeden Menschen interessiert und beschäftigt. Doch was ist Datenschutz genau und was bedeutet er in einem Unternehmen? Der Datenschutz wird in einigen Unternehmen noch immer nicht als wichtiges Thema behandelt und die Bedeutung im Detail ist nicht klar definiert. In einigen Fällen liegt es daran, dass das Thema Datenschutz im Unternehmen einen weniger beliebten oder eher lästigen Themenbereich darstellt.
Durch die DSGVO besteht für jedes Unternehmen egal welcher Größe die Pflicht, Richtlinien und Prozesse zu integrieren, um den Datenschutz zu gewährleisten. Dies gilt für alle Personen, die mit dem Unternehmen in Verbindung stehen.
Was ist Datenschutz?
Der Begriff „Datenschutz“ bedeutet, dass personenbezogene Daten und Informationen, die zu legitimen Zwecken rechtmäßig verarbeitet werden, besonderen Schutz benötigen. Zudem muss die Verarbeitung für betroffene Personen transparent und sachlich richtig durchgeführt werden. Es muss außerdem garantiert werden, dass die verwendete Technik auf dem neuesten Stand und sicher ist.
Der Datenschutz von natürlichen Personen stellt nach den geltenden Gesetzen der Europäischen Union und dem Vertrag über die Arbeitsweise der Europäischen Union ein Grundrecht dar.
Der Datenschutz in Deutschland
In Deutschland gelten im Bereich Datenschutz das revidierte BDSG und die DSGVO. Durch Artikel 4 DSGVO gilt als Verantwortlicher für personenbezogene Daten eine juristische oder natürliche Person, die Entscheidungsgewalt über die Verwaltung von personenbezogenen Daten aufweist. Diese Verantwortlichen haben dafür Sorge zu tragen, dass bei der Verwaltung der Daten alle Verordnungen und Vorschriften eingehalten werden.
⚠️ Für natürliche Personen, die ihre eigenen Daten oder die Daten von Familienmitgliedern persönlich verarbeiten, gilt die DSGVO nicht!
Eine Neueinführung in der DSGVO ist Artikel 17, „das Recht auf Vergessenwerden und auf Löschung“ und Artikel 18 „das Recht auf Einschränkung der Verarbeitung“.
Im Artikel 83 wird die Höhe eines Bußgeldes bei Verstößen geregelt. In diesem Artikel werden Strafen bis zu circa 20.000,-€ und Unternehmensstrafen bis zu 4 % des jährlichen, weltweiten Umsatzes des Vorjahres angedroht.
Das Datenschutzkonzept
In jedem Unternehmen unterliegt das Datenschutzkonzept der Leitung des Unternehmens. Da bedeutet, dass die Unternehmensleitung verantwortlich für die Einhaltung der Datenschutzmaßnahmen ist.
Bei der Festlegung sind folgende Faktoren zu beachten:
- die getroffenen Sicherheitsmaßnahmen müssen auf dem neuesten Stand der Technik sein
- eine detaillierte Regelung für den Umgang mit den firmeneigenen Geräten oder eigenen Geräten muss erstellt werden
- es müssen Anweisungen für sichere Passwörter gegeben werden
- die Verpflichtung zur Geheimhaltung durch Mitarbeitende
- bei der Bearbeitung von sensiblen Daten oder Unternehmensgeheimnissen müssen Computer gegen unbefugte Zugriffe geschützt werden
- der Zugriff auf Daten muss geregelt werden um ein eventuell erforderliches Ändern oder Löschen der Daten garantieren zu können
- die Überprüfung, ob ein nach Artikel 37 DSGVO benötigter Datenschutzbeauftragter notwendig ist
- eine Regelung nach Artikel 35 über die Datenschutz-Folgeabschätzungen
⚠️Daten, die der Geheimhaltung unterliegen gehören auf keinen Fall ins Internet!
Unterschied Datenschutz und Datensicherheit
Im Alltag werden die Begriffe „Datenschutz“ und „Datensicherheit“ als Synonym und daher häufig falsch verwendet. Es besteht zwar keine eindeutige und klare Definition der Begriffe, dennoch unterscheiden sie sich voneinander.
Im Arbeitsalltag kommt es dazu, dass man mit beiden Begriffen öfter konfrontiert wird. Ein Unternehmen ist dazu verpflichtet, Prozesse und Maßnahmen zu etablieren, um die Voraussetzungen und Ziele der Datensicherheit und des Datenschutzes garantieren zu können.
Bisher ist jedoch für viele Unternehmen nicht klar, dass sich die Vorgänge und Ziele der beiden Begriffe enorm unterscheiden. Es bestehen zwar einige Gemeinsamkeiten zwischen der Datensicherheit und dem Datenschutz, aber auch große Unterschiede, die zu beachten sind.
Einige Unternehmen sind der Auffassung, dass ohne Datensicherheit kein Datenschutz gewährleistet werden kann. In einigen Bereichen ist diese Annahme durchaus richtig, es bestehen jedoch auch Maßnahmen der Datensicherheit, die sich negativ auf den Datenschutz auswirken.
Dadurch, dass es keine eindeutige Definition der beiden Begriffe gibt, können sie in heutiger Zeit unterschiedlich interpretiert und ausgelegt werden. Daher ist es enorm wichtig, die Unterschiede der Begriffe und die Gemeinsamkeiten zu kennen. Durch das Wissen können die entscheidenden Prozesse in einem Unternehmen vernünftig integriert werden.
Datensicherheit vs. Datenschutz
Um die beiden Begriffe unterscheiden zu können, muss man in erster Linie die Bedeutung der Begriffe verstehen. Diese haben wir im Folgenden einmal genauer unter die Lupe genommen.
Die Datensicherheit
Bei der Datensicherheit liegt das Augenmerk auf dem Schutz aller Daten. Das bedeutet, dass nicht nur die personenbezogenen Daten geschützt werden, sondern alle Daten die das Unternehmen betreffen. Somit geht es bei der Datensicherheit nicht um die Frage, ob Daten verarbeitet oder erhoben werden, sondern um die zu ergreifenden Maßnahmen, diese Daten zu schützen. Ein Unternehmen muss somit effektive Maßnahmen ergreifen, um die Datensicherheit gewährleisten zu können.
Der Datenschutz
Der Datenschutz hingegen steht für den Schutz von personenbezogenen Daten. Hier wird der Schwerpunkt jedoch nicht auf den Inhalt dieser Daten gelegt, sondern auf das Recht der informationellen Selbstbestimmung. Das bedeutet, dass von personenbezogenen Daten immer dann gesprochen wird, wenn durch diese Daten ein direkter Bezug auf eine Person hergestellt werden kann.
Diese Daten sind in der Regel Anschriften, Namen oder Telefonnummern. Es zählen jedoch auch der Standort, eine Sozialversicherungsnummer oder das Kennzeichen zu diesen Daten. Eine Spezifizierung und Verschärfung der gesetzlichen Anforderungen wurde durch die im Jahr 2018 eingeführte DSGVO geschaffen. Der Datenschutz enthält rechtliche Fragen, welche Voraussetzungen vorhanden sein müssen, um personenbezogene Daten erheben, nutzen und verarbeiten zu dürfen.
Die Datensicherheit und der Datenschutz gehen hier ersichtlich Hand in Hand. Damit der Datenschutz im Unternehmen gewährleistet werden kann, sind Datensicherheitsmaßnahmen unersetzlich. Nimmt man es ganz genau, kann ohne Datensicherheit kein Datenschutz und umgekehrt erfolgen!
Wann kann sich Datensicherheit negativ auf den Datenschutz auswirken?
Um eine Datensicherheit gewährleisten zu können, erfolgt in vielen Fällen eine Sicherung der Daten als Backup. Dieses Backup wird sehr oft über eine Cloud durchgeführt. Kommt es zum Verlust der Daten auf einer Festplatte, kann man mit diesem Backup aus der Cloud die Daten wiederherstellen.
Eine Speicherung der Daten in einer Cloud kann jedoch fatale Folgen haben. Eine Cloud benötigt eine Rechtsgrundlage zur Übermittlung der Daten und/oder die Einwilligung der betroffenen Personen. Zudem ist es notwendig, einen Auftragsdatenverarbeitungsvertrag mit einem IT-Mitarbeiter oder einer IT-Mitarbeiterin abzuschließen. Durch diese Vorgehensweise ist es möglich, dass durch Maßnahmen zur Datensicherheit Probleme auftreten, wodurch wiederum Probleme im Datenschutz ausgelöst werden können. Eine strukturierte Organisation der Maßnahmen und funktionierende Systeme sind für beide, Datensicherheit und Datenschutz, unerlässlich.
Gemeinsamkeiten von Datensicherheit und Datenschutz
Zwischen Datenschutz und Datensicherheit gibt es nicht nur Unterschiede, sondern auch Gemeinsamkeiten.
Die Gemeinsamkeiten der beiden Begriffe im Überblick:
- es müssen Maßnahmen getroffen werden, um den Schutz zu gewährleisten
- mit Daten muss vertraulich umgegangen werden
- das Unternehmen muss Regelungen treffen, um beides gewährleisten zu können
Der Datenschutz im Unternehmen - was oder wer wird geschützt?
Es kommt immer wieder vor, dass die Frage: „Was ist Datenschutz und was wird geschützt?“ gestellt wird. Das Bundesdatenschutzgesetz betrifft die Kategorie Datenschutz personenbezogene Daten. Das betrifft alle Daten, die über eine Person existieren. Dabei ist es vollkommen irrelevant, wie wichtig oder unwichtig diese Daten erscheinen.
Der Datenschutz für personenbezogene Daten muss immer vorhanden sein, wenn sachliche oder persönliche Daten von natürlichen Personen preisgegeben werden. Hierzu ist es nicht notwendig, dass der Name einer Person genannt wird. Es ist ausreichend, wenn die Person zum Beispiel mittels einer E-Mail-Adresse oder der Telefonnummer bestimmt werden kann.
Die Informationen über juristische Personen sind in dieser Rechtsprechung hingegen nicht eingeschlossen, sofern diese nicht auf natürliche Personen bezogen werden können. So unterliegen zum Beispiel die Kontaktdaten eines Unternehmens – eingeschlossen einer nicht personalisierten Telefonnummer – nicht dem BDSG-Schutz. Hier gilt es jedoch zu beachten, dass eine E-Mail-Adresse, sobald diese in Verbindung mit einzelnen Mitarbeitenden steht, dem BDSG zugeordnet wird.
Mögliche Maßnahmen für den Datenschutz im Unternehmen
Werden in einem Unternehmen personenbezogene Daten erhoben und verarbeitet, müssen laut DSGVO geeignete organisatorische und technische Maßnahmen umgesetzt werden, um ein Risiko des Datenverlustes im Datenschutz auszuschließen.
Alle technischen Maßnahmen beziehen sich hier auf den Verarbeitungsvorgang der Daten. Zu diesen zählen auch physische Maßnahmen wie zum Beispiel eine Alarmanlage und einiges mehr. Die organisatorischen Maßnahmen hingegen beziehen sich auf die Bedingungen zur Datenverarbeitung. Hierbei müssen Richtlinien, Handlungsweisen und Guthaben gesetzt werden, damit Mitarbeitende den Datenschutz einhalten können.
Die DSGVO nennt keine konkreten Maßnahmen oder Anweisungen für Handlungen, sondern beschreibt lediglich die entsprechenden Ziele. Dadurch unterliegt das Ermessen, welche oder wie viele Maßnahmen im organisatorischen oder technischen Bereich getroffen werden dem Unternehmen selbst.
Entscheidend für die getroffenen Maßnahmen ist das Risiko der Datenverarbeitung und die dadurch betroffenen Personen. Es ist für die DSGVO ausschlaggebend, dass die Daten besonders gut geschützt werden. Es ist daher notwendig, bei einem höheren Risiko mehr Aufwand in die Datensicherung und den Datenschutz zu stecken.
Die ausführliche Dokumentation der getroffenen Datenschutzmaßnahmen wird in folgenden Punkten zukünftig erwartet:
- Verschlüsselung
- Integrität
- Pseudonymisierung
- Verfügbarkeit
- Vertraulichkeit
- Wiederherstellung von Daten
- Überprüfung, Bewertung und Evaluierung
- Belastbarkeit der Systeme
- Unterweisung unterstellter Mitarbeiter:innen
Bei den organisatorischen und technischen Maßnahmen handelt es sich um spezielle von der DSGVO festgelegte Maßnahmen, die zur Erhebung und Verarbeitung von personenbezogenen Daten eingesetzt werden sollten. Zu diesen Maßnahmen zählen die Pseudonymisierung, Verfügbarkeit und Verschlüsselung der personenbezogenen Daten.
Als wichtig gilt für Unternehmen zudem im Datenschutz, dass Arbeitgebende die Mitarbeitenden im Umgang mit personenbezogenen Daten ausreichend schulen müssen. Die Schulungen im Bereich Datenschutz im Unternehmen sollten außerdem einer regelmäßigen Auffrischung unterliegen.