Autor: Deniz Sarpen

Erfahren Sie wer in Ihrem Unternehmen als Datenschutzbeauftragter fungiert. Dieser kann sowohl intern, als auch extern bestellt sein. In kleinen Betrieben muss zwar kein offizieller Beauftragter für den Datenschutz ernannt werden, es sollte aber eine Ansprechperson für Fragen zu diesem Thema geben.

Ihr Datenschutzbeauftragter ist ihr zuverlässiger Ratgeber bei allen Belangen des Datenschutzes.

Zudem schult er ihre Mitarbeiter in Sachen Datenschutz und überwacht die Einhaltung der gesetzlichen Bestimmungen, sowie die Zusammenarbeit mit der Aufsichtsbehörde.

Zur Prüfung

Selbst wenn alle vorgeschriebenen Maßnahmen getroffen werden, kann es in der Arbeitstätigkeit zu Fehlern und anderen Ereignissen kommen, in denen Daten von Personen betroffen sind. Sollte ein solcher Vorfall festgestellt werden, ist es wichtig, Diesen unmittelbar an interne Stellen weiterzuleiten – Beispielsweise an den Datenschutzbeauftragten, einen Vorgesetzten oder die Geschäftsführung. Dies ist wichtig, da ein Datenschutzvorfall unter Umständen innerhalb von 72 Stunden an eine Aufsichtsbehörde gemeldet werden muss.

Einige Beispiele für einen Datenschutzvorfall wären:

• Das Verlieren eines Notebooks, auf dem Kundenadressen gespeichert sind
• Das Vertauschen der Ergebnisse von Patienten
• Ein Server, auf dem sich auch Nutzungsdaten von Webseitenbesuchern befinden, ist aufgrund eines Stromausfalls nicht erreichbar
• Die Empfänger einer Rund-Mail wurden in das CC statt BCC-Feld getragen

Jede natürliche Person, neben Kunden selbstverständlich auch Mitarbeiter, können ihre gesetzlich vorgeschriebenen Datenschutzrechte (man bezeichnet sie als Betroffenenrechte) gegenüber Unternehmen/Arbeitgebern nutzen.

Wichtige Datenschutzrechte

• Recht auf Transparenz: Jede betroffene Person ist vor der Datenerhebung zu informieren, wie das Unternehmen Daten verarbeitet.
• Recht auf Auskunft: Das Unternehmen muss Auskunft darüber geben, welche Daten einer Person gespeichert wurden.
• Recht auf Berichtigung: Fehlerhafte Daten müssen korrigiert werden.
• Recht auf Löschung: Jeder Betroffene kann vom Unternehmen fordern, bestimmte Daten zu löschen.
• Recht auf Einschränkung der Verarbeitung
• Mitteilungspflicht
• Recht auf Datenübertragbarkeit
• Recht auf Widerspruch
• Recht auf Widerruf einer Einwilligung
• Recht auf Beschwerde bei einer Aufsichtsbehörde

Umgang mit Datenschutzanfragen

Bei einem Anruf von Herrn Müller, der Einsicht in seine Daten begehrt, dürfen keine Daten am Telefon weitergegeben werden. Diese Anfrage muss zuerst aufgenommen und an den Datenschutzbeauftragten, einen Vorgesetzten oder einen Mitarbeiter der Geschäftsführung weitergeleitet werden. Anschließend wird geprüft, ob die Identität des Anrufers stimmt, und eine Antwort formuliert.

Die hier vorgestellten Tipps zielen darauf ab, Datenschutz-Vorfälle zu verhindern. Die Maßnahmen sind zwar keine rechtliche Pflicht, aber unbedingt empfehlenswert.

Passwort

Beim Umgang mit Passwörtern sollten Sie sichere Passwörter inklusive Sonderzeichen verwenden, die möglichst lang sind und für jedes Konto separat wählen. Schreiben Sie die Passwörter nicht auf, sondern nutzen Sie einen Passwort-Manager.

Computer

Sichern Sie Ihren Computer mit einem geschützten Passwort und lassen Sie ihn bei Verlassen des Arbeitsplatzes sperren. Zudem sollten Sie dafür sorgen, dass Ihr Monitor nicht von anderen Personen eingesehen werden kann. Achten Sie auf eine aktuelle Software (Patch-Management) und installieren Sie eine Firewall und einen Virenschutz. Führen Sie in regelmäßigen Abständen effektive Back-ups durch.

Emails

Versenden Sie wichtige E-Mails nicht unverschlüsselt und achten Sie darauf, dass der korrekte Empfänger angegeben ist. Für mehrere Empfänger sollten Sie das BCC-Feld statt dem CC-Feld verwenden. Nutzen Sie Spamfilter und Virenscanner für angehängte Dateien und seien Sie stets skeptisch gegenüber eingehenden E-Mails. Klicken Sie nur auf enthaltene Links, wenn Ihnen der Absender bekannt ist und Aufforderungen zur Angabe sensibler Daten sind in der Regel Betrug. Vergessen Sie nicht, Ihre E-Mails zu archivieren.

Büro

Wenn Sie Ihr Büro verlassen, schließen Sie es immer ab und vernichten Sie Papiermüll. Nutzen Sie abschließbare Schränke, die nicht für den Publikumsverkehr zugänglich sind, um wichtige Unterlagen zu schützen. Halten Sie sich an eine Clean-Desk-Policy und stellen Sie auch in Ihrem Home Office die erforderlichen Sicherheitsmaßnahmen sicher.

Telefon

Geben Sie keine Informationen an unbekannte Anrufer weiter. Verlangen Sie stattdessen, dass sie ihr Anliegen auf schriftlichem Weg (zum Beispiel per E-Mail oder Post) mitteilen. Überprüfen Sie den Anrufer, indem Sie nach seinem Geburtsdatum und/oder seiner Adresse fragen, um zu überprüfen, ob es sich bei ihm um einen privaten oder geschäftlichen Anrufer handelt.

Privates & Berufliches trennen

Verwenden Sie Firmengeräte (wie Smartphones oder Notebooks) nur für berufliche Zwecke. Alternativ können Sie Container-Lösungen nutzen, um private und betriebliche Daten auf einem Gerät zu trennen.

Markteting

Stellen Sie sicher, dass Sie bei Kontakten, die sich auf einer Mailingliste befinden, eine Einwilligung haben. Sammeln Sie bei Online-Formularen nur die Daten, die wirklich notwendig sind. Geben Sie Ihren Kunden die Möglichkeit, den Marketingmaßnahmen zu widersprechen oder ihre Einwilligung zu widerrufen.

In diesem Kapitel möchten wir Ihnen die theoretischen Grundlagen näherbringen, die bei der Verarbeitung persönlicher Daten von Personen berücksichtigt werden sollten.

Rechtmäßigkeit

Damit eine Verarbeitung von Daten rechtmäßig ist, muss eine rechtliche Grundlage vorliegen. Man kann davon ausgehen, dass die Verarbeitung von Daten erlaubt ist, wenn die betroffene Person einer solchen zugestimmt hat oder wenn diese für die Erfüllung eines Vertrags notwendig ist. Bei Zweifel kann man den Datenschutzbeauftragten befragen.

Transparenz

Die betroffene Person muss stets in der Lage sein, nachvollziehen zu können, wie ein Unternehmen die persönlichen Daten verarbeitet. Unternehmen erfüllen regelmäßig diese Informationspflicht durch eine verständliche Datenschutzerklärung.

Zweckbindung

Es ist nicht gestattet, Daten auf gut Glück zu verarbeiten. Jede Verarbeitung von Daten muss einem klaren und spezifischen Zweck dienlich sein.

Minimierung von Daten

Verarbeiten Sie nur diejenigen Daten, die für den Zweck wichtig sind. Warum sollten Sie einem Kunden nach seinem Geburtsort fragen, wenn Sie ihm nur ein Paket liefern möchten?

Richtigkeit

Achten Sie stets darauf, dass die Daten korrekt sind und aktuell gehalten werden. Das ist nicht nur eine Frage des Datenschutzes, sondern vielmehr eine Frage des gesunden Menschenverstandes.

Speicherbegrenzung

Personenbezogene Daten dürfen nicht unbeschränkt gespeichert werden, sondern müssen – wenn sie nicht mehr benötigt werden – gelöscht werden. Hierbei ist auf die gesetzlich festgelegten Aufbewahrungspflichten zu achten.

Vertraulichkeit

Werden Ihnen personenbezogene Daten anvertraut, müssen Sie diese sorgsam behandeln. Verwahren Sie die Informationen wie Ihr größtes Geheimnis! Wo es notwendig ist, sollten personenbezogene Daten innerhalb eines Unternehmens nur einem kleinen Kreis autorisierter Mitarbeiter zugänglich gemacht werden.

Zugriffsschutz

Personenbezogene Daten müssen so gespeichert werden, dass nur berechtigte Personen Zugriff darauf erhalten. Die Zugangsberechtigung zu personenbezogenen Daten sollten nur für den Zeitraum vergeben werden, in dem der Zweck der Verarbeitung erfüllt ist.

Sicherheit

Der Umgang mit personenbezogenen Daten muss unter Einhaltung organisatorischer und technischer Sicherheitsmaßnahmen erfolgen, um die Daten vor missbräuchlicher Verwendung, Zerstörung oder Manipulation zu schützen.

Es ist wichtig, an den Datenschutz zu denken, wenn personenbezogene Daten bearbeitet werden. Der Begriff „Verarbeitung“ ist hierbei von zentraler Bedeutung. Er umfasst jeden Vorgang, der mit personenbezogenen Daten in Verbindung steht – Egal ob automatisiert oder nicht.

Dies kann zum Beispiel das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten von Daten sein.

Damit soll verdeutlicht werden, dass der Begriff „Verarbeitung“ weitreichend ist, weshalb der Datenschutz in vielen Unternehmensprozesse einfließen muss.

Die DSGVO und das BDSG schützen nicht alle Informationen, sondern nur solche, die eine Person identifizieren können – direkt oder indirekt.

Beispiele für personenbezogene Daten sind Name, Alter, Familienstand, Geburtsdatum, Beruf, Bankverbindung, Kreditkartennummer, Sozialversicherungsnummer, Telefonnummer, KfZ-Kennzeichen, IP-Adresse, Prüfungsantworten, Fotos, Videos und Tonaufzeichnungen.

Einige dieser Daten sind besonders sensibel, da sie verletzlich machen, beispielsweise Gesundheitsdaten wie Blutwerte, rassische/ethnische Hintergründe, religiöse Ansichten etc.

Keine personenbezogenen Daten sind Daten, die durch Anonymisierung unkenntlich gemacht wurden. Dazu zählen auch Daten von noch nicht geborenen Personen oder Daten juristischer Personen wie etwa die Handelsregisternummer oder Firmenadresse. In der Regel handelt es sich hierbei um Maschinendaten oder Werkstoffeigenschaften.

In diesem Kapitel möchte ich Sie nicht mit Paragrafen oder anderen Details langweilen, sondern Ihnen nur die grundlegenden Datenschutzgesetze vermitteln, die in Deutschland gelten:

• Die europäische Datenschutz-Grundverordnung (EU-DSGVO) auf europäischer Ebene
• Und das Bundesdatenschutzgesetz (BDSG) auf nationaler/deutscher Ebene.

Missverständnis Nr. 1: Erst seit dem 25. Mai 2018 gibt es den Datenschutz. Tatsächlich gab es auch vor dem 25. Mai 2018 ein Bundesdatenschutzgesetz, welches sich nur leicht von der DSGVO unterschied. Der 25. Mai 2018 wurde in den Medien als Beginn des Datenschutzes bloß besonders hervorgehoben.

Missverständnis Nr. 2: Der Datenschutz betrifft nur Privatpersonen. Die Datenschutzgesetze haben nichts mit dem privaten Austausch von Nachrichten und Fotos über WhatsApp zu tun. Hierfür werden Sie nicht durch die Datenschutzgesetze verantwortlich gemacht.

Bei unternehmerischen Aktivitäten, sei es für das eigene Unternehmen oder wenn Sie als als Arbeitnehmer für einen Arbeitgeber arbeiten, ist es wichtig, die Grundsätze des Datenschutzes zu beachten und einzuhalten.