Privacy Top 20 Ratgeber

Datenschutz für Unternehmen: Wir beantworten Ihre Fragen

Die aktuelle Datenschutz-Grundverordnung zeigt, dass die Sicherheit personenbezogener Daten für die EU einen deutlich höheren Stellenwert einnimmt, als es noch vor einigen Jahren der Fall war. Für Sie als Unternehmen bedeutet dieser Umstand, dass Sie nun gesetzlich dazu verpflichtet sind, die neuen Regelungen und Vorgaben konform umzusetzen. Was Sie dabei beachten müssen, haben wir Ihnen bereits in unserer DSGVO-Checkliste für Unternehmen übersichtlich zusammengefasst. Dennoch herrscht bei vielen Teilen der Bevölkerung auch weiterhin große Unsicherheit. Noch immer gibt es offene Fragen in Sachen Datenschutz, deren Antworten für Unternehmen unklar sind. Wir haben uns der Sache angenommen und einige Punkte für Sie näher betrachtet.

“Übernimmt mein Datenschutzbeauftragter persönlich die Verantwortung für die Einhaltung der DSGVO in meinem Unternehmen?

Nein. Verantwortlich ist in erster Linie das Unternehmen, welches einen internen oder externen Datenschutzbeauftragten bestellt. Der Experte ist jedoch dafür zuständig, seinen Arbeit- bzw. Auftraggeber bestmöglich zu beraten und diesen dabei zu unterstützen, die DSGVO konform umzusetzen.

Anders sieht es jedoch bei der Haftung aus. Datenschutzbeauftragte in Firmen können von den Aufsichtsbehörden im vollen Umfang haftbar gemacht werden, wenn diese sich zu DSGVO-Abmahnungen gezwungen sehen. Unsere Empfehlung: Nutzen Sie auf unserer Plattform die Kategorie „externer Datenschutzbeauftragter im Vergleich“ und erhalten Sie einen fachlich kompetenten Experten für Ihr Unternehmen.

“Habe ich ein Recht darauf, von den Aufsichtsbehörden beraten zu werden?“

Nein. Im eigentlichen Sinne sind die Landesdatenschutzbehörden nicht dazu verpflichtet, eine DSGVO-Beratung für Unternehmen vorzunehmen. Es gibt jedoch eine Ausnahme: Stellen Sie im Rahmen einer Datenschutz-Folgenabschätzung fest, dass eine Verarbeitung personenbezogener Daten ein unverhältnismäßig hohes Risiko darstellt, müssen die Behörden Ihnen binnen acht Wochen eine Empfehlung ausstellen. Festgelegt wird dies in Art. 36 DSGVO.

“Muss ich personenbezogene Daten herausgeben, wenn eine öffentliche Stelle danach fragt?“

Der Datenschutz gilt auch am Arbeitsplatz für die Mitarbeiter Ihres Unternehmens. Prinzipiell dürfen öffentliche Stellen eine Datenerhebung vornehmen. Um die Rechte Ihrer Angestellten zu schützen, muss dafür jedoch ein gewichtiger Grund vorliegen. Eine Offenlegung dieser konkreten Umstände ist daher zwingend erforderlich. Sofern Sie unsicher sind, wie Sie vorgehen sollen, holen Sie den Rat Ihres Datenschutzbeauftragten ein. Weiterhin besteht für Sie die Möglichkeit, sich an die für Sie zuständige Aufsichtsbehörde für den nicht-öffentlichen Bereich zu wenden.

“Gilt die DSGVO auch, wenn ich öffentlich zugängliche Informationen aus dem Internet nutze, um die Daten meiner Datenbank zu aktualisieren?

Die Datenschutz-Grundverordnung gilt für alle persönlichen Daten, die Sie im Unternehmen sowohl sammeln als auch verarbeiten. Dieser Umstand schließt für die Allgemeinheit einsehbaren Informationen nicht aus. Dennoch gibt die Rechtslage diesbezüglich keine konkrete Hilfe zur Umsetzung der DSGVO. Art. 6 DSGVO besagt lediglich, dass eine Einwilligung der Betroffenen notwendig ist – gibt jedoch keine Hinweise darauf, wie das Vorgehen bei öffentlichen Daten ist.

“Was muss ich an die Aufsichtsbehörden melden?

Laut Art. 33 DSGVO unterliegen Sie der Meldepflicht, wenn Sie eine Verletzung des Schutzes personenbezogener Daten bemerken. Das kann sowohl ein Fall sein, der intern in Ihrem Unternehmen auftritt als auch ein Verstoß der Datenschutz-Grundverordnung eines anderen Unternehmens. Die Meldung muss asap erfolgen.

“Mit welchen Folgen muss ich bei einer Nicht-DSGVO-Umsetzung für mein Unternehmen rechnen?“

Die Aufsichtsbehörden sind dazu berechtigt, Ihnen Bußgelder in Höhe von 20 Mio. Euro oder von vier Prozent Ihres Jahresumsatzes aufzuerlegen. Daher raten wir Ihnen zwingend dazu, spätestens jetzt mit der Umsetzung zu beginnen. Ein Datenschutz-Software-Vergleich auf unserer Plattform oder ein Datenschutz-Kit für kleine Unternehmen können Ihnen dabei helfen.

“Muss ich die Räumlichkeiten extra absichern, in denen personenbezogene Daten verarbeitet werden?“

Die Antwort lautet Ja und Nein:

  • Ja: Sie sind dazu verpflichtet, sowohl technische als auch organisatorische Maßnahmen zu treffen, um den Datenschutz in Ihrem Unternehmen zu gewährleisten.
  • Nein: Diese Klausel bezieht sich in erster Linie auf Probleme wie Datenklau oder menschliches Versagen.

Dennoch empfehlen wir Ihnen, lieber Vorsicht als Nachsicht walten zu lassen. Im Rahmen eines DSGVO-Audits für Ihr Unternehmen sollten Sie Ihre Mitarbeiter zwingend darüber in Kenntnis setzen, dass diese Sicherheitsvorkehrungen treffen. Zum Beispiel sollten Ihre Angestellten den Bildschirm sperren, wenn sie das Büro verlassen. Es ist ebenfalls ratsam, Computer und Laptops mit einem Passwort zu versehen, um den Zugriff Unbefugter zu verhindern. Bereits durch diese kleinen Maßnahmen können Sie den Datenschutz in Ihrem Unternehmen adäquat umsetzen.

“Gilt die DSGVO auch für Daten, die ich vor dem 25. Mai 2018 erhoben habe?“

Ja. Es wurde aber beschlossen, dass beispielsweise bereits getätigte Einwilligungen zur Datenverarbeitung auch weiterhin gültig sind. Ausgeschlossen von der Regelung sind zudem Vorgänge, die bis zum 25. Mai abgeschlossen wurden. Alle Erhebungen darüber hinaus müssen jedoch mit den Betroffenen erneut abgesprochen werden, um deren Datenschutz-Rechte in Ihrem Unternehmen zu wahren.

“Wenn ich einen neuen Mitarbeiter einstelle, benötige ich von diesem Informationen. Handelt es sich hierbei um personenbezogene Daten?“

Selbstverständlich. Bei einer Anstellung erhalten Sie generell personenbezogene Daten wie Geburtsjahr, Konfession, Bankverbindungen etc., die zwangsläufig in Ihrem Unternehmen verarbeitet werden. Diese Informationen müssen Sie schützen, um die Betroffenenrechte zu wahren.

“Ich vertreibe in meinem Online-Shop individuell gestaltete Produkte. Diese können u.a. Namen und Adressen enthalten. Benötige ich dafür eine Einwilligung?“

Nein, eine separate Einwilligung ist in diesem Fall nicht notwendig. Wenn ein Kunde bei Ihnen Waren wie Stempel, Visitenkarten oder mit einem Namen verzierte Flaschen bestellt, dann gibt er Ihnen bereits durch den Auftrag die Einwilligung. Die Datenschutz-Grundverordnung wird seitens Ihres Unternehmens nicht verletzt. Unter den Schutz personenbezogener Daten fallen lediglich die Vertragsinformationen.