Grundlagen und Einführung in den Datenschutz für Unternehmen und Organisationen

Was bedeutet Datenschutz eigentlich?

Die Vorgaben vom Datenschutz, also die Vorgaben wie und in welchem Rahmen personenbezogene Daten verarbeitet werden dürfen, sind festgelegt in der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG). Darin ist festgelegt, was personenbezogene Daten sind, was eine Verarbeitung dieser ist und in welchem Rahmen diese erfolgen darf.

Wer sich nicht an die Vorgaben im Datenschutz hält, riskiert Verstöße und Bußgelder. Grund genug für uns noch einmal eine kleine Einführung in den Datenschutz vorzunehmen,

Was ist Datenschutz?

Wenn Unternehmen oder Organisationen Daten verarbeiten, die Personen zugeordnet werden können, also Rückschlüsse auf natürliche Personen zulassen, dann müssen sie den Datenschutz einhalten. Dabei müssen sie bestimmte Vorgaben umsetzen und einhalten.

Dabei geht es um Daten, die natürlichen Personen zugeordnet werden können – juristische Personen, Vereine oder Organisationen sind dabei nicht geschützt. Der Datenschutz für Betroffene ist ein Grundrechtsschutz.

BLOG-TIPP: DEN DATENSCHUTZ EINHALTEN AUSSERHALB DES ARBEITSPLATZES

Was sind personenbezogene Daten?

Daten, die sich auf identifizierte oder identifizierbare Personen beziehen sind personenbezogene Daten im Sinne des Datenschutzes. Dazu gehören Daten wie Namen, Adressen, Telefonnummern, Geburtsdatum, E-Mail- und IP-Adressen.

Identifiziert ist eine Person dann, wenn aus den vorliegenden Daten die Identität ersichtlich ist (z. B. beim Namen), identifizierbar ist eine Person dann, wenn sich die Identität aus der Kombination von Daten ergibt.

Darüber hinaus gibt es noch personenbezogene Daten der besonderen Kategorien. Dazu gehören Angaben zur Gesundheit, politische Gesinnung, Religion usw. Hier gelten strengere Regeln bei der Verarbeitung.

Pflichten im Datenschutz für Unternehmen und Organisationen

Um den Datenschutz im Unternehmen oder der Organisation umzusetzen, sind alle diejenigen zur Umsetzung der Vorgaben verpflichtet, die personenbezogene Daten verarbeiten. Es gibt einen Verantwortlichen im Unternehmen, der die Vorgaben umsetzen bzw. die Umsetzung sicherstellen muss – aber die Umsetzung erfolgt im gesamten Unternehmen.

Mitarbeiter schützen zum Beispiel die personenbezogenen Daten vor unbefugtem Zugriff, aber die Rahmenbedingungen müssen durch Vorgesetzte und Geschäftsführer geschaffen und somit der Datenschutz sichergestellt werden.

Um den Datenschutz sicher umzusetzen, ist es empfehlenswert einen Datenschutzbeauftragten als Berater im Datenschutz hinzuzuziehen.

Personenbezogene Daten verarbeiten

Personenbezogene Daten dürfen nur für einen festgelegten Zweck, also zu einer Aufgabenerfüllung verarbeitet werden und müssen vertraulich behandelt werden – auch außerhalb des Arbeitsverhältnisses.

Im Datenschutzrecht ist die Verarbeitung von personenbezogenen Daten eigentlich verboten. Für die Verarbeitung kann eine Ausnahme vorliegen, wenn eine Grundlage für die Datenverarbeitung vorliegt. Das nennt man „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, wenn es einen Zweck, eine Einwilligung oder eine gesetzliche Vorgabe für die Verarbeitung von personenbezogenen Daten gibt, dann dürfen diese verarbeitet werden, sonst nicht.

BLOG-TIPP: RECHTSGRUNDLAGEN ZUR VERARBEITUNG VON PERSONENBEZOGENEN DATEN

Keine Weitergabe von Daten an Unbefugte

Um den Datenschutz einzuhalten und Betroffene zu schützen, sollten Daten niemals an Unbefugte weitergegeben werden. Ein sicherer Umgang und eine Verschwiegenheit mit personenbezogenen Daten ist dabei eine Grundlage.

Um den Datenschutz im Unternehmen umzusetzen, sollten entsprechende Vorgaben und Weisungen an Mitarbeiter erstellt und weitergegeben werden. Auch der Umgang mit analogen Daten gehört dazu. Die Clean-Desk-Mentalität kann zum Beispiel ein Baustein dabei sein. Personenbezogene Daten sollten nicht einsehbar auf dem Schreibtisch liegen bleiben, wenn Unbefugte das Büro betreten.

Die Weitergabe von Daten am Telefon ist immer kritisch zu prüfen und auch Bildschirmsperren, wenn man den Arbeitsplatz verlässt, sollten eine grundlegende Handlung sein. E-Mail-Verschlüsselungen und Virenschutz sind ebenfalls wichtige Grundlagen dazu.

Maßnahmen am Arbeitsplatz

Um den Datenschutz sicher umzusetzen, können schon am Arbeitsplatz wichtige Maßnahmen getroffen werden. Dazu gehören z.B.:

• Benutzernamen und Passwörter sicher gestalten und geheim halten
• Einsicht Unbefugter verhindern
• Arbeitsplätze aufräumen und abschließen
• die Vertraulichkeit bei mobilen Geräten sicherstellen
• bei Verlust von personenbezogenen Daten, dies sofort melden
• Sperren von Bildschirmen und Geräten
• sichere Aufbewahrung von Daten und Datenträgern
• sichere Vernichtung von personenbezogenen Daten
• Vorgaben in IT-Sicherheit und Datenschutz beachten

Betroffenenrechte umsetzen

Betroffene im Sinne des Datenschutzes sind jene Personen, deren personenbezogene Daten verarbeitet werden. Diese haben Rechte im Sinne des Datenschutzes. Betroffene haben das Recht auf Transparenz. Das bedeutet, bei der Verarbeitung von personenbezogenen Daten muss der Betroffene über diese Verarbeitung informiert werden.

Wenn Datenanforderungen durch Dritte erfolgen, muss der Betroffene ebenfalls informiert werden. Eine Unternehmenspflicht im Datenschutz ist darüber hinaus, dass es den Betroffenen über die personenbezogenen Daten informiert, die gespeichert werden, woher diese kommen und wer diese verarbeitet.

Wie sollten Mitarbeiter bei einer Betroffenenanfrage reagieren?

Wenn ein Betroffener von deinem Auskunftsrecht gebrauch macht, dann sollten die Mitarbeiter diese Anfrage, ohne Herausgabe von Daten, aufnehmen und diese unverzüglich zur Einhaltung von Fristen an die entsprechenden Stellen weitergeben.

Betroffenenrechte im Datenschutz

Neben dem Recht auf Information und Auskunft hat der Betroffene weitere Rechte im Datenschutz, dazu gehören Recht auf:

• Widerspruch
• Berichtigung der personenbezogenen Daten
• Löschung der personenbezogenen Daten
• „Vergessenwerden“
• Verarbeitungseinschränkung der personenbezogenen Daten
• Datenübertragung

BLOG-TIPP: DIE BETROFFENENRECHTE NACH DS-GVO UND BDSG

Richtig reagieren bei Datenpannen

Eine Datenpanne kann neben der Weitergabe oder der Offenlegung von Daten an Unbefugte auch die Vernichtung, der Verlust oder die Veränderung der personenbezogenen Daten sein. Solche Datenschutzverletzungen müssen Mitarbeiter immer unverzüglich an die entsprechend zuständigen Ansprechpartner melden. Auch hier gibt es klare Vorgaben, wie schnell eine solche Datenpanne zum Beispiel vom Verantwortlichen an die Aufsichtsbehörde gemeldet werden muss – daher ist unverzügliches Handeln hier sehr wichtig.

Datenschutz sicher umsetzen

Die Umsetzung des Datenschutzes ist sehr komplex und sollte zum Schutz von Betroffenen sicher umgesetzt werden. Betroffene sind in diesem Fall Kunden, Interessenten, Mitarbeiter, Lieferanten und viele weitere.

Der Datenschutz sollte nicht nur zur Verhinderung von Bußgeldern und Strafen umgesetzt werden, sondern auch, um die Betroffenen zu schützen.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.