Die Industrie 4.0 und die damit einhergehende Digitalisierung bringen Unternehmen viele Vorteile. Einer der größten davon ist die unkompliziertere und schnellere Erfassung sowie Speicherung von Kundinnen- und Kundendaten. Kaufprozesse können damit viel leichter abgewickelt, Interessenten bei auftretenden Problemen schneller kontaktiert oder die Zielgruppe sogar via Tracking ihrer soziodemographischen Merkmale wirksam für die eigenen Produkte und Dienstleistungen begeistert werden. Doch gerade bei letzterer Verwendung der Daten gibt es einige Richtlinien, die Unternehmen unbedingt einhalten sollten. Nicht nur, um Konflikte mit dem Gesetz zu vermeiden, sondern auch um das eigene Image nicht durch Datenmissbrauch nachhaltig zu zerstören. Wir zeigen, auf was Sie achten müssen.
Die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) sind die wichtigsten Richtlinien
Der sensible Umgang mit Daten ist in Deutschland durch viele Gesetze klar geregelt. Zu den betrieblich relevanten gehören allen voran die Datenschutzgrundverordnung (kurz: DSGVO) und das Bundesdatenschutzgesetz (kurz: BDSG). In ihnen sind alle zu beachtenden und einzuhaltenden Richtlinien für den Umgang mit personenbezogenen Daten nachzulesen. Zu diesen beiden Rechtsquellen gesellt sich noch je nach Bundesland, in dem sich Ihr Unternehmen befindet, das entsprechende Landesdatenschutzgesetz. Das Datenschutzgesetz von Nordrhein-Westfalen komprimiert die in der DSGVO festgesetzten Richtlinien zum Beispiel für die Region Südwestfalen. Es zieht “die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen ungeachtet ihrer Rechtsform (öffentliche Stellen)” in die Verantwortung.
Was sich für Unternehmensinhaberinnen und -inhaber häufig wie ein Wirrwarr an Gesetzen liest, lässt sich mit dem nötigen Durchblick jedoch schnell nachvollziehen. Zum besseren Verständnis gehen wir die einzelnen Gesetze einmal durch.
Die DSGVO: Verpflichtung zum Datenschutz
Die DSGVO als wichtigstes europäisches Instrument für die Verarbeitung von personenbezogenen Daten sollte jedem Unternehmen ein Begriff sein. Sie verpflichtet alle in der EU tätigen Unternehmen zum Datenschutz und ging aus dem Bestreben der Verbraucherinnen und Verbraucher hervor, bei der in den letzten Jahrzehnten gestiegenen Internetnutzung ausreichend geschützt zu sein. Seit dem Jahr 2016 ersetzt sie die veraltete Datenschutzrichtlinie von 1995, als das Internet noch kaum etabliert war. Neue Umstände führten so zu immer neuen Richtlinien, was sich in der stetigen Überarbeitung der DSGVO durch die rasant wachsenden Möglichkeiten und den damit auch wachsenden Datengebrauch des Internets zeigt. In ihrer jetzigen Ausführung sind alle Punkte zur richtlinienkonformen Verarbeitung von personenbezogenen Daten in Form von Artikeln beziehungsweise deren Absätzen aufgelistet.
Das BDSG und das Landesdatenschutzgesetz als Konkretisierung
Um zu vermeiden, dass sich nationale Unternehmen durch die 99 umfangreichen Artikel der EU-Datenschutzgrundverordnung hangeln müssen, konkretisieren das Bundesdatenschutzgesetz die dortigen Richtlinien: Das BDSG auf nationaler Ebene und das Landesdatenschutzgesetz nochmal auf das jeweilige Bundesland, ohne dabei den Vorgaben der DSGVO zu widersprechen. Es empfiehlt sich also für Unternehmensinhaberinnen und -inhaber in Südwestfalen ihr Augenmerk vermehrt beziehungsweise mindestens auf die Richtlinien des BDSG und des Datenschutzgesetzes von Nordrhein-Westfalen zu legen.
Was ist in jedem Fall wichtig einzuhalten? – Unsere Checkliste
Wichtigste Richtlinie: Die Verarbeitung personenbezogener Daten ist nur bei Vorliegen einer Rechtsgrundlage aus Art. 6 DSGVO gerechtfertigt. Also zum Beispiel nur, wenn die Person ihre Einwilligung zur Verarbeitung ihrer Daten gegeben hat, diese Daten für die Erfüllung des Vertrages zwischen Unternehmen und Person oder zur Erfüllung einer rechtlichen Verpflichtung notwendig ist, oder zum Beispiel dann, wenn die Daten erforderlich sind, um lebenswichtige Interessen dieser oder einer anderen Person zu schützen. Wird dieser und weitere Artikel von Unternehmen missachtet, kann es zu Sanktionen in Form von hohen Bußgeldern kommen. Die Einhaltung gilt unabhängig von der Größe des Unternehmens und schließt damit KMUs unweigerlich mit ein. Gerade sie können durch die Sanktionen, aber auch durch den Verlust öffentlichen Ansehens durch Datenmissbrauch, erheblichen Schaden davontragen. Einen ausgiebigen Blick in die DSGVO, dem BDSG und dem Landesdatenschutzgesetz können wir Ihnen nicht abnehmen, jedoch eine kurze Checkliste mit an die Hand geben, auf welche Punkte Sie in jedem Fall achten müssen:
1. Datenschutzerklärung transparent offenlegen
Bevor Sie Daten von Personen erfassen und speichern können, müssen diese immer über die Datenverarbeitung Ihres Unternehmens unterrichtet werden und diesen zustimmen. Diese Datenschutzerklärung müssen Sie als Inhaberin oder Inhaber einer Website transparent und gut auffindbar auf ihrer Website einbinden.
2. Mitarbeiterinnen und Mitarbeiter einbinden
Jede Arbeitnehmerin und jeder Arbeitnehmer, der in Ihrem Unternehmen in Kontakt mit personenbezogenen Daten kommt, muss schriftlich zur Vertraulichkeit und Geheimhaltung dieser Informationen verpflichtet werden.
3. Das Verzeichnis von Verarbeitungstätigkeiten
Nach Artikel 30 der DSGVO muss ein Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten der Daten führen. Dazu gehören zum Beispiel Verantwortliche und Löschfristen.
4. Einsetzung einer oder eines Datenschutzbeauftragten
Die Nennung einer Person innerhalb oder außerhalb Ihres Unternehmens als Datenschutzbeauftragte oder Datenschutzbeauftragten ist Pflicht, wenn die Absätze von Artikel 37 DSGVO zutreffen. Das ist immer dann der Fall, wenn
- die Verarbeitung der Daten von einer Behörde oder öffentlichen Stelle durchgeführt wird, ausgenommen Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters aus Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- es sich bei den personenbezogenen Daten um besondere Kategorien von Daten handelt, zum Beispiel im Zusammenhang mit Verurteilungen und Straftaten
Der Datenschutzbeauftragte muss von jeder Niederlassung aus erreicht werden können.
5. Sind AV-Verträge nötig?
Immer dann, wenn personenbezogene Daten an Dritte zur Verarbeitung weitergegeben werden, muss mit der Verarbeiterin oder dem Verarbeiter, zum Beispiel der Auftraggeberin oder dem Auftraggeber, für eine Ihrer Dienstleistungen ein AV-Vertrag geschlossen werden. Dieser Auftragsverarbeitungsvertrag legt dann die Pflichten und Verantwortlichkeiten zwischen Ihnen und der anderen Partei fest.
Das müssen Sie tun, um die DSGVO bestmöglich einzuhalten
Für Unternehmen ergeben sich also fünf wichtige Aufgaben, die erfüllt werden müssen, um die Datenschutzgrundverordnung einzuhalten und um auf der sicheren Seite zu sein:
- Platzieren Sie die Datenschutzerklärung Ihres Unternehmens unbedingt sichtbar für Ihre Kundinnen und Kunden
- Verpflichten Sie Mitarbeiterinnen und Mitarbeiter schriftlich zur Vertraulichkeit und Geheimhaltung der Daten
- Führen Sie ein Verzeichnis mit allen Verarbeitungstätigkeiten der Daten, inklusive Verantwortliche und Löschfristen
- Prüfen Sie, ob das Einsetzen eines Datenschutzbeauftragten in Ihrem Unternehmen gesetzlich vorgeschrieben ist
- Prüfen Sie, ob ein Auftragsverarbeitungsvertrag nötig ist