Datenschutz Basics

Laut DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierbare oder identifizierte, natürliche Person beziehen. Die Betroffenen sind identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einem Standort oder anderen Merkmalen identifiziert werden können. In der Praxis fallen darunter sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden können. Beispiele hierfür sind Telefonnummern, Ausweisnummern, Kontodaten, Kfz-Kennzeichen, Kundennummern, Mailadressen oder Anschriften. Diese Daten stehen deswegen unter besonderem Schutz, da jede Person ein Recht auf informationelle Selbstbestimmung hat.

Der Datenschutz kann innerhalb eines Unternehmens intern oder extern abgebildet werden. Die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) haben den Kreis der Unternehmen stark erweitert, die einen Datenschutzbeauftragten benennen müssen. Gehört Ihr Unternehmen zu dieser Gruppe, müssen Sie sich zwischen einem internen und einem externen Datenschutzbeauftragten entscheiden. Ein interner Datenschutzbeauftragter ist dabei nur eine Lösung, wenn die Mitarbeiterin oder der Mitarbeiter über die erforderlichen Kenntnisse und die Kapazität verfügt. Viele Unternehmen entscheiden sich deshalb für einen externen Datenschutzbeauftragten.

Ohne Datenschutz kann ein Unternehmen keinen seriösen Internetauftritt garantieren. Wird dieses Thema vernachlässigt, sind Imageverlust, Käuferschwund, Bußgelder und Sanktionen die resultierenden Folgen. Das Datenschutzgesetz regelt alle relevanten Bestimmungen, die personenbezogene Datenverarbeitung im Unternehmen betreffen. Jedes Unternehmen, welches in der EU tätig ist, ist zur Einhaltung der Datenschutzbestimmungen verpflichtet. Daten von Kunden, der Belegschaft oder von Geschäftspartnern sind zu schützen, da sonst Bußgelder oder Sanktionen drohen.

Die Datensicherheit geht dabei Hand in Hand mit dem Thema Datenschutz. Sie beschäftigt sich aber nicht mit dem Schutz personenbezogener Daten, sondern um praktische Handlungsweisen in Bezug auf IT-Sicherheit. Um die Datenschutz Basics einzuhalten, sollten Unternehmen immer ein Datensicherheitskonzept vorweisen können, das nicht nur personenbezogene Daten inkludiert, sondern alle zu verarbeitenden Datenströme.

Die Datensicherheit kann erhöht und gesichert werden durch die Verwendung
 

• eines aktuellen Webbrowsers
• einer aktuellen (Verschlüsselungs-)Software, Firewall und Antivirensoftware
• von Benutzerkonten mit Rechteverteilung
• von sicheren Passwörternvon Backups
• von Rechtevergabe bei Downloads
• durch die Sensibilisierung der Mitarbeiter
• durch Vorsicht bei unbekannten Anhängen
• durch Vermeidung von der Veröffentlichung persönlicher Daten

Mit der Einführung der DSGVO im Mai 2018 wurde die vormals im BDSG bekannte Richtlinie der Auftragsdatenverarbeitung erneuert. Hierbei geht es um den Abschluss eines Vertrags (eines AVV) mit Dienstleistern oder Partnern, welche personenbezogene Daten im Auftrag verarbeiten. Dementsprechend müssen Unternehmen bei der Auswahl möglicher Dienstleister sehr sorgsam vorgehen und deren Tätigkeiten in regelmäßigen Abständen überprüfen. In der allgemeinen Unternehmenspraxis sind diese Vorgänge beispielsweise die Verarbeitung von Lohnbuchhaltung, Vertriebsaktivitäten oder der Einsatz von Marketing und Analyse-Tools. Somit sind wesentliche Bereiche der Zusammenarbeit mit anderen Unternehmen von dieser Regelung betroffen.

Abschluss eines Vertrags (AVV)

Die DSGVO verlangt gemäß Art. 30, dass die verantwortlichen Stellen ein sogenanntes Verarbeitungsverzeichnis erstellen, in welchem alle Verarbeitungstätigkeiten verzeichnet sind, die sich mit personenbezogenen Daten befassen.
Hierbei handelt es sich mit Abstand um eines der wichtigsten Dokumente in der gesamten DSGVO, denn es betrifft alle Unternehmen. Sobald ein Unternehmen personenbezogene Daten verarbeitet, ist es dazu aufgefordert, diese Prozesse fein säuberlich in diesem Verzeichnis zu dokumentieren. Dies gilt selbstverständlich auch für Auftragsverarbeiter. Obwohl viele behaupten, dass die Erstellung lediglich Firmen mit mehr als 250 Mitarbeitern betrifft, gilt diese Ausnahme nur dann, wenn die Verarbeitung der personenbezogenen Daten nur gelegentlich erfolgt. Dies ist allerdings nur in den seltensten Fällen zutreffend. Sollte es sich um besondere Datenkategorien, wie beispielsweise Gesundheitsdaten, Religion oder ähnliches handeln, trifft die Pflicht der Erstellung und Pflege eines Verarbeitungsverzeichnisses ohnehin zu.

Verarbeitungsverzeichnis (VVT)

In der DSGVO, die seit Mai 2018 Gültigkeit besitzt, wurden die Regelungen des BDSG bezüglich der technischen und organisatorischen Maßnahmen (TOM) übernommen. In der DSGVO gewinnen sie jedoch stark an Bedeutung. Sie sollen geeignete Prozesse definieren und beschreiben, wie bei Datenschutzverstößen vorgegangen wird. Somit soll ein geeignetes Management zum Datenschutz etabliert werden. Natürlich liegt es auch nahe, dass je gravierender die Gefahr von Verstößen ist (bspw. bei sehr sensiblen Daten), desto detaillierter und umfangreicher müssen auch die Prozesse und deren Beschreibungen sein. Hierbei ist es immer sinnvoll den zuständigen Datenschutzbeauftragten zu konsultieren.

Technische und organisatorische Maßnahmen