Datenschutz im Unternehmen

Ob Kleinunternehmen, Mittelständler oder Großkonzern – jeder, der mit Kunden und Mitarbeitern umgeht, muss die Datenschutz-Regeln kennen und umsetzen. Verstöße gegen das Datenschutzrecht werden seit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) noch härter geahndet. Jeder Mensch hat das Recht auf Privatheit (vor der DSGVO: Recht auf informationelle Selbstbestimmung). Er darf damit frei entscheiden, ob und wie seine persönlichen Daten genutzt werden. So dürfen Unternehmen nur die Daten erheben, die zur Abwicklung eines Auftrages erforderlich sind. Das betrifft beispielsweise Namen, Adresse und die Telefonnummer. Nach Abschluss eines Geschäftes sind diese Daten zu löschen, sofern sie nicht gespeichert werden müssen, weil gesetzliche oder vertragliche Aufbewahrungspflichten (z. B. steuerrelevante Unterlagen für zehn Jahre, Geschäftsbriefe für sechs Jahre) dies vorsehen. Außerhalb der Pflichtangaben benötigen Unternehmen die Zustimmung des Vertragspartners für jede weitere Datenerfassung, wie z. B. Geburtsdatum des Kunden, um diesem jährlich eine Geburtstagskarte zu senden. Diese Einwilligungen können jederzeit widerrufen werden. Der Datenschutz ist für jedes Unternehmen ein zentrales Thema, das sich durch alle Abteilungen zieht.

Die EU-Datenschutz-Grundverordnung (DSGVO)

Seit dem 25. Mai 2018 gelten in der gesamten Europäischen Union einheitliche und strengere Datenschutz-Regeln: Mit der Datenschutz-Grundverordnung (DSGVO) wird die Bearbeitung personenbezogener Daten innerhalb des europäischen Binnenmarktes eindeutigen Regeln unterworfen. Diese haben Auswirkungen für alle Unternehmen, die im EU-Raum geschäftlich aktiv sind. Die DSGVO ersetzt dabei die EU-Datenschutzrichtlinie (95/46/EG) aus dem Jahr 1995. Unternehmen, die die Vorgaben der DSVGO missachten, müssen mit empfindlichen Geldstrafen rechnen.

Was bedeutet die DSGVO im Unternehmensalltag?

Datenübermittlung in Drittstaaten

Für Datentransfers in Drittstaaten gelten strenge Voraussetzungen. Nach zwei gescheiterten Anläufen gibt es nun im Datenverkehr mit den USA einen neuen Datenpakt. Er heißt EU-U.S. Data Privacy Framework. Dazu hat die EU-Kommission einen Angemessenheitsbeschluss gefasst, der mehr Rechtssicherheit und Klarheit für den Verkehr mit Daten mit den USA bringt. Andere Drittstaaten sind von diesem Beschluss nicht betroffen.

Mehr zur Datenübermittlung in Drittstaaten

Datenschutz für Kleinunternehmer und Selbstständige sehr wichtig

Viele Kleinunternehmer haben sich bislang wenig Gedanken um den Datenschutz gemacht. Insbesondere Selbstständige befassen sich oft kaum mit der Problematik, da sie keine Schwierigkeiten sehen. Doch selbst in Kleinstunternehmen gibt es ein großes Potenzial für Verstöße gegen den Datenschutz. Selbstständige sollten unbedingt prüfen, ob ihr Vorgehen den geltenden Regeln entspricht. Kritisch sind insbesondere folgende Punkte:

• Rechtsgrundlagen für Datenverarbeitungen
• Verzeichnis von Verarbeitungstätigkeit
• IT-Outsourcing, z. B. Speicherung von Lieferanten- oder Kundendaten in einer Cloud
• Datenzugriff durch Dritte (z. B. Webdesigner, Cloudanbieter, Steuerberater, Inkassounternehmen, etc.)

Hier erfahren Selbstständige und Kleinunternehmer anhand eines Fallbeispiels, wie die DSGVO korrekt umgesetzt wird.