Datensicherheit im Unternehmen

Für Unternehmen haben sich die Anforderungen an den Datenschutz zum 25. Mai 2018 geändert. Bei Nichtbeachtung der Datensicherheit kann es bei Kundenbestellungen, E-Mail-Kampagnen oder im Nutzertracking zu Abmahnungen wegen DSGVO-Verstößen kommen. Erfahren Sie, was es rund um Nutzer-Tracking, Kundendaten, Newsletter, Social-Media-Marketing und der Datenschutzerklärung zu beachten gilt.

Das Wichtigste in Kürze

• Während sich der Datenschutz fast immer auf den Schutz personenbezogener Daten bezieht, ist die Datensicherheit gemeint, wenn es ganz allgemein um den Schutz von Daten aller Art geht.
• Die Datensicherheit im Unternehmen kann durch geeignete technische und organisatorische Maßnahmen (kurz: TOM) gewährleistet werden.
• Die TOM können nur dann den gewünschten Erfolg zeigen, wenn auch die Mitarbeiter in puncto Datensicherheit und Datenschutz geschult werden.
• Bei Verstößen gegen die datenschutzrechtlichen Vorgaben aus der DSGVO drohen empfindliche Bußgelder und harte Sanktionen.

Für wen gilt die Datenschutz-Grundverordnung?

Die europäische Datenschutz-Grundverordnung betrifft nicht nur große Unternehmen mit tausenden Kundendaten, sondern jedes Unternehmen, das im Internet aktiv ist und personenbezogene Daten verwendet. Damit steht das Thema Datensicherheit im Unternehmen für alle Wirtschaftsakteure auf der Tagesordnung.

Was ist unter Datensicherheit zu verstehen?

Im datenschutzrechtlichen Zusammenhang versteht man unter dem Begriff Datensicherheit den generellen Schutz von Daten. Dabei ist zunächst nicht von Relevanz, ob es sich um personenbezogene Daten nach Artikel 4 Nummer 1 der Datenschutzgrundverordnung (kurz: DSGVO) handelt.

Auch nicht personenbezogene Daten sind für ein Unternehmen unbedingt schützenswert: Hierbei geht es auch um die Wahrung von Betriebsgeheimnissen, die möglicherweise an die Konkurrenz weitergegeben werden – und von dieser zum Nachteil des Unternehmens ausgenutzt werden.

Datensicherheit vs. Datenschutz – worin liegt der Unterschied?

Während beim Datenschutz primär die Frage im Vordergrund steht, unter welchen Voraussetzungen und in welchen Grenzen personenbezogene Daten einer Verarbeitung zugeführt werden dürfen, ist das Thema Datensicherheit sehr viel umfassender und gleichzeitig auch allgemeiner, denn: Datensicherheit bezieht sich explizit auch auf die Daten, die überhaupt keinen Personenbezug haben und somit nicht in den Schutzbereich des Art. 4 der DSGVO fallen.

Welche Gefahren für die Datensicherheit lauern im Arbeitsalltag?

Die Datensicherheit im Unternehmen ist überall dort gefährdet, wo Daten nicht geschützt sind vor:

• Manipulation
• Verlust
• Kenntnis- und Einsichtnahme
• Bedrohungen.

Im Arbeitsalltag kann dies nur durch geeignete technische und organisatorische Maßnahmen (sogenannte TOM) verhindert werden. Üblicherweise fallen sowohl der Bereich des Datenschutzes als auch der Bereich der Datensicherheit in den Machtbereich einer einzelnen organisatorischen Einheit im Unternehmen. Dies ist auch sinnvoll, denn: Beide Bereiche gehen teilweise ineinander über und lassen sich nicht scharf voneinander abgrenzen.

Welche Schritte können Unternehmen zur Umsetzung von Datensicherheit einleiten?

Unternehmen können viel zur Datensicherheit beitragen – sei es rund um die Arbeitsabläufe oder rund um organisatorische Rahmenbedingungen.

Hauptsächlich sind dies Schutzmaßnahmen wie:

• Rechte für den Datenzugang, Datenveränderung und Datenzugriff definieren und kontrollieren
• Sicherheitsvorkehrungen treffen – dazu gehören Passwörter, aber auch Firewalls
• Implementierung einer regelmäßigen Datensicherung
• Einrichtung einer Organisationseinheit für die IT-Sicherheit
• Einführung allgemeiner Absicherungen – dazu gehören Alarm- und Überwachungsanlagen

Jedes Unternehmen sollte sich aber bewusst sein, dass die genannten TOM mit dem Wissensstand der Mitarbeiter stehen und auch fallen. Je besser die Mitarbeiter für das Thema Datensicherheit sensibilisiert werden, desto erfolgreicher können die Schutzmaßnahmen umgesetzt werden.

Umgekehrt gilt: Sind Mitarbeiter im Bereich Datenschutz und Datensicherheit nicht ausreichend geschult, werden auch die besten Maßnahmen langfristig nicht zum gewünschten Effekt führen – dem bestmöglichen Schutz aller vorhandenen Daten im Unternehmen.

Einwilligungen für mehr Datensicherheit

Einwilligungen in die Datenerhebung sind beispielsweise für den Datenschutz online bei der Registrierung in einem Portal relevant. Damit die Einwilligungen auch den Anforderungen an die Dokumentation entsprechen, sollten Sie schriftliche Einwilligungen einholen. Unternehmen benötigen die Einwilligung mit einem Opt-In-Kästchen. Opt-Out ist nach dem Willen des europäischen Gesetzgebers mit dem Inkrafttreten der DSGVO nicht mehr ausreichend.

Unternehmen dürfen die Vertragserfüllung nicht davon abhängig machen, dass der Nutzer die Einwilligung erteilt, falls das nicht für die Vertragserfüllung notwendig ist. Nutzen Sie zweckgebundene Einwilligungen, keine Generaleinwilligungen. Verbraucher können jederzeit die Datenspeicherung widerrufen. Dabei muss nach dem Datenschutz der DSGVO der Widerruf genauso leicht zu erteilen sein wie die Einwilligung.

Datensicherheit bei der Auftragsverarbeitung

Die Verarbeiter von Aufträgen müssen sich nun an einheitliche europäische Anforderungen halten. Die Auftragsverarbeitung umfasst die Erhebung und Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer. Nach dem Datenschutz der DSGVO ist der Auftragnehmer mitverantwortlich. Der Vertrag zur Auftragsverarbeitung muss nicht schriftlich vereinbart werden. Die elektronische Form ist ausreichend.

Auftragsverarbeiter müssen ein Verzeichnis zu allen im Auftrag erbrachten Tätigkeiten anfertigen. Zusätzlich arbeiten sie mit Aufsichtsbehörden zusammen und ergreifen technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten.

Welche Sanktionen und Bußgelder können Unternehmen bei Verstößen drohen?

Kommt es im Unternehmen zu Verstößen gegen die DSGVO und somit gegen den Datenschutz, muss das Unternehmen mit empfindlichen Sanktionen rechnen: Nach Art. 83 Abs. 5 der DSGVO können die Aufsichtsbehörden ein Bußgeld von bis zu vier Prozent des weltweiten Jahresumsatzes verhängen. Die Höhe der Strafe ist dabei abhängig von der Art und vom Ausmaß der Datenschutzverletzung.

Wie kann ein KLUGO Partner-Anwalt rund um Datensicherheit und Datenschutz helfen?

Haben Sie Fragen rund um die Datensicherheit oder zum Datenschutz in Unternehmen nach der DSGVO – oder befürchten Sie sogar Abmahnungen wegen Verstößen gegen die DSGVO? Dann nutzen Sie unsere telefonische Erstberatung – viele Anliegen können bereits im Erstgespräch mit einem fachkundigen Anwalt abschließend geklärt werden. Unsere Rechtsanwälte sind mit der aktuellen Rechtsprechung zur DSGVO und mit geeigneten Maßnahmen zur Datensicherheit bestens vertraut und stehen Ihnen bei allen Anliegen diesbezüglich beratend zur Seite.