Für Unternehmen haben sich die Anforderungen an den Datenschutz zum 25. Mai 2018 geändert. Bei Nichtbeachtung der Datensicherheit kann es bei Kundenbestellungen, E-Mail-Kampagnen oder im Nutzertracking zu Abmahnungen wegen DSGVO-Verstößen kommen. Erfahren Sie, was es rund um Nutzer-Tracking, Kundendaten, Newsletter, Social-Media-Marketing und der Datenschutzerklärung zu beachten gilt.
Die europäische Datenschutz-Grundverordnung betrifft nicht nur große Unternehmen mit tausenden Kundendaten, sondern jedes Unternehmen, das im Internet aktiv ist und personenbezogene Daten verwendet. Damit steht das Thema Datensicherheit im Unternehmen für alle Wirtschaftsakteure auf der Tagesordnung.
Im datenschutzrechtlichen Zusammenhang versteht man unter dem Begriff Datensicherheit den generellen Schutz von Daten. Dabei ist zunächst nicht von Relevanz, ob es sich um personenbezogene Daten nach Artikel 4 Nummer 1 der Datenschutzgrundverordnung (kurz: DSGVO) handelt.
Auch nicht personenbezogene Daten sind für ein Unternehmen unbedingt schützenswert: Hierbei geht es auch um die Wahrung von Betriebsgeheimnissen, die möglicherweise an die Konkurrenz weitergegeben werden – und von dieser zum Nachteil des Unternehmens ausgenutzt werden.
Während beim Datenschutz primär die Frage im Vordergrund steht, unter welchen Voraussetzungen und in welchen Grenzen personenbezogene Daten einer Verarbeitung zugeführt werden dürfen, ist das Thema Datensicherheit sehr viel umfassender und gleichzeitig auch allgemeiner, denn: Datensicherheit bezieht sich explizit auch auf die Daten, die überhaupt keinen Personenbezug haben und somit nicht in den Schutzbereich des Art. 4 der DSGVO fallen.
Die Datensicherheit im Unternehmen ist überall dort gefährdet, wo Daten nicht geschützt sind vor:
Im Arbeitsalltag kann dies nur durch geeignete technische und organisatorische Maßnahmen (sogenannte TOM) verhindert werden. Üblicherweise fallen sowohl der Bereich des Datenschutzes als auch der Bereich der Datensicherheit in den Machtbereich einer einzelnen organisatorischen Einheit im Unternehmen. Dies ist auch sinnvoll, denn: Beide Bereiche gehen teilweise ineinander über und lassen sich nicht scharf voneinander abgrenzen.
Unternehmen können viel zur Datensicherheit beitragen – sei es rund um die Arbeitsabläufe oder rund um organisatorische Rahmenbedingungen.
Hauptsächlich sind dies Schutzmaßnahmen wie:
Jedes Unternehmen sollte sich aber bewusst sein, dass die genannten TOM mit dem Wissensstand der Mitarbeiter stehen und auch fallen. Je besser die Mitarbeiter für das Thema Datensicherheit sensibilisiert werden, desto erfolgreicher können die Schutzmaßnahmen umgesetzt werden.
Umgekehrt gilt: Sind Mitarbeiter im Bereich Datenschutz und Datensicherheit nicht ausreichend geschult, werden auch die besten Maßnahmen langfristig nicht zum gewünschten Effekt führen – dem bestmöglichen Schutz aller vorhandenen Daten im Unternehmen.
Um Datensicherheit im Unternehmen zu gewährleisten, sollten die Daten bei der Übermittlung verschlüsselt sein. Die Rechner als auch die internen Systeme eines Unternehmens sollten durch ein Passwort geschützt werden. Um die Einhaltung aller Vorschriften der DSGVO zu gewährleisten, ist eine juristische Beratung sinnvoll."Pierre Torster
Einwilligungen in die Datenerhebung sind beispielsweise für den Datenschutz online bei der Registrierung in einem Portal relevant. Damit die Einwilligungen auch den Anforderungen an die Dokumentation entsprechen, sollten Sie schriftliche Einwilligungen einholen. Unternehmen benötigen die Einwilligung mit einem Opt-In-Kästchen. Opt-Out ist nach dem Willen des europäischen Gesetzgebers mit dem Inkrafttreten der DSGVO nicht mehr ausreichend.
Unternehmen dürfen die Vertragserfüllung nicht davon abhängig machen, dass der Nutzer die Einwilligung erteilt, falls das nicht für die Vertragserfüllung notwendig ist. Nutzen Sie zweckgebundene Einwilligungen, keine Generaleinwilligungen. Verbraucher können jederzeit die Datenspeicherung widerrufen. Dabei muss nach dem Datenschutz der DSGVO der Widerruf genauso leicht zu erteilen sein wie die Einwilligung.
Die Verarbeiter von Aufträgen müssen sich nun an einheitliche europäische Anforderungen halten. Die Auftragsverarbeitung umfasst die Erhebung und Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer. Nach dem Datenschutz der DSGVO ist der Auftragnehmer mitverantwortlich. Der Vertrag zur Auftragsverarbeitung muss nicht schriftlich vereinbart werden. Die elektronische Form ist ausreichend.
Auftragsverarbeiter müssen ein Verzeichnis zu allen im Auftrag erbrachten Tätigkeiten anfertigen. Zusätzlich arbeiten sie mit Aufsichtsbehörden zusammen und ergreifen technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten.
Kommt es im Unternehmen zu Verstößen gegen die DSGVO und somit gegen den Datenschutz, muss das Unternehmen mit empfindlichen Sanktionen rechnen: Nach Art. 83 Abs. 5 der DSGVO können die Aufsichtsbehörden ein Bußgeld von bis zu vier Prozent des weltweiten Jahresumsatzes verhängen. Die Höhe der Strafe ist dabei abhängig von der Art und vom Ausmaß der Datenschutzverletzung.
Abmahnungen wegen DSGVO Verstößen können Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes auslösen. Dieser hohe Bußgeldrahmen ist fester Kernbestandteil der DSGVO."Markus Zöller, LL.M.
Haben Sie Fragen rund um die Datensicherheit oder zum Datenschutz in Unternehmen nach der DSGVO – oder befürchten Sie sogar Abmahnungen wegen Verstößen gegen die DSGVO? Dann nutzen Sie unsere telefonische Erstberatung – viele Anliegen können bereits im Erstgespräch mit einem fachkundigen Anwalt abschließend geklärt werden. Unsere Rechtsanwälte sind mit der aktuellen Rechtsprechung zur DSGVO und mit geeigneten Maßnahmen zur Datensicherheit bestens vertraut und stehen Ihnen bei allen Anliegen diesbezüglich beratend zur Seite.
Dann nutzen Sie einfach die KLUGO Erstberatung. Die Erstberatung ist ein Telefongespräch mit einem zertifizierten Anwalt aus unserem Netzwerk.
Beitrag juristisch geprüft von der KLUGO-Redaktion
Der Beitrag wurde mit großer Sorgfalt von der KLUGO-Redaktion erstellt und juristisch geprüft. Dazu ergänzen wir unseren Ratgeber mit wertvollen Tipps direkt vom Experten: Unsere spezialisierten Partner-Anwälte zeigen auf, worauf es beim jeweiligen Thema ankommt.