Die Top10 Datenschutz-ToDo’s für Geschäftsführer

Datenschutz-Schulung für Geschäftsführer
ausführliches Online-Seminar

Ihre IT ist sicher und erprobt, Datensicherheit ist gewährleistet.
Doch: Wie sieht es beim rechtlich-organisatorischen Datenschutz aus?

Die Diskussion um den Datenschutz in Deutschland wird dominiert von politi­schen Buzz-Words wie Facebook, Google & Co. Daneben werden Datenlecks wie z.B. bei Sony bekannt, die aber eher die technische Datensicherheit betreffen. Der Praktiker bleibt weitgehend allein mit der Frage, was konkret zu tun ist.

Aus seiner Erfahrung hat der externe Datenschutzbeauftragte Ralf Becker einige typische Punkte herausgegriffen. Natürlich ersetzt dies keine unternehmensspezifische Analyse. Aber durch Regelung folgender Themen, kann ein Unternehmen seine Datenschutzorganisation deutlich verbessern.

Zur besseren Praktikabilität wird auf das Zitieren von Paragraphen verzichtet und bewusst vereinfacht dargestellt.


Grundsätzliches

Grundlage des Datenschutzes ist das Bundesdatenschutzgesetz (BDSG), das die Verarbeitung personenbezogener Daten regelt. Betriebs- und Geschäfts­geheimnisse wie Formeln oder Verfahren fallen nicht unter den Datenschutz, da nicht personenbezogen.

Ferner gilt im Datenschutz das „Verbot mit Erlaubnisvorbehalt“, d.h. jegliche Datenerhebung, -verarbeitung und –nutzung ist verboten, wenn sie nicht durch Einwilligung oder Ausnahme im Gesetz erlaubt ist.

1.     Kundendatenschutz

Bei Kaufverträgen gilt z.B. die Ausnahme, dass zur Durchführung notwendige Daten erhoben und verarbeitet werden dürfen. Für alles andere ist eine wirksame und dokumentierte Einwilligung des Kunden notwendig, z.B. Erhebung zusätzlicher Daten, für Upselling, Newsletter-Versand. Dies gilt besonders bei Kaufinteressenten.  Im B2B Geschäft reicht es hingegen, wenn eine Einwilligung vermutet werden kann.

Bei der Kundenansprache ist zudem das UWG (Gesetz gegen unlauteren Wettbewerb) zu beachten, das insbesondere elektronische Kanäle (Email, Fax) aber auch Telefonanrufe erheblich einschränkt. Hier können Fehler abmahnbar sein.

für diesen Bereich bieten wir vertiefende Schulungen und Webinare an

2.    Mitarbeiter-/ Beschäftigtendatenschutz

Auch hier gilt, dass alle für die Durchführung des Arbeitsverhältnisses notwendigen Daten verarbeitet werden dürfen, wobei „notwendig“ eng auszulegen ist. Dies manifestiert sich u.a. im Fragerecht bei Bewerbergesprächen. So sind Fragen tabu, die sich nicht auf die fachliche Eignung des Bewerbers beziehen, etwa nach kultureller Herkunft oder Schwangerschaft. Der Bewerber dürfte in dem Fall sogar die Unwahrheit sagen. Zudem besteht die Gefahr eines schadensersatzpflichtigen Verstoßes gegen das AGG (Allgemeines Gleichbehandlungsgesetz). Ebenso ist das „googeln“ von Bewerbern unzulässig, selbst wenn die Praxis häufig anders aussieht.

Häufig unterschätzt sind die Folgen von erlaubter oder geduldeter Privatnutzung von Telefon, Internet und Email. Da private und geschäftliche Kommunikation sich kaum trennen lässt, darf die gesamte Kommunikation nur mit Einwilligung des Betroffenen eingesehen werden. Dies gilt  z.B. für die  Erstellung von Einzelverbindungsnachweisen, Web- und SPAM-Filtering und Einsicht in Emails bei unerwarteter Abwesenheit des Mitarbeiters.

Schriftlich geregelt werden sollte auch die Nutzung von Mitarbeiter-Fotos. Nicht wenige Unternehmen überrascht die Sensibilität hinsichtlich des Persönlichkeitsrechts nach Kündigungen und sie müssen Werbematerial einstampfen.

Weil in den Arbeitsverträgen zwar regelmäßig auf Geschäftsgeheimnisse, nicht aber auf das Geheimnis personenbezogener Daten verpflichtet wird, schreibt der Gesetzgeber dies im  BDSG nochmal vor.

Besondere Vorsicht ist geboten bei jeder Form der Mitarbeiterüberwachung – auch wenn nicht aktiv betrieben oder Daten primär für andere Zwecke erhoben wurden. Insbesondere bei Videoüberwachung und Überwachung von privater Internetnutzung sollte fachliche Expertise hinzugezogen werden.

für diesen Bereich bieten wir vertiefende Schulungen und Webinare an

3.     Datenübermittlung an Dritte und Dienstleister

Für jede Weitergabe von Daten ist zu prüfen, ob ein gültiger Erlaubnistatbestand vorliegt. Das Datenschutzrecht kennt zudem keinen Konzern: verbundene Unternehmen gelten wie fremde Dritte.

Dienstleister, die im Auftrag Daten verarbeiten sind besonders zu verpflichten. Das BDSG legt in §11 zehn schriftlich zu regelnde Punkt fest.

Auch die internationale Datenverarbeitung außerhalb der EU ist für viele Unternehmen relevant, wenn z.B. Dienstleister wie Amazon (Cloud Services) oder Google (Analytics) Daten verarbeiten. Dann sind besondere Maßnahmen zur Absicherung zu treffen.

4.     Datensicherheit

Die technische Datensicherheit ist nicht nur unternehmerisches Interesse, sondern mit §9 BDSG auch Verpflichtung. Da aber viele IT-Dienstleister diesen Markt bearbeiten, sei an dieser Stelle nur darauf verwiesen, dass es durchaus Sinn macht, die tatsächliche Sicherheit von unabhängigen Spezialisten von Zeit zu Zeit überprüfen zu lassen.

5.     Übergreifende Compliance

Das BDSG schreibt mit dem sog. Verfahrensverzeichnis eine Dokumentation aller datenverarbeitenden Prozesse und Systeme im Unternehmen vor, die ständig aktuell vorzuhalten ist. Dies ist nicht nur bei Auskunftsanfragen ein hilfreiches Tool. Bei der Erstellung fallen oft Redundanzen auf, die zu Kosteneinsparungen führen.

Auch stellt sich die Frage, ob das Unternehmen einen Datenschutzbeauftragten (DSB) bestellen muss. Dies ist – vereinfacht und abgesehen von Ausnahmen –  dann erforderlich, wenn mehr als 9 Mitarbeiter regelmäßig am PC arbeiten.

Jedoch nutzen alle Vorkehrungen wenig, wenn die Mitarbeiter sich nicht für den Datenschutz engagieren. Daher empfehlen sich jährliche Sensibilisierungs-Maßnahmen, die auch als Webinare online angeboten werden.

 

Zusammengefasst:
Die Top 10 Datenschutz-ToDo’s für Praktiker

  • Wirksame Werbe-Einwilligungen einholen,
    dokumentieren und rechtssicher Werben.
  • Die richtigen Fragen im Bewerbergespräch stellen.
  • Einwilligungen für Einsichtsrecht bei Privatnutzung und für Bildaufnahmen einholen.
  • Überwachungsmaßnahmen vorher rechtlich absichern.
  • Technische Datensicherheit unabhängig prüfen lassen.
  • Prüfung der Weitergabe von Daten, insbesondere an Stellen außerhalb der EU.
  • Prüfung, ob Vereinbarung für Auftragnehmer in der Datenverarbeitung wie z.B. Cloud-Services den Mindestanforderungen genügen.
  • Mitarbeiter sensibilisieren und auf das Datengeheimnis verpflichten.
  • Dokumentation erstellen (Verfahrensverzeichnis).
  • Bei Bedarf Datenschutzbeauftragten bestellen.

Diese Liste ist nicht abschließend. Sie ist Orientierungshilfe für den Unternehmer.