Datenschutz im Betrieb im Überblick


Datenschutz und Datensicherheit spielen im Unternehmen wie in öffentlichen Einrichtungen eine große Rolle, unabhängig davon, wie groß der Betrieb ist. Der Datenschutz umfasst die Bewahrung der Grundrechte auf Privatsphäre und informelle Selbstbestimmung jeder natürlichen Person, wozu Mitarbeiter wie Kunden gehören können.  Datensicherheit schützt nicht nur die personenbezogenen Daten, sondern auch Unternehmensinformationen und stärkt das Vertrauen der Kunden und damit die Wettbewerbsposition.

Datenschutz im Betrieb im Überblick | Grundanker


Unternehmen verfügen in der Regel über Betriebs- und Geschäftsgeheimnisse, die nur einem eingeschränkten Personenkreis zugänglich sein sollen und nicht an die Öffentlichkeit gelangen dürfen. Hierzu gehören z.B. Produktionsverfahren, Insiderinformationen oder auch Rezepturen und Konstruktionszeichnungen. Mitarbeiter, denen solche Geheimnisse in Ausübung ihrer Tätigkeit bekannt sind, müssen diese geheim halten. Die Geheimhaltung ist üblicherweise in den Arbeitsverträgen und in den Verträgen mit externen Dienstleistern zu vereinbaren.


Der Schutz personenbezogener Daten, also Informationen über natürliche Personen wie z.B. Informationen über Bewerber, Mitarbeiter in den Personalakten, Kunden im CRM-System oder Lieferanten im Warenwirtschaftssystem, unterliegt dem Datengeheimnis und hat das Ziel zu verhindern, dass Unbefugte Kenntnis von Informationen über natürliche Personen erhalten.


Heutzutage finden große Teile der Arbeitsprozesse und Verwaltungsvorgänge digitalisiert statt. Hackerattacken, Ransomware, Datendiebstahl und Bot-Netz-Armeen aus dem Internet der Dinge sehen die dahinterstehenden IT-Systeme häufig als Angriffsziel. Ohne ausreichende IT-Sicherheit und systematische Datensicherung können dabei schnell sensible Daten verloren gehen. Sind personenbezogene Daten betroffen und gehen diese verloren, ist unter Umständen ein Fall der Meldepflicht gegenüber der Aufsichtsbehörde und den betroffenen Personen gegeben.  Das gilt es zu verhindern. Eine Datenschutzverletzung kann bereits dadurch entstehen, dass Daten kopiert und gespeichert werden, obwohl diese für die eigentlichen Arbeitsaufgaben gar nicht benötigt werden oder diese weitergegeben werden, ohne dass es dafür eine Erlaubnis gibt.


Ein angemessenes Schutzniveau im Umgang mit Daten und betrieblichen Informationen ist unabhängig von der Anzahl der Besucher und Mitarbeiter oder dem Umsatz des Unternehmens. Personenbezogene Daten und Unternehmensinformationen sind genauso zu schützen wie IT-Systeme und Räumlichkeiten. Technische Schutzmaßnahmen zum Beispiel im Rahmen der Liegeplatzverwaltung, des Auftragsmanagements, der Buchhaltung und des Verkaufs sind daher wichtige Bestandteile der rechtlichen Anforderungen und werden von Ihren Kunden und Lieferanten erwartet.


Technische Sicherheitsmaßnahmen allein sind allerdings nicht ausreichend, um das Unternehmen gegen Angriffe zu sichern. Der Faktor Mensch und entsprechende organisatorische Schutzmaßnahmen sind mindestes genauso wichtig. Geschulte und zuverlässige Mitarbeiter, die einen gesunden Menschenverstand einsetzen und bei Auffälligkeiten wachsam reagieren, gehören in jedes Unternehmen.


Durch ein sorgfältiges Datenschutzmanagementsystem können Risiken reduziert, der Datenschutz standardisiert und die Daten, die erhoben werden dürfen, geklärt werden.  Schulungen der Mitarbeiter sollten dabei eine Selbstverständlichkeit sein und helfen, die Häufigkeit des Auftretens von Datenschutzverletzungen zu reduzieren. Datenschutzkonform kann nur arbeiten, wer die Anforderungen kennt und diese im Tagesgeschäft befolgt. Jeder Mitarbeiter – gleich ob Führungskraft oder Auszubildender oder Praktikant – muss sich mit den Kernpflichten des Datenschutzes auseinandersetzen und sich dieser bewusst sein.


Wir können Sie dabei unterstützen, Ihr bestehendes Datenschutzkonzept zu überprüfen oder ein solches zu entwickeln.


Datenschutzbeauftragter

Für Unternehmen ab 20 Mitarbeitern besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten. Der Datenschutzbeauftragte unterstützt bei der Einhaltung der Datenschutzgrundsätze und das auch unabhängig davon, ob ein Unternehmen dazu verpflichtet ist oder nicht.


Datenschutzplan

In einem internen Datenschutzhandbuch oder Datenschutzplan sind alle organisatorischen Maßnahmen und technischen Schutzmaßnahmen aufzunehmen, die zu Einhaltung der Datenschutzanforderungen zu beachten sind. Richtlinien zum Datenschutz, Arbeitsanweisungen, Hinweise, technische Maßnahmen werden in einem solchen Datenschutzplan beschrieben, der auf Anforderung der Aufsichtsbehörden diesen vorlegbar sein sollte.


Verzeichnis der Verarbeitungsvorgänge

Die Verarbeitung personenbezogener Daten beschreibt die einzelnen Tätigkeiten, die im Zusammenhang mit der Erhebung von Gäste- aber auch Mitarbeiterdaten stehen. Dazu gehören die Datenerhebung, Datenweitergabe bzw. Datenverwaltung, Datensicherung und Datenlöschung. In dem Verzeichnis der Verarbeitungsvorgänge, werden alle Verarbeitungen festgehalten, in denen Patientendaten verarbeitet werden. Dazu gehören z.B. auch Meldescheine, Kreditkartendaten, Anschriften, Anmeldungen und Reservierungen. Das Verzeichnis der Verarbeitungsvorgänge ist einer Aufsichtsbehörde auf Nachfrage vorzulegen.


Externe Dienstleister

Bei der Auswahl externer Dienstleister ist darauf zu achten, dass auch diese einen rechtskonformen Umgang mit Daten gewährleisten. Notwendige Auftragsverarbeitungsverträge sind abzuschließen.


Datenschutzerklärung

Besuchern und Gästen sollten beim ersten Aufenthalt Information zum Datenschutz erhalten und der Nutzung ihrer Daten auch für Werbezwecke zustimmen, sofern Sie diese zur Kundenbindung weiterhin nutzen wollen.


Jedes Unternehmen mit einer Internetpräsenz muss auf dieser eine Datenschutzerklärungen bereitstellen, die möglichst spezifisch gestaltet ist und präzise Formulierungen enthält. Das gilt auch für Social Media Accounts.


Auskunft

Auskunftsverlangen, Datenlöschersuchen oder Beschwerden von Beherbergungsgästen und anderen Besuchern zur Verarbeitung ihrer personenbezogenen Daten sind zeitnah zu beantworten. Der Gesetzgeber sieht hierfür eine Monatsfrist vor. Untätigkeit oder Unvollständigkeit kann zu Beschwerden führen, die die zuständige Aufsichtsbehörde mit einem Bußgeld belegen kann.


Best Practise Im Betrieb

Pflichtverletzungen oder ein Datenschutzvorfall kann zu Bußgeldern führen und kann im Falle der Verletzung der Verschwiegenheitsverpflichtung mit einer Geld- oder bis zu einjähriger Freiheitsstrafe geahndet werden. Achten Sie in Ihrem Alltag besonders auf folgende Hinweise:


Datenverarbeitungen prüfen

Prüfen Sie, ob Ihre Datenverarbeitungen auf der Basis einer bestehenden Rechtsgrundlage ( Einwilligung, Gesetz, Vertrag oder Vertragsanbahnung, berechtigtest Interesse des Unternehmens) erlaubt sind.



Datenschutzinformationen bereitstellen

Informieren Sie Ihre Kunden, Mitarbeiter, Bewerber, Lieferanten und Geschäftspartner über die Verarbeitung ihrer personenbezogenen Daten, unter anderem deren Zwecke und ggfs. Weitergabe an Dritte, deren Rechte und Speicherdauer und stellen Hinweis zum Datenschutz zur Verfügung.



Datensicherheit

Beachten Sie im Rahmen Ihrer Datenverarbeitungen immer die Grundsätze der Datensicherheit, d.h. beachten Sie technische und organisatorische Schutzmaßnahmen und tragen Sorge dafür, dass die Daten weder abhandenkommen noch von Unbefugten eingesehen oder verändert werden     können.



Datenlöschung

Nicht mehr benötigte Daten sind unter Berücksichtigung gesetzlicher Aufbewahrungsfristen zu löschen. Dazu erstellen Sie idealerweise ein Datenlöschkonzept.




Arbeitsanweisungen

Arbeitsanweisungen regeln idealerweise den Umgang mit personenbezogenen Daten. Prozesse sind datenschutzkonform zu gestalten.




Verpflichtung auf das Datengeheimnis

Verpflichten Sie alle Mitarbeiter regelmäßig auf das Datengeheimnis und schulen Sie diese zum Datenschutz.




Unachtsame Gespräche vermeiden

Führen Sie Gespräche mit Kunden und Mitarbeitern im Idealzustand in geschützten Räumen und achten darauf, dass Personen an Ihren Gesprächen Gespräch nicht teilhaben. Wahren Sie auch im Rahmen von Telefonaten besondere Diskretion und geben Sie nur telefonische Auskünfte, sofern die Identität des Anrufers zweifelsfrei feststeht.


Marketing und Kundenbindung

Daten, die im Rahmen Vertragsanbahnung oder Vertragserfüllung angegeben oder abgefragt worden sind, dürfen nur mit Einwilligung auch für Werbezwecke oder zur Kundenbindung genutzt werden, worüber Sie idealerweise, bereits zum Zeitpunkt der Datenerhebung informieren und die Einwilligung, einholen. Bitte denken Sie aber daran, dass einmal erteilte Einwilligungen jederzeit widerrufen sind, was bei künftigen Marketingaktionen dann zu berücksichtigen ist.


Weitere Best Practise finden Sie hier


Wenn Sie sich für weitere Informationen interessieren, so stellen wir Ihnen gerne eine erste Checkliste zur Verfügung. Im Gespräch lassen sich Ihre Fragen klären. Kommen Sie gerne auf uns zu. Wir sind für Sie da.