Zeitung
MEHR F.A.Z.
Abo
Anzeigensonderveröffentlichung

Anforderungen an die Datenverarbeitung

Daten sichern und Datenschutz: Was ist Pflicht für Unternehmen?

Betrieblicher Datenschutz und Datensicherheit im Unternehmen sind heutzutage wichtiger denn je. Dank der Globalisierung können Informationen innerhalb von Sekunden digital in der ganzen Welt verbreitet werden. Damit Bürgerinnen und Bürger aber auch Unternehmen dem Umgang mit Daten nicht schutzlos ausgeliefert sind, ist die korrekte Umsetzung von Datenschutz und Datensicherheit enorm wichtig. Verstöße und Nachlässigkeit können teuer werden. Erfahren Sie jetzt alles, was Sie wissen müssen - inklusive hilfreicher Checkliste für Ihr Unternehmen.

DSGV Datenschutz Titel

Das Datenschutzrecht wird in Deutschland durch diverse Gesetze geregelt. Für Unternehmen ist es daher enorm wichtig, die einzelnen Gesetze und Verpflichtungen zur Datensicherheit und zum Datenschutz genau zu kennen und deren Anforderungen einzuhalten.

Unternehmensrelevante Datenschutzbestimmungen, die für den umfassenden Schutz personenbezogener Daten der Bürgerinnen und Bürger gelten, werden in der EU-Datenschutz-Grundverordnung (DSGVO) geregelt. Da in ihr zahlreiche sogenannte Öffnungsklauseln enthalten sind, die es den nationalen Gesetzgebern gestatten, in Bezug auf einzelnen Details eigene Regelungen aufzustellen, wird die DSGVO durch nationales Recht, hierzulande in Form des Bundesdatenschutzgesetzes (BDSG neu) und die jeweiligen Landesdatenschutzgesetze (LDSG), ergänzt. Auch Spezialregelungen zum Datenschutz innerhalb anderer Gesetze, wie etwa im Telemediengesetz (TMG) oder Telekommunikationsgesetz (TKG) sind zu beachten. Nicht zu vergessen verschiedene branchenspezifische Regelungen, wie das Transplantationsgesetz (TPG).

Was sind personenbezogene Daten?

Die Definition von personenbezogenen Daten steht in Art. 4 Nr. 1 der DSGVO. Demnach gehören dazu alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

In der Praxis der Datenverarbeitung fallen darunter beispielsweise:

Vor- und Nachname, Anschrift, Telefonnummer, E-Mail-Adresse, Kontodaten sowie Kreditkartenummern, Personalnummer, Kfz-Kennzeichen, Angaben zum Aussehen oder auch eine IP-Adresse.

Angaben zum Beispiel zur Herkunft, zur politischen oder religiösen Einstellung, zum Gesundheitszustand oder zur Genetik sowie zur Sexualität eines Menschen sind besonders sensibel und gelten als besondere Kategorien personenbezogener Daten. Sie genießen einen zusätzlichen Schutz. Die Verarbeitung solcher Informationen ist nach Artikel 9 DSGVO mit nur wenigen Ausnahmen verboten.

 

 

Bedeutung des Datenschutzes für Unternehmen

Als Unternehmerin oder Unternehmer sind Sie dazu verpflichtet, wenn Sie personenbezogene Daten erhalten oder verarbeiten, entsprechende Datenschutzrichtlinien zu befolgen.

Der Datenschutz soll unter anderem die Grundrechte auf Privatsphäre und informationelle Selbstbestimmung einer jeden natürlichen Person – also keiner Körperschaften, Stiftungen und Gesellschaften – bewahren. Darunter fallen insbesondere auch Ihre Beschäftigten sowie Kundinnen, Kunden oder Vertragspartner.

Die Weitergabe sensibler Personendaten oder der Verstoß gegen die DSGVO und das BDSG kann weitreichende Folgen haben. Neben

  • Identitätsklau,
  • Manipulation,
  • Erpressung
  • oder Schadenersatzansprüchen

können Bußgelder in Höhe von 20 Millionen Euro oder 4 Prozent des weltweiten Firmenumsatzes drohen.

Nicht zuletzt stärken Sie durch ein hohes Datenschutzniveau das Vertrauen Ihrer Angestellten, Vertragspartner und Ihrer Kundschaft in Ihr Unternehmen, Ihre Produkte und Dienstleistungen.

DSGVO für KMU
Die Europäische Datenschutz-Grundverordnung (DSGVO) betrifft nicht nur große Firmen, sondern auch viele kleine und mittelständische Unternehmen. Hier finden Sie die wichtigsten Infos.
Zur DSGVO-Checkliste

 

Verarbeitung personenbezogener Daten

Die Grundsätze für die Verarbeitung von personenbezogenen Daten sind in Art. 5 der DSGVO geregelt. Die oberste Prämisse für die Gewährleistung des Datenschutzes: weniger ist mehr. Demnach dürfen Unternehmen nicht wahllos personenbezogene Daten sammeln und speichern. Die Erhebung von Daten muss immer begründet sein und sich auf das für die Zwecke der Datenverarbeitung notwendige Maß beschränken.

Je mehr personenbezogene Daten ein Unternehmen verarbeitet, desto umfangreicher wird natürlich das Verzeichnis. Im Grunde genommen muss das Verzeichnis jedoch nicht einmal digital sein. Sportvereine beispielsweise können auch alles auf Papier auflisten.
Frank Trojahn, Projektleiter zur Umsetzung der Datenschutz-Grundverordnung beim Deutschen Sparkassen- und Giroverband (DSGV)

Für die Speicherung von personenbezogenen Daten bedarf es einer entsprechenden Rechtsgrundlage die sich aus Art. 6 der DSGVO ergibt. Bei der Speicherung personenbezogener Daten müssen schließlich die technisch-organisatorischen Maßnahmen, zu finden in Art. 25, 32 ff. der DSGVO, eingehalten werden. Das kann gegebenenfalls eine Pseudonymisierung und Verschlüsselung personenbezogener Daten bedeuten. Erfolgt die Verarbeitung personenbezogener Daten nicht auf gesetzlicher oder vertraglicher Grundlage, müssen Unternehmen vorab die freiwillige Einwilligung zur Datennutzung von der betroffenen Person einholen (Art. 7 DSGVO).

DSGV Datenschutz 3

Datensicherheit versus Datenschutz

Neben dem Datenschutz, der sich ausschließlich mit personenbezogenen Daten befasst, zieht sich Datensicherheit durch sämtliche Bereiche eines Unternehmens. Es dreht sich hierbei um die Absicherung von Daten jeglicher Art – auch ohne Personenbezug, wie zum Beispiel Ihre Unternehmensstrategien. Datenschutz und Datensicherheit bedingen sich gegenseitig.

Maßnahmen zur Datensicherheit

Auch die Datensicherheit ist vor dem Hintergrund der hier aufgeführten gesetzlichen Anforderungen Pflichtprogramm für jedes Unternehmen. Maßnahmen zur Datensicherheit sollen vor Verlust, Manipulation, Ausspähen oder unberechtigtem Zugriff durch Cyberkriminelle schützen.

Datensicherheit im Unternehmen verfolgt drei grundlegende Schutzziele:

  • Vertraulichkeit: Das heißt, der Datenzugriff wird durch Zugriffsberechtigungen auf definierte Personen(kreise) beschränkt
  • Integrität: Die Richtigkeit und Unversehrtheit der Daten müssen sichergestellt sein
  • Verfügbarkeit: Die Daten müssen bei Bedarf jederzeit verfügbar und zugänglich sein

Um Datensicherheit zu erreichen und aufrechtzuerhalten, müssen Unternehmen verschiedene technische und organisatorische Maßnahmen ergreifen.

Wichtige technische Maßnahmen:

  • Regelmäßige Datensicherung durch Backups
  • Netzwerksicherung durch zum Beispiel VPN-Verbindungen und starke Passwörter
  • Mehr-Faktor-Authentifizierung
  • Verwenden von stets aktueller Virenschutzsoftware
  • Datenverschlüsselung

Wichtige organisatorische Maßnahmen:

  • Individuelles Datensicherheitskonzept, in dem alle Maßnahmen zur Datensicherheit in Ihrem Unternehmen festgehalten werden. Dieses Dokument kann unter anderem als Leitfaden für verantwortliche Mitarbeitende dienen
  • Mitarbeitersensibilisierung durch regelmäßige Schulungen
  • Datenklassifizierung in festgelegte Kategorien
  • Besucherzutrittsregelungen zum Schutz vor unbefugtem Zutritt, zum Beispiel in Serverräume

Die Gewährleistung höchstmöglicher Sicherheit sämtlicher Unternehmensdaten sollte zu den Zielen und zur täglichen Routine in jedem Unternehmen werden.

Weitere interessante Artikel für Unternehmenskunden

Deshalb sollten Sie Unternehmenskunde der Sparkasse sein

Abonnieren Sie den Sparkasse-Unternehmens-Newsletter

Artikel teilen
FAZ.NET ist weder für den Inhalt der Anzeige noch für ggf. angegebene Produkte verantwortlich.