Datenschutz in Unternehmen betrifft nicht nur die Geschäftsführung, sondern alle Mitarbeiter. Dabei müssen sämtliche Geschäftsprozesse und Praktiken evaluiert und angepasst werden. Der Schutz personenbezogener Daten kurz Datenschutz ist in den letzten Jahren immer wichtiger geworden. Die fortschreitende Digitalisierung hat die
Verarbeitung, Verwaltung und Zusammensetzung von Daten deutlich einfacher
gemacht. Durch die digitalen Verarbeitungsmöglichkeiten werden personenbezogene
Daten innerhalb kürzester Zeit in großer Menge verarbeitet und gespeichert.
Schutz personenbezogener Daten
Daten sind inzwischen zu einem der wertvollsten Güter geworden, besonders
dann, wenn sie mit anderen Informationen verknüpft werden, um Vorlieben und
Verhaltensmuster daraus ableiten zu können oder Menschen ohne ihr Wissen
bestimmten Risikogruppen zugeordnet werden mit der Folge wirtschaftlicher
Nachteile bis hin zum Verlust der Privatsphäre.
Daher ist es sehr wichtig, Personal-, Kunden- und Lieferantendaten nach
allen Seiten hin entsprechend dem Stand der Technik gegen ungesetzliche
Weitergabe und Datenpannen zu schützen.
Zentrales Gesetzeswerk ist die europäische Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 in allen EU-Staaten den Datenschutz unmittelbar regelt und eine Reihe neuer Anforderungen mit sich bringt.
Datenschutz betrifft alle, auch die Mitarbeiter
Der Datenschutz in Unternehmen ist von allen Beteiligten, also auch von den Mitarbeitern, inklusive Externen oder Zeitarbeitern zu beachten. Daher sind Unternehmen verpflichtet, ihre Mitarbeiter für dieses Thema entsprechend zu sensibilisieren. Um dieses Ziel zu erreichen, sind Datenschutzschulungen durchzuführen. Alle Unternehmen, in denen mehr als neun Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, müssen einen Datenschutzbeauftragten bestellen. Dieser ist der Ansprechpartner für alle Belange des Datenschutzes und führt Mitarbeiterschulungen durch.
Dokumentationspflichten
Die Dokumentationspflichten sind nicht zu unterschätzen. Das Verarbeitungsverzeichnis ist einer der Kernbereiche. In diesem Verzeichnis sind alle Prozesse zu dokumentieren, die mit der personenbezogenen Datenverarbeitung in Verbindung stehen. Das Unternehmen schreibt auf, wie und warum die entsprechenden Daten erhoben und verarbeitet, wo sie gespeichert und wann sie gelöscht werden. Die technischen und organisatorischen Maßnahmen (TOM) geben Aufschluss darüber, welche Maßnahmen ergriffen werden, um die Sicherheit der personenbezogenen Daten zu garantieren. Dazu gehört die Thematik der IT-Sicherheit.
Die DSGVO sieht im Detail einige weitere Bereiche vor, die unter Datenschutz-Gesichtspunkten besonders unter die Lupe genommen werden müssen:
Anpassung des Internetauftritts
Der Internetauftritt ist gleichfalls an die Bestimmungen der DSGVO anzupassen. Eine Datenschutzerklärung muss die Website-Nutzer auf die DSGVO und ihre damit verbundenen Rechte hinweisen. Auch Analyse-Tools wie Google Analytics oder eine Verbindung zu Facebook, Twitter und Instagram sind zu berücksichtigen. Unternehmensauftritte in sozialen Netzwerken wie Facebook sind besonders sensibel zu behandeln, da hier die Möglichkeit der personenbezogenen Datenerhebung ohne Einwilligung besteht.
Bewerberdaten
Beim Umgang mit Bewerberdaten wird besondere Sensibilität gefordert. Es dürfen nur genau die Daten erhoben werden, welche für die tatsächliche Auswahl der Bewerberin oder des Bewerbers nötig sind. Alle Daten sind nach dem abgeschlossenen Bewerbungsverfahren zu löschen. Sie dürfen lediglich eine kurze Zeitspanne – in der Praxis bis zu maximal sechs Monaten – aufbewahrt werden, um Klagen aufgrund des Arbeitnehmer-Gleichstellungsgesetzes (AGG) abzuwehren.
E-Mail-Marketing und Newsletter
Der Versand von Werbung aller Art, z.B. auch Gewinnspiele, ist nur in sehr engen Grenzen erlaubt. Im Allgemeinen darf nur mit dem Kundenbestand gearbeitet werden. Die Gewinnung von neuen Interessenten ist nur nach vorheriger Zustimmung möglich, insbesondere auch bei Telefonverkauf.
Videoüberwachung
Auch Unternehmen setzen vermehrt auf diese Art der Überwachung, zumeist in allgemeinen zugänglichen Bereichen. Hier ist jedoch Vorsicht geboten, denn die Videoüberwachung stößt rechtlich schnell an ihre Grenzen. Videoüberwachung ist nur gestattet, wenn sie verhältnis- und zweckmäßig ist. Das Persönlichkeitsrecht der betroffenen Personen ist dabei stets zu berücksichtigen. Insbesondere an Arbeitsplätzen mit persönlichem Charakter ist eine Videoüberwachung nur unter strengen Auflagen gestattet. In Sozialräumen, also Toiletten oder Umkleidekabinen, ist sie grundsätzlich untersagt.
Umfragen
Im Fall von Marktforschung oder Umfragen werden systematisch Informationen über Meinungen, Einstellungen, Verhaltensweisen und persönliche Lebensumstände von natürlichen Personen erhoben und verarbeitet. Häufig handelt es sich auch um sensible Daten, wie Einkommen oder Gesundheitszustand. Die befragten Personen sind stets über ihre umfassenden Rechte aufzuklären und die Kontaktdaten des verantwortlichen Datenschutzbeauftragten zu nennen. Zudem ist eine Datenschutz-Folgenabschätzung vorzunehmen.
Foto- und Videoveröffentlichung
Bei Veröffentlichung von Mitarbeiterfotos oder Videos im Unternehmen steht dem Interesse des Arbeitgebers das Recht des Arbeitnehmers am eigenen Bild entgegen. Entsprechend der DSGVO müssen Arbeitgeber beachten, dass die Veröffentlichung des Fotos regelmäßig von der Einwilligung des Mitarbeiters im Sinne der DSGVO abhängig ist.