Datenschutz im Fokus

Datenschutz – der richtige Umgang mit Daten- und IT-Sicherheit

Was bedeutet der Begriff „Datenschutz“?

In den letzten Jahren hat der Begriff des Datenschutzes für Unternehmen und Privatpersonen stark an Bedeutung gewonnen. Unter Datenschutz wird zum einen der Schutz vor missbräuchlicher Datenverarbeitung und im Zuge dessen auch Schutz des Persönlichkeitsrechts verstanden. Zum anderen bezieht sich der Datenschutz darauf, dass das Recht auf informationelle Selbstbestimmung geschützt und der Schutz der Privatsphäre gewährleistet wird.

Spätestens seit der EU-Datenschutz-Grundverordnung ist das Thema Datenschutz nicht nur für große und mittlere Unternehmen, sondern auch für kleine Firmen und Einzelunternehmer von Bedeutung. Unternehmen müssen ihre IT-Systeme umfangreich absichern, um den geforderten Schutz zu gewährleisten. Ein funktionierendes IT-Sicherheitskonzept kann dabei aus bewährten Sicherheitstechnologien, der Bereitschaft, diese immer auf dem aktuellsten Stand zu halten, und Maßnahmen im Falle eines Datenlecks  bestehen.

Die Datenschutz-Grundverordnung (DSGVO)

Die am 25. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in ganz Europa. Sie gewährt innerhalb Europas einen starken und einheitlichen Datenschutz. Gleichzeitig wird mithilfe der enthaltenen Regeln der freie Datenverkehr weiterhin ermöglicht.

Für eine Erhebung und Verarbeitung von Daten reicht es nicht mehr aus, dass eine Person stillschweigend eingewilligt hat. Mit der DSGVO dürfen personenbezogene Daten zu Werbezwecken, zum Adresshandel oder zu Marketingstrategien nur noch genutzt und verarbeitet werden, wenn die betroffene Person dieser Verwendung ausdrücklich schriftlich zugestimmt hat. Ein Nutzungsverbot der Daten besteht, sobald der oder die Betroffene der Datennutzung zu diesen Zwecken widerspricht. Außerdem gilt das Kopplungsverbot, wonach Unternehmen den erfolgreichen Vertragsabschluss nicht von der Einwilligung der betroffenen Person abhängig machen dürfen.

Halten sich Unternehmen nicht an die Vorgaben der Verordnung, können sie bei Verstößen gegen den Datenschutz mit einem Bußgeld in Höhe von bis zu 20 Millionen Euro oder bis zu 4 % ihres weltweiten Umsatzes bestraft werden.

Warum Datenschutz und IT-Sicherheit so wichtig sind

IT-Sicherheit und Datenschutz sind im Grunde bereits dann von Bedeutung, wenn im Unternehmen Computer genutzt und personenbezogene Daten erhoben oder verarbeitet werden. Natürlich stellt die Datensicherheit im Unternehmen einen hohen personellen und vor allem technischen Aufwand dar. Sie kann jedoch auch als Chance gesehen werden. Ein Unternehmen, welches die Daten seiner Kunden besonders gut schützt, schafft Vertrauen und kann so indirekt zu einer positiven Kaufentscheidung seiner Kunden beitragen.
Warum Datenschutz und IT-Sicherheit so wichtig sind

Aus unternehmerischer Sicht ist der Datenschutz auch deshalb wichtig, weil seit dem Inkrafttreten der Verordnung ein Nichtbeachten der Vorgaben schmerzhafte Konsequenzen hat. Die Konsequenzen bei mangelndem Datenschutz bzw. bei Ordnungswidrigkeiten in diesem Bereich können in zwei Klassen aufgeteilt werden: Wird zum Beispiel gegen die Meldepflicht, die Zweckbindung der gespeicherten Personendaten oder die Auskunftspflicht bei Sicherheitsproblemen verstoßen, sieht die DSGVO ein Bußgeld in Höhe von 50.000 Euro vor. Werden unbefugt Personendaten erhoben, wird die Datenermittlung erschlichen oder gegen die Informationspflicht verstoßen, kostet dies bis zu 300.000 Euro Bußgeld. Dasselbe gilt auch für die Nutzung personenbezogener Daten zu Werbezwecken, obwohl der oder die Betroffene diese widerrufen hat.

Maßnahmen zum Datenschutz

Sind dauerhaft mehr als zehn Personen mit der Datenerhebung und -verarbeitung beschäftigt, ist das Unternehmen dazu angehalten, einen Datenschutzbeauftragten zu ernennen. Dieser muss unabhängig sein und ist für die Einhaltung der Datensicherheit im Unternehmen zuständig. Er muss die Maßnahmen zum Datenschutz regelmäßig kontrollieren, neu bewerten und bei Bedarf anpassen.

Allgemein gilt für Unternehmen, dass gespeicherte Daten vor unbefugtem Zugriff und einem damit einhergehenden möglichen Datenmissbrauch mit allen zur Verfügung stehenden Mitteln geschützt werden müssen.
Maßnahmen zum Datenschutz

Maßnahmen sind beispielsweise Anti-Viren-Software und Firewalls auf allen Computern im Unternehmen, sichere Passwörter sowie regelmäßige Updates auf allen Geräten. Für die interne und externe Kommunikation sollten Verschlüsselungssysteme genutzt werden, damit ausgeschlossen wird, dass unternehmensinterne Daten von Dritten eingesehen werden können.

Nicht mehr genutzte Daten sollten gelöscht werden, sofern die Löschung nicht einer gesetzlichen Aufbewahrungspflicht widerspricht und der ursprüngliche Zweck der Datenspeicherung entfällt. Hierbei ist es auch wichtig, Daten in ausgedruckter Form (z. B. in Akten) und in alten Backups zu vernichten. Der Datenschutz im Internet betrifft außerdem Firmen-Internetseiten. Auch hier dürfen personenbezogene Daten nur mit ausdrücklicher Zustimmung der Betroffenen gespeichert und veröffentlicht werden (z. B. Fotos, Namen, IP-Adressen).

Datenschutz betrifft jeden einzelnen Mitarbeiter

Nicht nur das Unternehmen als Ganzes, sondern auch jeder einzelne Mitarbeiter spielt eine große Rolle bei der Datensicherheit.

Jedes Unternehmen hat die Pflicht, seine Mitarbeiter aufzuklären, wie deren personenbezogene Daten (z. B. Geburtsdatum, Adresse, Krankenversicherung, Arbeitsvertrag) gespeichert werden und zu welchem Zweck diese benötigt werden. Voraussetzung für eine Speicherung dieser Daten ist immer das Einverständnis eines jeden Mitarbeiters.
Datenschutz betrifft jeden einzelnen Mitarbeiter

Alle Arbeitnehmer müssen sich außerdem darüber im Klaren sein, ob und wie sie die Daten von Kunden (oder auch Patienten) nutzen dürfen. Kundendaten dürfen nur zweckgebunden erhoben und gespeichert werden, nachdem für die Verarbeitung ein schriftliches Einverständnis des Kunden eingeholt worden ist. Jeder Kunde besitzt außerdem eine Widerrufsmöglichkeit und kann jederzeit eine Löschung seiner Personendaten verlangen.

Natürlich betrifft der Datenschutz auch andere sensible Daten eines Unternehmens. Sind Daten zu Finanzen, Arbeitsabläufen oder Patenten für Außenstehende erreichbar, kann dies für ein Unternehmen erhebliche Nachteile und Umsatzeinbußen nach sich ziehen.

Besonders neue Mitarbeiter sollten deshalb direkt zu Beginn ausführlich über IT-Sicherheitsmaßnahmen zum Datenschutz aufgeklärt werden. Unternehmensinterne Verstöße gegen den geltenden Datenschutz sollten geahndet werden. Im Falle eines Datenlecks sollte das Unternehmen über einen Notfallplan verfügen, der Maßnahmen für einen solchen Fall vorgibt.

Nach außen braucht ein Unternehmen außerdem eine rechtmäßige Datenschutzerklärung, die unkompliziert zu finden, öffentlich einsehbar und verständlich formuliert ist.

Schulen Sie sich und Ihre Mitarbeiter im Datenschutz

Da mit Inkrafttreten der neuen Datenschutzgrundverordnung der Datenschutz und die IT-Sicherheit nicht mehr nur IT-Mitarbeiter betrifft, sind regelmäßige Weiterbildungen zum Thema Datenschutz für alle Mitarbeiter empfehlenswert. Neben vielen verschiedenen Datenschutz-Seminaren gibt es auch die Möglichkeit einer Ausbildung zum betrieblichen Datenschutzbeauftragten. Dieser übernimmt in einem Unternehmen die führende Rolle beim Datenschutz und sorgt dafür, dass die Firma jederzeit auf dem neuesten Stand zum Thema ist.

Weiterbildungen zum Thema Datenschutz beim IBB