Datenschutz im Unternehmen – ein Überblick
Erfolgt innerhalb eines Unternehmens die Erhebung, Nutzung oder Verarbeitung personenbezogener Daten, so kommen die Normen des Bundesdatenschutzgesetzes (BDSG) zum Zuge. Dies kann durchaus als beschwerlich empfunden werden: Die Umsetzung der jeweiligen Vorschriften ist mit gesteigerten technischen und personellen Anstrengungen verbunden. Simultan schafft ihre Realisierung aber eine Vertrauensbasis – dasjenige Geschäft, welches Datenschutz groß schreibt, punktet beim Verbraucher. Welche Bestimmungen gilt es aber hierbei zu beachten? Der folgende Text verschafft einen Überblick.
10.08.2017
Das BDSG enthält obligatorische datenschutzrechtliche Reglementierungen für sowohl öffentliche als auch nicht öffentlich organisierte Institutionen und öffentlich-rechtliche Wettbewerbsunternehmen. § 27 BDSG definiert den Anwendungsbereich des rechtlich vorgegebenen sensiblen Umgangs: Betroffen sind solche personenbezogenen Daten, welche in automatisierten Dateien gespeichert und / oder aus automatisierten Prozesses zu Geschäftszwecken generiert wurden. Eine Verwendungseinschränkung dieser Daten wird mit § 28 Abs. 1 BDSG fixiert. Die Nutzung ist demzufolge nur in den folgenden Fällen rechtmäßig:
- bei rechtsgeschäftlichen Abläufen oder rechtsgeschäftsähnlichen Schuldverhältnissen, wenn obig genannte Daten von Nöten sind
- bei Vorliegen eines berechtigten Interesses des Unternehmens, sofern das Interesse des Betroffenen dem nicht zuwiderläuft
- in Verbindung mit allgemein zugänglichen Daten.
Die Zweckgebundenheit jedweder Datenverwendung ist gemäß § 28 Abs. 2 BDSG unverzichtbar. Fehlt sie, so ist eine Erhebung unzulässig. Eine Exklusive Zweckbindung besteht für alle Informationen, die nach § 31 BDSG ausnahmslos mit dem Bestrebenden der Datensicherheit, der Datenschutzkontrolle oder zur Gewährleistung eines „ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden“. Werden sie allerdings zur Verfolgung von Werbe- sowie Marketingzielen benötigt, so ist eine Zulässigkeit nur dann zu bejahen, wenn der Betroffene diesbezüglich sein Einverständnis erteilt. Im Falle eines Einspruchs ist eine Verwendung indes ausgeschlossen.
Unerlässlich ist zudem die unternehmerische Verpflichtung zur Auskunft gegenüber dem Betroffenen. Verlangt dieser die Preisgabe der zu seiner Person gespeicherten Daten sowie des damit verfolgten Zwecks, so müssen nicht öffentliche Stellen dieser Anfrage zwingend nachkommen. Lassen sich Inkorrektheit, Verjährung oder Überholung der entsprechenden Daten festzustellen, so hat eine Löschung, Richtigstellung oder zugangssichere Speicherung seitens des Betriebs zu erfolgen.
Grundsätzlich muss im Rahmen der Erhebung und Verarbeitung persönlicher Informationen die Zustimmung des Betroffenen eingeholt werden. Ab dem 25. Mai 2018 wird eine konkludente Einwilligung nicht mehr als zureichend erachtet – die neue EU-Datenschutzgrundverordnung (DSGVO) verlangt dann eine ausdrückliche, ersichtliche sowie qualifizierte Affirmation durch den Betroffenen; sein Entschluss muss erkennbar vermittelt werden. Kommt es zur Anonymisierung der jeweiligen Daten, so ist eine separate Abspeicherung von Informationen, welche eine genaue personelle Zuordnung dieser ermöglichen, angezeigt. Unternehmen obliegt außerdem die Pflicht zur Sicherstellung des Ausschlusses unbefugter Dritter vom Zugriff auf die jeweiligen angesammelten Daten. Hierfür ist der neueste systemtechnische Standard einzuhalten und alle nur möglichen Maßnahmen zum entsprechenden Schutze zu ergreifen.
Um den Regelungen des BDSG nachzukommen, muss das Unternehmen die eigenen Mitarbeiter entsprechend dieses Regelwerkes explizit und in Schriftform schulen. Sofern mit personenbezogenen Informationen umgegangen wird, greift die Verpflichtung des § 5 BDSG. Dieser verbietet die unberechtigte Erhebung, Nutzung sowie Verarbeitung. Jeglicher Verstoß kann mit einem Bußgeld von bis zu 300.000 € geahndet werden – im Ausnahmefall sogar mit mehr; auch strafrechtliche Auswirkungen sind nicht ausgeschlossen. Geht es um die Daten der Angestellten einer Firma, so ist eine Erhebung bzw. Verarbeitung lediglich dann legitim, wenn dies zur Schaffung oder Beendigung eines Anstellungsverhältnisses bzw. zur Ausführung der Tätigkeit unerlässlich ist. Zur Enthüllung eines Delikts – bei tatsächlichem und begründetem Verdacht – ist das Zusammentragen solcher Daten ausnahmsweise gestattet. Die obligatorische Auflage zur Bestellung eines betriebsinternen Datenschutzbeauftragten, sofern mehr als neun Personen kontinuierlich mit sensiblen Daten hantieren, ist daher von herausragender Relevanz.
Zum Schutze der verfassungsrechtlich verankerten informationellen Selbstbestimmung natürlicher Personen ist die betriebliche Datensicherheit unabdingbar. Um aber den, bald schon in Kraft tretenden, Regelungen der DSGVO zu entsprechen, müssen sich nicht öffentliche Institutionen nunmehr an die neuen Strukturen anpassen. Neuerungen liegen in der Stärkung der Verbraucherrechte.
Weitere Informationen zum Thema Datenschutz im Unternehmen finden Sie hier. Zudem bietet das vom Berufsverband der Rechtsjournalisten e.V. betriebene, kostenlose Ratgeberportal www.datenschutz.org viele weitere Informationen rund um das Thema Datenschutz, wie etwa öffentlicher Datenschutz, Datenschutz im Arbeitsrecht und Rechte des Betroffenen.