Die Diskussion um den Daten-schutz in Deutschland wird dominiert von politischen Buzz-Words wie Facebook, Google & Co. Daneben werden Datenlecks wie z.B. bei Sony be-kannt, die aber eher die technische Datensicherheit betreffen. Der Praktiker bleibt weitgehend allein mit der Frage, was konkret zu tun ist.

 

Aus seiner Erfahrung haben wir einige typische Punkte herausgegriffen. Natürlich ersetzt dies keine unternehmensspezifische Analyse. Aber durch Regelung folgender Themen, kann - im Sinne einer 80/20-Regel - ein Unternehmen seine Datenschutzorganisation deutlich verbessern.

Zur besseren Praktikabilität wird auf das Zitieren von Paragraphen verzichtet und bewusst vereinfacht dargestellt.

Grundsätzliches

Grundlage des Datenschutzes ist das Bundesdatenschutzge-setz (BDSG), das die Verarbei-tung personenbezogener Daten regelt. Betriebs- und Geschäftsgeheimnisse wie For-meln oder Verfahren fallen nicht unter den Datenschutz, da nicht personenbezogen.

Ferner gilt im Datenschutz das „Verbot mit Erlaubnisvorbehalt“, d.h. jegliche Datenerhebung, -verarbeitung und –nutzung ist verboten, wenn sie nicht durch Einwilligung oder Ausnahme im Gesetz erlaubt ist.

 

1. Der Kundendatenschutz

Bei Kaufverträgen gilt z.B. die Ausnahme, dass zur Durchführung notwendige Daten erhoben und verarbeitet werden dürfen. Für alles andere ist eine wirksame und dokumentierte Einwilligung des Kunden notwendig, z.B. Erhebung zusätzlicher Daten, für Upselling, Newsletter-Versand. Dies gilt besonders bei Kaufinteressenten. Im B2B Geschäft reicht es hingegen, wenn eine Einwilligung vermutet werden kann.

Bei der Kundenansprache ist zudem das UWG (Gesetz gegen unlauteren Wettbewerb) zu beachten, das insbesondere elektronische Kanäle (Email, Fax) aber auch Telefonanrufe erheblich einschränkt. Hier können Fehler abmahnbar sein.

Sie sind unsicher? Gerne helfen wir!

 

2. Der Mitarbeiter-/ Beschäftigtendatenschutz

Auch hier gilt, dass alle für die Durchführung des Arbeitsver-hältnisses notwendigen Daten verarbeitet werden dürfen, wobei „notwendig“ eng auszulegen ist. Dies manifestiert sich u.a. im Fragerecht bei Bewerbergesprächen. So sind Fragen tabu, die sich nicht auf die fachliche Eignung des Bewerbers beziehen, etwa nach kultureller Herkunft oder Schwangerschaft. Der Bewerber dürfte in dem Fall sogar die Unwahrheit sagen. Zudem besteht die Gefahr eines schadensersatzpflichtigen Verstoßes gegen das AGG (Allgemeines Gleichbehandlungsgesetz). Ebenso ist das „googeln“ von Bewerbern unzulässig, selbst wenn die Praxis häufig anders aussieht.

 

Häufig unterschätzt sind die Folgen von erlaubter oder geduldeter Privatnutzung von Telefon, Internet und Email. Da private und geschäftliche Kommunikation sich kaum trennen lässt, darf die gesamte Kommunikation nur mit Einwilligung des Betroffenen eingesehen werden. Dies gilt z.B. für die Erstellung von Einzelverbindungsnachweisen, Web- und SPAM-Filtering und Einsicht in Emails bei unerwarteter Abwesenheit des Mitarbeiters.

 

Schriftlich geregelt werden sollte auch die Nutzung von Mitarbeiter-Fotos. Nicht wenige Unternehmen überrascht die Sensibilität hinsichtlich des Persönlichkeitsrechts nach Kündigungen und sie müssen Werbematerial einstampfen. Gerne helfen wir bei der Formulierung!

 

Weil in den Arbeitsverträgen zwar regelmäßig auf Geschäftsgeheimnisse, nicht aber auf das Geheimnis personenbezogener Daten verpflichtet wird, schreibt der Gesetzgeber dies im BDSG nochmal vor.

Besondere Vorsicht ist geboten bei jeder Form der Mitarbei-terüberwachung – auch wenn nicht aktiv betrieben oder Daten primär für andere Zwecke erhoben wurden. Insbesondere bei Videoüberwachung und Überwachung von privater Internetnutzung sollte fachliche Expertise hinzugezogen werden.

 

3. Datenübermittlung an Dritte und Dienstleister

Für jede Weitergabe von Daten ist zu prüfen, ob ein gültiger Erlaubnistatbestand vorliegt. Das Datenschutzrecht kennt zudem keinen Konzern: verbundene Unternehmen gelten wie fremde Dritte.

Dienstleister, die im Auftrag Daten verarbeiten sind besonders zu verpflichten. Das BDSG legt in §11 zehn schriftlich zu regelnde Punkt fest.

Auch die internationale Daten-verarbeitung außerhalb der EU ist für viele Unternehmen relevant, wenn z.B. Dienstleister wie Amazon (Cloud Services) oder Google (Analytics) Daten verarbeiten. Dann sind beson-dere Maßnahmen zur Absicherung zu treffen.

 

4. Datensicherheit

Die technische Datensicherheit ist nicht nur unternehmerisches Interesse, sondern mit §9 BDSG auch Verpflichtung. Da aber viele IT-Dienstleister diesen Markt bearbeiten, sei an dieser Stelle nur darauf verwiesen, dass es durchaus Sinn macht, die tatsächliche Sicherheit von unabhängigen Spezialisten von Zeit zu Zeit überprüfen zu lassen.

Gerne empfehlen wir Ihnen Spezialisten für das, was wirklich notwendig ist.

 

5. Übergreifende Compliance

Das BDSG schreibt mit dem sog. Verfahrensverzeichnis eine Dokumentation aller da-tenverarbeitenden Prozesse und Systeme im Unternehmen vor, die ständig aktuell vorzu-halten ist. Dies ist nicht nur bei Auskunftsanfragen ein hilfrei-ches Tool. Bei der Erstellung fallen oft Redundanzen auf, die zu Kosteneinsparungen führen.

Auch stellt sich die Frage, ob das Unternehmen einen Datenschutzbeauftragten (DSB) bestellen muss. Dies ist – vereinfacht und abgesehen von Ausnahmen - dann erforderlich, wenn mehr als 9 Mitarbei-ter regelmäßig am PC arbeiten.

Jedoch nutzen alle Vorkehrun-gen wenig, wenn die Mitarbei-ter sich nicht für den Daten-schutz engagieren. Daher empfehlen sich jährliche Sensibilisierungs-Maßnahmen, die auch als Webinare online angeboten werden.

 

 

Dieser Artikel bietet keine auf den Einzelfall zugeschnittene rechtliche Lösung und ist daher kein Ersatz für eine rechtliche Beratung.

Es wird nur auszugsweise auf die rechtlichen Anforderungen des Datenschutzes in Deutsch-land eingegangen und bewusst vereinfacht.

Gerade bei komplexen Fällen können leicht falsche Schluss-folgerungen gezogen werde. Gerne beraten wir Sie in Ihrem konkreten Fall oder finden einen Experten für Sie.