Checkliste für Datenschutz im Unternehmen

Sobald ein Unternehmen personenbezogene Daten erhebt, nutzt oder verarbeitet, gelten die Bestimmungen des Bundesdatenschutzgesetzes (BDSG). Seit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 gelten europaweit dieselben Standards. Für Unternehmen bedeutet dies, dass viele Prozesse verändert werden müssen, um den Datenschutzbestimmungen gerecht zu werden. Andernfalls drohen empfindliche Strafen. Mit der nachfolgenden Aufzählung soll Unternehmen eine Checkliste an die Hand gegeben werden, mit denen sie ihr Datenschutzmanagement auf Vollständigkeit überprüfen können. Zu beachten ist allerdings, dass die DSGVO sehr jung ist und bei manchen Vorschriften die Auslegungspraxis der Rechtsprechung noch fehlt.

Die Definition von personenbezogenen Daten findet sich in Art. 4 Nr. 1 DSGVO. Umfasst sind alle Informationen, die sich auf eine bestimmte oder identifizierbare natürliche Person beziehen. Mit Verarbeitung (Art. 4 Nr. 2 DSGVO) gemeint ist jedes mit oder ohne Hilfe automatisierte Verfahren rund um die Speicherung, Erfassung, Organisation, Ordnung, Verwendung, Offenlegung, Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung.

Gemäß Art. 5 Absatz 2 DSGVO ist das Unternehmen für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten rechenschaftspflichtig. Auf Nachfrage der Datenschutzbehörde muss das Unternehmen nachweisen können, dass die personenbezogenen Daten rechtskonform verarbeitet wurden und trägt dafür die Beweislast.

Die auf Datenschutzrecht spezialisierte Rechtsanwaltskanzlei Plutte aus Mainz benennt folgende Punkte auf einer Checkliste für Unternehmen, die dokumentiert werden sollten (ohne Anspruch auf Vollständigkeit):

1. Erfassung aller Datenverarbeitungsvorgänge

Alle Datenverarbeitungsvorgänge sollten zunächst erfasst werden. Dies betrifft insbesondere folgende Personengruppen:

1. Kunden und Geschäftspartner (u.a. Kontakt- und Kontodaten)
2. Arbeitnehmer (Kontakt- und Kontodaten, Arbeitsverträge, Arbeitszeiten und Fotos für die Unternehmenswebsite)
3. Bewerber und Websitebesucher (Bewerbungsunterlagen und Cookies)

2. Festlegung der Rechtsgrundlagen

Im zweiten Schritt sollten die Rechtsgrundlagen für die Datenverarbeitung festgelegt werden. Beschäftigtendaten richten sich bspw. nach § 26 Bundesdatenschutzgesetz (BDSG). Die Verarbeitung aller anderen Daten ist in der DSGVO geregelt (Art. 6 DSGVO). Folgende Tatbestände erlauben die Verarbeitung von Daten:

1. Einwilligung (Art. 6 Abs. 1 Satz 1 lit. a DSGVO)
2. Die Verarbeitung dient der Erfüllung eines Vertrags mit den betroffenen Personen inklusive vorvertraglicher Maßnahmen (Art. 6 Abs. 1 Satz 1 lit. b DSGVO)
3. Der Verantwortliche ist zur Datenverarbeitung verpflichtet (Art. 6 Abs. 1 Satz 1 lit. c DSGVO)
4. Das berechtigte Interesse an der Datenverarbeitung überwiegt die Interessen und Rechte der betroffenen Personen (Art. 6 Abs. 1 Satz 1 lit. f DSGVO)

3. Einwilligung einholen

Häuft bleibt bei der Prüfung der Erlaubnistatbestände aus Art. 6 DSGVO lediglich die Einwilligung übrig. Wenn diese nicht vorliegt, muss sie neu eingeholt werden.

4. Datenminimierung

Personenbezogene Daten sollten nur für den Zeitraum und in dem Maße gespeichert werden wie es unbedingt erforderlich ist. Nach Zweckerreichung müssen die Daten unverzüglich gelöscht werden (Art. 17 Abs. 1 lit. a DSGVO)

5. Informationspflichten

Sehr ernst genommen werden sollten auch die Informationspflichten gem. Art. 13f. DSGVO. Die Betroffenen müssen bei der Erhebung von Daten hierüber informiert werden. Die Informationsschreiben müssen dabei in präziser und verständlicher Sprache geschrieben sein (Art. 12 Abs. 1 DSGVO). Ein Beispiel dafür ist die Datenschutzerklärung auf der Website.

6. Datenschutzbeauftragter

Ein Datenschutzbeauftragter, der gem. Art. 37 Abs. 5 DSGVO über ausreichendes Fachwissen auf dem Gebiet des Datenschutzrechts vorweisen können muss und ein Mitarbeiter des Unternehmens sein kann, muss ernannt werden, wenn einer der folgenden Punkte auf das Unternehmen zutrifft:

1. Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Datenverarbeitungen, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordert (Art. 37 Abs. 1 lit. b DSGVO). Davon umfasst sind Fälle, in denen gezielt Informationen größeren Umfangs beschafft werden und dies nicht nur eine reine Hilfstätigkeit für den Hauptzweck des Unternehmens darstellt (Vgl. Kühling/Buchner/Bergt, DSGVO Kommentar, Art. 37, Rn. 18 ff.)
2. Die Kerntätigkeit besteht in der umfangreichen Verarbeitung sensibler Daten nach den Art. 9 und 10 DSGVO
3. In dem Unternehmen sind mindestens zehn Personen ständig mit der autorisierten Verarbeitung personenbezogener Daten beschäftigt (Art. 38 Abs. 1 S.1 BDSG). Auch Teilzeitbeschäftigte und geringfügig Beschäftigte (sogenannte Minijobber) werden mitgezählt
4. In dem Unternehmen werden Datenverarbeitungen vorgenommen, die einer Datenschutzfolgenabschätzung gem. Art. 35 DSGVO unterliegen
5. Das Unternehmen verarbeitet personenbezogene Daten für geschäftsmäßige Datenübermittlung oder Markt- und Meinungsforschung (§ 38 Abs. 1 S. 2 BDSG)

Durch die hohen Bußgelder (gem. Art. 83 DSGVO bis zu vier Prozent des weltweit erwirtschafteten Umsatzes) wird im Zweifel dazu geraten, einen Datenschutzbeauftragten zu bestellen.

7. Betroffenenrechte

Folgende Ansprüche haben betroffene Personen gegenüber dem datenverarbeitenden Unternehmen:

1. Jede Person darf gem. Art. 15 DSGVO umfassend Auskunft über sie betreffende personenbezogene Daten verlangen. In der Auskunft enthalten sein müssen der Verarbeitungszweck, die Empfänger von Daten und die geplante Dauer der Speicherung
2. Jede Person hat gem. Art. 16, 17 DSGVO ein Recht auf Berichtigung oder Löschung und kann verlangen, dass nur richtige Informationen über sie verarbeitet werden. Ggf. müssen unrichtige oder unvollständige Daten geändert, ergänzt oder gelöscht werden
3. Hat das Unternehmen Daten einer betroffenen Person öffentlich gemacht und ist nun zur Löschung verpflichtet, muss das Unternehmen auch andere Verantwortliche, die die Daten durch die Veröffentlichung erlangt haben, von dem Löschbegehren unterrichten (bspw. Facebook oder Google)

Alle Rechte können vom Betroffenen formfrei geltend gemacht werden.

8. Auftragsverarbeitung

Wenn das Unternehmen die Datenverarbeitung ganz oder teilweise an Dritte ausgegliedert hat, muss mit dem Auftragsverarbeiter ein Vertrag geschlossen werden, der gewährleistet, dass der Auftragsverarbeiter nur im Rahmen der Weisungen des Unternehmens handelt und die Daten rechtmäßig verarbeitet werden.

9. Datensicherheit

Art. 32 DSGVO verlangt, dass geeignete technische und organisatorische Maßnahmen getroffen werden müssen, um ein angemessenes Schutzniveau der Daten zu gewährleisten. Je höher das Schutzniveau der Daten, desto strenger die Anforderungen an die Sicherheit (bspw. Verschlüsselung, Wiederherstellbarkeit nach Zwischenfällen).

10. Meldepflicht bei Datenverletzungen

Wenn es zu einer Datenpanne kommt, ist das Unternehmen gem. Art. 33, 34 DSGVO verpflichtet, dies der Datenschutzbehörde und der betroffenen Person zu melden.