Antworten auf einige Fragen 

Das kleine Einmaleins des Datenschutz

Der Datenschutz ist ein Thema, das sich ständig verändert. Zum einen entwickelt sich die Technik fort. Zum anderen entwickeln die Aufsichtsbehörden und die Gerichte erst nach und nach verbindliche Vorgaben für die vielen Detailfragen in diesem Kosmos.

Aber zumindest ein paar Grundlagenfragen möchte ich an dieser Stelle schon einmal beantworten.

Für alle offen gebliebenen Fragen sprechen Sie mich gerne an. Wie so oft bei Rechtsfragen lassen sich vernünftige Antworten nur mit dem Blick auf den genauen Einzelfall finden.

Fragen und Antworten

Wen schützt der Datenschutz: Menschen oder Unternehmen?

Im Datenschutz geht es ganz klar nur um den Schutz von Menschen, nicht um den Schutz von Organisationen bzw. Unternehmen. Das steht so in Art. 1 DSGVO und der 1. Erwägungsgrund zur DSGVO unterstreicht noch mal, dass der Datenschutz ein Grundrecht der Menschen in der Europäischen Union ist.

Die Werte von Unternehmen wie z.B. ihre Geschäftsgeheimnisse, interne Dokumente, Patente und letztlich auch ihre Reputation, die durch Datenpannen stark beschädigt werden kann, werden in erster Linie von der IT-Sicherheit geschützt. IT-Sicherheit und Datenschutz widersprechen sich nicht, vor allem weil Datenschutz ohne IT-Sicherheit gar nicht möglich ist. Aber die Stoßrichtung der beiden Themen ist unterschiedlich: Der Datenschutz sorgt sich um die Rechte der Menschen, also der Mitarbeiter, der Kunden, Dienstleister, Bewerber, Besucher und – wenn z.B. der Kunde selbst eine juristische Person ist – der Mitarbeiter bei Kunden. Die IT-Sicherheit sorgt sich um die Belange des Unternehmens als Organisation.

Es ist wenig verwunderlich, dass das Interesse vieler Unternehmen an IT-Sicherheit größer ist als das am Datenschutz, der regelmäßig eher als Pflicht empfunden wird. Daher nenne ich immer gerne den Vergleich von Datenschutz und Brandschutz: Niemand hat Spaß an Brandschutzmaßnahmen, kaum ein Unternehmen erlöst durch Brandschutz unmittelbar neue Einnahmen und zum Glück brennt es auch relativ selten. Und dennoch will ganz sicher auch niemand, dass es jemals brennt und dabei Menschen oder Sachwerte zu Schaden kommen. Genauso sollte es mit dem Datenschutz sein: Niemand möchte, dass es zu Datenschutzpannen kommt. Und jeder freut sich, wenn er stressfrei durch eine Prüfung der Datenschutzbehörden – sozusagen den Brandschutzbehörden des digitalen Lebens – durchkommt.

Warum sollte ich als Unternehmer den Datenschutz ernst nehmen?

Zum einen verweise ich auf den Vergleich von Datenschutz und Brandschutz in der Antwort zuvor. Zum anderen gibt es ganz pragmatische Gründe für den Datenschutz:

  • Wer seinen Datenschutz im Griff hat, muss keine Anordnungen der Aufsichtsbehörden fürchten, vor allem keine Bußgelder.
  • Mit gutem Datenschutz sollte die Gefahr einer schweren Reputationspanne deutlich geringer ausfallen. Mit Unternehmen, von denen größere Datenpannen öffentlich werden, wollen viele Geschäftspartner nicht mehr gerne Geschäfte machen. Oft auch, weil eigene Compliance-Vorschriften es der Geschäftsführung verbieten, mit Firmen weiter zusammenzuarbeiten, die entsprechend auffällig geworden sind.
  • Der Datenschutz ist meist nur wirklich aufwändig, wenn er nachträglich für bestehende Prozesse etabliert werden muss. Wenn er von Beginn an mitgedacht wird, wie es die DSGVO z.B. durch die Vorschriften zu „Privacy by design“ und „Privacy by default“ vorschreibt, ist er regelmäßig eher unproblematisch zu erreichen.
  • Mangelhafter Datenschutz bietet vor allem eine offene Flanke, wenn es zu Auseinandersetzungen mit Mitarbeiterinnen und Mitarbeitern kommt. Trennt man sich im Unfrieden, wird gerne schmutzige Wäsche gewaschen und niemand kann die Behörden so gezielt auf Nachlässigkeiten hinweisen wie jemand, der diese Nachlässigkeit im Unternehmensalltag mit angesehen hat.
  • Oft sind die relativ frischen datenschutzrechtlichen Vorschriften eine am Ende des Tages willkommene Gelegenheit althergebrachte Prozesse noch einmal neu zu denken und zu reformieren. In vielen Fällen führen datenschutzrechtliche Vorgaben dazu, unzulängliche IT-Sicherheitsmaßnahmen auf einen zeitgemäßen Stand zu bringen.
Was sind die wichtigsten Aufgaben, die sich aus dem Datenschutz ergeben?

Als Datenschutzbeauftragter muss ich meine Kunden natürlich darauf hinweisen, dass alle Pflichten aus der DSGVO und dem Bundesdatenschutzgesetz wichtig sind. (Fast) jeder Verstoß kann von den Aufsichtsbehörden mit einem Bußgeld geahndet werden. Aber dennoch gilt auch der pragmatische Rat, dass man zuerst alles in Ordnung bringen sollte, was Außenwirkung entfaltet. Das sind regelmäßig:

  • Beim Betrieb einer Website der Datenschutzhinweis dort. In erster Linie informiert er über die Verarbeitungen, die allein durch den Besuch der Website ausgelöst werden. Er kann aber auch über weitere Verarbeitungen informieren, die im weiteren Kontakt mit dem Betreiber der Website entstehen können.
  • Beim Umgang mit Kunden, z.B. Bestellern von Waren oder Dienstleistungen, Patienten oder auch Vereinsmitgliedern, müssen diese auch über die typischerweise stattfinden Verarbeitungen in Bezug auf die Kundendaten informiert werden. Diese Information muss immer vor Beginn der Verarbeitung stattfinden. Altkunden müssen also nicht erneut informiert werden, wenn sich an den Verarbeitungsprozessen nichts nennenswertes verändert hat. Aber alle Neukunden muss eine Information angeboten werden. Ob der Kunde sie liest, ist irrelevant. Auf keinen Fall soll der Kunde sich mit der Information einverstanden erklären, denn das Einholen von Einwilligungen ist etwas ganz anderes als die Information.
  • Für alle Datenverarbeitungen, deren Rechtmäßigkeit sich auf keinen anderen Grund nach Art. 6 DSGVO stützen lässt als das Einverständnis der betroffenen Person, müssen die erforderlichen Einwilligungen eingeholt und dokumentiert werden.
  • Sollten in einem Unternehmen zehn oder mehr Personen mit Datenverarbeitungen befasst sein (Daumenwert: Zehn Personen im Unternehmen haben eine E-Mail-Adresse), benötigt das Unternehmen nach § 38 Bundesdatenschutzgesetz einen Datenschutzbeauftragten, dessen Aufgaben in Art. 37 DSGVO beschrieben sind.
  • Soweit ein Unternehmen seinen Kunden gegenüber als Auftragsverarbeiter nach Art. 28 DSGVO aktiv wird, muss es dringend einen Auftragsverarbeitungsvertrag (AVV) abschließen, um gegenüber den betroffenen Personen nicht selbst als Verantwortlicher haften zu müssen.
  • Seine Mitarbeiter sollte man über die Datenverarbeitungen im eigenen Unternehmen informieren und vor allem darauf hinweisen, welche Programme alles sogenannte Logfiles erstellen (also protokollieren, wann welche Person was mit dem Programm gemacht hat).
  • Zudem müssen die Mitarbeiter im Datenschutz geschult werden, wobei der Umfang der Schulung abhängig ist vom Umfang der Datenverarbeitungen, für die die jeweiligen Mitarbeiter verantwortlich sind.
  • Alle Mitarbeiter sollten erneut auf die Vertraulichkeit verpflichtet werden und diese Verpflichtung jährlich mit einer neuen Unterschrift bestätigen.
  • Parallel zu den hier genannten Punkten sollten die markantesten Sicherheitslücken in den eigenen IT-Systemen, wenn es sie denn gibt, geschlossen werden.
Welche weiteren Pflichten legt die DSGVO den Unternehmen auf?

Neben den eben genannten Pflichten, die schon allein wegen ihrer Außenwirkung als wichtig einzustufen sind, gibt es viele weitere Aufgaben, die die DSGVO den für den Datenschutz Verantwortlichen auferlegt:

  • Jedes Unternehmen muss als Übersicht aller seiner typischerweise stattfinden Datenverarbeitungsprozesse ein sogenanntes Verarbeitungsverzeichnis nach Art 30 DSGVO anlegen (unter dem alten Bundesdatenschutzgesetz sprach man vom Verfahrensverzeichnis). Ein großer Vorteil des Verarbeitungsverzeichnisses ist regelmäßig, dass vielen Unternehmen beim Erstellen erst wirklich bewusst wird, in wie vielfältiger Form sie personenbezogene Daten verarbeiten.
  • Mit allen Dienstleistern, deren Arbeit mit Blick auf Datenverarbeitungen als weisungsgebunden eingestuft werden muss, sollte man dringend Auftragsverarbeitungsverträge (AVVs) abschließen. Das gilt z.B. auch für das Reinigungspersonal, wenn es nicht beim Unternehmen direkt angestellt ist. Denn Reinigungspersonal putzt zwar nicht weisungsgebunden, handelt aber beim Entleeren der Papierkörbe – die Schriftstücke mit personenbezogenen Daten enthalten können – weisungsgebunden. Insgesamt ist es immer wieder umstritten, ob eine bestimmte Dienstleistung einer AVV bedarf. Hier werden die Gerichte noch wiederholt für Klarstellungen sorgen müssen. Der Vorteil einer AVV: Auftraggeber und Auftragnehmer werden gegenüber den betroffenen Personen, deren Daten verarbeitet werden, als eine Einheit betrachtet und Einwilligungen müssen nicht doppelt eingeholt werden und Datenschutzhinweise nicht mehrfach gegeben werden.
  • Unternehmen sollten Standardprozesse etablieren für das Melden von Datenpannen, das Löschen von Daten (sowohl auf Wunsch der Betroffenen wie nach Ablauf der zulässigen Aufbewahrungszeiten), für Auskunftsverlangen von Betroffenen, die Durchführung einer Datenschutz-Folgenabschätzung und alle weiteren Standardverfahren, die die DSGVO verlangt.
  • Grundsätzlich sollten Unternehmen den Zustand ihrer IT-Sicherheit auf ein vorbildliches Niveau heben.