Datenschutz im Unternehmensalltag

Mit der Einführung der EU-DSGVO hat sich der Alltag im Unternehmen etwas gewandelt. Zwar waren viele datenschutz-rechtliche Vorgaben bereits in der Gesetzgebung vorhanden, wurden jedoch nicht so streng ausgelegt. Daher folgten viele Einschnitte und Umstrukturierungsmaßnahmen, um im Tagesgeschäft den Datenschutz umzusetzen. In diesem Artikel finden Sie zusammengefasst die wichtigsten Punkte, wie auch Sie den Datenschutz im Unternehmensalltag optimal umsetzen.

Datenschutz im Unternehmen

1. Der Datenschutzbeauftragte

In vielen Unternehmen ist der Datenschutzbeauftragte ein wichtiger Anker geworden. Er hilft bei der Umsetzung der Verpflichtungen gegenüber der DSGVO. Man kann ihn intern benennen oder einen externen Dienstleister beauftragen. Der interne Datenschutzbeauftragte muss dafür extra geschult werden. Externe Auftragsdienstleister sind speziell auf das Thema Datenschutz geschult, aber im allgemeinen auch sehr teuer. 

Ob ein Datenschutzbeauftragter benannt werden muss, hängt von der Unternehmensgröße ab. Nachdem momentan 10 Mitarbeiter als Obergrenze gelten, wird die maximale Anzahl an Mitarbeitern eines Unternehmens, das keinen Datenschutzbeauftragten angeben muss, demnächst auf 20 Mitarbeiter anwachsen. In jedem Fall sollte ein Unternehmen zumindest eine Person haben, die sich mit der Thematik auskennt.

2. Datenschutzerklärungen

Die Ausmaße der Datenschutzgrundverordnung wurden erst nach der Einführung so richtig klar. Spätestens nachdem jedes Fachgeschäft, vom Optiker bis zur örtlichen Apotheke, ihre Kunden für eine Unterschrift zur neuen Datenschutzerklärung heran bitten musste, ist auch dem letzten Kleinunternehmer bewusst geworden, wie wichtig und zeitintensiv das Thema Datenschutz ist. 

Der besondere Fokus bei Datenschutzerklärung liegt aber bei Internet-Webseiten. Jeder Seiten-Inhaber ist verpflichtet, eine Datenschutzerklärung einzurichten und die Besucher über die Datenverarbeitung zu informieren. Weiterhin muss die Erlaubnis zur Verwendung von personenbezogenen Daten und Speicherung vom Nutzer eingeholt werden.

3. Verzeichnis von Verarbeitungstätigkeiten

Die Dokumentationspflicht ist ein wichtiger Faktor geworden, wodurch die Datenverarbeitung etwas genauer unter die Lupe genommen wird. Jede Verarbeitungstätigkeit soll nun in einem Verzeichnis geführt werden. Außerdem wird eine verantwortliche Person jeder Verarbeitungstätigkeit zugewiesen.

Weiterhin muss der Zweck der Verarbeitung festgehalten werden. Liegt fest, um welche Art von Daten es sich handelt, definiert der Bearbeiter auch die Löschfristen, um den gesetzlichen Anforderungen zu entsprechen.

4. Vertrag zur Auftragsverarbeitung

Werden die personenbezogenen Daten extern verarbeitet, muss mit dem Dienstleister ein Vertrag zur Auftragsverarbeitung geschlossen werden. Solche AV-Verträge legen die Pflichten und Verantwortlichkeiten beider Parteien hinsichtlich der Datenverarbeitung fest.

5. Verpflichtung zur Vertraulichkeit

Als Angestellter in einem Unternehmen besteht ständiger Kontakt zu personenbezogenen Daten. Von der Auftragsabwicklung, über die Kommissionierung, bis hin zur telefonischen Beratung werden Kundendaten den Mitarbeitern ausgehändigt.

Seit der DSGVO müssen alle Mitarbeiter schriftlich sich verpflichten, solche Daten vertraulich, also geheim, zu halten. Das betrifft besonders die Nutzung von privaten Handy’s oder Laptop’s für Firmentätigkeiten, da es nicht rechtens ist, intern gespeicherte, personenbezogene Daten außerhalb des Unternehmens zu verwenden.

6. TOM: Technische und organisatorische Maßnahmen

Für den Umgang mit personenbezogenen Daten wurde das Konzept TOM entwickelt. Im ersten Schritt ist die Einführung von Mitarbeiter-Benutzerkonten wichtig. Zum einen darf nicht jeder Mitarbeiter alle Daten einsehen, zum anderen müssen auch seine Daten geschützt werden.

Über Berechtigungskonzepte und Passwortsicherungen werden die Einschränkungen auf den erwünschten Personenkreis wirksam. Weitere Schritte wären die Videoüberwachung oder das Einführen von abschließbaren Schränken für die Akten mit den sensiblen Daten.

8. Datenlöschung bei gebrauchter IT-Hardware

Durch die rasante Entwicklung der Technik ist ein regelmäßiger Austausch der IT-Geräte notwendig. Alle Datenträger enthalten jedoch Datensätze, die mit einem simplen Löschvorgang nicht revisionssicher gelöscht werden. Als IT-Remarketing Unternehmen sorgen wir bei Delit für eine revisionssichere und DSGVO-konforme Datenlöschung