In vielen Unternehmen kommt der Datenschutz zu kurz, weil im IT-Alltag andere Themen wichtiger erscheinen. Die Folge: Unternehmen gehen – meist unwissentlich – Risiken ein, bis hin zur persönlichen Haftung der Geschäftsführung. Dieser Schnellkurs zeigt, wie auch kleinere Firmen Informationen über Kunden, Lieferanten oder Mitarbeiter ohne großen Aufwand schützen.
Wenn Unternehmen personenbezogene Daten verarbeiten, müssen sie
vielfältige rechtliche Vorgaben beachten – beispielsweise aus dem
Bundesdatenschutzgesetz oder dem Telemediengesetz. Bei Verstößen drohen
Geldbußen, Schadenersatzforderungen und unter Umständen auch ein
strafrechtliches Verfahren.
Weitsichtige Firmenchefs räumen dem Datenschutz in ihrem Unternehmen
aber auch ohne diesen Druck einen hohen Stellenwert ein. Sie wissen, dass
Diskretion und Vertraulichkeit bei ihren Kunden, Lieferanten und Mitarbeitern
einen guten Eindruck machen. In einer so genannten Datenschutz-Policy
beschreiben sie detailliert alle Sicherheitsmaßnahmen beim Umgang mit
personenbezogenen Daten.
Diese
zwölf Punkte sind beim Datenschutz wichtig:
1.
Wer Datenschutzregeln beachten muss. Das
Bundesdatenschutzgesetz gilt für alle Unternehmen, Vereine und Verbände und
Angehörige der selbstständigen Berufe, und nicht nur – wie häufig angenommen -
für Behörden.
2. Welche Daten zu schützen sind.
Grundsätzlich müssen Firmen jede Information besonders schützen, die
Rückschlüsse auf eine Person erlaubt. Dazu zählen neben Adressinformationen auch
automatisch erfasste Arbeitszeiten und Leistungsdaten. Bei der elektronischen
Verarbeitung solcher Daten hängt der Schutzbedarf von der Sensibilität der
Information ab. Besonders sensible Daten sind beispielsweise alle
Gesundheitsinformationen zur Person.
3.
Was unter den Datenschutz fällt. Alle
personenbezogenen Daten, die automatisiert erfasst oder ausgewertet werden
können, fallen unter das Datenschutzgesetz – auch dann, wenn sie nicht
ausgewertet werden. Tipp: Bei der
Verarbeitung besonders geschützter Daten vorab bei der Aufsichtsbehörde (in
Nordrhein-Westfalen ist das die Landesbeauftragte für Datenschutz) die
Zulässigkeit des Verfahrens abklären.
4.
Wann geschützte Daten verarbeitet werden dürfen. Wenn Firmen
personenbezogene Daten verarbeiten, sollten sie dafür die Zustimmung der
Betroffenen haben. Tipp: Informieren
Sie Kunden und Geschäftspartner, was mit Ihren Daten geschieht und lassen Sie
sie explizit dieser Verwendung zustimmen. Auch wenn Sie nur ein Kontaktformular
auf Ihrer Website anbieten, sollten Sie den Kunden darüber aufklären, was mit
seinen Daten geschieht.
5.
Wann das Unternehmen einen Datenschutzbeauftragten benennen
muss. Falls
mindestens zehn Mitarbeiter – auch nur vorübergehend – mit der Erfassung und
Auswertung personenbezogener Daten eingesetzt sind, muss ein Unternehmen einen
Datenschutzbeauftragten ernennen. Der betriebliche Datenschutzbeauftragte ist
der Geschäftsleitung unmittelbar zu unterstellen. Info: Bei
Tochterunternehmen oder mehreren Niederlassungen kann auch eine einzige Person
die Funktion für alle Unternehmen wahrnehmen.
6.
Wie Firmen an einen Datenschutzbeauftragten kommen. Die Aufgabe
kann jeder fachkundige Mitarbeiter übernehmen. IHK und Mittelstandszentren
bieten Schulungen für zukünftige Datenschutzbeauftragte an. Tipp: Der
Datenschutzbeauftragte muss nicht dem Unternehmen angehören. Externe
Dienstleister übernehmen die Aufgabe gegen Honorar.
7.
Was beim Datenschutzbeauftragten zu beachten ist. Der
Datenschutzbeauftragte muss schriftlich bestellt werden. Tipp:
Arbeitsvertragliche Regelungen des Tätigkeitsfeldes führen zur Rechtssicherheit
bei Arbeitgeber und Arbeitnehmer.
8.
Wann die Datenschutzbehörde informiert werden muss. Wenn
Adressverlage, Markt- und Meinungsforschungsinstitute sowie Wirtschafts- und
sonstige Auskunfteien Verfahren zur automatisierten Verarbeitung einsetzen,
müssen sie dies der zuständigen Datenschutzbehörde melden. Dabei spielt es keine
Rolle, wie groß das jeweilige Unternehmen ist. Für alle anderen gilt: Betriebe,
in denen weniger als zehn Mitarbeiter mit der Verarbeitung und Auswertung
personenbezogener Daten beschäftigt sind, müssen keine Meldung erstatten. Alle
größeren Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu
bestellen – somit entfällt auch hier die Meldepflicht.
9.
Welche Verantwortung die Geschäftsführung trägt. Die Leitung
des Unternehmens ist auch nach der Berufung eines Datenschutzbeauftragten für
den Datenschutz verantwortlich. Tipp: Führen Sie
wenigstens einmal im Jahr ein Gespräch mit dem Datenschutzbeauftragten Ihres
Unternehmens über die durchgeführten Maßnahmen zum Datenschutz.
10.
Welche zusätzlichen Schutzmaßnahmen nötig sind. Um zu
verhindern, dass Daten verändert werden oder verloren gehen, müssen auch
technische Maßnahmen durchgeführt werden. Tipp:
Empfehlenswert sind beispielsweise Zugangskontrolle, Zugriffskontrolle,
Weitergabekontrolle, Auftragskontrolle oder Protokollierung.
11.
Wie der Betriebsrat einzubinden ist. Der
Betriebsrat ist ebenfalls verpflichtet, die Einhaltung des Datenschutzes zu
überprüfen. Info: Bei der
Einführung von technischen Einrichtungen, die zur Überwachung des Verhaltens
oder der Leistung von Arbeitnehmern führt, hat der Betriebsrat ein
Mitbestimmungsrecht.
12.
Wie Firmen ihre Mitarbeiter informieren müssen. Alle
Mitarbeiter sind qualifiziert über die Einhaltung des Datenschutzes zu
unterrichten und auf das Datengeheimnis zu verpflichten. Tipp: Die
Datenschutzschulungen können in allgemeine Schulungsveranstaltungen integriert
werden. Zu empfehlen ist auch eine Einweisung neuer Mitarbeiter.
Quelle: http://www.secure-it.nrw.de