Definition: Was ist Datenschutz?
Eine einheitliche und verbindliche Definition, was unter dem Begriff Datenschutz zu verstehen ist, gibt es nicht. Grundsätzlich kann man aber festhalten, dass es bei diesem Thema darum geht, bestimmte persönliche Informationen einer Person vor Missbrauch zu schützen.
Zu diesen persönlichen Informationen gehören zum Beispiel:
- Name
- Adresse
- Geburtsdatum und -ort
- E-Mail-Adresse
- Telefonnummer
Aus der DSGVO ergeben sich für die personenbezogenen Daten, die geschützt werden müssen, unter anderem folgende Beispiele:
- IP-Adresse
- Standortdaten
- Zugeordnete Cookies
Das bedeutet, dass die DSGVO beim Thema Datenschutz noch ein wenig weiter geht und auch pseudonyme Informationen, also solche, die zwar nicht direkt, aber mit ein wenig Nachdenken einer Person zugeordnet werden können, ebenfalls als besonders schützenswert erachtet.
Nicht dazu zählen jedoch anonyme Informationen, die auch mit Nachdenken nicht einer konkreten Person zugeordnet werden können. Sie können von dem jeweiligen Unternehmen ohne Einschränkungen verarbeitet werden.
Personenbezogene Daten im Sinne der DSGVO
Informiert man sich als Unternehmer:in über das Thema Datenschutz, begegnet einem schnell der Begriff der personenbezogenen Daten. Gemeint sind damit alle Informationen, die sich direkt auf eine Person beziehen oder zumindest mit ein wenig Transferleistung Rückschlüsse auf diese Person zulassen.
In Artikel 4 Ziffer 1 der DSGVO werden diese Daten näher definiert:
- allgemeine Daten zur Person wie Name oder Geburtsdatum
- Kennnummern wie die Steuernummer
- Bankdaten
- Online-Daten
- Körperliche Merkmale wie Geschlecht oder Augenfarbe
- Besitzmerkmale
- Kundendaten
Laut DSGVO gibt es aber noch weitere, die besonders geschützt werden müssen. Für Unternehmer:innen, die Kundendaten einer Datenverarbeitung unterziehen, gelten hier ganz besondere Vorschriften.
Zu diesen speziellen personenbezogenen Daten gehören Informationen über
- ethnische oder kulturelle Herkunft
- politische, religiöse oder philosophische Überzeugungen
- Sexualität
- Zugehörigkeit zu einer Gewerkschaft oder politischen Vereinigung
- Gesundheitsdaten
Daraus ergibt sich, dass die Vorschriften der DSGVO nicht für verstorbene oder juristische Personen gelten. Jedoch für alle Mitarbeiter:innen, Kund:innen und Geschäftspartner:innen – um nur einige betroffene Personengruppen zu nennen.
Was regelt die DSGVO?
Was aber musst du als Unternehmer:in nun konkret im Hinblick auf diese Daten beachten, wenn du nicht gegen die Regelungen der DSGVO verstoßen möchtest?
Zunächst einmal ist wichtig, dass nach der Grundverordnung jedes in der EU tätige Unternehmen sich an die Regelungen zum Datenschutz halten muss – also auch du als Solo-Selbstständige:r.
Das ist aber noch nicht alles. Wer als Unternehmer:in in Deutschland personenbezogene Daten verarbeitet, muss sich außerdem an das Bundesdatenschutzgesetz (BDSG-neu) halten. Beide Vorschriften sehen bestimmte Maßnahmen vor, die Unternehmer:innen treffen müssen, um sensible Daten bestmöglich zu schützen. Vernachlässigen Unternehmen diese Pflicht, droht ein Verfahren mit empfindlichen Strafen: Bis zu 20 Millionen Euro Bußgeld oder alternativ bis zu 4 Prozent des weltweiten Jahresumsatzes kann ein Datenschutzverstoß kosten.
Welche Vorgaben musst du beim Datenschutz in deinem Unternehmen berücksichtigen?
Nicht nur die DSGVO, sondern auch das BDSG gibt Unternehmen einige Vorgaben, was im Hinblick auf den Datenschutz umgesetzt werden muss. Unter anderem solltest du dabei auf folgende Dinge achten:
- Datenmissbrauch: Die personenbezogenen Daten müssen vor Datenmissbrauch geschützt werden. Das bedeutet vor allem, dass sie unbefugten Dritten nicht zugänglich sein dürfen.
- Zweckbindung: Die betroffene Person muss über den Zweck, zu dem die Daten gespeichert werden, informiert werden und außerdem zustimmen, dass das Unternehmen die Daten nutzen darf.
- Einwilligung: Vorab muss die betroffene Person, von der die Daten erhoben werden, der Verarbeitung und Erhebung der Daten zustimmen. Eine Änderung, die im Zuge der DSGVO in Kraft getreten ist, betrifft die Form der Einwilligung. Die betroffene Person muss explizit zustimmen. Lediglich eine stillschweigende Einwilligung reicht nicht maus, um die Vorgaben des Datenschutzes zu erfüllen.
- Koppelungsverbot: Die Zustimmung zur Verarbeitung, Nutzung oder Erhebung personenbezogener Daten darf keine Voraussetzung für Leistungen sein. Es ist zum Beispiel nicht erlaubt, dass Unternehmer:innen eine Ware nur liefern, wenn die betroffene Person zustimmt, dass ihre Daten verarbeitet werden.
- Datenschutzbeauftragte:r: Sind mehr als 9 Mitarbeiter:innen im Unternehmen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut, muss ein:e spezielle:r Datenschutzbeauftragte:r bestellt werden.
- Form: Daten müssen in einer zulässigen Form übermittelt werden.
- Anonymisierung: Werden bestimmte Daten anonymisiert gespeichert, muss das verarbeitende Unternehmen sicherstellen, dass sie nicht mehr mit anderen Daten kombiniert werden können und so der Bezug zu einer konkreten Person doch wieder hergestellt werden kann.
- Begründete Verwendung: Personenbezogene Daten von Angestellten müssen einem bestimmten Zweck dienen, zum Beispiel, wenn ein neuer Arbeitsvertrag geschlossen werden soll. Falls du also mal Aushilfen einstellen willst, solltest du das im Kopf haben.
- Pflichten: Personen, von denen personenbezogene Daten erhoben werden, haben bestimmte Rechte gegenüber den Unternehmen. So besteht zum Beispiel eine Auskunftspflicht für alle nicht öffentlichen Stellen (zum Beispiel Schufa oder Creditreform) darüber, welche Daten der betroffenen Person sie zu welchem Zweck gesammelt haben und was mit diesen Daten passiert ist.
- Löschung: Stimmen die erhobenen Daten nicht mit der Realität überein, sind nicht öffentliche Unternehmen zu einer Löschung verpflichtet oder dazu, sie zu korrigieren oder so zu speichern, dass sie nicht zugänglich sind.
Welche Informationspflichten bestehen durch die DSGVO?
Gerade die Informationspflichten im Sinne der DSGVO sind immer wieder Anlass zu Fragen. Denn die DSGVO unterscheidet zwischen personenbezogenen Daten, die direkt bei der jeweiligen Person erhoben werden, und Tätigkeiten, bei denen Daten von Dritten erhoben werden.
Daraus leiten sich verschiedene Informationspflichten ab:
Warum überhaupt Datenschutz im Unternehmen?
Wie wir gesehen haben, hast du ohnehin keine Wahlmöglichkeit, ob du in deinem Unternehmen die Vorgaben des Datenschutzes einhältst oder nicht. Aber von der rechtlichen Pflicht abgesehen, gibt es noch ein weiteres Argument, das ganz klar für die Einhaltung des Datenschutzes im Unternehmen spricht: Du kannst das Vertrauen deiner Kund:innen steigern.
Wenn du viel Wert auf Datenschutz legst, wirkt es nach außen vertrauensvoller und seriöser. Das kann ein klarer Wettbewerbsvorteil sein. Denn damit zeigst du, dass du die persönlichen Informationen deiner Kund:innen als schützenswert erachtest. Das umso mehr, wenn du über die Vorgaben der DSGVO hinausgehst und zusätzlichen Aufwand für den Datenschutz betreibst. Datenschutz in diesem Sinne kann damit sogar ein Alleinstellungsmerkmal sein.
Muss jedes Unternehmen einen Datenschutzbeauftragten benennen?
Nein, nicht jedes Unternehmen muss zwingend einen Datenschutzbeauftragten ernennen. Es kommt zum einen auf die Tätigkeit des Unternehmens an und zum anderen darauf, wie viele Mitarbeiter:innen mit der Verarbeitung personenbezogener Daten betraut sind.
Diese Voraussetzungen müssen erfüllt sein
Gemäß DSGVO und BDSG-neu muss ein Unternehmen einen Datenschutzbeauftragten bestellen, wenn diese Voraussetzungen gegeben sind:
- Es sind regelmäßig mindestens 9 Mitarbeiter:innen mit der Verarbeitung und Nutzung (automatisierte Datenverarbeitung) personenbezogener Daten betraut.
- Im Unternehmen werden spezielle personenbezogene Daten, wie beispielsweise jene, die die Religion oder den Gesundheitszustand betreffen, verarbeitet.
- Das Kerngeschäft des Unternehmens besteht darin, automatisierte Datenverarbeitung oder die Übermittlung von personenbezogenen Daten anzubieten.
Als Solo-Selbstständige:r musst du also keine:n Datenschutzbeauftragte:n benennen.
Inhalte für dein Business.