Jeder erfolgreiche Betrieb kommt zwangsläufig in Kontakt mit personenbezogenen Daten ihrer Kunden. Im Zuge dessen müssen jedoch einige datenschutzrechtlichen Aspekte berücksichtigt werden, die mit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 sogar noch verschärft werden. Das Wichtigste zum Datenschutz in Unternehmen erläutert der folgende Artikel.
Verantwortung für personenbezogene Daten
In der DSGVO ist nicht ganz eindeutig klassifiziert, welche Informationen von Nutzern als personenbezogene Daten gelten. Grundsätzlich handelt es sich dabei aber um alle Angaben, mit denen eine natürliche Person direkt oder auch indirekt identifiziert werden kann. Das schließt unter anderem den Namen, die Adresse, die Telefonnummer, Profilbilder sowie die IP-Adresse ein.
Besonders wichtig ist dabei, dass sowohl die unmittelbaren Nutzer als auch die Verarbeiter der Daten für deren Sicherheit verantwortlich sind. Werden die erhobenen Angaben also zu einem bestimmten Zweck weitergegeben, kann im Falle einer Datenpanne trotzdem das Unternehmen haften. Ein Beispiel ist etwa der Versand von Weihnachtspost an die Bestandskunden: Werden hierzu die Adressen an die beauftragte Druckerei übermittelt, muss zunächst eine entsprechende Einwilligung vonseiten des Kunden vorliegen sowie im Idealfall eine vertragliche Vereinbarung dazu, dass etwaige Forderungen aufgrund eines Datenschutzverstoßes nicht auf die Firma selbst zurückfallen können.
DSGVO-Einhaltung nachweisen
Grundsätzlich besteht eine Rechenschaftspflicht gegenüber den Betroffenen sowie gegenüber prüfenden Stellen. So muss ein Unternehmen stets nachweisen können, dass es die Regelungen nach der DSGVO einhält. Bei Nutzeranfragen muss beispielsweise innerhalb eines Monats geantwortet sowie darüber aufgeklärt werden, welche Daten zu welchem Zweck verarbeitet werden. Auch in welcher Form und für wie lange die Speicherung erfolgt, ist dem Kunden zu nennen. Gleichzeitig hat der Betroffene das Recht, eine Berichtigung oder Löschung seiner Daten zu veranlassen.
Um diese kurzen Fristen einhalten zu können, ist es notwendig, entsprechende technische wie organisatorische Vorkehrungen zu treffen. Idealerweise hat ein Datenschutzbeauftragter im Unternehmen jederzeit schnellen Zugang zu den gewünschten Informationen.
Nutzereinwilligung stets einholen
Grundsätzlich muss vor jeder Datenverarbeitung die Einwilligung des Betroffenen eingeholt werden. Sollen die Angaben für verschiedene Zwecke verwendet werden, ist zu jedem eine gesonderte Erlaubnis notwendig. Diese kann der Nutzer wiederum jederzeit widerrufen. Im Zuge dessen gilt jedoch auch ein verschärftes Koppelungsverbot. Demnach kann das Zustandekommen eines Vertrages nicht mehr von der Erteilung des Einverständnisses in die Verarbeitung der Nutzerdaten abhängig gemacht werden.
Des Weiteren darf nach der DSGVO eine Speicherung der personenbezogenen Daten nur so lange erfolgen, wie sie für den ursprünglichen Zweck nachvollziehbar vonnöten ist. Werden zum Beispiel im Zuge eines Online-Gewinnspiels die Adressen von Nutzern erhoben, so muss bei Beendigung des Gewinnspiels sofort eine Löschung derer erfolgen. Mit dieser Regelung soll einer Vorratsdatenspeicherung künftig vorgesorgt werden.
Datenschutz im Marketing
Das Marketing spielt in jedem Betrieb eine Rolle. Doch insbesondere hierbei sind die Datenschutzvorgaben, wie das Auskunftsrecht der Betroffenen, zu berücksichtigen. Möchte ein Unternehmen beispielsweise das sogenannte Social Media Monitoring durchführen, um neue Werbestrategien zu entwickeln, ist es wichtig, ausschließlich Beiträge, die für jeden als öffentlich zugänglich markiert worden sind, zu analysieren sowie diese Daten von Anfang an zu anonymisieren.
Weitere Informationen zum Thema hat der Berufsverband der Rechtsjournalisten e.V. unter www.datenschutz.org zusammengestellt.
Laura Gosemann, 20.03.2018