Datenschutz verstehen – Digitale Kommunikation in Unternehmen gemäß DSGVO | Datenschutz 2020
Der digitale Wandel ist längst in der Gesellschaft angekommen, immer mehr Menschen verlangen nach digitaler Kommunikation. Kein Wunder, denn die digitale Kommunikation bringt erhebliche Effizienzsteigerung mit sich. Umso mehr sind Unternehmen daran gehalten, dass bestehende Prozesse digitalisiert werden.
Hier entstehen verschiedene Herausforderungen für die Unternehmen. Völlig egal ob externe oder interne Kommunikation, Datenschutz muss heute fest in den Unternehmensprozessen verankert sein. Eine zukunftsfähige Unternehmens-DNA enthält wichtige Grundsteine wie Datenschutz, IT-Sicherheit und Agilität.
Die Kommunikation im Beruf muss immer agiler und effizienter ablaufen, daher dürfen wichtige Benachrichtigungen über Informationen nunmehr nicht der alleinigen Verantwortung eines Mitarbeiters unterliegen. Was aber müssen Unternehmen konkret beachten bei der digitalen Kommunikation?
Was ist digitale Kommunikation?
Zunächst sollte jedes Unternehmen ein Grundverständnis dafür aufbauen, was überhaupt unter digitaler Kommunikation zu verstehen ist. Grundsätzlich wird digitale Kommunikation erstmalig möglich, durch die Unterstützung digitaler Medien wie Slack zu interner Kommunikation oder sozialen Medien zur externen Kommunikation.
Da die externe Kommunikation nach wie vor auch in der digitalen Welt maßgeblich zur Umsatzgenerierung erforderlich ist, finden heute viele verschiedene Marketingstrategien statt, wie zum Beispiel Social Media Marketing, SEO Marketing, SEA Marketing. Die Beschleunigung der Kommunikation und die sich daraus ergebenden ständigen Unterbrechungen führen, zu einem stark fragmentierten Berufsalltag und zu ständiger Arbeit an mehreren Projekten zugleich, mit negativen Auswirkungen auf die Priorisierung von Aufgaben und die Unternehmensproduktivität. Folgenden digitale Medien werden beispielsweise zur Kommunikation genutzt:
- E-Book
- Digitalradio
- Suchmaschinen
- Social Media
- Smartphones
- Digitale Videokonferenz
- Messenger-Dienste
Was ist Datenschutz?
Für den Begriff Datenschutz existiert keine spezielle Definition. Vielmehr geht es im Wesentlichen darum, Informationen zu schützen, die nicht für die Allgemeinheit bestimmt sind. Im Datenschutz stehen dabei Informationen im Fokus, die in einem unmittelbaren bzw. mittelbaren Zusammenhang zu einer bestimmten Person stehen. Gerade bei der digitalen Kommunikation stehen die Themen Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten im Vordergrund.
Hierzu gehören beispielsweise persönliche und private Daten. Insbesondere Kontaktdaten wie:
- Name
- Telefonnummer
- Anschrift
- E-Mail-Adresse
- Geburtsdatum
- IP-Adresse
und generell formuliert Daten, die bestimmte Verhältnisse und Beziehungen umfassen, unterfallen der Kategorie der personenbezogenen Daten. Datenschutz beschränkt sich allerdings nicht nur auf den Schutz von personenbezogenen Daten selbst, sondern beinhaltet darüber hinaus den Schutz der Freiheit des einzelnen Menschen, selbst darüber zu bestimmen, was mit den eigenen Daten passiert und wann diese verarbeitet werden.
Einfach erklärt umschreibt Datenschutz den Schutz vor missbräuchlicher Datenverarbeitung und den im Grundgesetz verankerten Schutz des Rechts auf informationelle Selbstbestimmung.
Unter Datenschutz versteht man also den Schutz des Persönlichkeitsrechts (Art. 2 Abs.1 i.V.m. Art. 1 Abs.1 GG) bei der Datenverarbeitung und den Schutz der eigenen Privatsphäre eines Menschen. Mit Datenschutz-Maßnahmen werden diese Persönlichkeitsrechte geschützt und die Privatsphäre gewahrt. Der Schutz von Daten ist immer dann relevant und verpflichtend, wenn personenbezogene Daten i.S.d. der DSGVO und des BDSG-neu verarbeitet werden.
Welche Datenschutzbestimmungen existieren für digitale Kommunikation?
Digitale Kommunikation wird in Deutschland hauptsächlich durch zwei Gesetze geprägt: Die Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz. Beide Gesetze regeln u.a. Vorgaben für eine rechtmäßige Datenverarbeitung und bestimmen darüber hinaus Sanktionsmöglichkeiten für Verstöße gegen gesetzliche Vorgaben.
Vor Anwendbarkeit der DSGVO (25. Mai 2018) galt in Deutschland das alte Bundesdatenschutzgesetz. Zeitgleich mit Anwendbarkeit der DSGVO ist auch die neue Fassung des Bundesdatenschutzgesetzes in Kraft getreten. Die Datenschutzbestimmungen und Datenschutzprinzipien für Deutschland ergeben sich somit aus der DSGVO und dem BDSG-neu.
Was erlaubt der Datenschutz?
Inhalt dieser Datenschutzbestimmungen für Deutschland sind auch diverse Grundsätze des Datenschutzes:
- Zum einen müssen Daten rechtmäßig und transparent verarbeitet werden und den Grundsätzen von Treu und Glauben entsprechen (Art. 5 Abs. 1 lit. a) DSGVO).
- Darüber hinaus dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden (Art. 5 Abs. 1 lit. b) DSGVO).
- Die Verarbeitung muss mit diesen Zwecken vereinbar sein, sog. Grundsatz der Zweckbindung. Außerdem existiert der Grundsatz der Datenvermeidung und -sparsamkeit (Art. 5 Abs. 1 lit. c) DSGVO). Hiernach dürfen nur die Daten verarbeitet werden, die auch tatsächlich erforderlich und dem Zweck nach angemessen sind.
Falls darüber hinaus noch weitere Daten von Kunden verarbeitet werden sollen, benötigen verantwortliche Stellen beispielsweise eine Einwilligung der betroffenen Personen. Neben diesen genannten Grundsätzen existiert auch der Grundsatz der Richtigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. d) DSGVO): Hiernach müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Andernfalls müssen betroffene Daten unverzüglich gelöscht oder berichtigt werden.
Was verbietet der Datenschutz?
Zum anderen dürfen Daten nicht erhoben werden, solange keine gesetzliche Anordnung zur Erhebung der Daten vorliegt, sog. Erlaubnisvorbehalt. Nach dem Trennungsgrundsatz dürfen Kundendaten z.B. bei Nutzung mehrerer Internetdienste von den Unternehmen nicht zusammengefasst werden, damit Kunden vor der Entstehung eines umfangreichen Profils mit den privaten Daten der Kunden im Internet geschützt werden. Ferner müssen hiernach beispielsweise Daten verschiedener Kunden bzw. Mandanten getrennt verarbeitet werden.
Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO) besagt, dass die Verarbeitung von personenbezogenen Daten nur so lange stattfinden darf, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Nach dem Grundsatz der Integrität muss die Art und Weise der Verarbeitung von personenbezogenen Daten eine angemessene Sicherheit gewährleisten, vgl. Art. 5 Abs. 1 lit. f) DSGVO. Diese Sicherheit soll unter anderem durch sog. technisch-organisatorische Maßnahmen gem. Art. 32 DSGVO etabliert werden.
Darüber hinaus ist in der neuen Datenschutzgrundverordnung im Vergleich zu früher das sog. Prinzip der Beweislastumkehr geregelt: Gem. Art. 5 Abs. 2 DSGVO muss nämlich der Verantwortliche für die Einhaltung der Grundsätze verantwortlich und ist die Einhaltung auch nachweisen können (sog. Rechenschaftspflicht). Aus dieser Rechenschaftspflicht ergeben sich die zahlreichen Dokumentationspflichten für verantwortliche Stellen.
Welche Sicherheitsmaßnahmen gibt es im B2B-Bereich?
Wenn Unternehmen neue Software einführen, um digitale Kommunikation zu realisieren, sind umfassende Prüfungen zum Datenschutz erforderlich, ganz besonders wenn es sich um Anbieter aus Drittländern handelt. Viele Dienstleister haben im Zuge der Einführung der DS-GVO (Datenschutz-Grundverordnung) entsprechende Maßnahmen vorgenommen, sodass grundsätzlich viele SaaS-Lösungen datenschutzkonform einsetzbar sind. Hierzu finden Sie beispielsweise sämtliche Verpflichtungen und Dokumentationen auf den Webseiten von Slack. Wir fassen Ihnen die wichtigsten Änderungen zusammen:
- Auftragsverarbeitungs-Vertrag bei Messengern: Unternehmen sind verpflichtet mit Ihren Dienstleistern, welche eine Verarbeitung im Auftrag ausüben, hinreichend Garantien zu vereinbaren, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgen. Hierfür hat beispielsweise Slack ein Data-Processing-Addendum nach Artikel 28 DS-GVO zur Verfügung gestellt.
- Erhöhter Datenschutz-Standard: Viele Dienstleister haben international anerkannte Sicherheitszertifizierungen erhalten gemäß ISO 27001 (Management-System für die Informationssicherheit), ISO 27017 (Sicherheitskontrollen für die Bereitstellung und Nutzung von Cloud-Diensten) und ISO 27018 (für den Schutz persönlicher Daten in der Cloud). Achten Sie als Unternehmen auf diese Zertifikate.
- Privacy by design: Software für digitale Kommunikation muss heute Tools für Import und Export zur Verfügung stellen, somit können Unternehmen auf ihre Kundendaten zugreifen und diese importieren und exportieren. Darüber hinaus muss für den Datenschutz das Tool zur Profillöschung eingeführt werden. Dieses Tool hilft Unternehmen und Mitarbeitern dabei, Anfragen von Benutzern nachzukommen, deren persönliche Informationen wie Namen und E-Mail-Adressen von einem Benutzer-Account zu löschen, um den Anforderungen der Artikel 15 – 21 DS-GVO gerecht zu werden. Unternehmen benötigen nun zwingend ein Rollen- und Berechtigungskonzept.
Strafen bei Verstößen gegen DSGVO und BDSG
Die neue europäische Datenschutz-Grundverordnung (DSGVO) ist seit dem 25.05.2018 anwendbar und beinhaltet einige Strafen in Form von Bußgeldern für Datenschutzverstöße.
Seit diesem Datum wurden in ganz Europa und auch in Deutschland bereits einige Bußgelder wegen Verstößen gegen die DSGVO verhängt. Neben Bußgeldern drohen allerdings auch Freiheitsstrafen, die beispielsweise im nationalen Bundesdatenschutzgesetz (BDSG-neu) geregelt sind. Neben der DSGVO findet in Deutschland nämlich auch das BDSG-neu Anwendung. Mehr zum Verhältnis zwischen DSGVO und BDSG-neu erfahren Sie hier.
Insbesondere das Jahr 2019 soll das Jahr der Kontrollen werden, das ergibt sich jedenfalls aus einem Statement des baden-württembergischen Landesbeauftragten für den Datenschutz und die Datensicherheit (LfDI) Stefan Brink. Unternehmen und Organisationen sollten laut Brink keine unnötigen RIsiken im Datenschutz eingehen, denn “wer auf Lücke setzt, der muss damit rechnen, dass 2019 ein schwieriges Jahr wird”, so Brink im SWR weiter.
Die neue Datenschutzverordnung DSGVO schützt personenbezogene und den freien Datenverkehr innerhalb und außerhalb der EU. Auch das BDSG-neu verfolgt das gleiche Ziel, lediglich auf Bundesebene. Darüber hinaus wird es in Zukunft die e-Privacy-Verordnung geben: Durch diese wird die europäische ePrivacy-Richtlinie, die in Deutschland bereits zum Großteil im Telekommunikationsgesetz und Telemediengesetz umgesetzt wurde, ersetzt. Darüber hinaus soll die e-Privacy-Verordnung die DSGVO für das Segment der Datenverarbeitung im Rahmen der elektronischen Kommunikation ergänzen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.