Beratung anfordern
 
Beratung anfordern
Lösungen für
Services
Beratung anfordern
Pakete & Preise
Pakete & Preise
Lösungen für
Wissen
Über uns
Ein aus Kreide gezeichnetes Schloss, das halb geöffnet ist und Leute sitzen rund herum

Sie finden unsere Artikel spannend?

Dann melden Sie sich zu unserem Newsletter an und erhalten Neuigkeiten direkt in Ihre Inbox.

17.04.2024 Alle Artikel

Personenbezogene Daten schützen: 7 praktische Tipps

DSGVO: Schwierigkeiten bei der Umsetzung

Seit sechs Jahren ist die Datenschutz-Grundverordnung (DSGVO) in Kraft – und doch kämpfen viele Unternehmen weiterhin mit ihrer Umsetzung. Laut einer Studie von Statista aus dem Jahr 2022, begründen rund 88 Prozent der befragten Unternehmen ihre Schwierigkeiten mit der DSGVO damit, dass die Umsetzung nie vollständig abgeschlossen sei. Darüber hinaus empfinden ganze 78 Prozent eine gewisse Rechtsunsicherheit bezüglich der genauen Vorgaben. Was die Realisierung der Verordnung außerdem schwierig macht?

  • Der Gesetzestext muss in reale Prozesse übersetzt werden. 
  • Das Gesetz ist nicht gerade kurz – 11 Kapitel und 99 Artikel – geschweige denn leicht verständlich. 
  • Die DSGVO soll das Datenschutzrecht innerhalb Europas zwar vereinheitlichen, lässt aber durch Öffnungsklauseln Spielräume für nationale Regelungen: Auch das Bundesdatenschutzgesetz (BDSG) wurde am 25.05.2018 von dem neuen BDSG abgelöst, um es an die DSGVO anzupassen.
  • Das Gesetz ist noch nicht praxiserprobt, so dass beispielsweise noch keine wegweisenden Gerichtsurteile zur konkreten Gesetzesauslegung existieren. In der Praxis greift also nicht das BDSG-neu, sondern die DSGVO.

Hinzu kommt, dass im Internet allerlei „alternative Fakten“ zum Thema kursieren, zum Beispiel, dass jedes Unternehmen einen Datenschutzbeauftragten stellen muss (ein:e Datenschutzbeauftragte:r ist nur unter bestimmten Voraussetzungen erforderlich: Artikel 37 DSGVO). Um etwas handfester zu werden, haben wir 7 Praxistipps für den Schutz personenbezogener Daten im Alltag formuliert.

1. Auskunftsrecht erfüllen

Personen, deren personenbezogene Daten verarbeitet werden, haben ein Auskunftsrecht (Art. 15 DSGVO): Sie können beim Datenverarbeitenden nachfragen, ob dieser ihre Daten verarbeitet (erfasst, erhebt, speichert, einsieht, verändert…). Wenn eine Verarbeitung stattfindet, muss der oder die Verantwortliche über Folgendes Auskunft geben können: 

  • Verarbeitungszwecke 
  • Datenkategorien 
  • Datenempfänger oder Kategorien von Empfängern 
  • Dauer der Datenspeicherung oder Kriterien der Dauer (zum Beispiel im Falle von Bewerberdaten bis eine Stellenbesetzung erfolgt ist) 
  • Herkunft der Daten, die nicht bei Betroffenen erhoben wurden / bestehende automatisierte Entscheidungsfindung 
  • Profiling (Erstellen von Nutzerprofilen, um beispielsweise die Arbeitsleistung oder persönlichen Vorlieben einer Person zu bewerten) Die Person ist außerdem auf ihre Rechte hinzuweisen
  • Recht auf Berichtigung (Art. 16 DSGVO): Personen können die Korrektur unrichtiger Daten und die Vervollständigung unvollständiger Daten verlangen. 
  • Recht auf Löschung (Art. 17 DSGVO): Unter bestimmten Umständen kann die Person eine Löschung ihrer Daten verlangen, etwa wenn die Daten für die ursprünglichen Erhebungszwecke nicht mehr notwendig sind, unrechtmäßig verarbeitet werden oder die Person ihre Einwilligung widerruft. 
  • Recht auf eine Einschränkung der Verarbeitung (Art. 18 DSGVO): Betroffene können eine Einschränkung der Datenverarbeitung verlangen, wenn zum Beispiel die Verarbeitung unrechtmäßig und die Richtigkeit der Daten bestreitbar ist. 
  • Widerspruchsrecht (Art. 21 DSGVO): Die Person kann gegen die Verarbeitung ihrer Daten Widerspruch einlegen. 
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Personen haben ein Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie die Verarbeitung ihrer personenbezogenen Daten als rechtswidrig erachten.

Der Datenverarbeitende sollte zeitnah eine Kopie der personenbezogenen Daten bereitstellen können und dabei auf Vollständigkeit und Korrektheit der Daten achten. Die Kopie kann in Schriftform an die hinterlegte Kontaktadresse geschickt werden. Eine Kopie des Schreibens sollte zu Dokumentationszwecken im Archiv abgelegt werden.

Da die Daten nicht unbefugten Dritten zur Verfügung gestellt werden dürfen, sollte die Identität des Anfragenden überprüft werden. Bei begründeten Zweifeln an der Identität der Person, kann er zusätzliche Informationen zur Bestätigung der Identität fordern (Art.12 Abs. 6 DSGVO). Stellt die Person eine Kopie ihres Personalausweises zur Verfügung, sollte sie darauf hingewiesen werden, dass Daten, die für die Identifizierung nicht notwendig sind (etwa Augenfarbe, Größe), geschwärzt werden können.

2. Daten nicht länger aufbewahren als nötig

Personenbezogene Daten sind nach Art. 5 Abs.1 Buchstabe e nur solange zu speichern, „wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Sobald der Verarbeitungszweck erfüllt ist und die gesetzliche oder vertragliche Aufbewahrungsfrist erlischt, sind die Daten zu löschen. Datenverarbeitende sollten festhalten, für welche Zwecke sie die Daten verarbeiten und wann die Frist abläuft.

3. Datenverarbeitung dokumentieren

Datenverarbeitende müssen ein Verzeichnis der Verarbeitungstätigkeiten führen (Art. 30 Abs. 1 DSGVO):

  • Wie werden personenbezogene Daten von Kunden, Mitarbeitenden, Bewerbenden, Interessenten oder Ansprechpartner:innen verwaltet? 
  • Welche Vorgänge finden zur Verarbeitung der Daten statt? 
  • Wer verfügt über eine Zugriffsberechtigung?

4. Verschlüsselung von Daten

Unbefugte Dritte dürfen nicht auf personenbezogene Daten zugreifen können. Ein Schutz vor unbefugten Zugriffen bietet die Verschlüsselung von Daten. Durch eine angemessene Verschlüsselung werden Daten auf dem eigenen PC für unbefugte Mitbenutzer:innen oder Personen, die sich unerlaubt Zugriff verschaffen wollen, unlesbar gemacht.

Eine Möglichkeit der Dateiverschlüsselung besteht darin, Office-Dokumente mit einem Passwort zu versehen und sensible Informationen zu schwärzen. Nutzende sollten darauf achten, dass auch in den Dokumenteigenschaften entsprechende Daten enthalten sein können. Zur Dateiverschlüsselung gibt es verschiedene Verschlüsselungsprogramme. Um E-Mails besser auf dem Transportweg zu schützen, können Nutzende die Transportverschlüsselung aktivieren (TSL/SSL): Dabei wird die Verbindung zwischen den Servern während der Übertragung verschlüsselt. Bei einer Ende-zu-Ende-Verschlüsselung (beispielsweise PGP oder S/MIME) werden auch die Inhalte der E-Mail verschlüsselt. Sendende und Empfangende der E-Mail müssen beide am Verschlüsselungsverfahren teilnehmen.

Ergänzend führt die Implementierung ganzheitlicher Datensicherheitslösungen, sei es On-Premise oder in einer Hybrid Cloud, zu einer erhöhten Transparenz und tiefergehenden Einblicken, um Cyberbedrohungen zu identifizieren und effektiv zu bekämpfen. Diese Lösungen können Sicherheitsregeln und Zugriffskontrollen fast sofort umsetzen und helfen, gesetzliche Anforderungen zu erfüllen, um die Datensicherheit zu verbessern.


Auch zvoove bietet solche sicheren Cloud-Lösungen an. zvoove One setzt dabei auf Rechtssicherheit und die Einhaltung der DSGVO.

5. Verpflichtungserklärung

Greifen externe Dienstleister (etwa PC-Techniker:innen) auf den PC zu, besteht das Risiko, dass sie unbefugt Zugriff zu Daten erhalten. Unternehmen haben die Möglichkeit, eine Verpflichtungserklärung aufzusetzen, in der der Dienstleister erklärt, sich auf Einhaltung des Schutzes personenbezogener Daten zu verpflichten und die Grundsätze nach Art. 5 DSGVO einzuhalten. Muster für einen Vertrag zur Auftragsdatenverarbeitung findet man beispielsweise im Internet.

6. Datenschutzschulung für Angestellte

Eine Datenschutzschulung für neue Mitarbeitende ist ein wichtiger Schritt, um die sichere Umsetzung der DSGVO in einem Unternehmen zu gewährleisten. Durch die Datenschutzbelehrung werden die Angestellten über ihre Verpflichtungen und Rechte im Umgang mit personenbezogenen Daten informiert und sensibilisiert.

Sie erfahren dadurch, wie sie Daten sicher behandeln, welche Datenschutzrichtlinien im Unternehmen und allgemein gelten und welche Konsequenzen Verstöße haben können. Durch das anschließende Unterschreiben eines Datenschutzvertrages ist ihre Haftung und Kenntnisnahme gesichert. Dadurch wird das Bewusstsein für Datenschutzbelange geschärft und die Wahrscheinlichkeit von Datenschutzverletzungen verringert.

7. DSGVO-Checklisten und Leitfäden

Mehr Übersicht statt Verwirrung: Es gibt online DSGVO-Checklisten und offizielle Leitfäden, die Unternehmen zur Verfügung stehen, um herauszufinden, welche Datenschutzanforderungen für Sie relevant sind. Diese Checklisten enthalten alle erforderlichen Datenschutzdokumente sowie Informationen zu den jeweiligen rechtlichen Grundlagen. Sie helfen dabei zu identifizieren, welche Unternehmen welche Art von Dokumentation erstellen müssen und bieten zusätzliche Erläuterungen zur Art der Dokumentation sowie zu besonderen Anforderungen bei der Erstellung.

Fazit

Seit dem 25. Mai 2018 müssen Unternehmen, welche personenbezogenen Daten geschäftsmäßig verarbeiten, die Datenschutzgrundverordnung der Europäischen Union einhalten. Zur gleichen Zeit trat das neue Bundesdatenschutzgesetz (BDSG (neu)) in Kraft und löst das BDSG (alt) ab. Für die Praxis bedeutet das unter anderem, dass Datenverarbeitende das Auskunftsrecht Betroffener erfüllen und Daten vor unbefugtem Zugriff Dritter (beispielsweise durch Verschlüsselungsverfahren) schützen müssen. Um sich einen genauen Überblick über die benötigten DGSVO-Voraussetzungen zu verschaffen, helfen Leitfäden, die online eingesehen werden können. Cloud-Lösungen können dabei deutlich zur Sicherheit von sensiblen Daten im Arbeitsprozess beitragen. Die Verarbeitungsprozesse sind zu dokumentieren.

Foto: © Adobe Stock / Rawpixel.com / 86203608

Diesen Beitrag teilen

Weitere Beiträge

Unterzeichnung eines digitalen Vertrags an einem Laptop per Hand 10.04.2024 Wegfall der Schriftform in der Zeitarbeit geplant Mehr erfahren
Ein Sparschwein steht neben einem Taschenrechner 24.04.2024 Zeitarbeitsfirma Startkapital: Mit diesen Kosten ist zu rechnen Mehr erfahren
Eine symbolische aufwärts zeigende Linie aus drei Holzkreisen zeigt den Weg zum Studienabschluss. 03.04.2024 Neuer Studiengang Personaldienstleistung startet 2024 Mehr erfahren
Ein Mann und eine Frau führen ein Gespräch im Büro. 27.03.2024 Mitarbeitergespräch: Der Leitfaden für gelungenes Feedback Mehr erfahren
Die Hände eines Geschäftsmanns und eines Roboters begegnen sich 21.03.2024 KI: Auch für Personaldienstleister richtig spannend Mehr erfahren Sascha Alber ist Chief Product & Technology Officer bei zvoove
Interessiert blickende junge Menschen beim Assessment Center 14.03.2024 Assessment Center: Pro und Contra Mehr erfahren
Zwei Finger drehen Würfel um, auf denen Buchstaben stehen. Es bildet sich das Wort "Reject". 06.03.2024 Absage nach Vorstellungsgespräch: So geht es richtig Mehr erfahren
Das Bild zeigt einen Mann, der mit Unterlagen und Taschenrechner vor einem Computerbildschirm sitzt. 28.02.2024 Neues Meldeportal für die Sozialversicherung Mehr erfahren
Ein lobendes Post-It, auf dem steht: "Well done!" 21.02.2024 Motivierte Mitarbeiter arbeiten besser Mehr erfahren
Immer Up To Date –
der zvoove Newsletter
FuE BSFZ Siegel
2024 © zvoove Group. All rights reserved.