Datenschutz im Unternehmen – eine Übersicht

Jeder Bürger hat das Grundrecht auf informationelle Selbstbestimmung. Der Staat wie auch private Unternehmen sind gehalten, dieses Grundrecht strikt zu beachten. Daher ist bei der Erhebung, Speicherung und Verarbeitung (im Folgenden: „Datennutzung“) personenbezogener Daten der Datenschutz – vor allem nach dem Bundesdatenschutzgesetzt (BDSG) strikt einzuhalten. In weiteren bereichsspezifischen Gesetzen wie etwa dem Telemediengesetz (TMG) finden sich ergänzende und ggf. sogar weiterführende Bestimmungen.

Gesetzlich geschützt sind personenbezogene Daten – also Einzelangaben über Personen. Der Personenbezug entsteht dabei, wenn die Daten Rückschlüsse auf persönliche, sachliche und/oder tatsächliche Verhältnisse einer natürlichen Person zulassen, so etwa Name, Geburtsdatum und Anschrift sowie die EMail-Adresse des Betroffenen.

Es gelten zwei Regelungen:

  1. Eine Datennutzung ist nur erlaubt, wenn ein Gesetz dies erlaubt oder der Betroffene eingewilligt hat, § 4 Abs. 1 BDSG.
  2. Es dürfen all die Daten, die zur Durchführung eines Vertrages erforderlich sind, erhoben werden, § 28 Absatz 1 Satz 1 Ziffer 1 BDSG.

 

Öffentliche Quellen

Nicht geschützt aber sind Daten aus allgemein zugänglichen Quellen. Unternehmen ist es daher nach § 28 Abs.1 S. 1 Ziff. 3 BDSG erlaubt, auch Daten zu verwenden, die sie aus allgemein zugänglichen Quellen - wie etwa dem Internet, Zeitschriften, Zeitungen und sonstigen Publikationen, die frei zugänglich sind - erhalten haben.

 

Arbeitnehmerdaten

Auch der Arbeitgeber muss sich beim Umgang mit den persönlichen Angaben des Arbeitnehmers an den Datenschutz halten. Nach § 28 Absatz 1 Ziffer 1 BDSG darf der Arbeitgeber Arbeitnehmerdaten, die für das Arbeitsverhältnis von grundlegender Bedeutung sind, verwenden. Dazu zählen etwa Name, Alter, Beruf und sonstige Qualifikationen des Arbeitnehmers.

Diese Daten dürfen aber nur zweckgebunden verwendet werden: scheidet der Arbeitnehmer aus dem Unternehmen aus oder erhält ein Bewerber die gewünschte Stelle nicht, sind diese Daten zu löschen.

 

Betrieblicher Datenschutzbeauftragter (bDSB)

Das BDSG sieht die Bestellung eines betrieblichen Datenschutzbeauftragte nach § 4 f Absatz 1 Satz 2 BDSG vor. Dessen Aufgabe ist es, im Unternehmen auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinzuwirken. Dazu zählt insbesondere die Überwachung der ordnungsgemäßen Anwendung der Hard – und Software, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen.

Der betriebliche Datenschutzbeauftragte muss nicht zwingend ein Mitarbeiter des Unternehmens sein, auch eine Person außerhalb des Unternehmens – etwa ein Rechtsanwalt – kann diese Funktion übertragen bekommen, sofern er über die erforderliche Sachkunde verfügt, vgl. § 4 f Abs. 2 S 2 BDSG.

Ein bDSB ist stets dann zu bestellen, wenn

  • im Betrieb mehr als 9 Personen personenbezogene Daten „automatisiert”, also unter Zuhilfenahme moderner EDV- und Kommunikationsmittelverarbeiten oder
  • wenn ein Unternehmen Daten ausschließlich auf andere Weise verarbeitet und damit nicht mehr als 20 Personen befasst sind,
  • wenn - unabhängig von der Beschäftigtenzahl - besondere Daten nach § 4 d Abs. 5 BDSG automatisiert verarbeitet werden, so etwa über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben sowie
  • wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden.

Die Bestellung hat schriftlich zu erfolgen und muss spätestens innerhalb eines Monats nach Aufnahme der Tätigkeit des Unternehmens erfolgen.

 

Fazit:

Das Thema Datenschutz ist komplex und betrifft eine Vielzahl an unternehmerischen Tätigkeiten. Bei Fragen rund um den Datenschutz helfen wir gerne weiter und stehen auch als externer Datenschutzbeauftragter zur Verfügung.