Bevor du dich mit der praktischen Umsetzung des Datenschutzes in deinem Unternehmen beschäftigst, sollten wir erst einmal klarstellen, was Datenschutz im eigentlichen Sinne überhaupt ist.

Datenschutz ist Personenschutz

Stell dir vor, du bist auf einer großen Party. Du kennst nicht alle, aber trotzdem wollen viele etwas über dich wissen: deinen Namen, woher du kommst, was du magst und was nicht. Du entscheidest selbst, wem du welche Dinge über dich erzählst und wem nicht – und genau darum geht es beim Datenschutz. Im unternehmerischen Bereich ist das nicht anders: Hier geht es darum, dass Kunden, Mitarbeiter und Partner die Kontrolle über ihre persönlichen Informationen behalten. Als Unternehmer willst du vermutlich möglichst viel über diese Personen wissen. Natürlich ist es spannend zu wissen, wann deine Mitarbeiter Pausen machen und welche Webseiten sie während der Arbeitszeit besuchen oder auf welche Anzeigen und Texte deine Kunden besonders häufig mit einem Kauf reagieren. Dennoch haben deine Kunden, Mitarbeiter und Geschäftspartner ein Recht darauf, selbst zu entscheiden, welche Daten sie preisgeben und welche nicht.

Allerdings benötigst du für manche Prozesse Daten, um überhaupt handeln zu können. Du kannst deinen Mitarbeiter nicht einstellen oder Gehalt überweisen, wenn du nicht bestimmte Daten über die Person verarbeitest. Genauso wenig kannst du einen Vertrag mit deinen Kunden abwickeln, wenn du nicht weißt, wie dein Kunde heißt oder an welche Adresse geliefert werden soll. Andere Daten benötigst du vielleicht nicht unbedingt, um den Vertrag abzuwickeln, interessant sind sie aber trotzdem – wie die Reaktion deiner Kunden auf bestimmte Inhalte im Onlineshop.

Einerseits schützt der Datenschutz also die Person, die hinter den Daten steht. Datenschutz ist also in erster Linie „Personenschutz“, er schützt Personen, nicht Daten! Andererseits will der Datenschutz auch wirtschaftlichen Interessen Rechnung tragen und die Verarbeitung von Daten ermöglichen. Der Gesetzgeber hat dabei erkannt, dass hinter der Verarbeitung von personenbezogenen Daten ein wirtschaftliches Interesse besteht.

Was sagt das Gesetz dazu?

Dieses Verhältnis versucht der Datenschutz in Einklang zu bringen. Bereits Art. 1 der DSGVO und Erwägungsgrund 3 zur DSGVO stellen klar, dass die Verordnung Vorschriften zum Schutz natürlicher Personen und zum freien Verkehr von Waren enthält. Dafür stellt der Gesetzgeber ein paar Regeln auf.

Die Grundthese dabei ist, dass du personenbezogene Daten nur verarbeiten darfst, wenn dies explizit erlaubt ist. Du benötigst eine sogenannte Rechtsgrundlage. Das Gesetz sieht aber eine ganze Reihe von Rechtsgrundlagen vor, die dir die Verarbeitung von personenbezogenen Daten erlauben. Das reicht von der Einwilligung der betroffenen Person bis hin zum berechtigten Interesse, bei dem bereits ein berechtigtes Interesse deinerseits eine Rechtsgrundlage sein kann. Datenschutz ist für Europa in der Datenschutzgrundverordnung (kurz DSGVO) geregelt und in nationalen Gesetzen konkretisiert. Dabei ist die DSGVO die Basis – sie gilt europaweit. Nationale Regelungen sind dort zulässig, wo die DSGVO ausdrücklich sogenannte Öffnungsklauseln vorsieht, um z. B. die DSGVO zu konkretisieren. In Deutschland ist das BDSG. Die einzelnen Bundesländer haben ebenfalls Datenschutzgesetze erlassen, die das BDSG ergänzen. In Thüringen ist dies z. B. das Thüringer Datenschutzgesetz (ThürDSG), in Bayern das Bayerische Datenschutzgesetz (BayDSG).

Warum ist Datenschutz für dein Unternehmen wichtig?

Vielleicht fragst du dich, warum du dich überhaupt mit Datenschutz beschäftigen solltest. Der Grund ist einfach: Es geht um Vertrauen. So wie du nicht willst, dass jeder alles über dich weiß und deine Daten für jeden erdenklichen Zweck nutzen darf, wollen das auch deine Kunden, Geschäftspartner und Mitarbeiter nicht. Je besser du im Datenschutz aufgestellt bist, desto mehr Vertrauen schaffst du.

Viele Unternehmer verlieren sich dabei oft im Detail, sehen aber die Grundlagen nicht. Datenschutz beginnt aber bei ganz einfachen Maßnahmen, wie die betroffenen Personen vernünftig darüber zu informieren, wie du ihre Daten verarbeitest, zu welchem Zweck, an wen du diese Daten weitergibst und wie lange du diese speicherst. Das klappt meistens noch auf der Webseite. Aber hast du auch daran gedacht, wie du deine Mitarbeitenden informierst?

Es geht weiter mit technischen und organisatorischen Maßnahmen zum Schutz der Daten, damit deine Kunden und Mitarbeitenden sicher sein können, dass ihre Daten nicht unbefugt durch Dritte genutzt werden. Auch das beginnt bei einfachen Maßnahmen, z. B. dass nicht jeder in den Serverraum kommt, du regelmäßig Backups anfertigst und kein Mitarbeiter die Daten anderer Mitarbeitenden einsehen kann.

Durch eine vernünftige Umsetzung schaffst du also Vertrauen bei deinen Mitarbeitenden, Kunden und Geschäftspartnern. Du zeigst, dass dir diese Personen wichtig sind und nicht vollkommen egal. Eine Checkliste für die ersten Grundlagen zur Umsetzung findest, du übrigens in unserem Ratgeber: Datenschutz im Unternehmen umsetzen.

Es gibt keinen perfekten Datenschutz

Dabei solltest du versuchen, möglichst alle Schwachstellen zu beseitigen. Das wird nicht perfekt gelingen. Ich behaupte, dass kein Unternehmen lückenlos ist und alle Anforderungen bis ins Detail umgesetzt hat. Das kann bereits daran liegen, dass manche Themen auch heute noch eine Grauzone sind. Es kann aber auch sein, dass man Anforderungen falsch einschätzt oder einem die ein oder andere Sache doch mal durchrutscht. Da geht es dir vermutlich nicht anders als mir. Trotzdem sollte man das Thema angehen und nicht links liegen lassen.

Keine Innovationsbremse

Im Zusammenhang mit Datenschutz höre ich oft, dass Datenschutz jede Innovation verhindert und schlicht eine Innovationsbremse ist: „In den USA darf man das und das und bei uns geht das nicht, weil der Datenschutz das nicht zulässt.“ Diese Aussage ist, kurz gesagt, einfach falsch. Das Datenschutzrecht weiß um die wirtschaftliche Bedeutung der Verarbeitung personenbezogener Daten und versucht, diese auch zu ermöglichen, wo es nur geht.

Tatsächlich stellt der Datenschutz ein paar Anforderungen, um Projekte vernünftig umsetzen zu können. Den Datenschutz damit als Verhinderer zu bezeichnen, ist aber falsch. Das wäre etwa wie zu behaupten, dass die Regelungen zum Straßenverkehr wie die Pflicht einer Fahrerlaubnis oder die Promillegrenze das Autofahren verhindern. Es stimmt einfach nicht. Es gibt nur bestimmte Regeln, die man umsetzen muss. Und ja, diese Regeln sind manchmal mit ein wenig Aufwand verbunden.

Fazit

Datenschutz ist nicht nur eine rechtliche Pflicht, sondern auch ein wichtiger Bestandteil der Unternehmenskultur. Unternehmen, die Datenschutz ernst nehmen, schaffen Vertrauen bei Kunden und Mitarbeitern und reduzieren gleichzeitig das Risiko rechtlicher Probleme. Dank gesetzlicher Regelungen wie der DSGVO gibt es klare Vorgaben, an denen sich Unternehmen orientieren können. Dennoch ist es entscheidend, dass Datenschutz in der Praxis gelebt wird.