Was gilt bei Datenschutz bei Unternehmen, wenn fremde Menschen ohne Bescheid eintreten?

Es gibt mehrere Fälle, in denen Unternehmen wegen unzureichender Datenschutzmaßnahmen im Home Office verurteilt oder mit Bußgeldern belegt wurden. Ein häufiges Problem war die unzureichende Sicherung von personenbezogenen Daten, die während der Arbeit im Home Office verarbeitet wurden. Ein Beispiel ist ein Fall in Deutschland, in dem ein Unternehmen wegen mangelnder Sicherheitsvorkehrungen bei der Nutzung von Home-Office-Software verurteilt wurde. Hierbei wurden sensible Kundendaten über unsichere Netzwerke übertragen, was gegen die Datenschutz-Grundverordnung (DSGVO) verstieß. Ein weiteres Beispiel ist ein Unternehmen, das aufgrund unzureichender Schulungen seiner Mitarbeiter in Bezug auf Datenschutz im Home Office mit einer Geldstrafe belegt wurde. Die Mitarbeiter waren nicht ausreichend über die Risiken und den Umgang mit personenbezogenen Daten informiert worden, was zu Datenlecks führte. Diese Fälle verdeutlichen die Notwendigkeit für Unternehmen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um den Datenschutz auch im Home Office zu gewährleisten.

Artikel 28 der Datenschutz-Grundverordnung (DSGVO) bezieht sich auf die Auftragsver und legt fest, welche Anforderungen an die Verträge zwischen dem Verantwortlichen und dem Auftragsverarbeiter gestellt werden. In Bezug auf Minderjährige müssen Unternehmen besonders darauf achten, dass die Verarbeitung personenbezogener Daten von Minderjährigen den zusätzlichen Schutzmaßnahmen entspricht, die in der DSGVO vorgesehen sind. 1. **Einwilligung**: Wenn die Verarbeitung personenbezogener Daten von Minderjährigen erfolgt, ist sicherzustellen, dass die Einwilligung der Eltern oder Erziehungsberechtigten eingeholt wird, sofern der Minderjährige unter dem in dem jeweiligen Mitgliedstaat festgelegten Alter liegt (in der Regel unter 16 Jahren). 2. **Vertragliche Regelungen**: In den Verträgen mit Auftragsverarbeitern (Art. 28 Abs. 3 DSGVO) sollten spezifische Klauseln enthalten sein, die den Schutz der Daten von Minderjährigen betonen. Dazu gehört, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreift, um die Daten von Minderjährigen zu schützen. 3. **Transparenz und Information**: Unternehmen müssen sicherstellen, dass die Informationen über die Datenverarbeitung klar und verständlich sind, insbesondere für Minderjährige und deren Eltern. Dies kann durch altersgerechte Datenschutzerklärungen geschehen. 4. **Schulung und Sensibilisierung**: Es ist wichtig, dass Mitarbeiter, die mit der Verarbeitung von Daten von Minderjährigen betraut sind, entsprechend geschult werden, um die besonderen Anforderungen und Risiken zu verstehen. 5. **Risikobewertung**: Unternehmen sollten eine Risikoanalyse durchführen, um die spezifischen Risiken bei der Verarbeitung von Daten von Minderjährigen zu identifizieren und geeignete Maßnahmen zu ergreifen. Durch die Beachtung dieser Punkte können Unternehmen sicherstellen, dass sie die Anforderungen der DSGVO in Bezug auf die Verarbeitung von Daten von Minderjährigen erfüllen.

Ein Datenschutzbeauftragter muss in einem Unternehmen ernannt werden, um sicherzustellen, dass die Datenschutzbestimmungen eingehalten werden. Dies ist besonders wichtig, da Unternehmen personenbezogene Daten verarbeiten, die durch Gesetze wie die Datenschutz-Grundverordnung (DSGVO) geschützt sind. Der Datenschutzbeauftragte hat die Aufgabe, die Einhaltung dieser Vorschriften zu überwachen, Mitarbeiter zu schulen, Risiken zu bewerten und als Ansprechpartner für Betroffene sowie Aufsichtsbehörden zu fungieren. Die Ernennung eines Datenschutzbeauftragten trägt dazu bei, rechtliche Risiken zu minimieren und das Vertrauen der Kunden in den Umgang mit ihren Daten zu stärken.

Laut dem Bundesdatenschutzgesetz (BDSG) haben bet Personen verschiedene Rechte gegenüber den datennenden Unternehmen. Diese Rechte umfassen: 1. **Recht auf Auskunft**: Betroffene haben das Recht, von dem Unternehmen zu erfahren, welche personenbezogenen Daten über sie verarbeitet werden. 2. **Recht auf Berichtigung**: Personen können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. 3. **Recht auf Löschung**: Betroffene haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn diese nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden. 4. **Recht auf Einschränkung der Verarbeitung**: In bestimmten Fällen können betroffene Personen die Einschränkung der Verarbeitung ihrer Daten verlangen. 5. **Recht auf Datenübertragbarkeit**: Betroffene haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übertragen. 6. **Widerspruchsrecht**: Personen können der Verarbeitung ihrer personenbezogenen Daten widersprechen, insbesondere wenn die Verarbeitung auf berechtigten Interessen des Unternehmens beruht. 7. **Recht auf Beschwerde**: Betroffene haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie der Meinung sind, dass die Verarbeitung ihrer Daten gegen das Datenschutzrecht verstößt. Diese Rechte sollen den Schutz der personenbezogenen Daten und die Selbstbestimmung der betroffenen Personen über ihre Daten gewährleisten.

Datenschutzschulungen sind entscheidend für Unternehmen, um das Bewusstsein der Mitarbeiter für den Umgang mit sensiblen Daten zu schärfen. Sie helfen, rechtliche Vorgaben einzuhalten und das Risiko von Datenschutzverletzungen zu minimieren. Durch regelmäßige Schulungen wird eine Kultur des Datenschutzes gefördert, die das Vertrauen von Kunden und Partnern stärkt. Zudem können gut informierte Mitarbeiter dazu beitragen, potenzielle Sicherheitsvorfälle frühzeitig zu erkennen und zu verhindern.

In einem Unternehmen ist in der Regel der Verantwortliche für den Datenschutz, also der Datenschutzbeauftragte (DSB), für die Festlegung und Überwachung von Löschfristen zuständig. Die eigentliche Verantwortung liegt jedoch bei der Geschäftsführung bzw. der verantwortlichen Stelle gemäß Datenschutz-Grundverordnung (DSGVO). Sie muss sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und entsprechende Löschkonzepte implementieren. Der Datenschutzbeauftragte berät und unterstützt dabei, die gesetzlichen und betrieblichen Anforderungen umzusetzen, aber die letztendliche Verantwortung trägt die Unternehmensleitung. Oft arbeiten Datenschutzbeauftragte, IT-Abteilung, Fachabteilungen und ggf. die Rechtsabteilung gemeinsam an der Festlegung und Umsetzung von Löschfristen.

Ein Datenschutzkonzept ist nicht mit einem Sicherheitskonzept gleichzustellen, auch wenn beide eng miteinander verbunden sind. **Datenschutzkonzept:** Ein Datenschutzkonzept beschreibt Maßnahmen, Prozesse und Verantwortlichkeiten, um personenbezogene Daten gemäß den gesetzlichen Vorgaben (z. B. DSGVO) zu schützen. Es legt fest, wie Daten erhoben, verarbeitet, gespeichert und gelöscht werden und wie die Rechte der Betroffenen gewahrt bleiben. **Sicherheitskonzept:** Ein Sicherheitskonzept ist umfassender und bezieht sich auf den Schutz aller Informationen und IT-Systeme eines Unternehmens – unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Es umfasst technische und organisatorische Maßnahmen zur Abwehr von Bedrohungen wie Hackerangriffen, Datenverlust oder Systemausfällen. **Fazit:** Das Datenschutzkonzept ist ein Teilbereich des Sicherheitskonzepts. Während das Sicherheitskonzept den Schutz aller Daten und Systeme behandelt, konzentriert sich das Datenschutzkonzept speziell auf den Schutz personenbezogener Daten und die Einhaltung datenschutzrechtlicher Vorgaben.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet einen umfassenden Rahmen für Informationssicherheit in Organisationen. Er enthält viele Maßnahmen, die auch dem Datenschutz dienen, etwa zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Manipulation. Allerdings deckt der IT-Grundschutz nicht alle Anforderungen des Datenschutzes vollständig ab. Datenschutz – insbesondere nach der Datenschutz-Grundverordnung (DSGVO) – umfasst neben technischen und organisatorischen Maßnahmen (TOM) auch rechtliche, organisatorische und prozessuale Anforderungen, wie z.B.: - Rechtmäßigkeit der Datenverarbeitung - Betroffenenrechte (z.B. Auskunft, Löschung) - Datenschutz-Folgenabschätzung - Verzeichnis von Verarbeitungstätigkeiten - Auftragsverarbeitung Der IT-Grundschutz unterstützt zwar die Umsetzung vieler technischer und organisatorischer Maßnahmen, ersetzt aber keine vollständige Datenschutz-Compliance. Für einen umfassenden Datenschutz müssen zusätzlich die spezifischen gesetzlichen Anforderungen (z.B. DSGVO, BDSG) beachtet und umgesetzt werden. Weitere Informationen findest du beim [BSI zum IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/it-grundschutz_node.html) und beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

IT-Sicherheit selbst ist keine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO). Einestätigkeit beschreibt einen Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln oder Löschen dieser Daten. IT-Sicherheitsmaßnahmen (z. B. Firewalls, Verschlüsselung, Zugriffskontrollen) dienen dazu, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Sie sind also unterstützende Maßnahmen, die im Rahmen von Verarbeitungstätigkeiten eingesetzt werden, aber keine eigenständige Verarbeitungstätigkeit darstellen. In einem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO werden die eigentlichen Prozesse (z. B. Lohnabrechnung, Kundenverwaltung) dokumentiert. Die dabei eingesetzten IT-Sicherheitsmaßnahmen werden in der Regel als technische und organisatorische Maßnahmen (TOM) separat beschrieben. Zusammengefasst: IT-Sicherheit ist keine Verarbeitungstätigkeit, sondern eine Maßnahme zum Schutz der Verarbeitungstätigkeiten.

Ja, im Sinne der Datenschutz-Grundverordnung (DSGVO) kann die Beschaffung als Verarbeitungstätigkeit gelten, sofern dabei personenbezogene Daten verarbeitet werden. **Begründung:** Die DSGVO definiert „Verarbeitung“ sehr weit und umfasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verknüpfen, Einschränken, Löschen oder Vernichten. **Beispiel:** Wenn im Rahmen der Beschaffung (z. B. Einkauf von Waren oder Dienstleistungen) personenbezogene Daten von Ansprechpartnern bei Lieferanten, Mitarbeitern oder anderen natürlichen Personen verarbeitet werden (z. B. Name, Kontaktdaten, Bankverbindung), handelt es sich um eine Verarbeitungstätigkeit. **Praxis:** In vielen Unternehmen wird die Beschaffung daher als eigene Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten dokumentiert. **Fazit:** Beschaffung ist dann eine Verarbeitungstätigkeit im Sinne der DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.