Datenschutz im Unternehmen: DSGVO für Firmen

Unternehmen stehen hinsichtlich Datenschutz vor neuen Herausforderungen: Dazu zählen gesetzliche Neuerungen wie das geplante Beschäftigtendatenschutzgesetz (BeschDG), das reformierte TDDDG (ehemals TTDSG) sowie neue Anforderungen durch den EU-US Data Privacy Framework. Auch technologische Entwicklungen wie Künstliche Intelligenz oder moderne Anonymisierungstechniken stellen Unternehmen vor neue Prüfpflichten.

1. Die DSGVO – Umfassender Datenschutz im Unternehmen

Durch die Datenschutzgrundverordnung (DSGVO) wird jedes in der EU tätige Unternehmen zum Datenschutz verpflichtet. Sie ist europaweit die wichtigste aller Datenschutzbestimmungen, deren Umsetzung die Unternehmen durch geeignete Maßnahmen unbedingt beachten müssen. In ihrer ursprünglichen Ausführung bereits mehrmals neu gefasst und modifiziert, setzt sie die EU-Datenschutzrichtlinie (RL 95/46/EG) um und regelt umfassend die Verarbeitung personenbezogener Daten. Das Bundesdatenschutzgesetz (BDSG-neu) erweitert die Regelungen zum Umgang mit personenbezogenen Daten in Deutschland als nationales Recht.

Seit Mai 2024 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) unter dem neuen Namen TDDDG bekannt. Es regelt nun umfassend den Datenschutz in digitalen Diensten und der Telekommunikation. Darüber hinaus bietet die neue EuroPriSe-Zertifizierung Unternehmen eine Möglichkeit, ihre Datenschutz-Compliance DSGVO-konform nach außen zu dokumentieren – besonders für Auftragsverarbeiter eine relevante Neuerung.

Verarbeitungen personenbezogener Daten sind nur bei Vorliegen einer Rechtsgrundlage aus Art. 6 DSGVO gerechtfertigt. Unternehmen trifft dabei die Pflicht, Datenschutzmaßnahmen für betroffene Personen, also beispielsweise Mitarbeiter, Kunden und Geschäftspartner, zu ergreifen, um Sanktionen in Form von hohen Bußgeldern, zu entgehen. Die DGSVO bringt dadurch datenschutzrechtliche Neuerungen und erhöhte Anforderungen an den Datenschutz in Unternehmen mit sich.

2. Datenschutz für kleine und mittlere Unternehmen

Kleine und mittlere Unternehmen (KMU) vernachlässigen den Datenschutz oftmals aus Gründen des Budgets, der Zeit, oder einfach, weil sie sich nicht mit der Umsetzung der neuen Vorgaben beschäftigen möchten. Doch auch KMUs sind zur Wahrung der Datenschutzrichtlinien für Unternehmen verpflichtet. Vernachlässigen sie diese, gehen sie ein erhebliches Risiko ein. Drohende Bußgelder und Sanktionen können für manche kleine und mittlere Unternehmen existenzgefährdend sein. Insbesondere medienorientierte Start-Ups, die sich regelmäßig mit Daten von Kunden beschäftigen und eine Vielzahl personenbezogener Daten verarbeiten, haben eine große Verantwortung im Bereich Datenschutz und kommen dieser oft nicht ausreichend oder gar nicht nach.

KMUs sind jedoch, wie alle anderen Unternehmen, die personenbezogene Daten verarbeiten, zur Einhaltung des Datenschutzes im Betrieb durch geeignete Maßnahmen verpflichtet. Hierbei sind die Vorschriften der Datenschutzgrundverordnung und des BDSG-neu unabhängig von der Unternehmensgröße zu beachten. Gerade die Pflicht zur Benennung eines Datenschutzbeauftragten, also eines professionellen Ratgebers, sollte nicht unbeachtet bleiben – denn auch Praktikanten, Teilzeitkräfte und freie Mitarbeiter müssen bei den Voraussetzungen aus § 38 Abs. 1 BDSG-neu berücksichtigt werden. Zudem kann die Benennung eines Datenschutzbeauftragten unabhängig von der Anzahl der Mitarbeiter, die personenbezogene Daten verarbeiten, notwendig werden. Dies ist nach Art. 37 Abs. 1 DSGVO z. B. dann der Fall, wenn das Unternehmen besondere Kategorien personenbezogener Daten wie Gesundheitsdaten verarbeitet.

Der größte Fehler, den KMUs in dieser Hinsicht machen können, ist, die DSGVO zu ignorieren. Denn neben der Gefahr von hohen Bußgeldern droht ein erheblicher Imageverlust bei den Kunden. Gerade für kleine und mittlere Unternehmen ist oft jeder einzelne Kunde existenzsichernd. Möchte man einen vertrauensvollen und professionellen Umgang mit seinen Kunden pflegen, ist deshalb die Organisation, Einhaltung und Umsetzung der Datenschutzrichtlinien für Unternehmen aus der DSGVO und dem neuen Bundesdatenschutzgesetz von höchster Bedeutung.

3. Harmonisierung des Datenschutzrechts durch die DSGVO

In Zeiten rasant wachsender Digitalisierung und Globalisierung nimmt die Verarbeitung immer größerer Datenmengen im globalen Rahmen konstant zu. So werden auch die Herausforderungen für den Datenschutz für Unternehmen immer größer. Aus diesem Grund hat der Gesetzgeber im Frühjahr 2016 die Datenschutzgrundverordnung (DSGVO) verabschiedet. Diese gilt seit Mai 2018 verbindlich in allen Mitgliedstaaten der EU.

Während die nationalen Datenschutzgesetze bis zum Inkrafttreten große Differenzen aufwiesen, führt die Verordnung zu einer weitgehenden Harmonisierung des Datenschutzrechts für Firmen auf europäischer Ebene. Das primäre Ziel der Verordnung ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und der freie Verkehr solcher Daten gemäß Art. 1 DGSVO. Auch wenn die DSGVO die Grundlage bildet, sehen sich Unternehmen heute mit zusätzlichen Herausforderungen konfrontiert – vor allem durch neue Technologien und gesetzgeberische Entwicklungen.

4. Neue Entwicklungen im Datenschutzrecht (2024/25)

Das Datenschutzrecht entwickelt sich kontinuierlich weiter. Unternehmen müssen nicht nur die bestehende DSGVO und das BDSG-neu beachten, sondern sich auch auf neue Regelungen und Rechtsprechung einstellen. Wichtige Entwicklungen der letzten Monate:

• Beschäftigtendatenschutzgesetz (BeschDG): Ein Referentenentwurf liegt seit Oktober 2024 vor. Dieser konkretisiert die Anforderungen an Arbeitgeber, insbesondere im Umgang mit KI-Systemen, etwa bei der Auswertung von Mitarbeiterdaten.
• EU-US Data Privacy Framework: Seit Juli 2023 ersetzt es den Privacy Shield und erlaubt wieder die Datenübertragung in die USA – aber nur unter engen Voraussetzungen. Unternehmen sollten prüfen, ob ihre Anbieter zertifiziert sind.
• Künstliche Intelligenz und Datenschutz: Mit der Einführung der EU-KI-Verordnung steigt der Druck, KI-Systeme datenschutzkonform zu nutzen. Unternehmen sind verpflichtet, Transparenz, Erklärbarkeit und Schutzmaßnahmen nachzuweisen – besonders bei automatisierten Entscheidungen.
• EuGH-Rechtsprechung zu Meta: Der EuGH hat 2024 klargestellt, dass große Plattformanbieter wie Meta personenbezogene Daten nicht beliebig verarbeiten dürfen. Für Unternehmen ergibt sich daraus ein verstärkter Fokus auf Datenminimierung und Zweckbindung.

Fazit: Datenschutz im Betrieb als kontinuierlicher Prozess

Der Datenschutz im Unternehmen erfordert heute mehr als nur die Einhaltung der DSGVO. Neue Gesetze wie das Beschäftigtendatenschutzgesetz, das TDDDG und der Einsatz von KI bringen zusätzliche Anforderungen mit sich. Wer Datenschutz als festen Bestandteil der Unternehmensprozesse etabliert, schützt nicht nur sensible Daten, sondern auch das Vertrauen der Kunden – und minimiert gleichzeitig Risiken wie Bußgelder oder Reputationsschäden.