Datenschutz im Betrieb

Transparente Regelungen zum Schutz von Unternehmen und Betroffenen

Damit Persönlichkeitsrechte von Betroffenen sich nicht verringern und um Schäden für Betroffene und Unternehmen zu vermeiden, empfiehlt es sich, gesonderte Regelungen zur Wahrung der Vertraulichkeit der Daten und Informationen zu schaffen. Diese Regelungen empfehlen sich umso mehr, weil die neue Datenschutzverordnung der EU (DSGVO) in Art. 5 Abs. 1f die Wahrung der Vertraulichkeit ausdrücklich als Datenschutzziel nennt und bei Verstößen gem. Art. 83 Abs. 5 DSGVO ein Bußgeld bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes des Gesamtunternehmens vorsieht. In unserem Ratgeber „Prozessorientiertes Datenschutzmanagement“ greifen wir dieses Thema auf und geben wertvolle Tipps. Lesen Sie hier einen Auszug aus diesem Kapitel.

Die Anforderungen hinsichtlich der Vertraulichkeit von öffentlichen bis streng vertraulichen Informationen und Daten sind sehr unterschiedlich. Die Richtlinie sieht deshalb ein Verfahren zur Definition von vertraulichen Informationen und Dokumenten sowie eine Klassifizierung der Informationen und Daten nach ihrer Vertraulichkeit vor.

Durch erhöhte Transparenz unbeabsichtigte Schäden vermeiden

In Abhängigkeit vom Vertraulichkeitsgrad sind für Informationseigentümer und -nutzer Regelungen für den Umgang mit den Informationen und Daten vorgesehen. Durch die Vertraulichkeitsrichtlinie erhalten sowohl die Informationseigentümer als auch deren Nutzer im Unternehmen klare, operationale Anleitungen zum Umgang mit den Informationen sowie zur Wahrung der Vertraulichkeit. Diese Transparenz erhöht die Informationssicherheit und bewahrt die Betroffenen sowie das Unternehmen vor Schaden.

Die DSGVO verlangt in Art. 5 Abs. 1f, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet. Dies umschließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, genauso wie unbeabsichtigten Verlust, Zerstörung oder Schädigung. Als Datenschutzziel nennt sie den Schutz der Integrität und der Vertraulichkeit der Daten.

Auch Art. 32 Abs. 1 DSGVO verlangt die Fähigkeit, unter anderem die Vertraulichkeit der Daten sicherzustellen. Sie verlangt geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu erreichen. Die DSGVO nennt dabei als Datenschutzziel die Wahrung der Vertraulichkeit, stellt aber die technischen und organisatorischen Maßnahmen unter das Gebot der Erforderlichkeit beziehungsweise der Angemessenheit in Bezug auf die Schwere des Risikos für die Rechte und Freiheiten der Betroffenen.

Um überhaupt angemessene technische und organisatorische Maßnahmen festlegen zu können, muss geklärt sein, welche Daten unter den Schutz der Vertraulichkeit fallen sollen, wer für diese Daten verantwortlich ist und welche Ansprüche an das Maß der Vertraulichkeit zu richten sind (nur nach außen hin vertraulich, nur für bestimmte Stellen im Unternehmen zugänglich etc.). Ebenfalls muss geregelt sein, ob, und gegebenenfalls inwieweit die Einhaltung dieser Vertraulichkeit auch nachweisbar sein soll. Gerade im Hinblick auf die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO darf künftig die Frage nicht vernachlässigt werden, wie das geforderte Maß der Vertraulichkeit gewährleistet und die Wahrung der Vertraulichkeit auch belegt werden kann.

DSGVO Vertraulichkeitsrichtlinien sind nicht verpflichtend, aber empfohlen

Vertraulichkeitsrichtlinien sind kein Pflichtdokument, sondern werden nach Bedarf erlassen. Sie legen einerseits fest, welche Informationen und Kategorien von Dokumenten im Unternehmen überhaupt und mit welchem Anspruch an den Grad der Vertraulichkeit als vertraulich zu gelten haben und regeln andererseits den Umgang mit diesen Informationen.

Es zeigt sich immer wieder, dass vielfach keine Klarheit darüber besteht, welche Informationen (nach innen und nach außen) inwieweit der Vertraulichkeit unterliegen sollen. Informationen können in unterschiedlicher Form, codiert und uncodiert, als Wort, Bild, Ton und Schrift und auf unterschiedlichsten Informationsträgern in digitaler und in analoger Form vorliegen.

Ob Informationen vertraulich sind, welchen Stellen gegenüber sie als vertraulich zu behandeln sind und wie der Grad der Vertraulichkeit einzuschätzen ist, kann von den Mitarbeitern subjektiv unterschiedlich beurteilt werden. Daher darf dies nicht der individuellen Beurteilung eines jeden Einzelnen überlassen sein. Es empfiehlt sich deshalb, die zu schützenden Informationen zu kennzeichnen und den Umgang mit diesen Informationen zu regeln.

In die Regelung sollten folgende Informationen einbezogen werden:

  • Codierte und uncodierte Daten in Datenbanken und Dateien
  • Elektronische Dokumente, unabhängig von der Art des Informationsträgers
  • Papierbasierte Dokumente
  • Informationen auf Tonträgern und das gesprochene Wort
  • Bilder, unabhängig von der Art des Informationsträgers
Diesen Fachbeitrag vollständig lesen?

Wir freuen uns über Ihr Interesse. Diese Themen und viele andere rund um den betrieblichen Datenschutz finden Sie in unserem Fachportal für Datenschutz und Datensicherheit.

Kostenlos 4 Wochen lang testen


Sie sind bereits Nutzer von Datenschutz und Datensicherheit?

Zu diesem Beitrag finden Sie in Ihrem Ratgeber „Prozessorientiertes Datenschutzmanagement - DSGVO“ weitere Inhalte. Melden Sie sich hier an und lesen Sie alles zum Thema.

Zurück

Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:

  • Datenschutz-Fokusthemen
  • Veröffentlichungen der Behörden
  • Relevante Gerichtsentscheidungen

Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.