Ein Mann hält seine beiden Hände geöffnet vor seiner Brust. Darüber schweben verschiedene IT-Symbole sowie Nullen und Einsen. In der Mitte ein großer Schutzschild mit einem geschlossenen Vorhängeschloss darin.
Security

Datenschutz für Unternehmen: Alles Wichtige im Überblick

Datenschutz ist für Unternehmen ein wichtiges Thema. Denn kein Geschäftsbetrieb ohne Daten – doch viele davon müssen besonders geschützt werden. Wie Sie Datenschutz in Ihrem Unternehmen sicher und effizient umsetzen und was Gummienten damit zu tun haben, erfahren Sie hier.

Seit 2018 wird in der EU die Datenschutzgrundverordnung (DSGVO) angewendet. Sie regelt unter anderem, welche Kundendaten Sie als Unternehmer:in erfassen dürfen, welche Firmendaten welchen Schutzstatus haben oder wie und wie lange Sie die digitalen Personalakten Ihrer Mitarbeiter:innen speichern dürfen.

Von der Zeiterfassung in der Produktion über die IoT-Überwachungskamera auf Ihrem Firmengelände bis zum Fotomaterial in Ihrer Imagebroschüre: Fast jeder Unternehmensbereich und fast jede Tätigkeit in Ihrem Unternehmen berührt in der einen oder anderen Form auch den Datenschutz.

Überall dort können Ihren Mitarbeiter:innen aber auch Datenschutzpannen unterlaufen, für die Sie und Ihr Unternehmen im Zweifel haften müssen. Grund genug also, sich mit dem Thema Datenschutz näher zu befassen.

Inhaltsverzeichnis

Was ist Datenschutz?

Der Begriff Datenschutz hat in Deutschland gleich mehrere Bedeutungen. Je nach Zusammenhang versteht man darunter: 
  • Den Schutz personenbezogener Daten gegen Missbrauch oder Weitergabe an Dritte 
  • Den Schutz (unternehmenseigener) Daten gegen Diebstahl, Spionage oder Manipulation (Datensicherheit) 
  • Die Summe aller technischen Einrichtungen und Prozesse, die dem Schutz von Daten dienen 
  • Die Personen innerhalb eines Unternehmens oder einer anderen Organisation, deren Verantwortung die Sicherstellung des Datenschutzes nach innen und außen ist 
  • Die Summe aller nationalen und multinationalen Normen und Gesetze, die den Schutz von Daten (insbesondere persönlicher Daten) sowie dessen praktische Umsetzung regeln 
 Im Folgenden soll es vor allem um den Schutz persönlicher Daten gehen und um die Frage, wie Sie diese erfassen, verarbeiten und speichern können; aber auch darum, wann und wie Sie Ihre Daten rechtskonform löschen. Zum Thema gehört beispielsweise auch die Datensicherheit in Remote-Work-Umgebungen wie dem Homeoffice.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Was sind personenbezogene Daten?

Personenbezogene Daten sind all jene Informationen, die sich auf eine identifizierte oder grundsätzlich identifizierbare lebende Person beziehen. Auch solche Teilinformationen, die erst durch Dritte oder in Verbindung mit weiteren Informationen die Identifizierung einer Person möglich machen, sind personenbezogene Daten im Sinne der DSGVO.   
Damit Informationen als personenbezogene Daten gelten, reicht es bereits aus, dass sie theoretisch zum Identifizieren genutzt werden könnten. Die Einstufung ergibt sich allein aus der grundsätzlichen Möglichkeit und nicht erst aus der tatsächlichen Verwendung zur Identifizierung.  
Zu den personenbezogenen Daten gehören also nicht nur Name, Anschrift und Telefonnummer, sondern auch Cookie-Daten aus dem Browser, ein digitalisierter Fingerabdruck im biometrischen Zugangssystem oder die letzte Zieleingabe aus dem Navigationssystem eines Dienstwagens.
Wichtig: Personenbezogene Daten verlieren ihren besonderen Schutzstatus erst dann, wenn sie technisch so anonymisiert oder verschlüsselt werden, dass sie rückwirkend keiner einzelnen Person mehr zugeordnet werden können (Unumkehrbarkeit). Besteht auch nur die theoretische Möglichkeit, diese Daten – etwa durch ein Backup oder mithilfe einer Undo-Funktion – wieder zuzuordnen, behalten die Daten ihren Status als personenbezogene Informationen.
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.

Warum ist Datenschutz für Unternehmen in Deutschland besonders wichtig?

Der Datenschutz hat in Deutschland traditionell eine lange Tradition und einen hohen Stellenwert. Das hessische Datenschutzgesetz von 1970 gilt als eines der ersten Datenschutzgesetze der Welt. Auf nationaler Ebene regelt seit 1978 das inzwischen mehrfach modifizierte Bundesdatenschutzgesetz (BDSG) diesen Rechtsgegenstand.   
In seiner aktuellen Fassung setzt es zugleich die europäische Datenschutzgrundverordnung (EU-DSGVO) um und präzisiert diese in einigen Bereichen, die über sogenannte Öffnungsklauseln weiterhin der nationalen Gesetzgebung überlassen sind.
Das gilt beispielsweise für Fragen des behördlichen Datenschutzes oder zu Altersgrenzen für die Einwilligung in die Speicherung personenbezogener Daten. In der Praxis müssen Sie also beim Datenschutz sowohl die DSGVO beachten als auch die entsprechenden Rechtsvorschriften aus dem BDSG. Aber auch das am Unternehmens- oder Filialstandort geltende Landesdatenschutzgesetz ist für Sie maßgeblich. Es regelt über die Funktion des:der Landesdatenschutzbeauftragen beispielsweise, in welchen Fällen Sie Behörden oder betroffene Personen über Datenschutzverstöße zu informieren haben.   
Insgesamt hat Deutschland beim Datenschutz ein sehr hohes Niveau erreicht. In einer Studie des Compliance-Dienstleisters heyData steht die Bundesrepublik innerhalb der EU im Datenschutzranking hinter Irland auf dem zweiten Platz.   
Der Dienstleister lobt beispielsweise die Gesetzgebung zum Datenschutz, aber auch die Verfolgung von Verstößen. Gleichzeitig ist die Aufmerksamkeit für Datenschutzthemen in der deutschen Bevölkerung hoch.

Wahrnehmung des Themas Datenschutz in der Gesellschaft

In einer gemeinsamen Umfrage der Meinungsforschungsinstitute Sinus und Yougov erklärten 93 Prozent der befragten Bundesbürger:innen, dass ihnen Datenschutz wichtig oder sogar sehr wichtig sei. Allerdings äußerten auch 56 Prozent von ihnen die Sorge, dass ihre persönlichen Informationen durch Dritte nicht ausreichend geschützt würden. 
Dies spiegelt sich auch in der Marktakzeptanz vieler Waren und Dienstleistungen wider, die Datenschutzfragen aufwerfen: Von der elektronischen Gesundheitskarte über smarte Stromzähler bis hin zur Autoversicherung, die das Fahrverhalten dauerhaft protokolliert und danach den Versicherungstarif staffelt – alle diese Produkte wurden aufgrund von Datenschutzbedenken in Deutschland vor dem eigentlichen Vertriebsstart mehrfach modifiziert und schließlich gar nicht oder nur in stark reduzierter Form auf den Markt gebracht.
Ganze zwölf Jahre dauerte es, bis Suchmaschinenbetreiber Google für seinen Kartendienst Google Maps/Street View erstmals wieder aktualisierte Hausansichten aus Deutschland ins Netz stellte, nachdem dort zahlreiche Hausbesitzer:innen und Mieter:innen beim ersten Durchlauf 2010 die Verpixelung ihrer Immobilien durchgesetzt hatten.
Dies alles zeigt: In Deutschland sind die Verbraucher:innen nicht nur äußerst sensibel für Datenschutzthemen. Unternehmen sollten auch im Interesse Ihrer Kund:innen sowie mit Blick auf die eigene Reputation Datenschutz besonders hoch gewichten und Risikofolgen abschätzen. Die DSGVO kennt hierfür ein formalisiertes Verfahren.

Die Datenschutz-Folgenabschätzung – wann Unternehmen Datenschutzrisiken bewerten müssen

Artikel 35 der DSGVO schreibt für die Datenverarbeitung, „insbesondere bei Verwendung neuer Technologien“ immer dann die Durchführung einer sogenannten Datenschutz-Folgenabschätzung vor, wenn sich aus ihr ein „hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ ergibt. Als Beispiele nennt die DSGVO etwa die die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (sogenanntes „Profiling“) oder auch die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Die Artikel-29-Datenschutzgruppe, ein Expertengremium der Europäischen Kommission und Vorgängerin des Europäischen Datenschutzausschusses, führt weitere Indikatoren für die Notwendigkeit einer Datenschutz-Folgenabschätzung auf: 
  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen 
  • Datenverarbeitung in großem Umfang 
  • Verarbeitung vertraulicher oder höchst persönlicher Daten 
  • Gegenüberstellung oder Zusammenführung von Datensätzen 
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung 
  • Hinderung Betroffener an der Ausübung eines Rechts oder an der Nutzung einer Dienstleistung oder deren Durchführung auf Grundlage eines Vertrages 
Insbesondere die ersten, sehr allgemein gehaltenen Punkte sind in der Geschäftspraxis selbst kleiner und mittelständischer Unternehmen heute schnell erfüllt. Ist Ihr Geschäftsmodell im Endkundenbereich onlinebasiert oder nutzen Sie Big Data, sind die Bedingungen des Artikels 35 höchstwahrscheinlich gegeben. Sind Sie sich diesbezüglich unsicher, sollten Sie sich von Datenschutzexpert:innen beraten lassen. 
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Der Unterschied zwischen Datenschutz und Datensicherheit

Die Begriffe Datenschutz und Datensicherheit werden oft verwechselt, dabei unterscheiden sie sich in ihrer Bedeutung erheblich. Beim Datenschutz, wie ihn etwa DSGVO und BDSG behandeln, geht es vor allem um den Schutz persönlicher Daten gegen Missbrauch oder Weitergabe an Dritte. Datensicherheit hingegen ist ein Begriff aus der Datenverarbeitung und Informatik. Er betrachtet, inwieweit Daten (ohne Unterscheidung zwischen persönlichen und nicht persönlichen Daten) geschützt sind gegen: 
  • Diebstahl: etwa durch Cyberkriminelle, die Kunden- oder Kreditkarten stehlen oder durch Wettbewerber, die mittels Spear Phishing beispielsweise strategische Daten oder Daten aus der Produktentwicklung stehlen 
  • Manipulation: beispielsweise durch das gezielte Verändern von Geschäftsdaten durch einen Wettbewerber oder das Einschleusen von Malware oder auch  
  • Verlust: technischer Verlust durch Ausfall oder Verlust von Datenträgern, aber auch gezielt durch Dritte herbeigeführter Verlust, etwa durch Verschlüsselung mittels Ransomware 
Datenschutz berührt also sowohl technische Belange wie die Zuverlässigkeit von Datenträgern als auch Fragen der Cybersecurity. Richtig angewendet, ergänzen sich Datenschutz und Datensicherheit im Unternehmen. Denn wo generell alle Daten sicher verwahrt und verschlüsselt werden, beispielsweise in einer gut geschützten Private Cloud, ist der Diebstahl von persönlichen Daten ebenso erschwert wie technischer Datenverlust sowie der Diebstahl und die Manipulation von Unternehmensdaten. 
Zwei USB-Sticks liegen auf einer Tastatur
Datenschutzgefahren im Unternehmensalltag: Gefährliche Hackingwerkzeuge, die wie USB-Sticks aussehen, werden leichtfertig in Firmengeräte gesteckt.
Datenschutzexpert:innen berichten in diesem Zusammenhang, dass beispielsweise Mitarbeiter:innen in vielen Unternehmen immer noch herumliegende USB-Sticks arglos in Arbeitsplatzrechner stecken. Daher nutzen Hacker:innen gerne Geräte wie das als USB-Stick getarnte „Rubber Ducky“ (Gummientchen) von Hak5, um damit Passwörter auszulesen oder Sicherheitslücken in Firmennetzen aufzuspüren.
Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

  • Ohne Installation, direkt im Netz
  • Schützt von Viren und Pishing
  • Automatisch auf dem neusten Stand

So schützen Sie Ihre Unternehmensdaten

Wenn Sie die nachfolgenden Punkte beachten, reduzieren Sie das Risiko von Datenverlusten und Datenschutzverstößen in Ihrem Unternehmen erheblich:  
  • Schulen Sie Ihre Mitarbeiter:innen regelmäßig zum DSGVO-konformem Umgang mit Daten. Behandeln Sie hier auch das Thema Cybersicherheit. 
  • Erstellen Sie für Ihr Unternehmen ein Konzept für die IT-Sicherheit. Dieses sollte Ihre gesamte Technik und alle internen Prozesse berücksichtigen.
  • Speichern Sie Ihre Daten grundsätzlich nur verschlüsselt. Aktuelle Betriebssysteme wie Windows 11 Pro und macOS bieten mit BitLocker beziehungsweise FileVault bereits von Haus aus entsprechende Funktionen an.
  • Arbeiten Sie datensparsam. Löschen Sie nicht mehr benötigte Kundendaten unverzüglich, wie es die DSGVO vorsieht. Achten Sie außerdem darauf, dass diese Daten über Datenbackups nicht mehr verfügbar sind. Beachten Sie hierbei die Aufbewahrungsfristen aus dem BGB (§195 – Verjährungsfristen) und dem Steuerrecht.
  • Nutzen Sie für Ihre Firmendaten sichere Speicherplattformen. Verfügen Sie im eigenen Unternehmen nicht über das dafür notwendige Spezialwissen, können Sie beispielsweise eine gemanagte Cloudplattformen inklusive Firewall-as-a-Service buchen.
  • Führen Sie im Unternehmen regelmäßige Pentests durch. So erkennen Sie Datenschutz- und Datensicherheitslücken in Ihren Prozessen.
  • Verwenden Sie für mobile Endgeräte im Unternehmen ein Enterprise Mobility Management. Nutzen Sie dessen Sicherheits- und Verschlüsselungsfunktionen.

Das Wichtigste zum Thema Datenschutz in Kürze

  • Der Datenschutz umfasst den Schutz jeglicher Form von Daten, beispielsweise Kundendaten, Daten von Mitarbeiter:innen und vertrauliche Unternehmensdaten.  
  • Rechtliche Normen wie die Datenschutzgrundverordnung (DSGVO) betrachten beim Datenschutz vor allem den Schutz persönlicher Daten. 
  • Unternehmen sind verpflichtet, persönliche Daten besonders sorgfältig zu schützen und nicht mehr benötigte persönliche Daten unverzüglich zu löschen. 
  • In Deutschland ist die Sensibilität für das Thema Datenschutz traditionell hoch – insbesondere bei solchen Waren und Dienstleistungen, die persönliche Daten von Kund:innen speichern oder verarbeiten. 
  • Mit einem professionellen Datenschutzkonzept minimieren Sie die Gefahren von Datenverlusten und Datenschutzverstößen. 
Das könnte Sie auch interessieren:
Security
Briefumschlag-Icon mit einem Schlosssymbol vor einem dunklen Hintergrund mit herunterfallenden Nullen und Einsen, die golden schimmern.

E-Mail-Verschlüsselung einfach erklärt

Trotz Collaboration Tools und Messengern: E-Mails sind noch immer eine der wichtigsten Kommunikationsformen für Unternehmen. Ob für interne oder externe Kontakte, den Versand von Dokumenten oder das gezielte Marketing – die gute alte E-Mail dient nach wie vor als erste Lösung für alle Arten des Austauschs wichtiger Informationen. Und rechtssicher ist die E-Mail-Kommunikation im Gegensatz zu der über Messaging-Dienste auch. Doch sind Ihre Daten in einer E-Mail ebenfalls sicher? Hier erfahren Sie, warum Sie in Zeiten höherer Datenschutzanforderungen und vermehrter Cyberangriffe Wert auf eine sichere Verschlüsselung legen sollten – und wie diese bei E-Mails funktioniert, erfahren Sie hier. Mehr als 300 Milliarden E-Mails wandern pro Tag durch das weltweite Netz – und theoretisch kann sie jede:r während des Transports mitlesen. Ganz wie analoge Postkarten bewegten sich die elektronischen Nachrichten seit ihrer Erfindung im Jahr 1971 traditionell im Klartext von den Absende- zu den Zieladressen. Sicherheitsbedenken spielten dabei lange Zeit keine Rolle. Doch das hat sich fundamental geändert, und die meisten seriösen E-Mail-Dienstleister bieten längst unterschiedliche Formen der E-Mail-Verschlüsselung an.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort