Datensicherheit und Maßnahmen zum Datenschutz

Kurz und kompakt

  • Bei der Gründung eines Unternehmens müssen Datenschutz und Datensicherheit gewährleistet sein.

  • Gemäß der DSGVO müssen Unternehmen ein Datenschutzkonzept mit Verarbeitungsverzeichnis und technisch-organisatorischen Maßnahmen (TOM) umsetzen.

  • Bei Datenpannen ist eine unverzügliche Meldung an die Aufsichtsbehörde Pflicht, um rechtliche und finanzielle Konsequenzen zu vermeiden.

Was Unternehmerinnen und Unternehmer wissen müssen

Bei der Gründung eines Unternehmens ist es wichtig, von Anfang an die Datensicherheit in Ihrer Planung zu berücksichtigen. So schaffen Sie die Grundlagen, um sich vor Verlust und Diebstahl von Daten zu schützen.

Datenschutz und Datensicherheit – Was ist der Unterschied?

Heute sollte jedes Unternehmen über ein Cyber-Sicherheitskonzept verfügen. Dabei ist entscheidend, dass sowohl Sie als Unternehmerin oder Unternehmer als auch Ihre Mitarbeitenden sich an die Grundregeln des Datenschutzes halten. Für ein besseres Verständnis ist es sinnvoll, zunächst den Unterschied zwischen Datenschutz und Datensicherheit zu erläutern.

Zwar werden die Begriffe "Datenschutz" und "Datensicherheit" oft synonym verwendet. Sie unterscheiden sich jedoch hinsichtlich der Ziele, die damit verfolgt werden. Bei Datensicherheit geht es allgemein um den Schutz von Daten. Die entsprechenden Maßnahmen sollen zum Beispiel Wirtschaftsspionage verhindern. Der Datenschutz hingegen zielt speziell auf die Sicherheit personenbezogener Daten ab. Das sind Daten, die sich auf eine konkrete Person beziehen oder sich mit ihr in Verbindung bringen lassen.

Maßnahmen zum Datenschutz

Mit einem Datenschutzkonzept weisen Sie nach, dass Sie die Anforderungen der seit Mai 2018 gültigen Europäischen Datenschutzgrundverordnung (DSGVO) in Ihrem Unternehmen berücksichtigen. Das ist unabdingbar, da Sie bei Verstößen, zum Beispiel durch unzureichenden Schutz vor Datenverlust aufgrund von Cyber-Angriffen, rechtlich belangt werden können. Um das zu verhindern, empfiehlt es sich, mindestens die folgenden Maßnahmen in Ihrer Firma umzusetzen:

  1. Alle internen Verarbeitungsvorgänge dokumentieren
    In einem Verarbeitungsverzeichnis dokumentieren Sie die Verarbeitung personenbezogener Daten in Ihrem Unternehmen.
  2. Technisch-organisatorische Maßnahmen (TOM) umsetzen
    TOM sollen gemäß Artikel 32 der DSGVO die Verarbeitung personenbezogener Daten schützen. Zu den TOM gehören unter anderem die Pseudonymisierung und Verschlüsselung von Daten, die rasche Wiederherstellung nach Zwischenfällen und die regelmäßige Überprüfung der Wirksamkeit der Maßnahmen. All das müssen Sie dokumentieren. Welche Maßnahmen sinnvoll sind, hängt vom jeweiligen Unternehmen ab. Wollen Sie beispielsweise Ihre Daten gegen Verlust durch zufällige Zerstörung absichern, ist ein Back-up Ihrer Systeme nötig. Vertrauliche oder personenbezogene Daten können Sie beispielsweise durch Verschlüsselung schützen oder indem Sie den Zugriff darauf beschränken.
  3. Daten korrekt erfassen und verarbeiten
    Achten Sie bei der Erfassung personenbezogener Daten darauf, dass Sie nur die für den jeweiligen Zweck erforderlichen Informationen speichern dürfen und dass Ihnen dafür eine Zustimmung zur Verarbeitung dieser Daten vorliegen muss. Wenn Sie zum Beispiel E-Mail-Newsletter an Ihre Kundinnen und Kunden senden, müssen diese Ihnen zuvor ihre Erlaubnis dazu erteilt haben.
  4. Passwörter und Verschlüsselung nutzen
    Als Unternehmen sollten Sie Ihre Beschäftigten dazu anhalten, Passwörter gemäß den Arbeitsanweisungen zu erstellen. Bezüglich der Verschlüsselung sind ebenfalls Richtlinien sinnvoll. Dabei halten Sie sich am besten an die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
  5. Datenschutzbeauftragten benennen
    Ein Datenschutzbeauftragter ist in jedem Unternehmen erforderlich, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
  6. Richtig mit Datenpannen umgehen
    Eine Datenpanne, etwa der Verlust eines USB-Sticks mit personenbezogenen Daten oder ein Hackerangriff auf Ihren Online-Shop, sollten Sie nicht unter den Tisch kehren. Stattdessen ist es die Aufgabe der Geschäftsführung beziehungsweise der Datenschutzbeauftragten, solche Vorfälle der zuständigen Aufsichtsbehörde zu melden. Andernfalls drohen hohe Geldstrafen, die besonders für neugegründete Unternehmen ohne entsprechende Rücklagen existenzbedrohend sein können.

Weil ein Fehler schnell teuer wird: Jetzt absichern

Betriebshaftpflichtversicherung

Eine Betriebshaftpflicht schützt Ihr Unternehmen vor den finanziellen Folgen, wenn Ihrer Kundschaft durch Sie ein wirtschaftlicher Schaden entsteht.

Themenwelt Existenzgründung

Entdecken Sie weitere spannende Inhalte aus unserer Themenwelt Existenzgründung.