Datenpannen

AdobeStock_471677268-min

Auskunftsersuchen und Auskunftsrecht

AdobeStock_195650110-min

Auskunftsersuchen und Auskunftsrecht

Mit der Datenschutzgrundverordnung haben wir ein umfassendes Regelwerk, das Schutz bietet, aber für Unternehmen auch einiges an Pflichten und Aufgaben mitbringt. Dazu gehört das Recht auf Auskunft, welches jede betroffene Person hat, von der personenbezogene Daten verarbeitet werden.

Dieses Auskunftsrecht der Betroffenen regelt die DSGVO – und was dort steht, sollten Sie wissen. Lesen Sie mehr über den Auskunftsanspruch von Kunden und Mitarbeitenden, was Sie selbst tun müssen und welche Folgen es haben kann, wenn Sie Ihrer Pflicht zur Auskunftserteilung nicht oder nur unvollständig nachkommen.

Mehr lesen

Inhalt

  • Definition Auskunftsrecht – ein Überblick
  • Auskunftsersuchen und Auskunftsrecht – was bedeutet das?
  • Die Rechtsgrundlagen
  • Was genau steht drin im Artikel 15 DSGVO?
  • Auskunftsersuchen in der Praxis: Wer ist berechtigt, ein Auskunftsersuchen zu stellen?
  • Wen betrifft die Auskunftspflicht?
  • Auskunftsersuchen: Ihre Rechten und Pflichten als Arbeitgeber oder Unternehmer
  • Auskunftsrecht im Unternehmen: Was tun, wenn eine Anfrage reinkommt?
  • Auskunftsersuchen und Fristen: Folgen von Verstößen
  • Form des Auskunftsersuchens: Wie sieht eine Anfrage aus
  • Sie müssen Auskunft geben? FK-Datenschutz hilft!
  • FAQ Auskunftsersuchen

Definition Auskunftsrecht – ein Überblick

Als Datenschutzverantwortlicher eines Unternehmens werden Sie früher oder später mit dem Auskunftsrecht konfrontiert, spätestens dann, wenn eine Auskunftsanfrage in Ihrem Betrieb eintrudelt. Eines der Betroffenenrechte der DSGVO, die es zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gibt, ist das Auskunftsrecht. Die Betroffenenrechte geben Personen ein Instrument an die Hand, um sich gegen falsche oder unvollständige Daten zu wehren und ganz grundlegend Auskunft darüber zu bekommen, wie beispielsweise in Unternehmen ihre Daten verwendet werden.

Mehr lesen
AdobeStock_241361996-min
Logo_dunkel-blau_Claim 1

Auskunftsersuchen und Auskunftsrecht – was bedeutet das?

Die Rechtsgrundlagen

Die DSGVO regelt seit 2018 den einheitlichen Datenschutz in allen Mitgliedsstaaten der EU. Der technische Fortschritt bringt es mit sich, dass bei praktisch jedem Vorgang eine Flut von Daten anfällt, oft sind dies personenbezogene Daten. Wer im Onlineshop etwas bestellt, an der Tankstelle zahlt, als Arbeitnehmer angestellt ist, sich vom Handwerksbetrieb ein Angebot schicken lässt: An jeder dieser Stellen werden relevante Daten verarbeitet und/oder gespeichert. Damit natürliche Personen nachvollziehen können, was mit ihren Daten geschieht, gibt es das Auskunftsrecht, basierend auf den Vorschriften der DSGVO.

Seit Inkrafttreten der DSGVO gibt es in Deutschland und europaweit die Möglichkeit, als betroffene Person Auskunft zu verlangen, welche Daten wie verarbeitet werden. Das Auskunftsrecht ist im Artikel 15 der DSGVO geregelt. Dieser Artikel bildet die Grundlage für weitere Betroffenenrechte, etwa das Recht auf Berichtigung oder Löschung von Daten oder das Widerspruchsrecht.

Was genau steht drin im Artikel 15 DSGVO?

Der Artikel spricht jeder Einzelperson das Recht zu, ein Auskunftsersuchen zu stellen, also konkret bei einem Unternehmen zu erfragen, ob und welche personenbezogenen Daten der betroffenen Person ein Unternehmen speichert und wie es diese verwendet.

Das Recht auf Bestätigung legt dies fest. Sofern personenbezogene Daten verarbeitet werden, folgt daraus das Recht auf Erhalt einer Kopie mit den verarbeiteten Daten.

Außerdem müssen Datenschutzverantwortliche des Unternehmens Auskunft darüber erteilen, zu welchem Zweck der Verarbeitung Daten genutzt wurden, wer diese Daten bekommen hat und wie lange die Aufbewahrungsfrist läuft.

Eine Einschränkung enthält der Artikel allerdings: Die Rechte und Freiheiten anderer Personen dürfen durch den Erhalt einer Kopie zu den eigenen Daten nicht beeinträchtigt werden.

Mehr lesen
AdobeStock_797106878-min

Auskunftsersuchen in der Praxis

Wer ist berechtigt, ein Auskunftsersuchen zu stellen?

Eine Auskunft über Daten verlangen kann nur die betroffene Person selbst. Dritte können insofern Auskunft verlangen, wenn sie im Namen einer betroffenen Person handeln und eine Bevollmächtigung haben. Außerdem darf eine betroffene Person gemeinnützige Einrichtungen, Vereinigungen oder Organisationen beauftragen, für sie die Auskunft einzuholen, dies regelt der Artikel 80 DSGVO.

Gibt es Ausnahmen bei der Auskunftspflicht?

Behörden und Unternehmen sind verpflichtet, dem Ersuchen um Auskunft nachzukommen. In Deutschland gibt es Ausnahmen zur Auskunftspflicht. Beispielsweise dann, wenn eine Auskunft unverhältnismäßig aufwändig wäre und nur noch wegen der gesetzlichen Aufbewahrungsvorschriften gespeichert ist: So legt es § 34 Abs. 1 Nr. 2a BDSG fest.

Auch Protokollierungs- und Archivdaten, etwa Backups, können unter das Argument des unverhältnismäßigen Aufwandes fallen. Außerdem können Ausnahmen möglich sein, wenn gemäß § 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG ein Interesse an Geheimhaltung besteht.

Auskunftsersuchen: Ihre Rechte und Pflichten als Arbeitgeber oder Unternehmer

Wird ein Auskunftsersuchen gestellt, müssen Unternehmen und auch Arbeitgeber handeln. Die betroffene Person hat Anspruch auf unentgeltlichen Zugang einer Kopie ihrer Daten. Damit sind nicht nur Stammdaten gemeint, sondern auch Informationen zu weiteren Aspekten:

  • Zweck der Verarbeitung aller Daten
  • Kategorisierung dieser Daten
  • Hinweis auf Herkunft der Daten, falls sie nicht bei der betroffenen Person erhoben wurden
Mehr lesen

Auskunftsrecht im Unternehmen: Was tun, wenn eine Anfrage reinkommt?

Obwohl die Gesetze zum Recht auf Auskunft nicht ganz neu sind, haben viele Unternehmen noch keinen Verantwortlichen benannt. Das sollten Sie zügig ändern, denn das Aufgabengebiet ist recht komplex und sollte mit passenden Schulungen für interne Verantwortliche vorbereitet werden. Folgende Aspekte sollten geklärt sein, bevor das erste Auskunftsersuchen im Postfach liegt:

Mehr lesen

AdobeStock_427007129-min

Auskunftsersuchen nach Art. 15 DSGVO rechtskonform beantworten

Im Folgenden erfahren Sie, wie Sie in der Praxis vorgehen müssen, wenn eine Anfrage zur Auskunftserteilung hereinkommt.

1. Prüfen Sie, ob Sie überhaupt Daten der betroffenen Person verarbeiten. Wenn nicht, sind Sie zur Auskunft darüber mittels einer Negativauskunft verpflichtet – auch hier gilt die Monatsfrist!

2. Überprüfen Sie die Berechtigung der betroffenen Person, Auskunft zu verlangen.

3. Schätzen Sie ein, ob eine der Ausnahmeregelungen greift, die Sie dazu berechtigen, die Auskunft zu verweigern, vgl. DSGVO Artikel 12 Abs.5 und weitere.

4. Stellen Sie die Inhalte zusammen, die für die Auskunftserteilung nötig sind. Meist decken sich diese Angaben mit denen, die im Artikel 13 f. DSGVO und dem Verzeichnis der Verarbeitungstätigkeiten im Artikel 30 DSGVO genannt sind.

5. Bringen Sie die Auskunft in die geeignete Form. Nicht beantwortete Auskunftsersuchen oder unvollständige oder verspätete Antworten ziehen im schlimmsten Fall hohe Geldbußen nach sich.

AdobeStock_471677268-min

Auskunftsersuchen und Fristen: Folgen von Verstößen

Das komplexe Thema Auskunftsrecht ist verständlicherweise etwas, das gerade kleinere Unternehmen gerne ausblenden würden. Doch wer seinen Pflichten zur Auskunft nicht oder zu spät nachkommt, muss unter Umständen tief in die Tasche greifen.

Der Bußgeldkatalog zum Auskunftsrecht legt fest, dass Unternehmen bis zu 20 Millionen € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr zahlen müssen.

Mehr lesen

Form des Auskunftsersuchens: Wie sieht eine Anfrage aus

Ein Auskunftsersuchen ist nicht immer ein formelles Schreiben. Auch per E-Mail oder mündlich kann eine Anfrage hereinkommen. Wichtig ist, dass Sie Ihre Verpflichtung auch bei solch eher formlosen Anfragen erkennen: Auch dann sollten Sie, um sich auf rechtssicherem Boden zu bewegen, den üblichen Ablauf zur Beantwortung des Auskunftsersuchens einhalten und die Auskunft immer schriftlich erteilen.

Mehr lesen
DASGVO
Team of business investment consultant analyzing company annual financial report working with documents pie and donut chart, using laptop, Business and Financial concept.

Sie müssen Auskunft geben? FK-Datenschutz hilft!

Der Umgang mit personenbezogenen Daten ist generell ein komplexes und oft zeitfressendes Thema. Holen Sie sich dabei professionelle Unterstützung. Als externe Datenschutzbeauftragte sind wir von FK-Datenschutz auch beim Thema Auskunftsrecht voll im Bilde. Wir unterstützen Sie dabei, alle Gesetze und Pflichten rund um die Datenverarbeitung korrekt einzuhalten. Damit die Auskunftsrechte Ihrer Kunden und/oder Mitarbeiter gewahrt bleiben, und damit Sie Zeit und Geld sparen.

Mehr lesen

FAQ zum Recht auf Auskunft

Artikel 15 DSGVO spricht betroffenen Personen das Recht zu, Auskunft über personenbezogene Daten zu bekommen. Binnen Monatsfrist müssen Unternehmen Auskunft erteilen über Art und Umfang der erhobenen Daten, den Verarbeitungszweck, die Empfänger der Daten und die geplante Speicherdauer. FK-Datenschutz unterstützt Unternehmen dabei, diese Anfragen korrekt und fristgerecht zu beantworten.
Unternehmen sind verpflichtet, dem Auskunftsersuchen innerhalb eines Monats nachzukommen. Diese Frist kann in komplexen Fällen auf bis zu drei Monate verlängert werden, sofern die betroffene Person rechtzeitig informiert wird. Bei Nichterfüllung oder verspäteter Erfüllung drohen hohe Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorigen Geschäftsjahres.
Sofern Sie Auskunftsersuchen intern beantworten wollen, bindet dies Zeit und Personal. Sie müssen geschulte Verantwortliche haben, Meldewege und Zuständigkeiten festlegen, funktionierende Prozesse für den Fall der Fälle entwickelt haben. Eingehende Anfragen müssen zeitnah und korrekt beantwortet werden. Die Rechtslage und die Menge der Daten, um die es geht, sind oft unübersichtlich. Insofern lohnt es sich häufig, die komplexe Aufgabe an Experten wie FK-Datenschutz auszulagern – oder sich zumindest im Vorfeld Unterstützung bei der Schulung im eigenen Team zu holen. Als externer Datenschutzbeauftragter können wir die gesamte Auskunftserteilung für Sie übernehmen oder eine individuelle Schulung anbieten. So sind Sie jederzeit auf Auskunftsersuchen vorbereitet.
Die Kosten für ein Datenschutzaudit variieren je nach Größe und Branche des Unternehmens. Wir bei FK-Datenschutz bieten maßgeschneiderte Audits an, deren Kosten im Rahmen eines ersten Beratungsgesprächs ermittelt werden. Die genauen Kosten hängen von der Anzahl der zu prüfenden Prozesse und der Dauer des Audits ab.
AdobeStock_688266773-min

Betroffenenrechte

AdobeStock_562132106-min

Betroffenenrechte

Im Personalbüro, in der Produktion, bei der Werbung im Netz: Fast überall im unternehmerischen Alltag fallen heute personenbezogene Daten an. Der Umgang damit erfordert Einiges an Wissen und Sorgfalt – und stellt die Verantwortlichen Ihrer Firma nicht selten vor Herausforderungen.

Zentrales Anliegen der DSGVO, des grundlegenden Rechtswerks zum Umgang mit Datenverarbeitung in der EU, sind die Betroffenenrechte. Im Bezug auf die eigenen personenbezogenen Daten haben Betroffene umfassende Rechte bekommen. Welche Rechte im Einzelnen zu beachten sind und was Sie wissen müssen, wenn eine betroffene Person von ihren Rechten Gebrauch macht, das klären wir einmal in der folgenden Übersicht.

Mehr lesen

Die Betroffenenrechte DSGVO - Definition

Im Jahr 2018 gingen die Staaten der Europäischen Union mit der DSGVO neue Wege: Die EU-weite Datenschutz-Grundverordnung brachte einigen Aufwand gerade für Unternehmen mit. Viele der Artikel dienen dem Schutz von Daten, die betroffene Personen inzwischen zu den unterschiedlichsten Gelegenheiten abgeben (müssen). Die DSGVO stärkt die Betroffenenrechte – im Alltag bedeutet das für Firmen eine ganze Reihe von Verpflichtungen bei der Verarbeitung personenbezogener Daten.

AdobeStock_259723371-min
AdobeStock_248297183-min

DSGVO Kapitel 3

Im dritten Kapitel der DSGVO dreht sich alles um die Betroffenenrechte. Unter dem Begriff der Betroffenenrechte verstehen wir Rechte, die von zentraler Bedeutung sind beim Schutz personenbezogener Daten. Sie sind ein Teilbereich der Rechte, die sich aus dem Allgemeinen Persönlichkeitsrecht des zweiten Artikels im Grundgesetz ergeben (Recht auf informationelle Selbstbestimmung). Betroffenenrechte gewährleisten den Menschen die Möglichkeit, auf die Verarbeitung der Daten zu ihrer Person Einfluss zu nehmen.

Mehr lesen
Logo_dunkel-blau_Claim 1

Im Gesamtüberblick geht es bei den Betroffenenrechten um folgende Teilbereiche:

  • Informationspflicht der Verantwortlichen für Datenschutz
  • Auskunftsrecht betroffener Personen
  • Recht auf Berichtigung
  • Recht auf Datenlöschung oder Recht auf Vergessenwerden
  • Recht auf Einschränkung der Verarbeitung von Daten
Mehr lesen
AdobeStock_207983098-min

Die Betroffenenrechte der Datenschutzgrundverordnung stellen sich vor

Was verbirgt sich hinter diesen Schlagworten genau, und welche Pflichten haben die betroffenen Unternehmen zu erfüllen? Welcher Artikel legt welche Rechte fest? Verschaffen wir uns einmal eine Übersicht.

Informationspflicht Art 13 und 14

Diese beiden Artikel bilden zusammen einen Komplex, der wesentlich ist für die Betroffenenrechte, und sie werden, gemeinsam mit dem Artikel 15, als die „Magna Charta“ der DSGVO bezeichnet.

Im Artikel 13 heißt es, dass betroffene Personen das Recht haben zu erfahren, welche Daten zu welchem Zweck und für wie lange verarbeitet wurden. Außerdem umfasst die Informationspflicht das Recht, die Empfänger der verarbeiteten Daten zu erfahren und auch die Rechtsgrundlage, auf der die Datenverarbeitung erfolgt. Zudem haben Betroffene das Recht, die Kontaktdaten des Verantwortlichen zu erfahren und eine nachvollziehbare Interessenabwägung zu bekommen.

Außerdem besagt Artikel 13, dass betroffene Personen über ihre Betroffenenrechte informiert werden müssen. Diese Informationen müssen schon mit Beginn der Datenerhebung mitgeteilt werden. Transparenz und Verständlichkeit sind ausdrücklich gefordert: Die Informationen müssen in verständlicher Form und einfacher Sprache zur Verfügung gestellt werden.

Im Artikel 14 DSGVO sind zusätzlich die Informationspflichten geregelt, wenn nicht der Verantwortliche selbst, sondern jemand anderes die Daten erhebt.

Die Informationspflicht ist übrigens aktiv zu verstehen: Nicht erst dann, wenn Kunden danach fragen, müssen sie die Informationen erhalten, sondern bereits in dem Moment, in dem sie erhoben werden. Ausnahmen gibt es bei fehlenden Kontaktdaten oder wenn es einen unverhältnismäßigen Aufwand bedeuten würde, die Informationen zu liefern.

Auskunftsrecht Art 15

Passend zu den beiden vorangegangenen Artikeln regelt Artikel 15, ob und wie betroffene Personen Auskunft verlangen dürfen und wie ihnen dies gewährt wird. Das Auskunftsrecht soll weitere Transparenz schaffen. Auf Nachfrage muss die betroffene Person erfahren, ob und welche Daten zu ihrer Person wie verarbeitet wurden, woher die Daten stammten und ob sie an Dritte weitergegeben wurden. Für das Auskunftsrecht gelten Fristen, die Sie unbedingt einhalten sollten!

Nur, wenn Rechte von dritten Personen entgegenstehen, ist dieses Auskunftsrecht (interner Link Auskunftsersuchen) begrenzt. Betroffene haben das Recht, zu erfahren, ob und in welcher Form personenbezogene Daten verarbeitet wurden.

Mehr lesen
blog08-ig

Ausnahmen beim Betroffenenrecht der Datenschutz Grundverordnung DSGVO

Die Rechte der betroffenen Personen gewähren auch einige Ausnahmen, denn, neben denen von Bürgern schützt der Gesetzgeber auch die Interessen der Unternehmen, die beteiligt sind am konkreten Fall.

Mehr lesen

Welche Arten von Fehlverhalten dürfen gemeldet werden?

Eine ganze Reihe von Verstößen aus unterschiedlichsten Bereichen fallen unter das Hinweisgeberschutzgesetz. So melden Personen etwa Hinweise auf Verstöße gegen Strafvorschriften, Bußgeldverstöße, Regelverstöße aus dem Arbeits- und Gesundheitsschutz oder gegen das Mindestlohngesetz. Wer die Vorgaben des Arbeitnehmerüberlassungsgesetzes nicht einhält, kann ebenso mit einer Whistleblower-Meldung konfrontiert sein wie Unternehmen, die die Rechtsnormen bezüglich europäischer Regelungen nicht einhalten.

Hier geht es beispielsweise um Regelungen zu den Themen Produktsicherheit, Geldwäsche, Umweltschutz, Datenschutz oder Verbraucherschutz.

Das HinSchG greift, wenn die gemeldeten Vergehen von dem Beschäftigungsgeber des Whistleblowers oder einer anderen Stelle, mit der der Hinweisgeber beruflich im Kontakt stand, begangen wurden.

Die gesamte Liste der Rechtsnormen ist in der EU Whistleblower-Richtlinie im HinSchG enthalten, die folgende Aufzählung gibt einen groben Überblick

  • Straftaten nach dem Strafgesetzbuch
  • bestimmte Ordnungswidrigkeiten
  • Unternehmensbesteuerung/Geldwäsche
  • Datenschutz
  • öffentliches Auftragswesen
  • Finanzdienstleistungen
  • Produkt- und Verkehrssicherheit
  • nukleare Sicherheit
  • öffentliche Gesundheit
  • Missstände beim Verbraucherschutz

Regelungen und Rechte zum Umgang mit Daten EU-weit

Die DSGVO verfolgt mehrere Ziele, und eines davon ist es, für ein europaweit einheitliches Niveau beim Datenschutz zu sorgen. Darum sollten die Rechte theoretisch in allen EU-Staaten gleich sein. Aber es gibt Sonderregelungen: Die DSGVO enthält einige sogenannte Öffnungsklauseln. Diese räumen den Mitgliedsstaaten die Möglichkeit ein, eigene Regeln zu erlassen, die nur im nationalen Rahmen gelten. In Deutschland betrifft das zum Beispiel die als Medienprivileg bezeichnete Regelung aus dem Rundfunkstaatsvertrag:

Mehr lesen
AdobeStock_688266773-min
blog06-ig

Der Datenschutzbeauftragte: Zuständigkeiten beim Betroffenenrecht im Unternehmen

Als externe Datenschutzbeauftragte arbeiten wir bei FK-Datenschutz eng mit unseren Kunden zusammen. In dieser Funktion sind die Betroffenenrechte in unserer täglichen Arbeit ein zentrales Element, denn wir übernehmen nicht nur die Beratung zum Thema. Wir schulen auch Verantwortliche der Datenverarbeitung für den korrekten Umgang mit sämtlichen personenbezogenen Daten.

Mehr lesen

Ihre Rechte und Pflichten: FK-Datenschutz hilft beim rechtskonformen Umgang mit Betroffenenrechten

Das Betroffenenrecht der EU, wie es in der DSGVO und anderen Gesetzen festgehalten ist, ist eine komplexe Angelegenheit. Fehler in diesem Bereich können allerdings angesichts hoher Bußgelder richtig teuer werden und dem Unternehmensimage massiv schaden. Darum lohnt es sich, sich ausführlich mit der DSGVO und den daraus folgenden Rechten der Betroffenen zu befassen.

Dafür haben Sie verschiedene Möglichkeiten. Unsere Leistungen umfassen Beratung, die Schulung von internen Datenschutzbeauftragten, aber auch die komplette Übernahme aller Aufgaben rund um den Datenschutz.

Übrigens sind wir nicht nur regional in Hamburg, Kiel und ganz Schleswig-Holstein für Sie da. Auch überregional betreuen wir unsere Kunden individuell, mit Leidenschaft und fachlicher Expertise. Rufen Sie uns an – wir kümmern uns um die Betroffenenrechte Ihrer Kunden und Mitarbeiter!

blog01-ig

Instagram und Datenschutz

Über eine Milliarde Menschen weltweit nutzen Instagram, die Social-Media-App mit den bunten Reels und Bildern. Quer durch alle Altersschichten bewegen sich Nutzer auf der Plattform, teilen Bilder und Videos, posten Geschichten und machen natürlich auch Werbung für unterschiedlichste Produkte. Das Berufsbild des Influencers findet hier eines seiner wichtigsten Betätigungsfelder: Mit Produktpräsentationen und Werbung generieren sie lukrative Werbeverträge für sich selbst und erschließen ihren Kooperationspartnern neue Kundenkreise.

Ein solches Massenphänomen bietet selbstverständlich eine Menge Möglichkeiten auch für Unternehmen aller Branchen. Doch das Thema Datenschutz ist hier besonders brisant, denn vom Sammeln, Speichern und Verbreiten einer wahren Datenflut lebt das Erfolgskonzept Social Media.

blog02-ig

Umso wichtiger, dass Unternehmen, die die Vorzüge der medialen Apps für sich nutzen, genau wissen, was sie tun und was sie dürfen.

Unser Ratgeber wirft darum einen genauen Blick auf das Thema Instagram und Datensicherheit. Welche Vorteile könnte die Nutzung von Social Media Plattformen allgemein und Instagram im Besonderen haben? Worauf müssen Unternehmen achten, wenn sie einen Account eröffnen, Inhalte teilen oder mit Nutzern kommunizieren? Wie steht es mit der Sicherheit, speziell im Datenschutz? Welche Richtlinien gibt es da, wie sieht die Rechtsgrundlage aus und was müssen Sie bei der Datenverarbeitung beachten?

Verschaffen Sie sich einen Überblick über Vorteile und Nutzen, Kritik und besondere Herausforderungen bei der Nutzung von Instagram für Ihr Unternehmen.

Inhaltsverzeichnis

Instagram – kleine Erfolgsgeschichte der bunten Social-Media-App

Unternehmen auf Instagram – Vorteile und Möglichkeiten

Instagram Datenschutz – die Grundlagen

Soziale Netzwerke und die DSGVO

Instagrams Datenrichtlinie

Instagram und die Datenströme

Instagram Datenschutz im Unternehmen

Datenübertragung ins Ausland, ist das erlaubt?

Instagram kommerziell nutzen: Ihre Verantwortung beim Thema Datensicherheit

Instagram unternehmerisch nutzen – erste Schritte

Instagram und Ihre Mitarbeitenden – was sagt der Datenschutz?

Zusammengefasst: Nutzen und Herausforderungen von sozialen Medien

Instagram – kleine Erfolgsgeschichte der bunten Social-Media-App

Inzwischen gehört Instagram zu den beliebtesten Social Media Apps überhaupt, wenn es nicht gar den Spitzenplatz einnimmt. Neben den größten Anbietern Facebook, Youtube, TikTok und Whatsapp ist „Insta“ längst zu einem der wichtigsten Kommunikations- und Marketinginstrumente bei Eltern und Kindern, vor allem aber für viele Unternehmen geworden. Die riesige Follower Menge, die Instagram mitbringt, macht die Plattform gerade für Werbung und Marketing höchst interessant.

Seit 2010 bebildert die Anwendung unseren Alltag mit Nachrichten aus allen Bereichen des Lebens. Damals erlebten Smartphones ihren ersten Boom – und das ständige Fotografieren in allen Lebenslagen nahm seinen Anfang. Man teilte Alltägliches, Wichtiges und weniger Wichtiges, zunehmend auch berufliche Dinge.

Zwei Absolventen der Stanford-University erkannten die Geschäftsidee, die dieser Trend brachte. Sie setzten den Namen Instagram aus den Begriffen für Telegramm und die Sofortbildkamera zusammen und entwickelten eine Anwendung, die dazu gedacht ist, Inhalte per Foto und später auch Video schnell und unkompliziert mit Millionen Menschen auf der Welt zu teilen. Instagram wuchs rasant, denn das Angebot traf einen Nerv der Zeit. Der Mega-Konzern Facebook musste bereits 2012, als er den Dienst aufkaufte, eine Rekordsumme von einer Milliarde Dollar zahlen. Business-Accounts gibt es seit 2016, spätestens dann kam die Bedeutung der sozialen App in der Unternehmenswelt an.

Heute ist Instagram die führende Online-Foto- und Video-Plattform und hat allein in Deutschland über 30 Millionen Nutzerinnen und Nutzer. Eine Umfrage unter Marketingverantwortlichen ergab, dass weltweit im Jahr 2023 bereits 80% Instagram nutzten – noch höhere Werte erreichte nur Facebook.

Was bei all den bunten Fotos schnell zu kurz kommen kann, ist allerdings die Privatsphäre.

blog03-ig

Unternehmen auf Instagram – Vorteile und Möglichkeiten

Gerade für das Marketing ist das soziale Netzwerk Instagram interessant. Hier lassen sich mit wenig Aufwand beispielsweise Onlineshops aller Art bewerben.

Auch die Karriere-Seite wird zunehmend von Unternehmen auf dem Instagram Account beworben. Auf den Kanälen werden News verbreitet und Internes aus dem Betrieb bekannt gemacht.

Die Anwendung funktioniert auch als Analysetool, denn sie liefert Statistiken zum Userverhalten, via Instagram Insights über Facebook.

Unternehmen aller Branchen schalten Werbeanzeigen auf Instagram, denn sie erkennen den Vorteil der vorsortierten Zielgruppen. Anhand definierter Kriterien wie Alter, Standort, Geschlecht, Sprache, Interessen und gar Verhaltensweisen von Nutzer/innen liefert Meta, der Anbieter von Instagram, Facebook und Co., eine „maßgeschneiderte Zielgruppe“ mit wenigen Klicks.

Instagram Datenschutz – die Grundlagen

Unternehmensprofile auf Social Media unterliegen rechtlichen Regelungen, die aus gleich mehreren Rechtsbereichen kommen: Das Urheberrecht, das Medienrecht zur Datensicherheit und auch Namensrechte haben hier gewisse Rahmenbedingungen vorgegeben.

Die rechtlichen Grundlagen für die Datenverarbeitung, wie sie bei Instagram anfällt, sind von den Aufsichtsbehörden beziehungsweise vom Gesetzgeber festgelegt. Das BMI listet für diese „Rechtsgrundlage für die Verarbeitung von Daten nach Interaktion mit den Inhalten der Social Media-Profile der Bundesregierung durch die Nutzerinnen und Nutzer“ diese Paragraphen auf:

  • Artikel 6 Abs. 1 lit. e DSGVO
  • § 3 BDSG
  • Artikel 6 Abs. 1 lit. a DSGVO, wenn eine Einwilligung von Nutzer/innen vorliegt.

Soziale Netzwerke und die DSGVO

Die DSGVO als Gesetzgebung der EU ist der wichtigste rechtliche Rahmen, den wir uns im Zusammenhang mit Instagram anschauen müssen. Hier geht es um den Schutz personenbezogener Daten – die Sammlung dieser sensiblen Informationen ist Kern des Erfolgskonzeptes von Instagram, Facebook und allen anderen Social Media Anbietern. Angesichts der Masse an Daten und Metadaten, die bei Instagram zur Verarbeitung kommt, steht das Unternehmen durchaus auch in der Kritik. Datenschutzbeauftragte empfehlen hier einen ganz genauen Blick.

  • Information
  • Zugang
  • Berichtigung und Löschung sowie Widerspruch
  • Datenübertragbarkeit
  • die Vermeidung von automatisierten Entscheidungsfindungen.
blog04-ig

Unternehmen, die soziale Medien nutzen, haben die Verantwortung, all diese Rechte zu schützen.

Nutzerdaten sind dabei nicht nur Namen, E Mail Adressen und andere persönliche Daten, sondern auch beispielsweise Daten, die Webbrowser-Cookies oder Tracking-Pixel sammeln.

Instagrams Datenrichtlinie

Social Media Plattformen verarbeiten eine ganze Menge an Daten, viele davon sind personenbezogen. Als Unternehmen sind Sie in der Pflicht, sich genau über die Bedingungen zu informieren, mit denen Instagram seine Dienste anbietet. Sie sind also verantwortlich für den Schutz der Daten Ihrer Nutzerinnen und Nutzer, und darum müssen Sie wissen, was der Anbieter tut, bevor Sie dort ein Konto erstellen.

Erste Informationen finden sich in der Datenrichtlinie von Instagram

blog05-ig

Wichtig zu wissen:

Instagram, Whatsapp und Facebook sind allesamt Bestandteil des Meta-Konzerns – und tauschen untereinander Daten aus. Eine Studie zu sozialen Medien und ihrem Verhältnis zur EU-Datenschutzgrundverordnung zeigt, dass diese Dienste allgemein wenig sparsam mit Daten umgehen, einige auch die Vorgaben der DSGVO nicht oder nur unvollständig einhalten.

Instagram und die Datenströme

Instagram sammelt, wie jede Social Media App, jede Menge Daten. Offensichtlich ist das bei den Beiträgen und Fotos, die die Nutzer und Nutzerinnen selbst veröffentlichen – hier ist die Preisgabe von Daten und Informationen, zum Zweck der Kundenbindung oder um Aufmerksamkeit zu generieren, gewollt. Weniger offensichtlich sind die Daten, die die Anwendung darüber hinaus über das Konto sammelt:

  • Informationen zur Registrierung, etwa die E Mail Adresse
  • alle geteilten Inhalte
  • Informationen über Aktivitäten der Nutzer, etwa Klicks, Likes, Teilen und andere Funktionen
  • Nachrichten, die andere Follower melden, werden von Instagram gelesen
  • Freundes- und Followerlisten, auch über Facebook und andere verknüpfte Dienste
  • Kreditkarteninformationen, Käufe oder Verkäufe aller Produkte
  • Daten zu Häufigkeit und Dauer der App-Nutzung
  • Informationen über das Endgerät, das für Instagram benutzt wird
  • standortbezogene Informationen
  • Informationen von Partner-Diensten, die verbunden sind, zum Beispiel Facebook oder Whatsapp
  • Inhalte, auf denen Nutzer zu sehen sind, die von anderen Nutzern geteilt werden

Instagram Datenschutz im Unternehmen

Für die Menge der gesammelten Daten auf Instagram ist es unerheblich, ob Sie die Anwendung privat oder gewerblich nutzen – der umfangreiche Datenstrom fließt in Richtung der Betreiberfirma, Meta Platforms Ireland Limited.

Konkret ist festzuhalten: Die Angebote des Meta-Konzerns, zu denen auch Instagram zählt, sind mit Blick auf die DSGVO und die Privatsphäre durchaus mit einem Fragezeichen zu versehen. Gerade wenn Sie eine Fanpage auf Facebook betreiben, ist dies DSGVO-konform im Grunde gar nicht möglich.

Wie Sie damit umgehen, welche Informationen aus und über Ihren Betrieb Sie teilen, wie Sie den Schutz der Privatsphäre von allen Beteiligten gewährleisten, ist eine grundsätzliche Überlegung – vor allem aber Ihre eigene Verantwortung.

Darum schauen wir uns die Besonderheiten der unternehmerischen Nutzung von Instagram genauer an.

blog06-ig

Datenübertragung ins Ausland, ist das erlaubt?

Die Daten, die bei der Nutzung von Instagram übertragen werden, gehen nicht nur an die Plattform selbst. Auch Suchmaschinen, Werbepartner und Drittanbieter profitieren unter Umständen von Ihren Daten. Sofern der App Anbieter in Europa beziehungsweise in der EU angesiedelt ist, ist eine Datenübertragung zulässig. Im Falle von Instagram ist der Betreiber die Meta Platforms Ireland Ltd, die in Irland sitzt. Für Übertragungen an den Hauptsitz in den USA, also in ein Drittland, gibt es seit Juli 2023 den transatlantischen Datenschutzrahmen. Die Vereinbarung gilt als Angemessenheitsbeschluss, den die EU-Kommission verabschieden muss, und stellt sicher, dass das Drittland ein vergleichbares Schutzniveau für die Datenübermittlung bietet wie die EU-Staaten. Voraussetzung ist allerdings, dass das Unternehmen DPF-zertifiziert ist, also in der „Data Privacy Framework“ Liste des amerikanischen Handelsministeriums steht. Bei Instagram ist dies der Fall.

Zu bedenken gibt es aber auch hier eine gewisse Unsicherheit: Das momentan mit den USA bestehende Abkommen ist nicht in Stein gemeißelt, sondern kann sich durchaus in der Zukunft ändern. Denn es ist nur eine Frage der Zeit, bis wieder (und durchaus nachvollziehbar) Klagen von engagierten Datenschützern eingehen, die die Rahmenbedingungen an dieser Stelle verändern könnten.

Im Ergebnis unserer Betrachtungen bleibt festzuhalten: Das Netzwerk bietet trotz diverser Vorkehrungen keinen wasserdichten Schutz für die Privatsphäre – allen Anwendern ist die Nutzung solcher Dienste also nur mit gründlicher Überlegung und unter Einbeziehung aktueller Informationen zu raten.

Instagram kommerziell nutzen: Ihre Aufgaben beim Datenschutz

Wer Instagram für sein Unternehmen nutzen und rechtlich dennoch auf der sicheren Seite sein möchte, muss einiges beim Datenschutz beachten.

  • Die Instagram Seite braucht ein eigenes Impressum mit Datenschutzerklärung gemäß DSGVO. Dazu sind Sie als Anbieter verpflichtet – ohne Impressum und Datenschutzerklärung können teure Abmahnungen fällig werden. Beides muss mit maximal zwei Klicks von jeder Unterseite aus erreichbar sein.
  • Wenn Instagram auf der Website Ihres Unternehmens integriert wird, ist dafür eine Einwilligung zur Verarbeitung personenbezogener Daten nötig, etwa über ein Cookie Tool. Beachten Sie dazu die Cookie Richtlinie.
  • Wenn ein Linkbaum installiert wird, muss auch der DSGVO-konform sein, nicht alle Tools sind das.
  • Videos und Bilder, Memes, Musik und Reels unterliegen dem Urheberrecht. Also nur selbst erstellte Inhalte posten, an denen Sie auch die Rechte besitzen. Für von anderen erstellte Inhalte benötigen Sie das Nutzungsrecht oder eine ausdrückliche Erlaubnis, außerdem muss der Urheber genannt werden.
  • Sind Personen auf den Inhalten zu erkennen, brauchen Sie auch von diesen die Einwilligung zur Veröffentlichung.
  • Plugins, z.B. Like- und Share-Buttons, übertragen personenbezogene Daten an Facebook. Auch solche Funktionen erfordern die Einwilligung der Nutzer, oder Sie nutzen alternative Tools, die keine Daten übertragen. Für die Einwilligung wird ein Cookie Consent Tool verwendet.

Instagram unternehmerisch nutzen – erste Schritte

Interne Audits sind sinnvoll, um zunächst einmal alle Prozesse zu prüfen, die in Zusammenhang mit der Nutzug von Social Media Plattformen stehen. Dabei kann ein externer Datenschutzbeauftragter helfen. In diesem Zusammenhang überprüfen Sie die Vereinbarungen mit Drittanbietern, denn auch diese müssen die DSGVO einhalten. Erstellen Sie die nötigen Hinweise zum Datenschutz und sorgen Sie dafür, dass sie für Nutzer jederzeit mit zwei Klicks erreichbar sind. Achten Sie darauf, dass bei jedem Schritt, der personenbezogene Daten verarbeitet, die nötigen Zustimmungen eingeholt werden. Vermitteln Sie alle Informationen zur Verarbeitung personenbezogener Daten in klarer, gut verständlicher Sprache. Achten Sie auf stets aktuelle Informationen zu Ihren Cookies. Stellen Sie die gesamte Datenverarbeitung auf eine solide Rechtsgrundlage.

blog07-ig

Holen Sie sich Hilfe!

Das mag aufwendig klingen, ist aber in der unternehmerischen Realität absolut unverzichtbar. Schnelle Hilfe und professionelle Unterstützung bei der praktischen Umsetzung bekommen Sie bei uns: FK-Datenschutz hilft Ihnen zu allen Fragen gerne weiter.

Instagram und Ihre Mitarbeitenden – was sagt der Datenschutz?

Social Media ist eine digitale Form der Kommunikation, die von der Interaktion mit Nutzern lebt. Darum sind in Unternehmen häufig mehrere Teammitglieder daran beteiligt, die Accounts regelmäßig mit Inhalten zu füllen und mit den Followern zu kommunizieren.

Die Verantwortung für die Inhalte Ihres Teams liegt beim Unternehmen. Darum sollten klare Regeln definiert werden, was Ihre Mitarbeitenden wann und wie posten dürfen.

Schulungen helfen, allen Beteiligten die Verantwortung zu verdeutlichen, die mit den Posts auf Instagram einhergeht.

Folgende Punkte sollten geklärt und die Ergebnisse am besten schriftlich festgehalten werden:

  • Wer darf für das Unternehmen sprechen und posten?
  • Welche Inhalte werden geteilt, was bleibt intern?
  • Dürfen Teammitglieder private Meinungen teilen oder nicht?
  • Welche Sicherheitsmaßnahmen sind nötig, um den Datenschutz zu bewahren?
  • Welche personenbezogenen Daten dürfen wann genutzt werden?
  • Wer reagiert auf Interaktionen von Followern, kommuniziert etwa im Fall von Kritiken, und wie sieht das genau aus?

Zusammengefasst: Nutzen und Herausforderungen von sozialen Medien

Wie unser kleiner Einblick zeigt, sind die Nutzung von Instagram im unternehmerischen Kontext sowie die damit verbundenen Datenschutzaspekte ein komplexes, aber wichtiges Thema.

Die vielfältigen Funktionen, die breite Nutzerbasis und die Möglichkeit zur gezielten Werbung machen Instagram zu einem attraktiven Marketinginstrument für alle Branchen.

Doch das Thema birgt auch rechtliche und ethische Herausforderungen. Gerade weil die Anwendung zahlreiche Daten sammelt, ist die Sicherheit, genauer, die Datensicherheit, extrem wichtig. Datenschutzbestimmungen und rechtliche Rahmenbedingungen müssen allen bekannt sein, die im Betrieb damit zu tun haben – und es liegt im Verantwortungsbereich des Betriebes, dass alle Bedingungen exakt eingehalten werden. Die Verantwortung ist groß, nicht nur im Hinblick auf die zu schützenden Daten von Mitarbeiterinnen und Mitarbeitern sowie Kunden, sondern auch, weil Verstöße gegen die Rechtsvorschriften empfindliche Strafen nach sich ziehen können.

Besondere Sorgfalt braucht der Umgang mit den Vorgaben zur DSGVO, etwa mit Blick auf Einwilligungen, auf Transparenz und auf sparsame Datennutzung.

Einige praktische Tipps und Listen haben Sie bereits an die Hand bekommen. Wenn Sie Ihr Wissen zum Thema vertiefen wollen, mehr Überblick oder praktische Unterstützung eines externen Datenschutzbeauftragten brauchen, dann melden Sie sich einfach bei uns.

Buchen Sie unser kostenloses Beratungsgespräch – wir begleiten Sie und Ihre Firma in die Welt der sozialen Medien.

FAQ

Welche personenbezogenen Daten verarbeitet Instagram?

Instagram sammelt zu jedem User Profil persönliche Daten wie die E Mail Adresse, Telefonnummern, geteilte Inhalte, Fotos und Videos, Hashtags, aber auch Informationen über die verwendete Kamera oder genutzte Effekte. Es trackt Aktivitäten der User, sieht Freunde und Follower, hat Einblick in Käufe und Verkäufe sowie darin, ob, wie lange und wie oft die Anwendung genutzt wird. Diese Liste ist nicht vollständig – die Menge der Daten, die Instagram sammelt, ist also sehr umfassend.


Welche Datenschutz-Pflichten haben Unternehmen auf Instagram?

Unternehmen, die Instagram nutzen, sind gemeinsam mit dem Plattformbetreiber in der Verantwortung für die Datenverarbeitung. Es ist also wichtig, sich über die rechtlich sichere Verwendung der Anwendung genau zu informieren.

blog08-ig

Verarbeitet Instagram Daten gemäß DSGVO?

Der Anbieter von Instagram ist die Meta Platforms Ireland Limited. Diese hat ihren Sitz in Irland, personenbezogene Daten werden aber mitunter auch an das Mutterunternehmen in den USA übertragen. Dafür gibt es seit einiger Zeit einen Angemessenheitsbeschluss der EU: Zertifizierte US-Unternehmen - und dazu gehört Meta - können sich auf die datenschutzrechtlich zulässige Datenübertragung berufen.

Ob dieses Abkommen künftig Bestand hat, lässt sich allerdings nicht garantieren. Es lohnt sich also auf jeden Fall, die aktuellen Entwicklungen in Bezug auf die Sicherheit der Daten im Meta-Konzern im Auge zu behalten .


Welche Strafen werden fällig bei Nichteinhaltung der DSGVO?

Verstöße gegen die Regelungen können sehr teuer werden: Hier gibt es ein zweistufiges Bußgeldsystem. In Stufe eins zahlen Sie bis zu zehn Millionen Euro oder alternativ 2% des Vorjahres-Jahresumsatzes. In Stufe zwei kann der Verstoß doppelt so hoch bestraft werden.

Ai-image

KI und Datenschutz

Nicht nur das bekannte Tool ChatGPT, auch viele andere KI-Werkzeuge haben ihren Weg in die unterschiedlichsten Lebensbereiche gefunden. Unternehmen profitieren auf vielerlei Art von der Hilfe der Maschine – doch das sensible Thema Datenschutz braucht hier besonders viel Aufmerksamkeit.

Die datenschutzkonforme Nutzung von künstlicher Intelligenz: Diesem Thema wollen wir uns einmal ausführlicher widmen. Erfahren Sie die wichtigsten Aspekte zu KI und Datenschutz, den aktuellen Stand der Rechtslage und die aktuelle Verbreitung in der Unternehmenswelt.

Wir beleuchten die Anwendungsmöglichkeiten der künstlichen Tools heute und in Zukunft, prüfen die Rechtsgrundlagen, die der Datenschutz vorgibt, und betrachten in diesem Zusammenhang Themen wie das Transparenzgesetz oder praktische Anwendungsfälle für Arbeitgeber im Betrieb.

Mit der abschließenden Liste können Sie selbst abschätzen, ob und inwieweit in Ihrem Unternehmen bereits im rechtlichen Sinne konform mit personenbezogenen Daten umgegangen wird und worum Sie sich kümmern müssen, damit die Nutzung von KI den Anforderungen aus rechtlicher Sicht gerecht wird.

Weil das Thema KI und Datenschutz viele Rechtsbereiche erfasst und recht sensibel ist, kann auch unser Ratgeber die geltenden Anforderungen nur teilweise beleuchten.

Scheuen Sie sich nicht, uns anzusprechen: Wenn Sie Fragen zum Inhalt unseres Ratgebers haben oder darüber hinaus Beratung zum Einsatz von KI in Ihrer Firma suchen, dann sind wir als externer Datenschutzbeauftragter für Sie da.

Künstliche Intelligenz – was verbirgt sich hinter dem Begriff?

Ein KI System lernt, indem es Daten verschlingt und auswertet – die Arbeitsgrundlage der künstlichen Intelligenz ist zugleich in Bezug auf die Datensicherheit ein ganz sensibler Bereich.

chip-img

Definieren wir kurz, was wir heute unter KI verstehen. Grundsätzlich meint der Begriff Künstliche Intelligenz erst einmal ein Fachgebiet der Informatik: Ein IT-System, das menschenähnlich-intelligente Verhaltensweisen aufweist, auch die Fähigkeit einer Maschine, mit passendem Training zu lernen, zu planen und logisches Denken nachzuahmen. Wichtigste Kompetenz einer KI ist ihre Fähigkeit, zu lernen. Die Forschung versucht also, menschliches Denken und Lernen auf den Computer zu übertragen, um damit das menschliche Arbeiten zu unterstützen. Gelingt dies, muss die KI nicht extra für jeden Schritt programmiert werden, sondern sie findet eigenständige Antworten und kann selbständig bestimmte Probleme lösen.

Diese Kompetenzen machen KI für die Industrie in jeder Branche höchst interessant. Die maschinelle Hilfe hat sich heute in so vielen Bereichen etabliert, dass manchem gar nicht mehr bewusst ist, wo bereits KI unterstützend wirkt.

Starke und schwache KI?

Gelegentlich lesen wir noch von der Unterscheidung zwischen „starker und schwacher“ KI. Die sogenannte starke KI ist bisher reine Theorie, sie meint nämlich eine Maschine, die Probleme allgemeiner Natur lösen kann. Sie könnte also jede Frage beantworten, die ihr gestellt wird. Im Englischen wird diese utopische KI als AGI - Artificial General Intelligence bezeichnet.

Die schwache KI dagegen kennen wir aus dem Alltag. Damit sind Algorithmen gemeint, die bestimmte Aufgaben bearbeiten, für die sie zuvor Lösungswege gelernt haben. Anwendungen dieser Art finden wir in jedem Smartphone und in jedem PC. Eine KI kann aus unbekannten Daten lernen, sie erkennt Muster in den Daten und leitet daraus Handlungen ab – das unterscheidet sie von einfachen Programmen, die direkte Befehle brauchen, welche sie dann ausführen.

Künstliche Intelligenzen erfassen riesige Mengen an unterschiedlichsten Daten, die ohne ihre Hilfe schon aus Zeitgründen und wegen der hohen Komplexität gar nicht mehr verarbeitet werden könnten. Die massenhafte Entstehung und Verfügbarkeit von Daten, die gerade in den letzten Jahren rapide angestiegen ist, bringt den Fortschritt im Bereich künstlicher Intelligenz rasch voran, denn diese Daten lassen sich gewinnbringend nutzen.

Die KI in der Unternehmenslandschaft: Der Standort Deutschland wird KI-Land

Im Jahr 2018 verabschiedete die Bundesregierung eine nationale KI-Strategie. Das Ziel: Deutschland soll führender Standort für die Nutzung und Entwicklung von KI-Strategien werden – wir können Künstliche Intelligenz, so die Hoffnung für die Zukunft. Darum wurden strategische Ziele und Maßnahmen erarbeitet, auch in den einzelnen Bundesländern. Neben dem Ausbau der Forschung, von Wissenstransfers und der Förderung von internationalen Dialogen zum Thema sind auch Sicherheit, Recht und Ethik Thema dieser nationalen Förderinitiative.

Themen waren beispielsweise Anpassungen im Arbeitsrecht und im Beschäftigtendatenschutzgesetz oder auch die Anpassung des Wettbewerbs- und Urheberrechts, damit möglichst viele Daten zugänglich sind, ohne dass persönliche Daten oder gar betriebsinternes Know-how preisgegeben wird. Die Ausarbeitung eines rechtssicheren Ordnungsrahmens für die Arbeitgeber, die sich mit der Technologie befassen, musste zunächst erst noch geschaffen werden.

Die KI im Unternehmen ist also fest eingeplant, doch das Thema Datenschutz, speziell der personenbezogenen Daten, wird bis heute an vorderster Stelle diskutiert und bearbeitet. Wer die künstliche Intelligenz ins eigene Unternehmen bringt, ist damit auf einem zukunftsträchtigen Weg, sollte sich aber auch der Verantwortung bewusst sein, die damit im Hinblick auf die Verarbeitung personenbezogener Daten oder generell auf die Datensicherheit einhergeht.

Der Einsatz von KI Systemen stellt Arbeitgeber und Produzenten vor Herausforderungen, aber er bietet auch Vorteile für den eigenen Geschäftserfolg – vorausgesetzt, Unternehmen sind sich ihrer Verantwortlichkeit im sensiblen Bereich der personenbezogenen Daten und Compliance bewusst.

Doch schauen wir zuerst auf die Möglichkeiten, die moderne KI Anbieter in die Welt der Arbeitgeber und Produzenten tragen.

connecting-img

Von Marketing über Bewerbung bis zur Navigation: Anwendungsbeispiele für die KI im Unternehmen

KI Tools haben in allen Branchen längst Einzug gehalten. Die Anwendungsmöglichkeiten künstlicher Intelligenz sind kaum zu zählen. Wir kennen bereits die Gesichtserkennung, mit der wir unser Smartphone entsperren, der Sprachassistent hilft im Smarthome oder auf dem Handy ebenfalls per KI weiter. Übersetzer fördern den Austausch mit internationalen Kunden und Partnern, der erste Ansprechpartner im Kundenservice ist heute oft ein Chat, in dem eine KI Anwendung findet. Ohne den Einsatz von KI läuft kaum noch ein Fuhrparkmanagement im Unternehmen, etwa bei der Touren- und Einsatzplanung. All das ist KI, auch wenn es uns gar nicht mehr immer bewusst ist. Perspektivisch ist auch das autonome Fahren, auf Grundlage der Künstlichen Intelligenz, interessant für die Industrie, etwa für Unternehmen aus der Logistik.

Für die Nutzung in der Industrie sind meist KI Tools aus dem Bereich maschinelles Lernen gemeint, wenn von KI die Rede ist. Für die kommerzielle Nutzung ist diese Form künstlicher Intelligenz die bedeutendste. Beispiele für solche KI Tools sind etwa:

  • Anwendungen zur Sprach- oder Bildgenerierung, etwa Midjourney oder Large Language Models LLM
  • Künstliche Intelligenzen zur Bildverarbeitung
conect

Large Language Models und was sie können

Machine Learning – Tipps für Unternehmen beim Einsatz von Large Language Models

Large Language Models sind inzwischen in der Gesellschaft genauso wie in der Arbeitswelt angekommen: Das bekannteste ist wohl ChatGpt. Wer diese LLMs einsetzen möchte, sollte sich an grundsätzliche Regeln halten, damit der Einsatz von KI in den gesetzlichen Vorgaben des Datenschutzes stattfindet.

Unter dem Begriff werden KI Systeme beziehungsweise Algorithmen verstanden, die mit Hilfe von Datensätzen und Deep-Learning-Techniken Texte erstellen können. So, wie dies von ChatGpt bekannt ist. Ein solches LLM kann in der Lage sein, Texte zu erstellen, vorhandene Texte zusammenzufassen und auch neue Inhalte zu verstehen. Da Large Language Models auf riesige Mengen von Daten zugreifen, können sie auch auf vielerlei Herausforderungen reagieren: Das macht sie beispielsweise ideal für die Anwendung als Chatbot.

Doch wo viele Daten beim Einsatz von KI genutzt werden, da muss besonders auf das Recht der betroffenen Personen geachtet werden. Nicht immer ist es möglich, die nötige Transparenz zu gewährleisten, was zuweilen auch an mangelnder Nachvollziehbarkeit der KI Anbieter liegt. Die Vorteile von solchen Systemen werden dann schnell durch zu hohe Risiken zunichte gemacht.

Chancen und Herausforderungen – lohnt sich der Einsatz von KI in meinem Betrieb?

KI Systeme fürs Unternehmen anzuschaffen, ist ein mitunter komplexer und oft teurer Prozess. Gerade mittelständische Betriebe fragen sich hier, ob sich ein solches Investment auch angesichts unbekannter Risiken lohnt. Doch der Fortschritt ist nicht aufzuhalten, und viele KI Tools bringen langfristig betrachtet unersetzlichen Fortschritt ins Haus.

Ob sich die KI lohnt oder nicht, hängt zum großen Teil davon ab, ob es die nötigen Daten dafür gibt. Sofern ein bestimmtes Problem von einer KI bewältigt werden kann, dann wird sie es auf jeden Fall schneller und besser machen als der Mensch. Vorausgesetzt, sie hat die passenden Daten dafür. Wenn es diese gibt und auch ein passender Anwendungsfall für KI Tools gegeben ist, dann lohnt sich das zeit- und ressourcenaufwendige Investment langfristig.

Ein paar Fragen helfen, abzuschätzen, ob und welche KI Anwendungen sinnvoll und rentabel sein könnten

  • Wie kann der Einsatz künstlicher Intelligenz den Umsatz steigern?
  • An welcher Stelle senken KI Tools bestehende Kosten?
  • Profitieren Ihre Kunden vom Gebrauch künstlicher Intelligenz?
  • Gibt es eventuell lokale Fördermittel für meinen User-Case?

Perspektivisch wird der Einsatz von KI Systemen mit fortschreitender Forschung und Entwicklung ohnehin günstiger. Wer aktuell noch nicht die Notwendigkeit oder Kapazität im Betrieb sieht auf künstliche Intelligenz zurückzugreifen, kann auf diesen Fortschritt bauen. Allerdings sollte man den Markt für KI Tools und die Konkurrenz im Auge behalten, damit hier keine Entwicklung verschlafen wird und am Ende konkurrierende Anbieter davonziehen, weil sie früher auf die Nutzung von KI umgestiegen sind.

KI Datenschutz – die Rechtsgrundlagen

Wo kollidieren die Arbeitsweise der künstlichen Intelligenz und die Rechte, die es für personenbezogene Daten gibt?

Eine Reihe von Gesetzen und Verordnungen legt fest, wie der Schutz personenbezogener Daten bei der Nutzung eines KI Systems möglich ist.

Unter anderem geben folgende Artikel und Abschnitte den gesetzlichen Rahmen vor, der die Nutzung von KI im Unternehmen regelt.

  • Gefährdung des Rechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG
  • Art. 4 der DSGVO, allgemein zur Verarbeitung personenbezogener Daten
  • Datenverarbeitung gem. Art. 5 DSGVO
  • Art. 6 Abs 1 f der DSGVO
  • Art. 83 Abs. 5 lit. a) DSGVO Verstöße gegen die Grundsätze der Datenverarbeitung

Grundsätzlich ist der Einsatz von künstlicher Intelligenz im Unternehmen aktuell nicht verboten. Wie wir gesehen haben, fallen ja bereits zahlreiche Anwendungen und Programme unter die Definition der KI Nutzung.

Allerdings bringt der wünschenswerte Einsatz von KI aus Sicht der Gesetzeshüter einige Risiken für den Datenschutz mit. Dafür gibt es umfangreiche gesetzliche Regelungen, die jeder Arbeitgeber und Unternehmer sorgfältig einhalten sollte.

Zunächst unterscheiden wir bei der Nutzung künstlicher Intelligenz zwischen Daten, die die Anwendung für ihr Training braucht, also für die Entwicklung der KI Tools, und solchen, die für die fertig entwickelte Anwendung gebraucht werden.

DSGVO und der Einsatz von KI

Komplexe Vorgaben zum gesetzeskonformen Vorgehen beim Einsatz von KI Tools gibt es beispielsweise als datenschutzrechtliche Rahmenbedingungen, die sich aus der DSGVO ergeben.

Art. 4 der DSGVO etwa legt den Rahmen fest, in dem personenbezogene Daten überhaupt genutzt werden dürfen. Da die Arbeitsweise der gängigen Tools auf der Auswertung wahrer Datenfluten beruht, muss also genau geschaut werden, mit welchen Informationen Sie das Tool füttern dürfen.

privact-img

Wird die KI als Arbeitsmittel verwendet, greift Art. 6 Abs. 1 lit. b der DSGVO, nämlich dann, wenn KI Tools für einen Vorgang im Arbeitsalltag absolut erforderlich sind.

Nicht zuletzt ist Art. 25 DSGVO zu beachten, der die Vorgaben zu technisch-organisatorischen Maßnahmen festlegt, die Verantwortliche bei der Verarbeitung personenbezogener Daten sicherstellen müssen.

Die DSGVO greift immer dann, wenn personenbezogene Daten verarbeitet werden. Im Unternehmensalltag kommt das in diversen Bereichen vor, vom Marketing über die Mitarbeiter-Kartei bis hin zu Bewerbungsverfahren: Überall sammeln Sie persönliche Daten von Kunden, Fachkräften oder anderen Beteiligten ein. Der Artikel 4 der DSGVO meint hier konkret Namen, Telefonnummern, Adressen und ähnliche Daten, die dazu geeignet sind, Personen zu identifizieren.

Zunächst ist zu prüfen, ob Daten überhaupt im Sinne der DSGVO relevant sind. Wo beispielsweise Codes, Marketingtexte oder Bilder von der KI verarbeitet werden, fallen im Regelfall keine personenbezogenen Daten an.

Personenbezogene Daten wie etwa persönliche Angaben können beispielsweise auch auf Schriftstücken stehen, die Sie hochladen, Bilder von Personen oder Datensätze aus der Kundendatei wären weitere Beispiele für personenbezogene Daten. Auch E-Mail Adressen der Mitarbeiter, die die Namen der betroffenen Personen enthalten, wie etwa max.mustermann-unternehmen-de, genießen den Schutz der DSGVO bei der Verarbeitung personenbezogener Daten.

Welche Verarbeitung von personenbezogenen Daten beim Einsatz von KI erlaubt die DSGVO?

Das Recht der Datenschutzverordnung erlaubt die Nutzung von Daten trotz des Datenschutzes in bestimmten, genau festgelegten Ausnahmefällen:

  • Wenn die Nutzung von Informationen zur Erfüllung von vertraglichen Pflichten erforderlich ist – so geregelt im Art. 6 Abs 1 lit. b) DSGVO. Diese Anforderungen sind oft erfüllt, wenn die künstliche Intelligenz als Arbeitsmittel dient.
  • Wenn Kunden oder Mitarbeiter die Einwilligung geben, dass personenbezogene Daten genutzt werden dürfen. Dafür müssen die Personen, die die Einwilligung geben, in Deutschland mindestens 16 Jahre alt sein, und sie müssen über Risiken und Verarbeitung der Datensätze ausreichend informiert werden. Einwilligungen können jederzeit zurückgezogen werden.
  • Wenn berechtigte Interessen vorliegen, was oft bei betriebswirtschaftlichen Eingaben der Fall ist. Hier muss aber gegen die Schutzinteressen betroffener Personen abgewogen werden – was nicht bei allen Diensten und Angeboten so klar geregelt ist. Wenn die Verarbeitung der Datensätze durch KI Anbieter nicht hinreichend transparent ist, kann der notwendige Nachweis der datenschutzkonformen Verarbeitung möglicherweise nicht erbracht werden.
  • Diese Liste der Anforderungen der DSGVO an den Umgang mit personenbezogenen Daten ist nicht vollständig, unter Umständen sind weitere Aspekte des Datenschutzes zu beachten.
finger-img

Die europäische KI Verordnung ist risikobasiert – das sollten Sie wissen

Auch auf europäischer Ebene hat die Entwicklung künstlicher Intelligenz Fragen aufgeworfen und dazu geführt, dass man sich Gedanken über die Sicherheit betroffener Personen bei der Nutzung eines KI Systems gemacht hat.

Die EU hat mit der sogenannten KI Verordnung, auch als KI Gesetz oder englisch AI Act bekannt, einen umfassenden Gesetzesvorschlag erarbeitet, der einen gemeinsamen Rechtsrahmen für die KI schaffen soll.

Rechte von betroffenen Personen nach der KI Verordnung

Die KI Verordnung verfolgt einen risikobasierten Ansatz und teilt jedes KI System in ein vierstufiges Modell ein, das von geringem Risiko bis hin zu inakzeptablem Risiko reicht.

Im Art. 5 der KI Verordnung ist klar festgehalten, dass KI Systeme, die als unvereinbar mit den Grundrechten der EU gelten, nicht in Verkehr gebracht, in Betrieb genommen und genutzt werden dürfen. Hier gibt es einen ganzen Katalog an Praktiken und Kompetenzen, die das KI System nicht nutzen darf:

  • Echtzeit-Gesichtserkennung im öffentlichen Raum
  • Datenbankerstellung zur Gesichtserkennung, also Anwendungen, die ungezielt Bilder von Gesichtern aus dem Netz oder aus Überwachungsvideos auslesen und daraus Datenbanken erstellen oder erweitern
  • Ein System sozialer Bewertung mittels personenbezogener Daten, also eine Bewertung anhand von persönlichen Merkmalen, etwa Rasse, Religion, Geschlecht, politischer Überzeugung
  • Verhaltensmanipulation: KI Systeme dürfen nicht das Ziel haben, menschliches Verhalten zu beeinflussen, um deren Entscheidungen zu lenken, etwa zu kommerziellen oder politischen Zwecken.

Beispiele für derart verbotene Anwendungen sind etwa die Erstellung von Fake News zwecks politischer Einflussnahme oder in einer Werbekampagne. Übrigens verbietet die KI Verordnung auch die Entwicklung solcher Systeme, nicht nur ihre Nutzung.

Besondere Sensibilität ist im Umgang mit sogenannter Hochrisiko KI gefordert, der dritten Risikostufe im KI Recht. Das sind beispielsweise KI Systeme, deren Einsatz unter Umständen ein bedeutendes Risiko für Sicherheit, Gesundheit oder die Wahrung der Grundrechte darstellen könnte. Ein Anwendungsbeispiel für potenziell gefährliche, aber dennoch unter bestimmten Bedingungen genutzte Tools ist etwa die Künstliche Intelligenz, die für autonomes Fahren genutzt wird. Unter Umständen kann eine solche Anwendung, sofern sie fehlerhaft ist, beträchtliche Gefahren entstehen lassen. Generell umfasst dieser Bereich KI Systeme, die etwa bei kritischen Infrastrukturen eingesetzt werden, in der Strafverfolgung oder in der Verwaltung der Justiz. Auch eine KI, die theoretisch Einfluss auf den Zugang zur Bildung oder den Berufsweg betroffener Personen hat, fällt in diesen sensiblen Bereich.

Die Regeln und Anforderungen für Hochrisiko KI sind streng:

  • sie müssen angemessene Systeme zur Risikobewertung und -minderung haben,
  • die Daten fürs System müssen von hoher Qualität sein, um Risiken zu mindern,
  • alle Tätigkeiten zur Gewährleistung der Rückverfolgbarkeit von Ergebnissen müssen protokolliert werden,
  • für die Behörden müssen ausführliche Unterlagen erstellt werden, die alle Informationen über das System selbst und seinen Zweck enthalten,
  • sie müssen robust, sicher und genau entwickelt werden.
  • u.a.
human-ai

Erst, wenn alle Anforderungen erfüllt sind, kann eine als Hochrisiko KI eingestufte Anwendung in den Verkehr gebracht werden.

Zur Kategorie „Begrenztes Risiko“ zählen etwa Chatbots, bei denen sichergestellt werden muss, dass den betroffenen Personen klar ist, dass sie mit einer KI kommunizieren. Hier kommt es auf die nötige Transparenz an.

Ein minimales oder gar kein Risiko geht gemäß KI Verordnung von Anwendungen in Spamfiltern oder auch Videospielen aus. In diese Stufe fallen derzeit die meisten KI Systeme, die innerhalb der EU genutzt werden.

Übrigens sind die Folgen für Verstöße gegen das Recht, das die KI Verordnung festlegt, gravierender als die der DSGVO: Enorme Geldbußen bis zu 7 % des gesamten weltweiten Jahresumsatzes oder 40 Millionen Euro drohen künftig einem Unternehmen, das gegen das Verbot der Praktiken von Art. 5 verstößt.

Die Datenschutz-Folgenabschätzung

Bevor Sie KI Systeme in den Arbeitsalltag Ihres Unternehmens integrieren, sollten Sie möglichst genau wissen, was diese KI Tools tun. Das ist nicht nur sinnvoll, sondern auch gesetzlich vorgeschrieben: In der EU-Datenschutz-Grundverordnung regelt das der Art. 35. Hier ist die Verantwortlichkeit festgehalten, eine Abschätzung der Folgen vorzunehmen, bevor die Verarbeitung von Daten beginnt. Bedeutet: Unternehmer sind in der Pflicht, vor der Anwendung von Systemen abzuschätzen und auch zu dokumentieren, welche Konsequenzen sich aus der Verarbeitung personenbezogener Daten ergeben.

Der Art. 35 der DSGVO trat 2018 mit der gesamten EU-Datenschutz-Grundverordnung in Kraft. Darin wird die Datenschutz-Folgenabschätzung geregelt, die dazu dient, das Risiko von bestimmten Prozessen abzuschätzen. Wo personenbezogene Daten verarbeitet werden, muss eine ausführliche Beschreibung und Bewertung der Risiken erstellt werden, die sich für den Datenschutz ergeben (könnten). Ein Verantwortlicher für das Datenschutzrecht muss, auch das regelt der Artikel, in jedem Fall zu Rate gezogen werden.

Konkret wird bei einer DSFA das Risiko für die persönlichen Rechte und Freiheiten von betroffenen Personen geprüft. Die Ergebnisse müssen in einer Stellungnahme dokumentiert werden – das macht der betriebseigene oder auch der vom Arbeitgeber hinzugezogene Datenschutzbeauftragte.

Die Bewertung ist anschließend die Grundlage für mögliche Maßnahmen, ein eventuell vorhandenes Risiko von KI Systemen einzudämmen, indem beispielsweise das Datenschutz-Konzept entsprechend angepasst wird.

Der konkrete Absatz in der DSGVO, der sich auf den Einsatz von KI Systemen bezieht, besagt, dass eine Datenschutz-Folgenabschätzung gemacht werden muss, wenn:

„... eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“.

Nachfolgend werden Beispiele genannt, für die die Durchführungspflicht gilt. Darunter fallen etwa:

  • die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Absatz 1 DSGVO
  • Daten gemäß Art. 10 DSGVO, die sich um strafrechtliche Verurteilungen und Straftaten drehen
  • die systematische Überwachung von öffentlich zugänglichen Räumen, z.B. in Ihrem Empfangs- oder Bürobereich.
  • Von den Aufsichtsbehörden gibt es inzwischen Positivlisten mit weiteren Beispielen, die Orientierung bieten, für welche Verarbeitung eine solche Bewertung vorgenommen werden muss. Positivlisten gibt es etwa von den Datenschutzbeauftragten der Bundesländer oder vom Bundesdatenschutzbeauftragten
firewall-ai

Das Transparenzgebot für die Datenverarbeitung durch KI und Grundsatz der Datenminimierung

Die DSGVO schreibt in ihrem fünften Artikel vor, dass personenbezogene Daten mit Hilfe eines KI Systems nur so verarbeitet werden dürfen, dass die betroffenen Personen dies nachvollziehen können. Unternehmen müssen hier die Transparenz-Pflichten erfüllen.

Informationen, wie und wo Daten verarbeitet werden, müssen verständlich und zugänglich gemacht werden. Hier gilt die Rechenschaftspflicht des Verantwortlichen, er muss die Einhaltung der Transparenz- und Informationspflichten bei der Verarbeitung von Daten auch nachweisen.

Außerdem sind gemäß Art. 24 f und 32 der DSGVO geeignete technisch-organisatorische Maßnahmen zu ergreifen, damit die Verarbeitung von Daten mittels KI Systemen gesetzeskonform erfolgt.

DASGVO

Checkliste für die Nutzung von KI in Ihrem Unternehmen

  • Einsatz personenbezogener Daten nur dort, wo es sich nicht vermeiden lässt
  • genau prüfen, ob der Einsatz der KI Systeme wirklich notwendig ist
  • sorgfältige Einhaltung der Rechtsgrundlagen bzw. Compliance sicherstellen, etwa durch Datenschutzbeauftragte, auch durch Training von Mitarbeitern und weitere Fortbildungsmaßnahmen zum Thema Umgang mit der künstlichen Intelligenz
  • mit Anbietern von LLMs, etwa ChatGpt, Auftragsverarbeitungsvertrag abschliessen
  • Datenschutzfolgenabschätzung erstellen
  • alle Daten, die künstlicher Intelligenz zur Verfügung gestellt werden, protokollieren
  • unternehmensinterne Daten anonymisieren
  • Regeln zur Nutzung im Arbeitsvertrag oder der Verpflichtungserklärung der Mitarbeiter aufnehmen
  • Datenschutzrichtlinien von KI Systemen prüfen, um zu wissen, wofür Daten verwendet werden
  • Transparenzgebot und den Informationspflichten gemäß Art. 13 und 14 DSGVO nachkommen
  • Prozesse definieren, mit denen Personen ihre Betroffenenrechte wahren bzw. durchsetzen können

Fazit

Auch, wenn die Anwendung von künstlicher Intelligenz als Tool im Arbeitsleben nicht mehr ganz neu ist, gibt es dennoch in der Fülle der gesetzlichen Regelungen immer noch ungeklärte Bereiche. Als Verantwortlicher für Datenschutz ist die Verantwortung entsprechend hoch, und die Intransparenz von Anbietern der KI Systeme trägt nicht immer hilfreich zu dem Problem bei. Aus Sicht von Unternehmen bringt die Entwicklung allerdings auch überzeugende Vorteile mit.

Wenn Unternehmen ein KI System nutzen, sollte immer auf Transparenz sowie auf Dokumentation geachtet werden. Vor allem aber darauf, dass die Verarbeitung personenbezogener Daten nur dann erfolgt, wenn sie gar nicht zu vermeiden ist. Und auch hier sind Transparenz und sorgfältige Dokumentation aller Vorgänge erste Pflicht, weil Sie im Fall eines Falles als Unternehmen beweisen müssen, dass Sie die Künstliche Intelligenz innerhalb der rechtlichen Vorgaben genutzt haben.

Wenn Sie mehr Informationen zum Thema künstliche Intelligenz und Datenschutz brauchen oder das ganze Thema auslagern möchten: Schenken Sie uns Ihr Vertrauen Wir finden in aller Regel Antworten auf Ihre Fragen und übernehmen auch gern die Position als externer Datenschutzbeauftragter für Ihren Betrieb.

bg_img

Das Hinweisgeberschutzgesetz

Das Hinweisgeberschutzgesetz

Die Schaffung eines Meldekanals für Hinweisgeber ist nach dem „Whistleblower-Gesetz“ seit 2023 für fast alle Unternehmen verpflichtend. Ein Hinweisgeberschutzsystem als Ombudsstelle zu etablieren, ist der richtige Ansatz, um Ihrer Pflicht nachzukommen. Was schreibt das Hinweisgeberschutzgesetz aktuell vor, und was müssen Sie als Unternehmer tun, um alle Vorschriften möglichst unkompliziert einzuhalten? Lesen Sie mehr und erfahren Sie, wie wir als Datenschutzexperten Ihnen dabei helfen.

Das Hinweisgeberschutzgesetz oder warum jetzt alle ein Meldesystem brauchen

Seit Mitte Juli 2023 gilt das sogenannte Whistleblower Gesetz, genauer gesagt die EU-Whistleblower-Richtlinie EU 2019/1937.

Sie hat das Ziel, Personen zu schützen, die Regelverstöße oder Verdachtsmomente innerhalb des Unternehmens melden. Wer Hinweise auf Verstöße im eigenen Unternehmen gibt, hat nicht selten Angst vor Repressalien unterschiedlichster Art. Davor schützt eine interne Meldestelle, die auch anonym eingerichtet werden kann und sollte. Je nach Organisation hat es diese Meldestelle teilweise auch schon vorher gegeben – doch seit Inkrafttreten der Richtlinie ist es für die meisten Unternehmen Pflicht, ein geeignetes Whistleblowing System anzubieten.

Die Vorgabe macht Arbeit und schafft eine Verpflichtung, doch sie lässt sich auch als Chance nutzen. Sie können ein bestehendes System auf den Prüfstand stellen. Neu eingerichtet, sorgt die interne Meldestelle mit Whistleblower-Software für transparente Prozesse, angemessene Datenverarbeitung und effizientere Abläufe im Fall von Whistleblower-Meldungen.

Das Hinweisgeberschutzsystem im Unternehmen Definition

Worum geht es nun genau? Das Hinweisgeberschutzgesetz oder kurz HinSchG verpflichtete zunächst Unternehmen und öffentliche Stellen mit über 250 Beschäftigten dazu, ein internes Hinweisgebersystem einzurichten.

Für Unternehmen von 50 bis 249 Beschäftigten galt anfangs eine Übergangsfrist bis Mitte Dezember 2023. Spätestens seitdem aber sind alle mittelständischen und großen Unternehmen in der Pflicht und müssen ein geeignetes Whistleblower System vorweisen.

Angesprochen von der Pflicht sind

  • Unternehmen aus der freien Wirtschaft
  • Gebietskörperschaften wie Landkreise, Gemeinden und kreisfreie Städte
  • öffentliche Einrichtungen wie Anstalten, Stiftungen und Behörden
law img

Zweck des HinSchG

Das Hinweisgeberschutzgesetz ist die nationale Vorschrift, mit der die EU-Whistleblower-Richtlinie in nationales Recht umgewandelt wird. Sie dient dem Schutz der hinweisgebenden Person, gemeinhin Whistleblower genannt. Damit wurde der bis dahin nicht ausreichende Schutz von Whistleblowern verbessert. Die Maßnahmen sollen sicherstellen, dass niemand, der Verstöße und Verdachtsmomente eines Unternehmens meldet, mit persönlichen Benachteiligungen konfrontiert wird.

In Deutschland gab es bis zum Inkrafttreten des HinSchG kein umfassendes Hinweisgeberschutzsystem. Da aber solche Hinweisgeber eine wertvolle Quelle für eventuell vorliegende Verstöße sind, die andernfalls nicht nach außen dringen würden, wurde die EU-Richtlinie erstellt und mit dem HinSchG dann auch für Deutschland umgesetzt.

Wen schützt das Whistleblower Gesetz?

Das Gesetz umfasst sowohl den Hinweisgeber selbst als auch Personen, die ihn eventuell unterstützen. Außerdem auch Personen, die Gegenstand der gemachten Whistleblower-Meldung sind oder sonstige Personen, die in einer solchen Meldung genannt werden.

Dem Schutz der Meldenden dient auch der § 36 HinSchG, eine Regelung zur Beweislastumkehr. Dort heißt es, dass Arbeitgeber nun beweisen müssen, dass Maßnahmen gegen Arbeitnehmer nicht mit der Aufdeckung von Missständen zusammenhängen – früher lag die Beweislast dafür beim Betroffenen.

Geschützt wird der Whistleblower im Fall einer internen oder externen Meldung, in manchen Fällen auch bei einer Offenlegung.

Die Informationen müssen Verstöße betreffen, die in den Anwendungsbereich des Gesetzes fallen – dazu lesen Sie mehr weiter unten. Zumindest aber muss der Whistleblower zum Zeitpunkt der Whistleblower-Meldung hinreichend Grund zur Annahme haben, dass der Verstoß in den Anwendungsbereich fällt.

Warum braucht es das Hinweisgeberschutzgesetz?

Da in der Vergangenheit immer wieder Fälle auftraten, in denen Whistleblower für sich selbst Nachteile erfahren hatten, sobald sie Vorfälle aufdeckten, wurde der Schutz solcher hinweisgebenden Personen dringend benötigt.

Welche Arten von Fehlverhalten dürfen gemeldet werden?

Eine ganze Reihe von Verstößen aus unterschiedlichsten Bereichen fallen unter das Hinweisgeberschutzgesetz. So melden Personen etwa Hinweise auf Verstöße gegen Strafvorschriften, Bußgeldverstöße, Regelverstöße aus dem Arbeits- und Gesundheitsschutz oder gegen das Mindestlohngesetz. Wer die Vorgaben des Arbeitnehmerüberlassungsgesetzes nicht einhält, kann ebenso mit einer Whistleblower-Meldung konfrontiert sein wie Unternehmen, die die Rechtsnormen bezüglich europäischer Regelungen nicht einhalten.

Hier geht es beispielsweise um Regelungen zu den Themen Produktsicherheit, Geldwäsche, Umweltschutz, Datenschutz oder Verbraucherschutz.

Das HinSchG greift, wenn die gemeldeten Vergehen von dem Beschäftigungsgeber des Whistleblowers oder einer anderen Stelle, mit der der Hinweisgeber beruflich im Kontakt stand, begangen wurden.

Die gesamte Liste der Rechtsnormen ist in der EU Whistleblower-Richtlinie im HinSchG enthalten, die folgende Aufzählung gibt einen groben Überblick

  • Straftaten nach dem Strafgesetzbuch
  • bestimmte Ordnungswidrigkeiten
  • Unternehmensbesteuerung/Geldwäsche
  • Datenschutz
  • öffentliches Auftragswesen
  • Finanzdienstleistungen
  • Produkt- und Verkehrssicherheit
  • nukleare Sicherheit
  • öffentliche Gesundheit
  • Missstände beim Verbraucherschutz
laws maker

Ombudsstelle – was ist das genau?

Die Ombudsstelle, auch als Ombudsmann oder Ombudsfrau bezeichnet, beschreibt allgemein eine Schlichtungsstelle. Fühlen sich Interessenten in einem Recht verletzt oder bringen andere Anliegen mit, die eine persönliche oder rechtliche Auseinandersetzung mit sich ziehen, ist der Gang zu einer Schlichtungsstelle eine sinnvolle Alternative.

In unserem konkreten Fall meinen wir mit Ombudsstelle die Anlaufstelle für Whistleblower, die beobachtete Vergehen im Rahmen des HinSchGs melden wollen.

Die Pflicht zur Einführung eines Hinweisgeberschutzsystems – was genau wird verlangt?

Das Hinweisgeberschutzgesetz verlangt die Einführung einer sicheren, internen Meldemöglichkeit. Das können Sie als Unternehmer etwa in Form eines Hinweisgebersystems mit Whistleblower-Software tun.

Zu den Vorgaben des HinSchG gehört: Das Unternehmen muss Maßnahmen ergreifen, um jede Form von negativen Konsequenzen oder Repressalien für den Whistleblower zu vermeiden. Folgen wie etwa Einschüchterung, Rufschädigungen oder gar fristlose Kündigungen sind in jedem Fall zu verhindern.

Jeder Mitarbeiter bekommt mit einem Hinweisgeberschutzsystem die Möglichkeit, jederzeit einen Verstoß melden zu können, ohne damit negative Konsequenzen für sich selbst heraufzubeschwören.

Whistleblower-Meldungen gemäß dem HinSchG können die Mitarbeitenden schriftlich, mündlich oder persönlich einreichen. Damit das möglich ist, braucht es ein passendes Verfahren und sichere Prozesse im Hinweisgebersystem – mitsamt geeigneten Meldekanälen, über die die Whistleblower-Meldung eingereicht werden kann.

Was ist ein Meldekanal nach dem Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz verpflichtet Sie als Unternehmer, geeignete Meldekanäle einzurichten, damit Mitarbeiter und andere Betroffene Hinweise melden können.

IT-gestützte Lösungen, etwa Whistleblowing-Systeme mit Einbeziehung einer Whistleblower- Software, bieten sich in aller Regel als die effizienteste Lösung einer internen Meldestelle an, vor allem mit Blick auf den vorgeschriebenen Datenschutz.

Interne und externe Meldestellen

Wir unterscheiden bei den vorgeschriebenen Meldestellen zwischen externen und internen, wobei Hinweisgeber grundsätzlich gehalten sind, die interne Meldestelle zu bevorzugen. Die Wahl liegt aber letzten Endes beim Whistleblower.

Für Whistleblower-Meldungen über einen internen Meldekanal muss es innerhalb des Unternehmens eine dafür bestimmte Vertrauensperson geben. Da diese Person unabhängig und frei von Interessenkonflikten sein muss, kann hier beispielsweise der externe Beauftragte für Datenschutz die richtige Lösung sein.

Unternehmen, die mehr als 50 Angestellte haben, müssen geeignete Meldekanäle und Verfahren einrichten, damit die Hinweisgeber solcher Meldungen geschützt sind. Das Verfahren zur Entgegennahme von Meldungen muss vertraulich sein, die Identität von Whistleblower und Personen, die in der Whistleblower-Meldung genannt werden, dürfen nicht unbefugt offengelegt werden.

Jede eingehende Meldung muss dem Whistleblower innerhalb von sieben Tagen bestätigt werden. Eine Rückmeldung muss dann innerhalb von drei Monaten folgen.

Whistleblower-Meldungen über einen externen Meldekanal gehen beispielsweise an staatliche Stellen, zum Beispiel an eine dafür vorgesehene Behörde. Auch Behörden müssen Meldekanäle bereitstellen, damit dort externen Hinweise eingereicht werden können. Zuständig sind, je nach Inhalt der Einreichungen, in Deutschland etwa das Bundesministerium für Justiz, die Bundesanstalt für Finanzdienstleistungsaufsicht und das Bundeskartellamt.

Die externe Meldestelle dokumentiert ebenfalls und muss, genau wie die interne Meldestelle, eine Bestätigung innerhalb einer Woche sowie eine Rückmeldung innerhalb von drei Monaten erbringen.

Das Hinweisgeberschutzgesetz verlangt, dass die externe Meldestelle den Mitarbeitenden online zur Verfügung steht: Hinweisgeber müssen ihre Informationen also über geeignete Meldekanäle online einreichen können – auf diese Weise soll die externe Meldestelle besser zugänglich sein.

Warum nutzt Ihrem Unternehmen ein Whistleblowing-System?

Ein Hinweisgeberschutzsystem dient einer offenen und transparenten Firmenkultur. Mit einer professionellen Lösung auf diesem Gebiet schaffen Sie zudem Vertrauen: Für Personal, Kundschaft und im Kontakt mit Stakeholdern zeigt sich im Umgang mit Whistleblowing Ihre Transparenz und Vertrauenswürdigkeit.

Für größere Unternehmen ist es verpflichtend, ein Hinweisgeberschutzsystem als Ombudsstelle einzurichten. Hier informieren wir Sie, wie Sie das Hinweisgebersystem als internen Meldekanal sinnvoll umsetzen können.

Mit unserem Service als Ombudsstelle für Hamburg und Umgebung haben Sie nicht nur die Sicherheit, eventuelle Auflagen des Gesetzgebers zu erfüllen. Vielmehr vermitteln Sie auch nach außen, dass Sie mit der Einhaltung der gesetzlichen Vorgaben für Ihre Hinweisgebersysteme mit professioneller Hilfe ein vertrauenswürdiger Partner für Kunden und Mitarbeitende gleichermaßen sind.

Nicht zuletzt drohen Sanktionen, wenn die Umsetzung der Vorschriften zum Hinweisgebersystem nicht oder nur unvollständig gelingt – auch das sollten Sie im eigenen Interesse vermeiden.

Das Hinweisgeberschutzgesetz und der Datenschutz

Datenschutz ist gerade im Zusammenhang mit der Whistleblower-Meldung von Verstößen ein sensibles Thema. Entsprechend gravierend sind die Folgen, falls hier Datenschutzverstöße auftreten.

Mit jeder Meldung, sofern sie nicht anonym erfolgt, kommen personenbezogene Daten herein, die verarbeitet werden. Die folgenden Vorgaben regeln den Umgang mit den Daten

  • Externe Dienstleister müssen eine Garantie zur Wahrung von Geheimhaltung und Datenschutz geben.
  • Vertrauenspersonen von internen Meldestellen dürfen keinen Interessenkonflikt haben, sondern müssen stattdessen Integrität, Vertraulichkeit und Unabhängigkeit mitbringen (in puncto Interessenkonflikt und Unabhängigkeit empfehlen wir von FK-Datenschutz die Verlagerung der Vertrauensperson zum externen Datenschutzbeauftragten).
  • Die Vorgaben der DSGVO, Art. 25 zur Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen müssen eingehalten werden.
  • Online-Meldekanäle und E-Mail-Meldungen müssen mit Ende-zu-Ende-Verschlüsselung angeboten werden.
  • Der Whistleblower muss vor missbräuchlicher Ausnutzung von DSGVO-Betroffenenrechten, wie vor der Offenlegung seines Namens und seiner Daten durch ein Auskunftsersuchen, geschützt werden.

Wir von FK-Datenschutz bringen hierfür die nötige Expertise mit und erstellen Ihnen auch im Hinblick auf den Datenschutz ein gesetzeskonformes, absolut sicheres und effizientes Hinweisgebersystem.

Übrigens gilt inzwischen eine neue Regelung bezüglich anonymer Hinweise: Sowohl externe als auch interne Meldestellen müssen diese inzwischen verpflichtend bearbeiten. Darum müssen auch entsprechende Maßnahmen getroffen werden, damit eine anonyme Nachricht überhaupt möglich ist. Zu dieser Neuregelung gilt aktuell eine Übergangsvorschrift bis zum 31. Dezember 2024, damit die Unternehmen, die die anonyme Meldung bisher nicht angeboten haben, ihre Hinweisgeberschutzsysteme entsprechend aufrüsten können.

3 mistakes

Warum kann ein externer Datenschutzexperte als Meldestelle für Hinweisgeber auftreten?

Noch sind viele Unternehmen mit dem notwendigen Meldekanal nach dem Hinweisgeberschutzgesetz nicht vertraut. Mit Einführung des „Whistleblower-Gesetzes“ im Jahr 2023 hat der EU-Gesetzgeber einen Rahmen geschaffen, in dem die Mitarbeitenden sicher und ohne Angst vor persönlichen Konsequenzen aufgedeckte Verstöße aller Art melden können.

Das Gesetz sieht ausdrücklich die Möglichkeit vor, dass Sie zur Einrichtung einer internen Meldestelle einen externen Dienstleister beauftragen.

Da bis Dezember 2023 eine Übergangsfrist für Unternehmen mit 50 bis 249 Mitarbeitenden galt, sind aktuell noch viele kleinere und mittelständische Betriebe recht „neu im Thema“.

Der externe Datenschutzexperte liefert hier die nötigen Informationen zur Einarbeitung.

Neben der Sensibilisierung für das Thema stehen wir Ihnen konkret bei der Erarbeitung und Einrichtung Ihrer Hinweisgebersysteme zur Seite.

Zeigen Sie mit uns als Ombudsmann im Unternehmen, dass Ihnen Offenheit in der Kommunikation, Compliance und ein souveräner Umgang mit der Meldung von Fehlverhalten am Herzen liegen.

Ombudsstelle in Hamburg und Umgebung gesucht – und gefunden!

Eine Ombudsstelle im Sinne des Hinweisgeberschutzsystems ist der vertrauliche Ansprechpartner für Whistleblower-Meldungen, die unter das HinSchG fallen. Wir bieten mit unseren Leistungen einen solchen Meldekanal für Ihr Unternehmen. Als externe Datenschutzbeauftragte sind wir neutral und unterliegen keinem Interessenkonflikt – so, wie es das Gesetz vorschreibt. Damit erfüllen Sie ganz unkompliziert die gesetzlichen Auflagen zum Hinweisgeberschutzsystem.

Für Unternehmen in Hamburg und Umgebung bieten wir von FK-Datenschutz die Ombudsstelle in einem internen Meldekanal an und stellen die gesetzlich vorgeschriebenen Auflagen sicher.

Unsere Leistungen als Ombudsstelle

Wir bieten als internen Meldekanal prinzipiell alle Meldewege an: Meldungen über Verdachtsmomente und Regelverstöße können telefonisch, per Brief, persönlich oder als E-Mail abgegeben werden. Priorisiert wird dabei die Meldung via Whistleblower-Software im Web.

Wir verwenden für das Verfahren eine professionelle Whistleblower-Software. Dies ist für die Meldungen aus mehreren Gründen die beste Wahl, denn sie ermöglicht eine einfache Dokumentation und sichere Verarbeitung aller Daten. Hierüber werden dann auch alle Fristen und Prozess-Teilschritte protokolliert. Eingehende Hinweise können absolut anonym gegeben werden.

Das System kann für Mitarbeiter, Kunden und Lieferanten getrennt betrieben werden.

Wir übernehmen als Ombudsstelle folgende Aufgaben

  • Stichhaltigkeitsprüfung
  • Fristeneinhaltung
  • Kommunikation mit der Meldeperson
  • Nachfassen von Meldungen
  • Einleiten von weiteren, gesetzlich vorgeschriebenen Maßnahmen
  • Vergütung der Ombudsperson nach Aufwand
law wasys

Was kostet die interne Meldestelle bzw. mein Hinweisgeberschutzsystem?

Die Kosten setzen sich aus mehreren Faktoren zusammen. Sie können ein Gesamtpaket buchen, das monatlich abgerechnet wird. Enthalten sind die Whistleblower-Software und die Anlage von eingehenden Meldungen. Hinzu kommen Kosten für den anfallenden Aufwand, der im 15min.-Takt auf Stunden-Basis abgerechnet wird.

Das Gesamtpaket bieten wir für 99,-€ monatlich an.

Anfallender Aufwand wird mit 120,-€/Std (netto) berechnet.

Jetzt mehr zum Thema Hinweisgeberschutzsystem erfahren

Der Gesamtkomplex Whistleblowing ist nicht zu unterschätzen. Der Schutz von Hinweisgebenden ist verpflichtend – und zieht empfindliche Folgen nach sich, wenn hier nicht ausreichend geschützt wird. Die Richtlinie sieht auch den Aufbau von sicheren Meldesystemen vor.

Regelverstöße und Verdachtsmomente sind idealerweise selten im Unternehmen, aber wenn, dann ist ein professionelles Hinweisgebersystem plötzlich dringend gefragt. Die interne Meldestelle bieten wir als Full-Service-Lösung an. Nicht jedes Unternehmen hat sich bereits umfassend mit diesem noch recht neuen Hinweisgeberschutzgesetz befasst.

Das ist aber unbedingt nötig: Schon wenn Sie die erforderlichen Meldekanäle nicht zur Verfügung stellen, müssen Sie mit Sanktionen rechnen. Auch die verschiedenen Prozesse zum Umgang mit Meldungen müssen vorab definiert werden.

Befassen Sie sich also zeitig damit, eine entsprechende Meldestelle einzurichten. Die nötigen Informationen dazu bekommen Sie direkt bei uns. Egal, ob Sie sich erstmals mit dem Thema befassen oder weiterführende Beratung zur Einführung eines Schutzsystems brauchen: Melden Sie sich gerne.

Hier sollte der Slider mit den Vorurteilen sein

Logo_dunkel-blau_Claim 1

© Copyright 2024 FK-Datenschutz UG (haftungsbeschränkt)

Ein Werk der Seiten-Werk