Ja, die Datenschutz-Grundverordnung (DSGVO) und Maßnahmen zur Unternehmenssicherheit stehen tatsächlich oft in einem Spannungsverhältnis, da sie unterschiedliche Ziele verfolgen, die sich teilweise widersprechen können.
Jedoch eines vorweg, insgesamt erfordert die Umsetzung der DSGVO lediglich eine sorgfältige Balance zwischen dem Schutz personenbezogener Daten und der Sicherstellung der Unternehmenssicherheit. Unternehmen müssen darauf achten, dass ihre Sicherheitsmaßnahmen die datenschutzrechtlichen Vorgaben respektieren, ohne die Rechte der betroffenen Personen unverhältnismäßig einzuschränken.
Die DSGVO legt großen Wert auf den Schutz personenbezogener Daten und verpflichtet Unternehmen, die Privatsphäre der betroffenen Personen zu wahren. Gleichzeitig müssen Unternehmen ihre IT-Systeme und Prozesse gegen Bedrohungen wie Cyberangriffe, Wirtschaftsspionage oder Datenlecks absichern. Dies führt dazu, dass Sicherheitsmaßnahmen notwendig sind, die jedoch nicht die Rechte der betroffenen Personen in unangemessener Weise beeinträchtigen dürfen. Hier besteht die Herausforderung darin, dass Unternehmen ein Gleichgewicht zwischen Datenschutz und effektiver Sicherheit finden müssen.
Ein weiteres Spannungsfeld ergibt sich aus der Forderung der DSGVO nach Datensparsamkeit. Unternehmen dürfen personenbezogene Daten nur in dem Maße erheben und verarbeiten, wie es unbedingt notwendig ist. Im Bereich der Unternehmenssicherheit sind jedoch häufig umfassende Überwachungsmaßnahmen wie Logfile-Analysen, Mitarbeiter:innen-Überwachung oder Videoaufnahmen erforderlich, um potenzielle Risiken zu erkennen und zu verhindern. Dies kann in Konflikt mit den Anforderungen der DSGVO stehen, was es für Unternehmen schwierig macht, ausreichende Sicherheitsmaßnahmen zu ergreifen, ohne gegen die Prinzipien des Datenschutzes zu verstoßen.
Die DSGVO fordert zudem, dass personenbezogene Daten nur auf einer klaren rechtlichen Grundlage verarbeitet werden dürfen. Dies erfordert oft die ausdrückliche Einwilligung der betroffenen Person, was bei der Umsetzung von Sicherheitsmaßnahmen, wie etwa Pre-Employment-Screenings oder der Überwachung von Netzwerkaktivitäten, problematisch sein kann. Hier zeigt sich ein weiteres Spannungsfeld: Die Notwendigkeit, umfassende Sicherheitsstrategien effizient umzusetzen, und die gleichzeitig geltende Pflicht, die Einwilligung der betroffenen Personen einzuholen.
Unternehmen müssen außerdem zwischen der Einhaltung der DSGVO und der Umsetzung ihrer Sicherheitsstrategien abwägen. Eine Missachtung der Datenschutzbestimmungen kann erhebliche Bußgelder nach sich ziehen, während unzureichende Sicherheitsmaßnahmen das Unternehmen angreifbar machen. Eine gründliche Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) kann in diesem Zusammenhang helfen, potenzielle Risiken frühzeitig zu erkennen und sowohl den Datenschutz als auch die Sicherheit des Unternehmens zu gewährleisten.
Insgesamt erfordert die DSGVO eine sorgfältige Abwägung zwischen dem Schutz personenbezogener Daten und der Unternehmenssicherheit. Unternehmen müssen sicherstellen, dass ihre Sicherheitsmaßnahmen im Einklang mit den gesetzlichen Vorgaben stehen, ohne die Rechte der betroffenen Personen unnötig einzuschränken.
Autor: Dr. E. Gemeiner ist Anwalt und CEO der TRIAS Solutions GmbH, im Rahmen seiner juristischen Tätigkeit berät und unterstützt er Klient:innen bei der Umsetzung und Etablierung von Sicherheitsmaßnahmen. Der Aspekt Rechtssicherheit wird durch die Tätigkeiten von Dr. Gemeiner gewährleistet.
