Datenschutz in Unternehmen

Was nicht gespeichert ist, muss nicht geschützt werden.

Der Datenschutz

Der Datenschutz. Was sind seine Aufgaben und warum ist er so wichtig? Was wird geschützt und welche gesetzlichen Bestimmungen müssen eingehalten werden? Mit welchen Konsequenzen müssen Unternehmen bei Verstößen rechnen?

Um diese Fragen zu beantworten, muss man zuerst die gesetzliche Grundlage für den Datenschutz, das Bundesdatenschutzgesetz (BDSG) betrachten.

Der Datenschutz und damit das Persönlichkeitsrecht eines jeden Einzelnen ist  wertvoll und wird daher mit Hilfe eines eigenständigen Gesetzes, dem Bundesdatenschutzgesetz (BDSG), geregelt. Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem persönlichen Recht nicht beeinträchtigt wird.

Das Bundesdatenschutzgesetz ist ein Gesetz mit  sogenanntem Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG).

Dies bedeutet, dass personenbezogene Daten ausschließlich dann verarbeitet dürfen, wenn:

  • die Erlaubnis oder die Verpflichtung durch ein Gesetz vorliegt,
  • die Erlaubnis durch eine andere Rechtsvorschrift vorliegt, dazu gehören auch Betriebsvereinbarungen und Tarifverträge, oder
  • der Betroffene seine freiwillige vorhergehende schriftliche Einwilligung erteilt hat.

→ Personenbezogene Daten sind alle persönlichen oder sachlichen Informationen über eine bestimmte oder bestimmbare lebende natürliche Person, den sogenannten Betroffenen. ( § 3 BDSG)

→ Die Verarbeitung personenbezogener Daten bedeutet hierbei die automatisierte Erhebung, Speicherung, Aufbewahrung, Veränderung, Abfrage, Nutzung, Weitergabe, Verbreitung, der Abgleich, das Sperren, Löschen sowie Vernichten von Daten (Art. 4 DSGVO).

Ab Mai 2018 kommen zahlreiche Neuerungen auf die Unternehmen zu. Die europäische Datenschutz-Grundverordnung (EU-DSGVO) ist dann bindend für alle Unternehmungen im europäischen Raum, mit Öffnungsklauseln auf nationaler Ebene.

Zahlreiche Dokumente und Verträge müssen überarbeitet werden, technische und organisatorische Maßnahmen überprüft und Risikobewertungen durch Datenschutz-Folgenabschätzung durchgeführt werden. Weiterhin werden auch die Rechte der Betroffenen erweitert.

Wer die komplexen Anforderungen nicht erfüllt, muss mit empfindlichen Strafen rechnen. Gleichzeitig wird das bestehende Bundesdatenschutzgesetz (BDSG) durch das neue, der Datenschutz-Grundverordnung angepasste, Bundesdatenschutzgesetz (BDSG neu) ersetzt.

Nutzen des Datenschutzes für Unternehmen

Datenschutzmaßnahmen vermeiden in erster Linie den Missbrauch personenbezogener Daten und die Zahlungen von drastischen Bußgeldern.

Im schlimmsten Falle führen Datenschutzverstöße zu gravierendem Imageverlust durch das bekannt werden in der Öffentlichkeit, das Vertrauen ihrer Kunden wird nachhaltig gestört, Umsatzverluste drohen.

Ein gut durchdachtes Datenschutzkonzept, verbunden mit effektiven Schutzmaßnahmen, vermindert Sicherheitslücken in Ihrem Unternehmen und erhöht ihre Kundenakzeptanz. Nicht zuletzt ist es ein entscheidendes Qualitätskriterium  sowie ein wichtiger  Wettbewerbsvorteil im hart umkämpften Markt.

Es hat sich gezeigt, dass der Datenschutz in vielen Unternehmen bisher eine eher untergeordnete Rolle spielte. Oft wurden nur die nötigsten Dokumente rechtmäßig erstellt, bei Bedarf den verantwortlichen Stellen zugearbeitet und im betrieblichen Alltag eingearbeitet. In der Regel wurde ein Mitarbeiter im Rahmen von Job Enrichment (= der Aufgabenbereich eines Mitarbeiters wird um höherwertige Tätigkeiten erweitert), zum internen Datenschutzbeauftragten bestellt. Maßnahmen, die den notwendigsten Auflagen zum Erfüllen des bestehenden Bundesdatenschutzgesetzes (BDSG), gerecht wurden.
Doch reichen diese Ansätze ab Mai 2018 häufig nicht mehr aus, um den komplexen Anforderungen der europäischen Datenschutz-Grundverordnung (EU-DSGVO) zu genügen.

Das Bundesdatenschutzgesetz (BDSG § 4f) schreibt für Unternehmen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten vor. Das heißt, dass Unternehmen, Organisationen und Vereine, bei denen mehr als 9 Personen automatisiert personenbezogene Daten erheben, verarbeiten oder nutzen, gesetzlich dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen.

BDSG Bundesdatenschutzgesetz § 4f (1) Beauftragter für den Datenschutz
  1. Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.

Bestellung eines Datenschutzbeauftragten

Ob Sie sich für einen internen oder für einen externen Datenschutzbeauftragten entscheiden, bleibt hierbei Ihnen überlassen. Wenn Sie sich für die interne Variante entscheiden wollen, sollten Sie einige Aspekte überdenken: Habe ich einen geeigneten motivierten Mitarbeiter, den ich als internen Datenschutzbeauftragten bestellen kann?  Wie kostenintensiv ist die umfängliche Ausbildung dieses Mitarbeiters, verbunden mit Freistellungen für regelmäßige Fortbildungen und Teilnahmen an Fachtagungen oder fachspezifischen Intensivkursen. Welchen Zeitfaktor muss ich für dessen Ausübung der Tätigkeit zur Verfügung stellen? Auch die verringerte Effizienz und Wirtschaftlichkeit des internen Datenschutzbeauftragten sei im Hinblick auf die Ausübung seiner eigentlichen Haupttätigkeit zu erwähnen. Überbelastungen sollten vermieden und ausreichend Zeitfenster zur Wahrnehmung aller Aufgaben gegeben werden. Vergessen Sie nicht die Wahrscheinlichkeit einer höheren Gehaltsforderung des Mitarbeiters aufgrund seiner Aufgabenerweiterung (→ Job Enrichment)

Je nach Umfang und Bedarf des benötigten Leistungsspektrums Ihres Datenschutzes berechnet  sich der externe Datenschutzbeauftragte vorrangig auf Stundenverrechnungssätzen und damit verbundenen Aufwendungen. Hierdurch ist, nach erfolgter Ist-Erfassung Ihres bestehenden Datenschutzes durch den externen Datenschutzbeauftragten, eine planbare Kalkulation für Ihr Unternehmen gewährleistet. Sobald Ihr individuelles Datenschutzniveau erreicht ist, führt Ihr externer Datenschutzbeauftragter künftig hauptsächlich Kontrollfunktionen, Datenschutz-Audits, sowie regelmäßige Mitarbeiterschulungen in Ihrem Unternehmen aus, um den erreichten Datenschutz-Standard zu erhalten. Dies wirkt sich ferner positiv auf Ihre Kostenaufwendungen für den Datenschutz aus.

Um Sie bei der Wahl bei der für Sie geeignetsten Variante zu unterstützen, haben wir Ihnen eine übersichtliche Gegenüberstellung zwischen dem internen und dem externen Datenschutzbeauftragter zum Vergleich vorbereitet:

Gegenüberstellung interne und externer Datenschutzbeauftragter

Interner DatenschutzbeauftragterExterner Datenschutzbeauftragter
gute Kenntnisse der betrieblichen InfrastrukturEinarbeitungszeit in betriebliche Prozesse notwendig
Unkalkulierbarer hoher Kostenaufwand für Aus- und Fortbildung, Fachliteratur, Hard- und Software, Arbeitsausfälle, Freistellungen (BDSG 4f  Abs. 3)planbare Kostenstruktur durch vertraglich vereinbarte Preise
Zeit- und kostenintensive Aufwendungen für die Ausbildung zum Datenschutzbeauftragten (BDSG 4f  Abs. 3)Qualifizierte Fachkundeausbildungen vorhanden
Haftung verbleibt im Unternehmen (interner Datenschutzbeauftragter haftet beschränkt, Geschäftsführer haftet vollumfänglich)Haftungsübergang auf den externen Datenschutzbeauftragten (laut vertraglichen Vereinbarungen)
Neueinstellung eines Mitarbeiters oder Datenschutz wird Teilzeit ausgeführt und somit Haupttätigkeit nicht mehr zu 100% erfüllbarKeine Bindung von Manpower, keine Arbeitsausfälle
Abberufung schwierig, nur in wichtigen Fällen möglich, Achtung: 1 Jahr Kündigungsschutz nach Abberufung (BDSG 4f  Abs. 3)Vertraglich vereinbarte Kündigungsfristen
Stellvertreter muss bestimmt werdenStellvertretung abgesichert
Objektivität eingeschränkt, Gefahr der Betriebsblindheitobjektive und neutrale Einsichten in Betriebsabläufe
Wenig Erfahrungen als Datenschutzbeauftragterhoher Erfahrungsschatz, hohe Effizienz und schnellere Umsetzung
Interessenkonflikte bei Ausübung der Tätigkeiten als Datenschutzbeauftragter möglichkeine Interessenkonflikte
Durchsetzungsvermögen und Hinwirken auf Umsetzung des Datenschutzes schwierigUmsetzungsmöglichkeiten als externer Datenschutzbeauftragter einfacher
Betriebsrat hat Mitbestimmungsrecht (§ 99 BetrVG)Betriebsrat hat kein Mitbestimmungsrecht

Aufgaben des Datenschutzbeauftragten

Die Aufgaben und Pflichten des Datenschutzbeauftragten sind sowohl in der Datenschutz-Grundverordnung, als auch im Bundesdatenschutzgesetz definiert. Grundsätzlich lässt sich das Tätigkeitsfeld wie folgt zusammenfassen:

  • Ansprechpartner, Berater, Vertrauter und Geheimnisträger
  • Überwachung der Einhaltung der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes BDSG
  • Hinwirken auf die Umsetzung des Datenschutzes
  • Erstellung von Verarbeitungsverzeichnissen
  • Risikobewertungen und Erstellen von Datenschutz-Folgenabschätzungen
  • Sensibilisierung und Schulung der Mitarbeiter, die an Verarbeitungsvorgängen beteiligt sind
  • Stetige / jährliche Nachkontrollen und Berichterstattungen
  • Durchführen von Datenschutzaudits
  • Zusammenarbeit mit den zuständigen Aufsichtsbehörden

Wichtig zu erwähnen ist die Tatsache, dass allein der Unternehmer / Geschäftsführer verantwortlich für die ordnungsgemäße Umsetzung der Datenschutzverordnung ist, der Datenschutzbeauftragte steht ihm lediglich unterstützend und beratend zur Seite.

Gesetzestexte

Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO

Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

Zusammenarbeit mit der Aufsichtsbehörde;

Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Aufgaben des Datenschutzbeauftragten nach § 7 BDSG neu

Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:

Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften;

Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen;

Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes;

Zusammenarbeit mit der Aufsichtsbehörde;

Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Im Fall einer oder eines bei einem Gericht bestellten Datenschutzbeauftragten beziehen sich diese Aufgaben nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit.

Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das Verzeichnis für Verarbeitungstätigkeiten muss ab Mai 2018 zwingend vorhanden sein. Bei Beginn oder zu jeder Änderung eines jeden automatisierten Datenverarbeitungsprozesses muss der Datenschutzbeauftragte hinzugezogen werden. Zu jedem Verfahren muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden.

Verzeichnis von Verarbeitungstätigkeiten (1)Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; b) die Zwecke der Verarbeitung; c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; 4.5.2016 L 119/50 Amtsblatt der Europäischen Union DE d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen; e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. (2)Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält: a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten; b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. (3)Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. (4)Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung. (5)Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.

Bußgelder und Ordnungswidrigkeiten

Fast jeder Verstoß gegen die ab 28. Mai 2018 für alle Mitgliedsstaaten allgemeingültige europäische Datenschutz-Grundverordnung (EU-DSGVO) kann durch die zuständige Aufsichtsbehörde geahndet werden.

Ordnungswidrigkeiten können mit Geldbußen bis zu fünfzigtausend Euro geahndet werden.

Die maximale Geldbuße (Art. 83 Abs. 5 der DSGVO) beträgt bis zu 20 Millionen Euro oder bei Konzernen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr.

Bislang galt laut Bundesdatenschutzgesetz (BDSG) eine Haftungshöchstgrenze von maximal 300.000 Euro.

Grundsätzlich kann jeder einen Datenverstoß an die zuständige Aufsichtsbehörde melden. Dies kann ein Betroffener sein, oder auch ein ehemaliger Mitarbeiter, unzufriedene Beschäftigte oder ein Konkurrenzunternehmen.

Beispiele für Datenschutzverstöße:

  • Übermittlung der IP- Adressen von Webseitennutzern – ohne deren Zustimmung – durch den Einsatz von Tracking-Tools
  • Aushänge von Urlaubslisten, Geburtstagslisten oder Krankheitslisten von Mitarbeitern am „Schwarzen Brett“
  • Unaufgefordertes Versenden von Angeboten per Fax oder Email an potenzielle Kunden
  • Unberechtigte Weitergabe von Adressdaten, E-Mail-Adressen oder Telefonnummern von Kunden
  • ….

Es gibt unzählige weitere Beispiele für Verstöße, die mit Bußgeldern oder als Ordnungswidrigkeiten geahndet werden können. Und bereits geahndet wurden.

Wie kann man  Bußgeldern entgegenwirken?

Ein Unternehmen sollte sich professionell datenschutzrechtlich beraten lassen. Datenbestand, Datenflüsse und Datenverarbeitungsprozesse sollten dokumentiert werden.

Wir, die Datenschutzbeauftragten der Firma SBU Sicherheitstechnische Betreuung von Unternehmen unterstützen Sie gerne dabei. Kontaktieren Sie uns unter der Telefonnummer 03621 510 4001.

Unser Datenschutz - Leistungsportfolio

  • Kostenloser Erstkontakt in Ihrem nationalen Unternehmensstandort, folgend:
  • Ist-Erfassung und Erstanalyse aller datenschutzrechtlichen Prozesse inklusive der IT-Sicherheit gemäß §9 BDSG
  • Checklistenanalyse
  • Auswertung der Erstanalyse
  • Prüfung Ihrer Verarbeitung von personenbezogenen Daten
  • Gefährdungsbeurteilungen, Risikoeinschätzung
  • Erstellung eines Datenschutzkonzeptes
  • Erstellen eines Verzeichnisses der Verarbeitungstätigkeiten
  • datenschutzrechtliche Dokumentation
  • datenschutzrechtliche Beratung
  • Auskünfte gegenüber Betroffenen
  • Mitarbeiterschulungen zum Datenschutz
  • Verpflichtung von Mitarbeitern auf das Datengeheimnis (nach § 5 BDSG)
  • Kommunikation mit der zuständigen Aufsichtsbehörde
  • Beratung und Unterstützung Ihres internen Datenschutzbeauftragten und Mitarbeiter
  • Bestellung zum externen Datenschutzbeauftragten