Datenschutzrecht

Welche Unternehmen sind zum Datenschutz verpflichtet?

JEDES UNTERNEHMEN IST ZUM DATENSCHUTZ VERPFLICHTET!

Die Einhaltung der datenschutzrechtliche Bestimmungen obliegt jedem, der im geschäftlichen Verkehr Umgang mit personenbezogenen Daten hat. Eine Bindung an bestimmte Kennzahlen, wie z. B. Mitarbeiterzahl, besteht nicht.

Personenbezogen sind alle Daten, die sich direkt oder indirekt einer bestimmten Person zuordnen lassen. Personenbezogen ist somit der Name, die Anschrift, das Alter von z. B. Mitarbeitern, Kunden, Geschäftspartnern, Interessenten, aber auch sonstige Daten, bei denen eine Verbindung zu einer bestimmten Person nicht auf Anhieb offensichtlich ist. Wird im Rahmen einer Internetpräsenz z. B. die IP-Adresse eines Internetbesuchers gespeichert und lässt sich diese einer bestimmten Person zuordnen, ist auch die IP-Adresse als personenbezogenes Datum zu werten.

Da die Missachtung von Datenschutzobliegenheiten aufsichtsrechtliche Sanktionen nach sich zieht, darüber hinaus auch vertragliche und deliktische Schadensersatzansprüche von Kunden und Geschäftspartnern begründen kann, sollte, für den Fall, dass Zweifel über den Personenbezug bestehen, von einer Personenbezogenheit ausgegangen werden und die jeweils datenschutzrelevanten Vorschriften beachtet werden.

Wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Gemäß § 4f Abs. 1 BDSG haben Unternehmen der Privatwirtschaft (sog. nicht-öffentliche Stellen) einen Datenschutzbeauftragten schriftlich zu bestellen, es sei denn, dass weniger als 10 Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Hierbei kann im Einzelfall zu prüfen sein, welche Mitarbeiter maßgeblich sind. Grundsätzlich sind an die Anforderungen, wann eine Beschäftigung mit personenbezogenen Daten anzunehmen ist, keine strengen Maßstäbe anzulegen. Soweit Unternehmen zur Vorabkontrolle nach § 4d Abs. 5 BDSG verpflichtet sind, oder Daten geschäftsmäßig zum Zwecke der Übermittlung verarbeiten, besteht die Verpflichtung, einen Datenschutzbeauftragten zu bestellen, unabhängig von der Mitarbeiterzahl, die mit der Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Verpflichtung, ob ein Datenschutzbeauftragter zu bestellen ist oder nicht, besteht in jedem Falle die Verpflichtung des Unternehmens, die Einhaltung der Datenschutzbestimmungen sicherzustellen. Insbesondere sind die datenschutzrechtlichen Auskunfts- und Informationspflichten zu beachten. Ein Unternehmen kann daher unabhängig von seiner Größe durch die Aufsichtsbehörde einer Datenschutzprüfung unterzogen werden und hat Datenschutzanfragen von Dritten, wie z. B. Auskunft über die Speicherung von Daten der anfragenden Person, oder das Verlangen auf Vorlage eines Verfahrensverzeichnisses zu beachten.

Welche aufsichtsrechtlichen Sanktionen sind denkbar?

Die Aufsichtsbehörde führt Datenschutzüberprüfungen in Unternehmen durch. Die Behörde ist befugt, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume zu betreten und Besichtigungen vorzunehmen. Anlass für Prüfungen können konkrete Vorfälle sein, häufig auch Anzeigen von Betroffenen, die Hinweise auf Datenschutzmängel geben. Hat die Aufsichtsbehörde Anlass zur Beanstandung, kann ein Bußgeld in Höhe von bis zu 25.000 EUR, in schwerwiegenden Fällen bis zu 250.000 EUR festgesetzt werden. Daneben kann sie die Beseitigung der Mängel verlangen und Auflagen erteilen, im Einzelfall sogar relevante Unternehmungen untersagen.

Was ist ein Datenschutzkonzept?

Ein Datenschutzkonzept beinhaltet Maßnahmen, die die Einhaltung der datenschutzrechtlichen Vorgaben durch das Unternehmen sicherstellen. Abschließende gesetzliche Regelungen, welche Maßnahmen zu ergreifen sind, existieren nicht. Allenfalls gibt es vereinzelte spezifische Vorgaben, die in bestimmten Sachverhaltskonstellationen zu beachten sind. Die Möglichkeiten der modernen Datenverarbeitung stellt große Herausforderung an den modernen Datenschutz. Ein effizientes Datenschutzkonzept analysiert Schwachstellen und schafft Problembewusstsein und kann sich deshalb nicht auf Einzelaspekte der Unternehmensstruktur beschränken, sondern verlangt organisatorische und technische Maßnahmen in den unterschiedlichen Bereichen der Unternehmensorganisation. Ziel ist es, ein angemessenes Schutzniveau herzustellen, ohne die unternehmerischen Bedürfnisse außer Acht zu lassen. Datenschutz sollte daher als integraler Bestandteil der Unternehmensphilosophie verstanden werden, bei dem es darum geht, die Interessen von Kunden, Geschäftspartnern und Mitarbeitern mit den unternehmerischen Bedürfnissen optimal in Einklang zu bringen. Ein auf das Unternehmen abgestimmtes Datenschutzkonzept hilft deshalb, Risiken zu vermeiden und trägt einem positiven Image beizutragen.

Was ist die Vorabkontrolle?

Das Bundesdatenschutzgesetz unterscheidet weniger gefährliche Verfahren zur Verarbeitung von personenbezogenen Daten und solche, die besondere Risiken aufweisen. Dies sind insbesondere solche Verfahren, bei denen besonders sensible Daten Gegenstand der Verarbeitung sind, wie z. B. Gesundheitsinformationen, Informationen zur Religionszugehörigkeit oder Zugehörigkeit zu einer Gewerkschaft. Verfahren können aber auch besondere Risiken aufweisen, weil diese eine Auswertung ermöglicht, die eine Bewertung der Persönlichkeit, der Fähigkeiten, der Leistungen oder des Verhaltens des Betroffenen zulässt. In diesem Zusammenhang sind insbesondere Patientendaten von Ärzten oder Informationen, die dem Arbeitgeber im Rahmen der Lohnabrechnung zur Verfügung stehen (z. B. Zeiterfassungssysteme), besonders hervorzuheben. Ist die Einführung eines Verfahrens geplant, welches im vorstehenden Sinne relevant ist, darf das Verfahren erst eingeführt werden, wenn vorab eine Kontrolle durch den Datenschutzbeauftragten vorgenommen worden ist. Sofern ein Datenschutzbeauftragter nicht bestellt worden ist, ist ein Datenschutzbeauftragter zu bestellen.