Was hat Google mit Schlecker und dem Kreditkartenabrechner Concardis gemeinsam? Alle Unternehmen haben in jüngster Zeit ungewollt in Sachen Datenschutz Negativschlagzeilen gemacht und damit ihre Reputation aufs Spiel gesetzt. Diese Datenschutz-Skandale sind keine Einzelerscheinungen, sondern stehen für einen allgemeinen Bedeutungszuwachs des Themas Datenschutz in Unternehmen.
Warum Datenschutz?
Die früher häufiger zu hörende Auffassung, man könne das Datenschutzrecht weitgehend ignorieren, da ein Verstoß ohnehin sanktionslos bleibe, gilt heute nicht mehr. Bei Verstößen gegen das Datenschutzrecht droht nicht nur eine Skandalisierung in der Presse, sondern auch Bußgelder, Schadensersatzforderungen und neuerdings auch wettbewerbsrechtliche Abmahnungen durch Konkurrenten und Verbände. Mittelgroße und große Unternehmen nehmen daher Belange des Datenschutzes mittlerweile durch die Bank sehr ernst. Kleine Unternehmen sollten es tun, um erhebliche finanzielle Risiken und Reputationsschäden zu vermeiden.
Bedenken? Erste Maßnahmen
Sie haben Bedenken, dass Ihr Unternehmen nicht die Anforderungen des Bundesdatenschutzgesetzes erfüllt? Um Ihnen den Anfang zu erleichtern, wollen wir Ihnen erste Schritte zur Bewältigung des Problems vorzeichnen.
1. Datenschutzbeauftragten bestellen
Wie sich aus § 4f Bundesdatenschutzgesetz ergibt, müssen Unternehmen u.a. dann einen Datenschutzbeauftragten bestellen, wenn sie mindestens 10 Personen ständig mit der automatisierten Verarbeitung von Daten beschäftigen. Da eine automatisierte Verarbeitung bereits beim Betrieb eines Computers gegeben ist und auch Teilzeitkräfte bei der Ermittlung der Personenzahl voll (!) zu berücksichtigen sind, werden diese Anforderungen von einer Vielzahl von Unternehmen erfüllt.
Ist dies bei Ihnen der Fall, so müssen Sie möglichst umgehend einen Datenschutzbeauftragten beauftragen bzw. benennen, der nachweisbare Fachkunde im Datenschutzrecht und in der Datenverarbeitung besitzt und damit den gesetzlichen Anforderungen entspricht. Versäumen sie dies, droht nach § 43 Abs. 1 Nr. 2 BDSG eine Geldbuße von bis zu 50.000 €. Mit der Bestellung eines externen Datenschutzbeauftragten schützen Sie sich nicht nur vor lästigen Bußgeldzahlungen, sondern schaffen sich einen Zugang zu Know-how, das Ihnen bei der datenschutzkonformen Gestaltung Ihres Unternehmens behilflich sein kann.
Ist dies bei Ihnen nicht der Fall, so sollten Sie trotzdem eine qualifizierte Person aus Ihrem Unternehmen mit Datenschutzbelangen betrauen oder über die Konsultation eines Datenschutzbeauftragten nachdenken, um Ihre Datenverarbeitung rechtskonform zu gestalten.
2. Relevante Daten und Datenverarbeitungsvorgänge sichten
Das Bundesdatenschutzgesetz regelt den Umgang mit „personenbezogenen Daten“ durch Unternehmen mit Sitz in Deutschland. Unter personenbezogenen Daten sind nicht etwas nur Personalien und Adressdaten zu verstehen. Der Begriff ist weit zu verstehen und umfasst alle Daten, die auf eine natürliche Person zurückgeführt werden können. Dies ist beispielsweise bei Fotografien, Lebensläufen, E-mails, Kontoauszügen mit Angaben über den Zahler ohne weiteres gegeben. Wie durch die Debatte des vergangenen Jahres zum Thema Google Street View bekannt wurde, sehen die Datenschutzbeauftragten selbst Fotografien von Häusern als personenbezogene (!) Daten an.
Merksatz: Im Zweifel berührt das Datenschutzrecht mehr Unterlagen und Daten, als man annehmen würde. Sie sollten also ihre gesamten Speicherbestände, ihren Aktenbestand und ihre Personalangelegenheiten in die Überlegungen einbeziehen.
3. Verfahrensverzeichnis erstellen
Nach § 4g Absatz 2 Satz 2 BDSG ist der Datenschutzbeauftragte eines Unternehmens dazu verpflichtet, ein sogenanntes öffentliches Verfahrensverzeichnis zu erstellen. Dieses Verzeichnis, dessen Einzelangaben § 4e Satz 1 Nr. 1 bis 8 BDSG entnommen werden können, dient dem Zweck, Unternehmensfremden, z.B. Kunden, einen Überblick über die Grundstrukturen der Verarbeitung personenbezogener Daten zu geben. Ein internes, konkreteres Verfahrensverzeichnis, das dem öffentlichen Verfahrensverzeichnis als Grundlage dienen sollte, ist ein wichtiges Instrument, um Datenverarbeitungsprozesse im Unternehmen strukturiert zu erfassen und Schwachpunkte zu erkennen.
4. Belehrungen überprüfen
Das Bundesdatenschutzgesetz setzt voraus, dass eine Speicherung und Weitergabe von Daten nur zulässig ist, wenn die Betroffenen nach vorheriger Belehrung über die Konsequenzen der Datenverarbeitung zustimmen. Damit ist zu prüfen, ob dies z.B. in Vertragsformularen und Web-Eingabefeldern in rechtskonformer Weise geschieht. Ist dies nicht der Fall, so sind die Belehrungen dringend zu ergänzen. Fehlerhafte Belehrungen können u.U. dazu führen, dass die Datennutzung insgesamt unzulässig ist. Sie wären dann zur Löschung bzw. zur eingeschränkten Nutzung der Daten verpflichtet!
Autor: Dr. Gernot Schmitt-Gaedke, Anwaltskanzlei lexTM.