Jedes Unternehmen muss die Vorschriften des Bundesdatenschutzgesetztes (BDSG) beachten und das ganz unabhängig vom Tätigkeitsbereich, Umsatz und Mitarbeiteranzahl. Umso früher dieser Prozess beginnt, umso schneller und kostengünstiger lässt sich ein gutes Datenschutzmanagementsystem einführen.
Heutzutage arbeiten viele Unternehmen digital. Es werden immer mehr Waren und Dienstleistungen über das Internet verkauft und zwangsläufig personenbezogene Daten i.S.d. § 3 BDSG erhoben, verarbeitet und genutzt. Spätestens nach dem Safe Harbour Urteil des europäischen Gerichtshofs ist das Thema Datenschutz auch in der breiten Öffentlichkeit angekommen und aktueller denn je. Über die datenschutzrechtlichen Auswirkungen und Anforderungen im Umgang mit personenbezogenen Daten, besteht für viele Unternehmen jedoch oftmals Unkenntnis. Wann darf ich personenbezogene Daten erheben oder verarbeiten und wie schütze ich diese Daten? Diese Vorgänge werden in erster Linie nach dem BDSG geregelt.
Rechtliche Legitimation
Grundsätzlich verbietet das BDSG gem. § 4 Abs. 1 die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, es sei denn, der Betroffene erteilt hierfür seine Einwilligung, oder es ist aufgrund anderweitiger Gesetze erlaubt. Die Einwilligung stellt im Bereich der Privatwirtschaft eine wichtige Legitimation dar und kann beispielsweise in Form einer Einverständniserklärung des Kunden erteilt werden. Die rechtlichen Anforderungen an die Einwilligung richten sich nach § 4a BDSG und setzen insbesondere die Freiwilligkeit des Betroffenen, einen Hinweis auf den Zweck des Datenumgangs sowie die Benennung der Folgen bei Verweigerung der Einwilligung voraus. Neben der Einwilligung benennt § 4 Abs. 1 BDSG zusätzliche Rechtsvorschriften als mögliche Rechtfertigung für den Umgang mit personenbezogenen Daten und meint hiermit zunächst einmal Regelungen im BDSG selbst. Beispielsweise ist die Verarbeitung personenbezogener Daten für Durchführung, Erfüllung und Beendigung eines Vertragsverhältnisses gem. § 28 BDSG erlaubt oder im Rahmen des Beschäftigungsverhältnisses gem. § 32 BDSG zulässig, wenn es erforderlich ist. Befinden sich die rechtmäßig erhobenen Daten im Besitz des Unternehmens, so müssen diese vor dem Zugriff unberechtigter Dritter geschützt werden.
Technische und organisatorische Maßnahmen
Um den Schutz personenbezogener Daten zu gewährleisten, sieht das BDSG gem. § 9 organisatorische und auch technische Maßnahmen vor. Die Spezifizierung der Anforderungen ergibt sich aus der Anlage zu § 9 BDSG. Je nach Art der zu schützenden, personenbezogenen Daten muss die Maßnahme geeignet bzw. verhältnismäßig sein. Zu den organisatorischen Schutzmaßnahmen können unter anderem die Sensibilisierung der Mitarbeiter durch eine jährliche Schulung, eine Passwortrichtlinie, Berechtigungskonzepte, ein Datenschutzhandbuch oder die Erstellung eines extern und internen Verfahrensverzeichnisses gem. § 4g i.Vm. § 4e BDSG gezählt werden. Neben den organisatorischen Maßnahmen sieht das BDSG technische Maßnahmen, wie z.B. eine Email- und Festplattenverschlüsselung, den Einsatz von Firewall und Anti-Viren-Software oder Authentifizierungsverfahren vor.
Von Anfang an Datenschutz
Mit Blick auf die Anforderungen und die geplante Umsetzung dieser Maßnahmen lässt sich leicht feststellen, dass die Einführung eines Datenschutzmanagement am besten so früh wie möglich stattfinden sollte. Das spart Zeit, ist übersichtlicher und lässt sich zudem einfacher und kostengünstiger durchführen. Außerdem sind datenschutzrelevante Prozesse den Mitarbeiter bekannt und werden von Anfang an Bestandteil der Unternehmenskultur. Daher sollten auch schon kleinere Unternehmen über das Thema Datenschutz nachdenken und wenn möglich, Resourcen hierfür bereitstellen. Das schafft nicht nur internes Vertrauen, sondern wirkt sich auch positiv auf das Unternehmensumfeld aus. Zudem muss sich das Unternehmen bewusst werden, dass ein gut ausgebautes und den gesetzlichen Anforderungen entsprechendes Datenschutzmanagement, auch vor rechtlichen Konsequenzen und wirtschaftlichen Schäden schützen kann.
Risiken
Verstößt das Unternehmen gegen Vorschriften aus dem BDSG, beispielsweise weil es personenbezogene Daten ohne Einwilligung verarbeitet oder keinen Datenschutzbeauftragten ernennt, so stellt dieses Handeln gem. § 43 BDSG eine Ordnungswidrigkeit dar und wird beim fahrlässigen und vorsätzlichen Verhalten mit einer Geldbuße von bis zu 300.000 € geahndet. Neben den rechtlichen Konsequenzen führt der falsche Umgang von personenbezogenen Daten auch zu wirtschaftlichen Schäden. Denn ist das Sicherheitsgefühl der Kunden erst einmal verloren, kommt es so schnell nicht wieder. Einer repräsentativen Studie des amerikanischen Softwareunternehmens Symantec, dem State of Privacy Report 2015 zufolge, stellt die Sicherheit der Kundendaten eines der wichtigsten Argumente bei der Kaufentscheidung dar. Besonders für Onlineshops, die mit dem Vertrauen der Kunden arbeiten müssen, kann dieser Verlust zu einem schwerwiegenden Imageschaden führen.
Mit Blick auf die gesetzlichen Anforderungen und den möglichen Gefahren kann es sich für das Unternehmen anbieten, einen Experten hinzuzuziehen. Dieser kann in der Person eines Datenschutzbeauftragten gefunden werden.
Der Datenschutzbeauftragte
In erster Linie ist der Datenschutzbeauftragte gem. § 4f BDSG für die Einhaltung der gesetzlichen Vorschriften und für Überwachung aller datenschutzrelevanten Prozesse zuständig und ist bei größeren Unternehmen sogar gesetzlich vorgeschrieben. Nach den § 4f BDSG haben Unternehmen im nicht-öffentlichen Bereich einen Datenschutzbeauftragten zu bestellen, wenn mindestens zehn Personen über einen konstanten Zeitraum mit der automatisierten Verarbeitung personenbezogener Daten beauftragt sind. Dazu zählen nicht nur Arbeitnehmer im eigentlichen Sinn, sondern neben Teilzeitkräften und Auszubildenden auch freie Mitarbeiter oder Leiharbeitnehmer. Nun kann man sich die Frage stellen, wer zum Datenschutzbeauftragten bestellt werden kann. Die Person des Datenschutzbeauftragten kann selbst im Unternehmen organisatorisch eingebunden sein (intern) oder auch von geeigneten Dritten (extern) übernommen werden. Bei der Wahl des internen Datenschutzbeauftragten ist zu beachten, dass dieser unabhängig agieren kann und in keinem Interessenskonflikt steht. Das bedeutet, dass der Datenschutzbeauftragte für die Erfüllung seiner Aufgaben völlig weisungsunabhängig ist und zudem keine leitende Position als Geschäftsführer oder Personalleiter ausübt.
Intern oder Extern?
Die Frage, ob ein interner oder externer Datenschutzbeauftragter die bessere Lösung darstellt lässt sich relativ einfach beantworten. Eine interne Bestellung wird dem Unternehmen auf lange Sicht mehr Geld kosten als die externe Beauftragung. Infolge der langen Einarbeitungszeit, der notwendigen Aus- und Weiterbildung und nicht zuletzt durch die verminderte Arbeitsleistung des internen Datenschutzbeauftragten, entstehen hohe Kosten für das Unternehmen. Darüber hinaus sprechen das Problem der Interessenskollision, Haftungsfragen oder die notwendige aktuelle Fachkenntnis des Datenschutzbeauftragten für die externe Lösung. Auch das Problem der Abberufung des internen Datenschutzbeauftragten gestaltet sich mehr als schwierig. Wird der Datenschutzbeauftragte erst einmal intern bestellt, so kann gem. § 626 BGB i.V.m. 4f Abs. 3 S. 4 BDSG dieser nur wieder aus wichtigem Grund abberufen werden. Hier bietet der externe Datenschutzbeauftragte also entscheidende Vorteile.
Empfehlung für die Praxis
Datenschutz ist für jedes Unternehmen relevant, aktuell und sollte von Anfang an bedacht werden. Nicht nur große, sondern auch kleinere Firmen profitieren von einem zuverlässigen Datenschutzmanagement. Klar ist, dass die Umsetzung von datenschutzrechtlichen Maßnahmen und der Umfang eines Datenschutzmanagements auch eine Frage der finanziellen Machbarkeit ist, letztendlich aber auch eine gesetzliche Pflicht darstellt. Daher sollte das Unternehmen die Chance nutzen, so früh wie möglich sinnvolle bzw. notwendige Maßnahmen zu ergreifen und den Datenschutz von Beginn an als wichtigen Teil des Unternehmens ansehen. Hinsichtlich der beschriebenen gesetzlichen Anforderungen und Risiken bietet es sich an, einen Experten bei der Umsetzung datenschutzrelevanter Maßnahmen hinzuzuziehen. Hierfür stellt ein externer gegenüber einen internen Datenschutzbeauftragter die beste Möglichkeit dar. Dieser verfügt nicht nur über die notwendige Erfahrung, sondern ist auch hinsichtlich des Zeitaufwands und nicht zuletzt unter Berücksichtigung arbeitsrechtlicher Aspekte, klar im Vorteil. Datenschutz? Je früher desto besser!
Datenschutz im Unternehmen wird insbesondere ab Mai 2018 an Bedeutung gewinnen, wenn bei Verstößen gegen die neue Datenschutzgrundverordnung (DSGVO) bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes als Bußgeld fällig wird. Bei großen deutschen Unternehmen kommen so neben einem Imageschaden schnell zweistellige Millionenbeträge zustande. Durch die neue DSGVO besteht auch weiterhin für die Unternehmen eine Wahlmöglichkeit: Soll ich einen Datenschutzbeauftragten intern oder extern benennen? Insofern kommt auf die Unternehmen, sofern sie bereits einen Datenschutzbeauftragten benannt haben, kein Änderungsbedarf zu. Die Ausführungen in diesem Artikel haben daher auch weiterhin Gültigkeit: Die Unternehmen können weiterhin selbst entscheiden, ob die Stelle extern oder intern besetzen werden soll. Je früher, desto besser, gilt auch unter der DSGVO.