| Datenschutz als gesetzliche Managementaufgabe

Das Thema Datenschutz hatte in Deutschlands Unternehmen jahrelang kaum Bedeutung – seit dem 25.05.2018 hat sich dies massiv geändert. Grund dafür ist das in Kraft treten, der EU-Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetz (BDSG – neu). Die Schonfrist im Umgang mit personenbezogenen Daten ist vorbei.

Ein Verstoß gegen datenschutzrechtliche Vorschriften kann im Ernstfall teuer werden. Bußgeld von weit über 10 Mio.- Euro werden verhängt und sind keine Seltenheit mehr (Art. 82ff DSGVO iVm §§ 41ff BDSG-neu). Die Datenschutzskandale sprechen für sich.
Die Aufsichtsbehörden dürfen und sollen nun auch von sich aus ermitteln – und nicht wie bisher ausschließlich aufgrund eines konkreten Anlasses. Zudem können sie nun Zwangsgelder verhängen, Bußgeldverfahren einleiten und Strafantrag stellen. Die Anordnungs- und Untersagungsrechte der Aufsichtsbehörden wurden mit der DSGVO und dem BDSG-neu erheblich erweitert.

Sie kann z.B. die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren jetzt untersagen.

DS-GVO | die wichtigsten Änderungen (Kurzüberblick)

  • Unternehmen müssen Betroffene von der Verarbeitung ihrer personenbezogenen Daten umfassender und genauer als bisher informieren (Frist: 1 Monat).
  • Neu ist das sog. Konzernprivileg, das bislang nach deutschem Datenschutzrecht nicht existiert.
  • Der Strafkatalog der DS-GVO sieht bei Verstößen erhebliche Sanktionen vor. Höhere noch als bereits im BDSG verankerte. Im Extremfall ist ein Bußgeld bis zu 4 % des weltweiten Jahresumsatzes möglich.
  • Verantwortliche Stelle muss technische und organisatorische Maßnahmen sowie Verfahren einführen, die Einhaltung datenschutzrechtlicher Vorschriften gewährleisten.
  • Künftig sehen Art. 5 Abs. 2 und Art. 24 DS-GVO umfassende Regelungen zur Verantwortlichkeit beim Umgang mit Daten vor. Unternehmen müssen dokumentieren, was sie zur Einhaltung der Vorgaben der DS-GVO tun. Und dies müssen sie auch beweisen können, Art. 24 Abs. 1 DS-GVO.
  • Standardeinstellungen müssen darauf ausgerichtet sein, nur die personenbezogenen Daten zu verarbeiten, die für den konkreten Zweck benötigt werden.
  • Umfassende Anforderungen an die Produktentwicklung und -implementierung sind daher schon im frühen Projektstadium zu beachten.
  • „Privacy by Design“und „Privacy by Default“ – wird Kernbestanteil des Datenschutzrechts.
  • Kernaussagen der Safe-Harbor Entscheidung des EuGH wurden in der DS-GVO berücksichtigt, aber Achtung! Es besteht aktuell immer noch eine gewisse Rechtsunsicherheit für Unternehmen.
  • Für Betriebe besonders wichtig: Zwischen Betriebsrat und Arbeitgeber vereinbarte Betriebsvereinbarungen bleiben möglich. Sie müssen aber an die Vorgaben der DS-GVO angepasst werden.
  • EU-Kommission kann und wird die Angemessenheit des Schutzniveaus im Drittland feststellen, bzw. festlegen.
  • Nationale Sonderregelungen im Rahmen der DS-GVO sind indes möglich bei:
  1. Ausgestaltung nationaler Erlaubnistatbestände;
  2. Einschränkung Verbot automatisierter Einzelentscheidungen;
  3. nationalen Vorgaben für Auftragsdatenverarbeiter;
  4. Schaffung nationaler Spezialregeln bei der Verarbeitung von Beschäftigtendaten….

Datenschutz betrifft also jeden, da Datenschutz eine gesetzliche Managementaufgabe darstellt, d.h. ein Jedermann i.S.d. Grundgesetzes hat das Recht auf informationelle Selbstbestimmung (Art. 1 GG i.V.m Art 2 GG, bestimmt im sog. Volkszählungsurteil des BVerfG), ob er beim Arzt ist, oder aber im Unternehmen arbeitet, oder aber Unternehmer ist.

Beweislastumkehr, zu Ungunsten der verantwortlichen Stelle (Unternehmen)

  • Die für die Verarbeitung verantwortlichen Firmen müssen nicht nur sicherstellen, dass ihre Datenverarbeitungen gemäß der DS-GVO erfolgen.
  • Sie müssen auch den diesbzgl. Nachweis erbringen können.
  • Diese Beweislastregelung führt dazu, dass Wirtschaftsunternehmen künftig beweisen müssen, dass sie die umfassenden Vorgaben der Verordnung auch tatsächlich umgesetzt haben.

–> Doch was bedeutet dies konkret für Unternehmen?
Für Unternehmen heißt dies z.B., dass Sie gem. der Vorgaben der DSGVO und des BDSG verpflichtet sind technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzes zu ergreifen und nachhaltig zu dokumentieren (Art. 32 DSGVO) – doch was heißt dies im Einzelnen? Welche juristischen Rahmenbedingungen sind noch zu beachten? Was soll der Unternehmer, der Geschäftsführer, bzw. der Vorstand diesbezüglich überhaupt für Mittel ergreifen!? Die meisten Unternehmen haben hier enorme Missstände. Es hilft nur Expertenwissen weiter.

Jeder Geschäftsbetrieb, der mehr als neun Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt, ist gesetzlich verpflichtet, einen Datenschutzbeauftragten zu benennen. Also nahezu jedes Unternehmen. Treten Sie mit uns in Kontakt.

Organisationsverschulden