Aktuelles zum Datenschutz im Unternehmen

Neue Rechtslage

Die Datenschutz-Grundverordnung EU 20167/679 ist vermutlich der einzige unionsrechtliche Sekundärrechtsakt, zu dessen Entstehung ein Dokumentarfilm entstanden ist. „Democracy – Im Rausch der Daten“ heißt der Film, der im Jahr 2015 in den deutschen Kinos lief und der die Verhandlungen um die Europäische Datenschutzgrundverordnung zum Anlass nimmt, Entscheidungsprozesse und Einflussnahme in Gesetzgebungsprozessen der Europäischen Union darzustellen und zu hinterfragen.

Die neuen Vorschriften zum Datenschutz, bestehend aus der Datenschutz-Grundverordnung EU 20167/679 (DSGVO) sowie der Neufassung des Bundesdatenschutzgesetzes (BDSG nF.) sind nach einem jahrelangen Beratungs- und Gesetzgebungsprozess zum 25. Mai 2018 in Kraft getreten. Gerade auch für privatwirtschaftliche Unternehmen bringt dies einige Neuerungen mit sich, die im Folgenden näher beleuchtet werden.

Grundsätzlich besteht im Rahmen der Datenverarbeitung ein sogenanntes „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, sie ist ausdrücklich erlaubt. Diese Vorgabe ist nicht so banal, wie sie zunächst scheint. Die bisherige Praxis vieler Unternehmen, Vorgaben zum Datenschutz nur am Rande oder gar nicht zu berücksichtigen, führt unter diesen Voraussetzungen schnell in bußgeldbewehrte Bereiche. Den Vorgaben zum Datenschutz wird als Bestandteil unternehmerischer Compliance künftig deutlich größere Bedeutung zukommen als bisher.

Hohe Bußgelder

Zwar gelten die neuen Vorschriften erst ab dem 25. Mai 2018. Eine Auseinandersetzung damit sollte allerdings bereits jetzt erfolgen, um die Anforderungen und Verpflichtungen bis dahin erfüllen zu können. Dies ist vor allem deshalb geboten, weil bei Verstößen gegen die DSGVO empfindliche Bußgelder verhängt werden können, bei Unternehmen in Höhe von bis zu 4 % des weltweit erzielten Jahresumsatzes, bzw. bei anderen Datenverarbeitern (z.B. öffentlichen Stellen) in Höhe von bis zu 20 Millionen Euro. Diese Haftung trifft nicht nur Datenerhebende bzw. –verarbeitende, sondern auch Auftragsdatenverarbeiter. Zusätzlich drohen Schadenersatzansprüche der Personen, deren Daten verarbeitet werden. Aufsichtsbehörden haben in diesem Zusammenhang weitgehende Befugnisse und können Untersuchungen, Durchsuchungen sowie Auflagen anordnen. Ein Risiko für Unternehmen geht im Übrigen von der Tätigkeit von professionellen Abmahnverbänden sowie von Beschwerden unzufriedener Mitarbeiter bei den Aufsichtsbehörden aus.

Empfehlung

In vielen kleinen und mittleren Unternehmen ohne eigene Compliance-Abteilung spielt der Datenschutz bislang nur eine untergeordnete Rolle. Angesichts der nicht unerheblichen Haftungsrisiken ist die Sorglosigkeit, mit der dieses Thema bisweilen behandelt wird, jedoch gefährlich.

Bei der Umsetzung der neuen, zum Teil komplexen Datenschutzanforderungen sollte stets das Ziel der Vermeidung der größten Risiken, d.h. Bußgelder, Schadensersatzforderungen und Ermittlungen der Aufsichtsbehörden im Blick behalten werden. Dies beinhaltet zunächst eine Analyse der größten Risiken und des jeweiligen Handlungsbedarfs. Ein mustergültiges Datenschutzkonzept sollte im Übrigen nicht nur die Haftungsrisiken im Blick behalten, sondern auch die Einfachheit der Arbeitsabläufe. Insoweit erscheint bisweilen eine gesunde Portion Pragmatismus empfehlenswert.

Zu den angesprochenen Fragen und zur Erarbeitung eines individuellen Datenschutzkonzepts beraten wir Sie gerne.

 

Felix Weber, LL.M., ref. jur.