Das sollten Sie für den Datenschutz in Ihrem Unternehmen wissen:
Welche Rechtsgrundlage gilt beim Datenschutz?
Es gelten
| › | das Bundesdatenschutzgesetz (BDSG) in seiner Fassung vom 14.01.2003 (zuletzt geändert am 22.08.2006), sowie der BDSG-Novelle II, gültig seit dem 01.09.2009 |
| › | die Datenschutzgesetze der Länder (LDSG) sowie |
| › | die Gesetze zur Regelung von Medien und Telekommunikation (TKG, TMG). |
Die Umsetzung der Reglungen des BDSG musste bis zum 22. Mai 2004 erfolgen. Seit dem muss in den meisten Unternehmen ein Datenschutzbeauftragter bestellt sein, was durch die Aufsichtsbehörden aktiv geprüft wird. Das Datenschutzgesetz fällt unter das Wettbewerbsrecht und Mitbewerber können Abmahnungen erteilen.
Wer trägt die Verantwortung und Haftung zum Datenschutz?
Jeder Verantwortliche haftet persönlich. Verantwortlich sind die Geschäftsführung bzw. Vorstand, der Datenschutzbeauftragte und jeder einzelne Mitarbeiter.
Geschäftsführung und Vorstand:
| › | Gesamtverantwortung zum Datenschutz |
| › | Bestellung des Datenschutzbeauftragten |
| › | Technische und organisatorische Maßnahmen zum Datenschutz |
Datenschutzbeauftragter:
| › | Erfüllung seiner gesetzlich vorgeschriebenen Aufgaben |
Mitarbeiter:
| › | Wahrung des Datengeheimnisses |
Welches Strafmaß droht bei Verstößen gegen das Bundesdatenschutzgesetz?
Das Strafmaß variiert je nach Schwere des Verstoßes. Im Schadensfall kann der Verantwortliche selbst oder sein Unternehmen schadensersatzpflichtig gemacht werden. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
Pro Verstoß gilt:
| › | Verantwortungsloser Umgang mit Personendaten (formaler Verstoß): Bis zu 30.000 EUR Beispiel: Ein Datenschutzbeauftragter wurde nicht oder nicht ordnungsgemäß bestellt. |
| › | Fahrlässige oder vorsätzliche Datenschutzverletzung (materieller Verstoß): Bis zu 300.000 EUR Beispiel: Ein Mitarbeiter gibt personenbezogene Kundendaten ohne deren Einwilligung an ein bekanntes Unternehmen weiter. |
| › | Vorsätzliche Datenschutzverletzung mit Bereicherungs- oder Schädigungsabsicht : Bis zu 2 Jahre Haft & Straftatbestand Beispiel: Ein Mitarbeiter verkauft personenbezogene Kundendaten ohne deren Einwilligung an einen Wettbewerber. |
Wer benötigt einen Datenschutzbeauftragten?
Alle Unternehmen, die 10 oder mehr Personen mit der Verarbeitung personenbezogener Daten beschäftigen, benötigen einen Datenschutzbeauftragten (BDSG §4f).
Was sind personenbezogene Daten?
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (BDSG §3). Dazu gehören bereits Name und Vorname eines Kunden, Mitarbeiters oder Lieferanten in der Anschrift.
Wer darf zum Datenschutzbeauftragten bestellt werden?
Zum Datenschutz bestellt werden dürfen nur natürliche Personen, also entweder eigene Mitarbeiter oder namentlich benannte externe Berater (BDSG §4f).
Diese Anforderungen werden an den Datenschutzbeauftragten gestellt:
| › | Er muss als Datenschutzbeauftragter ausgebildet sein oder werden. |
| › | Er muss ausgewiesener IT-Experte sein. |
| › | Er muss zuverlässig sein und die betrieblichen Abläufe verstehen. |
Wichtig: Der DSB darf nicht im Interessenskonflikt mit sonstigen Tätigkeiten im Unternehmen stehen.
Wann besteht ein Interessenskonflikt?
Grundsätzlich immer dann, wenn die Person selbst über die Verfahren zur Verarbeitung von personenbezogenen Daten entscheidet. Nicht zum DSB bestellt werden dürfen deshalb
| › | Geschäftsführer oder Vorstand |
| › | IT-Leiter oder Personalchef |
| › | Mitarbeiter der EDV-Abteilung sowie EDV-Administratoren von externen Dienstleistern |
Bedenken bestehen in den meisten Fällen auch bei Abteilungs- oder Bereichsleitern. Eine Ausnahmegenehmigung kann nur durch die Aufsichtsbehörde erteilt werden.
Was sind die Aufgaben des Datenschutzbeauftragten?
Der Beauftragte für den Datenschutz muss auf die Einhaltung der Vorschriften zum Datenschutz hinwirken, die ordnungsgemäße Anwendung der EDV kontrollieren und die Mitarbeiter mit den Vorschriften zum Datenschutz vertraut machen (BDSG §4g). Dazu gehören insbesondere diese Aufgaben:
| › | Schulung der Mitarbeiter zum Thema Datenschutz |
| › | Schriftliche Verpflichtung der Mitarbeiter auf das Datengeheimnis |
| › | Durchführung eines IT-Sicherheits-Checks |
| › | Erstellung und Pflege des internen Verarbeitungsverzeichnisses |
| › | Erstellung und Pflege des öffentlichen Verfahrensverzeichnisses |
| › | Durchführung von Vorabkontrollen vor der Einführung neuer Verfahren. |
Was sind die Vor- und Nachteile eines internen und externen DSB?
Vorteile interner DSB:
| › | Bessere Kenntnis der internen Abläufe |
| › | Hohe Loyalität zum Unternehmen |
Nachteile interner DSB:
| › | Aufwändige Aus- und laufende Fortbildung |
| › | Freistellung von anderen Aufgaben |
| › | Gefahr des Interessenskonflikts |
| › | Verstärkter Kündigungsschutz (Kündigung nur aus „wichtigem Grund“) |
Vorteile externer DSB:
| › | Sofort produktiv einsetzbar |
| › | Höhere Effizienz |
| › | Meist bessere Fachkenntnis |
| › | Vermeidung des Interessenskonflikts |
Nachteile externer DSB:
| › | Muss Unternehmen erst kennen lernen |
| › | Auftraggeber- /Auftragnehmerverhältnis |