Datenschutzrecht


IT – Compliance und IT-Sicherheit

Das Datenschutzrecht gewinnt in der heutigen Zeit immer mehr an Bedeutung, insbesondere für Unternehmen. Hier lauern eine Vielzahl von Gefahren, angefangen von Mitarbeitern, welche nach einer Kündigung vertrauliche Daten „mitnehmen“, über unzureichende Schulung von Mitarbeitern im Umgang mit Unternehmensdaten, bis hin zu persönlichen Haftungsansprüchen der Geschäftsführer und Vorstände.

Das Risiko der persönlichen Haftung von Geschäftsführer und Vorstand kann nur ausgeschlossen werden, wenn sämtliche erforderlichen Maßnahmen ergriffen werden, die den Datenschutz gewährleisten.  Die Unternehmensleitung muss es zu ihrer persönlichen Aufgabe machen, Gefahren zu erkennen und erforderliche Entscheidungen zu treffen.


Und warum sollte der Datenschutz im Unternehmen ernst genommen werden?

Zum einen natürlich, weil hochsensible Daten vor Einflüssen und Eingriffen Dritter geschützt werden sollten. Aber auch aus einem anderen Grund sollte das Bundesdatenschutzgesetz bzw. die Datenschutzgrundverordnung ernst genommen werden. Es geht um sehr viel Geld.

In Art. 83 Abs. 5 der DSGVO wurde nun die Haftungshöchstgrenze des BDSG von max. 300.000 € auf 20 Mio. € beziehungsweise bis zu 4%  des weltweiten (!) Umsatzes des Vorjahres heraufgesetzt.

Sobald ein Unternehmen personenbezogene Daten erhebt und verarbeitet, muss es sich an das Bundesdatenschutzgesetz (BDSG) bzw. ab dem 25. Mai 2018 an die DSGVO halten.

Die Absicherung der Unternehmensdaten und die Minimierung des Haftungsrisikos der Geschäftsführer und Vorstände kann unter anderem erreicht werden, wenn ein betriebsinterner oder externer Datenschutzbeauftragter für die betriebsinternen Belange bestellt wird.

Die Sicherheit der Informationstechnologie umfasst die Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität der Daten. Das Gesetz über die Einrichtung des Bundesamtes für Sicherheit in der Informationstechnik sieht vor, dass bestimmte Sicherheitsstandards eingehalten werden, sofern die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betroffen sind (Vgl. § 2 II BSIG).


Worauf muss das Unternehmen im Rahmen des Datenschutzes achten?

  • z.B. Ordnungsgemäße Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff. Gerade bei alten Systemen oder der Archivierung von älteren Daten, ggf. durch Überlassung an Dritte ist    Vorsicht  geboten.
  • z.B. Überwachung und Schulung von Mitarbeitern in Hinblick auf sensible Daten.An dieser Stelle muss überprüft werden, ob ein Mitbestimmungsrecht des Betriebsrates in Betracht kommt. Außerdem sind Prioritäten zu setzen zwischen Arbeits-, Persönlichkeits- und Datenschutzrecht.
  • z.B. Überwachung der Daten bei Outsourcing von Geschäftsbereichen, welche die Weitergabe von Daten Dritter oder Mitarbeiterdaten erforderlich macht.


Wie sieht Compliance in einem Unternehmen aus?

Compliance wird oft definiert als: „die Gesamtheit der Maßnahmen, die für das rechtmäßige Verhalten eines Unternehmens, seiner Organe und Mitarbeiter im Hinblick auf alle gesetzlichen und unternehmenseigenen Gebote und Verbote sorgen.“ (siehe Auerreinsdorff / Conrad, Handbuch IT – und Datenschutzrecht, 2. Auflage, § 33, Rn. 21 m.w.N).

Hierbei werden Mitarbeiter kontrolliert, unternehmensinterne Überwachungspflichten überprüft und Daten analysiert. Auch hier erfolgt eine Abwägung zwischen Persönlichkeits- und Datenschutz. Insbesondere die Novellierung des Beschäftigtendatenschutzes ist hier von großer Bedeutung, da über die Rechtslage immer noch Unklarheiten herrschen.


Ausblick

Es ist mit erhöhten Aktivitäten der Aufsichtsbehörden zu rechnen. Denn die Bundesrepublik Deutschland ist europarechtlich dazu verpflichtet, die europäischen Vorgaben zum Datenschutz umzusetzen. Andernfalls droht die Einleitung eines Vertragsverletzungsverfahrens durch die Europäische Kommission.

Wir stehen Ihnen gerne beratend zur Seite. Sprechen Sie uns unverbindlich an.