Author : adminuv Date : 31. Mai 2016

Das Bundesdatenschutzgesetz BDSG sowie weitere andere Vorschriften, zum Beispiel das Telemediengesetz (TMG), geben Anforderungen an den Datenschutz für Unternehmen, die im deutschen Markt tätig sind.

Aufgrund der Vereinheitlichung des Datenschutzes im Rahmen europäischer Richtlinien sind diese Anforderungen nicht nur in Deutschland, sondern auch in anderen europäischen Ländern zu beachten. Deutschland hat eines der strengsten Datenschutzgesetze, sodass die Einhaltung der deutschen Datenschutzrichtlinien auch den meisten Anforderungen in den anderen europäischen Ländern genügen wird. Gegebenenfalls sind vereinzelt andere Regelungen in anderen Ländern zu beachten.

Die Nichteinhaltung der datenschutzrechtlichen Bestimmungen kann in Deutschland mit Bußgeldern belegt werden; im schlimmsten Fall drohen hohe Strafen. Zudem können einige verletzte Normen sogar Straftatbestände erfüllen.

Aufgrund dieser Risiken ist für die Unternehmen die Ausarbeitung eines guten Datenschutzkonzeptes von hoher Bedeutung.

Im Folgenden sollen kurz die wichtigsten Anforderungen an den Datenschutz in Deutschland dargestellt werden.

 

1. Datenschutzgrundsätze

 

Bei der Verarbeitung personenbezogener Daten sind einige Grundsätze zu beachten. Hierzu gehört, dass es sich bei der Verarbeitung um ein Verbot mit Erlaubnisvorbehalt handelt. Dies bedeutet, dass die Erhebung, Speicherung und Verarbeitung von Daten im Grundsatz immer unzulässig ist. Die Zulässigkeit der Erhebung, Speicherung und Verarbeitung von Daten ergibt sich entweder durch Einwilligung oder aber durch eine gesetzliche Ausnahmevorschrift. Entsprechend ist bezüglich jeder Nutzung von Daten zu prüfen, ob eine gesetzliche Ausnahmevorschrift besteht oder die betroffene Person eingewilligt hat.

 

Die betroffenen Personen haben bezüglich der über sie gespeicherten Daten Auskunfts-, Berichtigungs-, Löschungs- bzw. Sperrerechte.

 

Entsprechend haben die Unternehmen Systeme vorzuhalten, nach denen den betrffenen Personen diese Auskünfte gegeben und/oder die Berichtigungs- und Löschungsrechte des Betroffenen umgesetzt werden können.

 

Ein weiterer Grundsatz besteht in der Datenvermeidung und Datensparsamkeit. Dieser Grundsatz bedeutet, dass keine oder so wenig wie möglich personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen sind. Soweit technisch und rechtlich möglich, sind Daten in anonymisierter oder pseudonymisierter Form zu verwenden.

 

  1. Datenschutzbeauftragter

 

In bestimmten Fällen können Unternehmen dazu verpflichtet sein, einen Datenschutzbeauftragten zu bestellen.

 

Dies gilt für bestimmte Branchen zwingend (z. B. Markt- und Meinungsforschung), für andere Unternehmen dann, wenn mit der Verarbeitung personenbezogener Daten mehr als neun Personen regelmäßig betraut sind. Dies tritt schon dann ein, wenn Kundendaten durch mehr als neun Personen über Outlook oder ein anderes System verwaltet werden.

 

In diesen Fällen hat das Unternehmen zwingend schriftlich einen Datenschutzbeauftragten intern oder extern zu benennen, der bestimmte Voraussetzungen bezüglich seiner Fachkunde aufweist. Nicht als Datenschutzbeauftragte eingesetzt werden dürfen zum Beispiel Leiter der IT, Leiter der Personalabteilung, Geschäftsführer, da diesen die Unabhängigkeit fehlt.

 

Der Datenschutzbeauftragte ist sodann dafür verantwortlich, auf die Einhaltung der datenschutzrechtlichen Bestimmungen im Unternehmen hinzuwirken.

 

  1. Führung von Verfahrensverzeichnissen

 

Unabhängig von der Verpflichtung, im Unternehmen einen Datenschutzbeauftragten zu bestellen, hat jedes Unternehmen weitere datenschutzrechtliche Verpflichtungen zu erfüllen.

 

Hierzu gehört insbesondere die Führung von Verfahrensverzeichnissen. Diesbezüglich unterscheidet man zwischen nicht öffentlichen und öffentlichen Verfahrensverzeichnissen. Durch die Verfahrensverzeichnisse soll die Transparenz hinsichtlich der Datenverarbeitungsprozesse in einem Unternehmen gegenüber dem Datenschutzbeauftragten und auch der Öffentlichkeit gewährleistet werden.

 

Im Rahmen der internen Verfahrensverzeichnisse ist anzugeben

 

  1. Name und Firma der verantwortlichen Stelle.
  2. Inhaber, Vorstände, Geschäftsführer oder sonstig gesetzlich oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragte Personen.
  3. Anschrift der verantwortlichen Stelle.
  4. Zweckbestimmung der Datenerhebung, Verarbeitung oder Nutzung.
  5. Beschreibung der betroffenen Personengruppe und der diesbezüglichen Daten oder Datenkategorien.
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können.
  7. Regelfristen für die Löschung der Daten.
  8. Information über die geplante Datenübermittlung in Drittstaaten.
  9. Eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahme nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen ist.

 

Anhand dieser internen Verfahrensverzeichnisse kann sodann das externe Verfahrensverzeichnis erstellt werden, welches einen Auszug aus den internen Verfahrensverzeichnissen darstellt, nicht aber zum Beispiel die technischen und organisatorischen Maßnahmen (Nr. 9) offenlegt.

 

Dieses externe Verfahrensverzeichnis hat das datenverarbeitende Unternehmen auf Anfrage jedermann zur Verfügung zu stellen.

 

  1. Auftragsdatenverarbeitung

 

Eine weitere wichtige Regel im Rahmen des Datenschutzes ist der Abschluss von sogenannten Auftragsdatenverarbeitungsverträgen.

 

Der Abschluss solcher Verträge ist immer dann Pflicht, wenn Daten zur Verarbeitung an Dritte übergeben werden. Im Rahmen dieser Auftragsdatenverarbeitungsverträge ist der Zweck der Auftragsdatenverarbeitung zu benennen sowie die nähere Ausgestaltung der Art und des Umfangs der Verarbeitung. Zudem müssen Regelungen über die Sicherheitsmaßnahmen, die das datenverarbeitende Unternehmen bei sich einzuhalten hat, getroffen werden sowie diesbezügliche Kontrollrechte.

 

Neben diesen grundlegenden Regeln des Datenschutzes sind viele weitere datenschutzrechtlich relevanten Vorgaben zu beachten.

 

  1. Weitere datenschutzrechtliche Anforderungen

 

Zum einen ist jeder Nutzer der Internetseite des Unternehmens darüber zu informieren, welche Daten im Rahmen der Benutzung der Internetseite über ihn erhoben werden und zu welchen Zwecken diese verwandt werden.

 

Weitere datenschutzrechtliche Besonderheiten haben Unternehmen bei Arbeitnehmerdaten zu beachten. Dies umfasst die Datenerhebung bei Bewerbungsverfahren sowie die Art, Umfang und Zweck der Speicherung der Arbeitnehmerdaten im Unternehmen selbst und/oder gegebenenfalls bei der Weitergabe der Daten innerhalb eines Konzerns. Diesbezüglich ist wichtig zu wissen, dass es im deutschen Datenschutzrecht kein Konzernprivileg gibt, sprich die Mitarbeiter und auch die Kundendaten nicht einfach an andere juristische Personen eines Konzernunternehmens weitergegeben werden dürfen. Hierzu ist zuvor die Einwilligung erforderlich oder aber die Weitergabe muss im Rahmen einer Auftragsdatenverarbeitung erfolgen, wohingegen auch hier zwischen den Konzernunternehmen ein Auftragsdatenverarbeitungsvertrag erforderlich ist.

 

Autor: Juliane Rater, RA’in und FaA’in für gewerblichen Rechtsschutz