Datenschutz-Compliance (Teil 1: Grundlagen)

Zentrales Ziel ist die Vermeidung rechtlicher Haftungsrisiken für das Unternehmen bzw. dessen Organe (Vorstandsmitglieder, Geschäftsführer, aber auch Mitglieder des Aufsichtsrats). Ein weiteres, zunehmend bedeutendes Ziel der Implementierung von CMS besteht in der Vermeidung von Imageschäden.

Gerade mit Blick auf moderne, digitale Unternehmensprozesse ist ein wirksames CMS ohne Berücksichtigung der Anforderungen des Datenschutzrechts schlechterdings nicht mehr denkbar. Notwendig sind die Einrichtung, laufende Kontrolle und Fortentwicklung eines Datenschutz-Compliance-Management-Systems (Datenschutz-CMS). Als Datenschutzmanagement in diesem Sinne werden nach einer Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) diejenigen Prozesse bezeichnet, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, der Einrichtung und dem Betrieb von Verfahren zur Informationsverarbeitung sicher zu stellen. Datenschutzmanagement meint die übergeordnete Umsetzung des Datenschutzes innerhalb einer Organisation.

Bei unternehmerischer Betätigung trifft die haftungsrechtliche Verantwortung regelmäßig die organschaftlichen gesetzlichen Vertreter, also die Geschäftsführer einer GmbH bzw. die Vorstandsmitglieder einer Aktiengesellschaft. Die DSGVO sieht für Datenschutzverstöße neben einer auch immaterielle Schäden umfassenden Haftung des Verantwortlichen (Art. 82 DSGVO) insbesondere hohe Bußgelder von bis zu EUR 20 Mio. bzw. 4% des globalen Jahresumsatzes des Unternehmens vor (Art. 83 Abs. 5 DSGVO), während in der Vergangenheit das BDSG „lediglich“ Bußgelder von bis zu EUR 300.000 vorsah. Damit hat Datenschutz-Compliance unter der Geltung der DSGVO erheblich an Bedeutung gewonnen. Die für die unternehmerische Betätigung verantwortlichen Personen sind deshalb gehalten, die Einhaltung der Vorschriften der DSGVO sicherzustellen, um Schäden vom Unternehmen abzuwenden und nicht zuletzt auch eine eigene – u.U. ihr Privatvermögen erfassende – Haftung zu vermeiden.

Parallel drohen im Falle von Datenschutzverstößen nicht zuletzt auch massive Image- und Reputationsschäden. Verstöße gegen den Datenschutz werden – insbesondere auf sozialen Netzwerken – häufig sehr rasch und mit großer Öffentlichkeitswirkung verbreitet. Datenschutzverstößen ist, wie zuletzt der VfB Stuttgart nach der rechtsgrundlosen Weitergabe von Mitgliederdaten erfahren musste, eine breite mediale Aufmerksamkeit sicher. Derartige negative Publicity, insbesondere bei konzertierter Vorgehensweise („Shit-Storm“), stellt jedoch gerade für Unternehmen, die einen breiten Kundenkreis vor allem über digitale Kanäle ansprechen, ein nicht zu vernachlässigendes Geschäftsrisiko dar.

Die Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 DSGVO (Informationen, die sich auf identifizierte oder identifizierbare Person beziehen) muss so organisiert sein, dass der für die Datenverarbeitung Verantwortliche stets den Nachweis führen kann, dass die gesetzlichen Anforderungen nach der DSGVO eingehalten werden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Dies betrifft die in Art. 5 Abs. 1 DSGVO festgelegten Grundsätze für die Verarbeitung personenbezogener Daten, namentlich:

Zu den organisatorischen Anforderungen an Unternehmen mit Blick auf den Datenschutz gehört ferner die bei nicht nur gelegentlicher Datenverarbeitung eingreifende Verpflichtung zur Führung eines Verzeichnisses über alle Verarbeitungstätigkeiten (Art. 30 DSGVO).

Außerdem besteht bei geplanter Einführung bestimmter von der DSGVO als besonders gefährlich eingestufter Formen der Datenverarbeitung (z.B. Verwendung neuer Technologien, systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling) oder systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche) die Verpflichtung, vorab eine sog. Datenschutz-Folgenabschätzung (Data Protection Impact Assessment) durchzuführen (Art. 35 DSGVO).

Zur Sicherung einer fortlaufenden Überwachung des Datenschutzes sind Unternehmen regelmäßig zur Bestellung eines Datenschutzbeauftragten verpflichtet (Art. 37 Abs. 1 DSGVO).

Besondere praktische Bedeutung für die Ausgestaltung eines Datenschutz-CMS haben die in der DSGVO vorgesehenen Rechte der betroffenen Personen (Art. 12 bis 22 DSGVO), insbesondere die Informationspflichten bei Erhebung von Daten, der Anspruch der Betroffenen auf Auskunft, Berichtigung bzw. Löschung von Daten und das Recht auf Datenübertragbarkeit. Dies erfordert die Implementierung interner Prozesse, um eine gesetzeskonforme Erfüllung der diesbezüglichen Anforderungen zu gewährleisten. Dazu gehört unter anderem die Aufstellung eines gesetzliche Aufbewahrungspflichten berücksichtigenden Löschkonzepts und die Festlegung interner Verantwortlichkeiten für die Gewährleistung der Betroffenenrechte.

Nicht zuletzt muss ein Datenschutz-CMS organisatorische Vorkehrungen dazu enthalten, dass die in der DSGVO im Falle von Verletzungen des Schutzes personenbezogener Daten vorgesehenen Meldungen an die Aufsichtsbehörde innerhalb der vorgesehenen Frist von grundsätzlich maximal 72 Stunden (Art. 33 DSGVO) und eine ggf. parallel erforderliche Benachrichtigung der von einem solchen Datenschutzverstoß betroffenen Personen (Art. 34 DSGVO) gesetzeskonform erledigt werden.

Der so identifizierte Anpassungsbedarf ist mit konkreten To Do’s zur Umsetzung, klaren Fristen und Verantwortlichkeiten zu dokumentieren. In der Regel zwingt der Umfang des Anpassungsbedarfs zu einer gewissen Priorisierung der zu treffenden Maßnahmen, d.h. es wird anhand der Eintrittswahrscheinlichkeit, ggf. dem Entdeckungsrisiko, dem finanziellen Umfang drohender Sanktionen und der jeweils zu erwartenden Implementierungskosten festgelegt, in welcher Reihenfolge die erforderlichen Maßnahmen zur Einhaltung der datenschutzrechtlichen Vorschriften in den einzelnen Unternehmens-Bereichen umgesetzt werden sollen.

Gleichzeitig sind Leitlinien für eine künftige wiederkehrende Überprüfung festzulegen, damit auch bei Änderungen von Organisationen, Arbeitsabläufen oder technischen Rahmenbedingungen möglichst keine datenschutzrechtlichen Vorschriften verletzt werden.

Entsprechendes gilt für künftig mögliche interne Untersuchungen wegen potentieller Compliance-Verstöße. Bestehen Verdachtsmomente, sind diese unverzüglich aufzuklären und zu sanktionieren. Die Untersuchung erfolgt regelmäßig durch eine Auswertung von Geschäftsunterlagen und eine datenschutzkonforme Analyse elektronischer Daten und Korrespondenz.

Weiterer Bestandteil eines Datenschutz-CMS ist die Sensibilisierung der Mitarbeiter in Bezug auf die Einhaltung des Datenschutzes, insbesondere durch Schulungen und anlassbezogene datenschutzrechtliche Hinweise. Der Datenschutzbeauftragte hat den Arbeitgeber als Verantwortlichen fortlaufend bei diesem Vorgehen zu unterstützen.

Gerade die zunehmende Digitalisierung der Arbeitswelt zwingt die gesetzlichen Vertreter und Aufsichtsorgane von Unternehmen jedoch dazu, Datenschutz ernst zu nehmen und bestehenden Überprüfungs- bzw. Anpassungsbedarf nicht auf die lange Bank zu schieben. Dabei sollte Compliance auch im Datenschutz idealerweise nicht als weitere kostenträchtige regulatorische Bürde, sondern als Möglichkeit wahrgenommen werden, das Vertrauen in die Integrität des Unternehmens zu fördern und die Reputation des Unternehmens zu verbessern. Schließlich sollte nicht außer Acht gelassen werden, dass ein effektives Datenschutz-CMS die gesetzlichen Vertreter von Unternehmen nicht nur bei der Wahrnehmung ihrer ureigenen Legalitäts-Verpflichtung unterstützt, sondern diese ebenso wie eine D&O-Versicherung letztlich auch gegen persönliche Haftungsrisiken absichert.