Zum Hauptinhalt springen

7 Minuten Lesezeit (1386 Worte)

Datenschutz-Compliance (Teil 1: Grundlagen)

datenschutz
In der Regel ist Führungskräften in Unternehmen bekannt, dass sie zur Sicherstellung rechtskonformen Handelns ein Compliance-Management-System (CMS) einrichten müssen. Diese in verschiedenen gesetzlichen Vorschriften ausdrücklich vorgesehene (vgl. §§ 91 Abs. 2 u. 3 AktG, § 25a KWG) bzw. vorausgesetzte (vgl. § 93 Abs. 1 S. 1 AktG, § 43 Abs. 1 GmbHG, § 130 OWiG) Verpflichtung gilt nicht nur für börsennotierte Unternehmen oder Finanzinstitute, sondern letztlich für Unternehmen jeglicher Größe und Rechtsform. In inhaltlicher Hinsicht erschöpfen sich die Anforderungen schon seit längerem nicht mehr in der bloßen Einrichtung einer sauberen Organisationsstruktur mit klar geregelten Verantwortlichkeiten und der Aufstellung von Ethik-Richtlinien bzw. eines Code of Conduct. Spätestens seit verbindlicher Geltung der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 ist besonderes Augenmerk auch auf die Einhaltung des Datenschutzrechts zu legen.

Blogserie: Arbeitswelt 4.0

Unsere Arbeitswelt hat sich in den vergangenen Jahren so rasant verändert wie noch nie zuvor. Was bedeutet dies aber für die Verantwortung der Unternehmen und ihrer Entscheider?

Autoren dieses Beitrags

Thomas
Faas

Dr. Benjamin
Ittmann


I.

Was ist Datenschutz-Compliance?

Der allgemeine Begriff „Compliance“ umfasst alle Maßnahmen, die darauf gerichtet sind, das unternehmerische Handeln nach innen und außen zu jeder Zeit gesetzeskonform auszugestalten. Ein CMS dient dazu, durch organisatorische Vorkehrungen und die Gestaltung unternehmensinterner Prozesse mögliche Rechtsverletzungen durch das Unternehmen bzw. dessen Personal zu erkennen und auszuschließen.
Zentrales Ziel ist die Vermeidung rechtlicher Haftungsrisiken für das Unternehmen bzw. dessen Organe (Vorstandsmitglieder, Geschäftsführer, aber auch Mitglieder des Aufsichtsrats). Ein weiteres, zunehmend bedeutendes Ziel der Implementierung von CMS besteht in der Vermeidung von Imageschäden.
Gerade mit Blick auf moderne, digitale Unternehmensprozesse ist ein wirksames CMS ohne Berücksichtigung der Anforderungen des Datenschutzrechts schlechterdings nicht mehr denkbar. Notwendig sind die Einrichtung, laufende Kontrolle und Fortentwicklung eines Datenschutz-Compliance-Management-Systems (Datenschutz-CMS). Als Datenschutzmanagement in diesem Sinne werden nach einer Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) diejenigen Prozesse bezeichnet, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, der Einrichtung und dem Betrieb von Verfahren zur Informationsverarbeitung sicher zu stellen. Datenschutzmanagement meint die übergeordnete Umsetzung des Datenschutzes innerhalb einer Organisation.

II.

Zunehmende Bedeutung des Datenschutzes

Verstöße gegen datenschutzrechtliche Vorschriften können für Unternehmen spürbare und u.U. bestandsgefährdende negative Rechtsfolgen auslösen. Die datenschutzrechtliche Haftung trifft den für die jeweilige Datenverarbeitung Verantwortlichen, also die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).
Bei unternehmerischer Betätigung trifft die haftungsrechtliche Verantwortung regelmäßig die organschaftlichen gesetzlichen Vertreter, also die Geschäftsführer einer GmbH bzw. die Vorstandsmitglieder einer Aktiengesellschaft. Die DSGVO sieht für Datenschutzverstöße neben einer auch immaterielle Schäden umfassenden Haftung des Verantwortlichen (Art. 82 DSGVO) insbesondere hohe Bußgelder von bis zu EUR 20 Mio. bzw. 4% des globalen Jahresumsatzes des Unternehmens vor (Art. 83 Abs. 5 DSGVO), während in der Vergangenheit das BDSG „lediglich“ Bußgelder von bis zu EUR 300.000 vorsah. Damit hat Datenschutz-Compliance unter der Geltung der DSGVO erheblich an Bedeutung gewonnen. Die für die unternehmerische Betätigung verantwortlichen Personen sind deshalb gehalten, die Einhaltung der Vorschriften der DSGVO sicherzustellen, um Schäden vom Unternehmen abzuwenden und nicht zuletzt auch eine eigene – u.U. ihr Privatvermögen erfassende – Haftung zu vermeiden.
Parallel drohen im Falle von Datenschutzverstößen nicht zuletzt auch massive Image- und Reputationsschäden. Verstöße gegen den Datenschutz werden – insbesondere auf sozialen Netzwerken – häufig sehr rasch und mit großer Öffentlichkeitswirkung verbreitet. Datenschutzverstößen ist, wie zuletzt der VfB Stuttgart nach der rechtsgrundlosen Weitergabe von Mitgliederdaten erfahren musste, eine breite mediale Aufmerksamkeit sicher. Derartige negative Publicity, insbesondere bei konzertierter Vorgehensweise („Shit-Storm“), stellt jedoch gerade für Unternehmen, die einen breiten Kundenkreis vor allem über digitale Kanäle ansprechen, ein nicht zu vernachlässigendes Geschäftsrisiko dar.

III.

Anforderungen an die Organisation

Die Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 DSGVO (Informationen, die sich auf identifizierte oder identifizierbare Person beziehen) muss so organisiert sein, dass der für die Datenverarbeitung Verantwortliche stets den Nachweis führen kann, dass die gesetzlichen Anforderungen nach der DSGVO eingehalten werden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Dies betrifft die in Art. 5 Abs. 1 DSGVO festgelegten Grundsätze für die Verarbeitung personenbezogener Daten, namentlich:
  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindungsgrundsatz
  • Datenminimierung
  • Gebot der Richtigkeit von Daten
  • Grundsatz der Speicherbegrenzung
  • Integrität und Vertraulichkeit.
Hierfür sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der Betroffenen geeignete technische und organisatorische Maßnahmen (sog. TOMs) zu ergreifen (Art. 24, 25, 32 DSGVO). Diese Maßnahmen sind erforderlichenfalls zu überprüfen und zu aktualisieren. Ein zentraler Aspekt dieser technischen und organisatorischen Anforderungen ist die Festlegung eines Zugriffskonzepts auf personenbezogene Daten nach dem Need-To-Know-Prinzip sowie die Aufstellung eines Datensicherungsplans einschließlich Backup-Prozeduren.
Zu den organisatorischen Anforderungen an Unternehmen mit Blick auf den Datenschutz gehört ferner die bei nicht nur gelegentlicher Datenverarbeitung eingreifende Verpflichtung zur Führung eines Verzeichnisses über alle Verarbeitungstätigkeiten (Art. 30 DSGVO).
Außerdem besteht bei geplanter Einführung bestimmter von der DSGVO als besonders gefährlich eingestufter Formen der Datenverarbeitung (z.B. Verwendung neuer Technologien, systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling) oder systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche) die Verpflichtung, vorab eine sog. Datenschutz-Folgenabschätzung (Data Protection Impact Assessment) durchzuführen (Art. 35 DSGVO).
Zur Sicherung einer fortlaufenden Überwachung des Datenschutzes sind Unternehmen regelmäßig zur Bestellung eines Datenschutzbeauftragten verpflichtet (Art. 37 Abs. 1 DSGVO).
Besondere praktische Bedeutung für die Ausgestaltung eines Datenschutz-CMS haben die in der DSGVO vorgesehenen Rechte der betroffenen Personen (Art. 12 bis 22 DSGVO), insbesondere die Informationspflichten bei Erhebung von Daten, der Anspruch der Betroffenen auf Auskunft, Berichtigung bzw. Löschung von Daten und das Recht auf Datenübertragbarkeit. Dies erfordert die Implementierung interner Prozesse, um eine gesetzeskonforme Erfüllung der diesbezüglichen Anforderungen zu gewährleisten. Dazu gehört unter anderem die Aufstellung eines gesetzliche Aufbewahrungspflichten berücksichtigenden Löschkonzepts und die Festlegung interner Verantwortlichkeiten für die Gewährleistung der Betroffenenrechte.
Nicht zuletzt muss ein Datenschutz-CMS organisatorische Vorkehrungen dazu enthalten, dass die in der DSGVO im Falle von Verletzungen des Schutzes personenbezogener Daten vorgesehenen Meldungen an die Aufsichtsbehörde innerhalb der vorgesehenen Frist von grundsätzlich maximal 72 Stunden (Art. 33 DSGVO) und eine ggf. parallel erforderliche Benachrichtigung der von einem solchen Datenschutzverstoß betroffenen Personen (Art. 34 DSGVO) gesetzeskonform erledigt werden.

IV.

Anforderungen an die Organisation

Zur Sicherstellung von Datenschutz-Compliance ist zunächst eine Bestandsaufnahme des status quo hinsichtlich aller im Unternehmen vorhandener Datenverarbeitungsvorgänge durchzuführen. Die bestehende Organisation, die unternehmensinternen Prozesse und die technischen Ausstattungen sind umfassend zu sichten und einer Gefährdungsanalyse nach dem Maßstab der DSGVO zu unterziehen.
Der so identifizierte Anpassungsbedarf ist mit konkreten To Do’s zur Umsetzung, klaren Fristen und Verantwortlichkeiten zu dokumentieren. In der Regel zwingt der Umfang des Anpassungsbedarfs zu einer gewissen Priorisierung der zu treffenden Maßnahmen, d.h. es wird anhand der Eintrittswahrscheinlichkeit, ggf. dem Entdeckungsrisiko, dem finanziellen Umfang drohender Sanktionen und der jeweils zu erwartenden Implementierungskosten festgelegt, in welcher Reihenfolge die erforderlichen Maßnahmen zur Einhaltung der datenschutzrechtlichen Vorschriften in den einzelnen Unternehmens-Bereichen umgesetzt werden sollen.
Gleichzeitig sind Leitlinien für eine künftige wiederkehrende Überprüfung festzulegen, damit auch bei Änderungen von Organisationen, Arbeitsabläufen oder technischen Rahmenbedingungen möglichst keine datenschutzrechtlichen Vorschriften verletzt werden.
Entsprechendes gilt für künftig mögliche interne Untersuchungen wegen potentieller Compliance-Verstöße. Bestehen Verdachtsmomente, sind diese unverzüglich aufzuklären und zu sanktionieren. Die Untersuchung erfolgt regelmäßig durch eine Auswertung von Geschäftsunterlagen und eine datenschutzkonforme Analyse elektronischer Daten und Korrespondenz.
Weiterer Bestandteil eines Datenschutz-CMS ist die Sensibilisierung der Mitarbeiter in Bezug auf die Einhaltung des Datenschutzes, insbesondere durch Schulungen und anlassbezogene datenschutzrechtliche Hinweise. Der Datenschutzbeauftragte hat den Arbeitgeber als Verantwortlichen fortlaufend bei diesem Vorgehen zu unterstützen.

V.

Fazit: Handlungsbedarf erkennen und bewältigen

In der Praxis werden Compliance-Management-Strukturen den Anforderungen der DSGVO bislang häufig noch nicht bzw. noch nicht vollständig gerecht.
Gerade die zunehmende Digitalisierung der Arbeitswelt zwingt die gesetzlichen Vertreter und Aufsichtsorgane von Unternehmen jedoch dazu, Datenschutz ernst zu nehmen und bestehenden Überprüfungs- bzw. Anpassungsbedarf nicht auf die lange Bank zu schieben. Dabei sollte Compliance auch im Datenschutz idealerweise nicht als weitere kostenträchtige regulatorische Bürde, sondern als Möglichkeit wahrgenommen werden, das Vertrauen in die Integrität des Unternehmens zu fördern und die Reputation des Unternehmens zu verbessern. Schließlich sollte nicht außer Acht gelassen werden, dass ein effektives Datenschutz-CMS die gesetzlichen Vertreter von Unternehmen nicht nur bei der Wahrnehmung ihrer ureigenen Legalitäts-Verpflichtung unterstützt, sondern diese ebenso wie eine D&O-Versicherung letztlich auch gegen persönliche Haftungsrisiken absichert.

Küttner Blogserie Arbeitswelt 4.0

Entdecken Sie weitere Beiträge zum Thema Arbeitsrecht 4.0 in unserer Blogserie.

Ähnliche Beiträge

Arbeitsrecht-Newsletter

Erfahren Sie schon heute, was morgen wichtig ist – Neues im Arbeitsrecht, wegweisende BAG-Entscheidungen, neue Vorschriften im Arbeitsschutz und vieles mehr. Der Küttner Newsletter liefert Ihnen regelmäßig und kostenlos die wichtigsten Fakten zum Arbeitsrecht direkt in Ihr Postfach.