Compliance und Datenschutz

BEITRAG TEILEN
LinkedInXINGXFacebookEmailPrint

Ein weit­er­er für die Ein­hal­tung der Com­pli­ance wichtiger Bere­ich ist der Daten­schutz. Der Daten­schutz bet­rifft ins­beson­dere den Schutz per­so­n­en­be­zo­gen­er Dat­en. Der Daten­schutz ist im Grundge­setz als Staat­sziel definiert. Bei Nichtein­hal­tung der Bes­tim­mungen über den Daten­schutz dro­hen dem Unternehmen erhe­bliche Haf­tungsrisiken, sowohl in zivil­rechtlich­er wie auch in strafrechtlich­er Hin­sicht. Das Daten­schutzrecht verpflichtet den Unternehmer, die Ein­hal­tung der Daten­schutzbes­tim­mungen regelmäßig durch Bestel­lung eines Daten­schutzbeauf­tragten und interne Maß­nah­men sicherzustellen:

Nach § 4f des Bun­des­daten­schutzge­set­zes (kurz “BDSG”) haben öffentliche und nicht-öffentliche Stellen (jedes Unternehmen der freien Wirtschaft ist eine solche nicht-öffentliche Stelle), die per­so­n­en­be­zo­gene Dat­en automa­tisiert ver­ar­beit­en (das trifft in der Regel auf jedes Unternehmen zu, in dem Kom­mu­nika­tion­s­mit­tel wie Tele­fone, Com­put­er, dien­stliche Mobil­funkgeräte etc. ver­wen­det wer­den), einen Daten­schutzbeauf­tragten schriftlich zu bestellen. Die Verpflich­tung zur Bestel­lung eines Daten­schutzbeauf­tragten beste­ht nur für solche nicht-öffentlichen Stellen nicht, die in der Regel höch­stens neun Per­so­n­en ständig mit der automa­tisierten Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en beschäfti­gen.

Ein Daten­schutzbeauf­tragter ist auch dann zu bestellen, wenn per­so­n­en­be­zo­gene Dat­en zwar nicht automa­tisiert ver­ar­beit­et wer­den, aber auf andere Weise erhoben, ver­ar­beit­et oder genutzt wer­den, sofern damit in der Regel min­destens 20 Per­so­n­en beschäftigt sind.

Die Nichtbestel­lung eines Daten­schutzbeauf­tragten stellt eine Ord­nungswidrigkeit dar, die mit einem Bußgeld von bis zu 25.000,00 Euro geah­n­det wer­den kann.

Der Daten­schutzbeauf­tragte muss für die Ein­hal­tung der daten­schutzrechtlichen Vorschriften im Unternehmen sor­gen und die ord­nungs­gemäße Ver­wen­dung der Daten­ver­ar­beitung­spro­gramme überwachen. Er muss weit­er die Mitar­beit­er des Unternehmens, die mit der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en betraut sind, schulen.

Daneben ist der Unternehmer gemäß § 4g Abs. 2 BDSG auch verpflichtet, ein so genan­ntes Ver­fahrensverze­ich­nis aufzustellen, das bes­timmte geset­zlich vorgeschriebene Angaben zu enthal­ten hat und in dem auch die zugriffs­berechtigten Per­so­n­en zu nen­nen sind. Dieses Ver­fahrensverze­ich­nis ist dem Daten­schutzbeauf­tragten zur Ver­fü­gung zu stellen. Jed­er Dritte kann Ein­sicht in dieses Verze­ich­nis ver­lan­gen.

Das Ver­fahrensverze­ich­nis hat fol­gende Angaben gemäß § 4e BDSG zu enthal­ten:

1. Name oder Fir­ma der ver­ant­wortlichen Stelle,

2. Inhab­er, Vorstände, Geschäfts­führer oder son­stige geset­zliche oder nach der Ver­fas­sung des Unternehmens berufene Leit­er und die mit der Leitung der Daten­ver­ar­beitung beauf­tragten Per­so­n­en,

3. Anschrift der ver­ant­wortlichen Stelle,

4. Zweckbes­tim­mungen der Daten­er­he­bung, ‑ver­ar­beitung oder ‑nutzung,

5. eine Beschrei­bung der betrof­fe­nen Per­so­n­en­grup­pen und der dies­bezüglichen Dat­en oder Datenkat­e­gorien,

6. Empfänger oder Kat­e­gorien von Empfängern, denen die Dat­en mit­geteilt wer­den kön­nen,

7. Regel­fris­ten für die Löschung der Dat­en,

8. eine geplante Datenüber­mit­tlung in Drittstaat­en,

9. eine all­ge­meine Beschrei­bung, die es ermöglicht, vor­läu­fig zu beurteilen, ob die getrof­fe­nen Maß­nah­men zur Gewährleis­tung der Sicher­heit der Ver­ar­beitung aus­re­ichend und angemessen sind.

Soweit die automa­tisierte Daten­ver­ar­beitung mit beson­deren Risiken für die Rechte und Frei­heit­en der Betrof­fe­nen ver­bun­den ist, z.B. etwa weil beson­ders sen­si­ble Dat­en ver­ar­beit­et und aus­gew­ertet wer­den sollen, muss der Daten­schutzbeauf­tragte eine Vor­abkon­trolle durch­führen, also eine Prü­fung vor Beginn der Ver­ar­beitung vornehmen.

BEITRAG TEILEN
LinkedInXINGXFacebookEmailPrint

Über den autor

Aktuelles

Weitere Beiträge des Autors

Bundesarbeitsgericht bestätigt: Arbeitgeber muss 100% Bonus für verspätete Zielvorgabe zahlen

Bonusziele sollen Mitarbeiter motivieren, die Unternehmensziele zu erreichen. Das setzt aber voraus, dass der Mitarbeiter seine Ziele auch kennt – und zwar zu einem Zeitpunkt, zu dem er sie auch realistischerweise noch erfüllen kann, urteilt nun auch das BAG. Frühe Zielvorgaben sind für Arbeitgeber spätestens ab jetzt ein Muss.   Bereits im Oktober hatten wir über das stets aktuelle Thema...

Zur Motivation: Gericht billigt Inflationsausgleichsprämie nur für aktive Mitarbeiter

Dürfen freiwillige Prämien nur an aktive Mitarbeiter ausgezahlt werden? Ein aktuelles Urteil bringt Klarheit: Solange der Zweck der Zahlung klar definiert ist, haben Arbeitgeber auch bei der Inflationsausgleichsprämie weitreichende Entscheidungsfreiheit.   Das Landesarbeitsgericht (LAG) Hannover hat in einem Urteil vom 17. Mai 2024 (Az. 14 SLa 26/24) klargestellt, dass Arbeitgeber die Freiheit haben, freiwillige Sonderzahlungen wie die Inflationsausgleichsprämie gezielt an...