Compliance und Datenschutz

BEITRAG TEILEN

Ein weit­er­er für die Ein­hal­tung der Com­pli­ance wichtiger Bere­ich ist der Daten­schutz. Der Daten­schutz bet­rifft ins­beson­dere den Schutz per­so­n­en­be­zo­gen­er Dat­en. Der Daten­schutz ist im Grundge­setz als Staat­sziel definiert. Bei Nichtein­hal­tung der Bes­tim­mungen über den Daten­schutz dro­hen dem Unternehmen erhe­bliche Haf­tungsrisiken, sowohl in zivil­rechtlich­er wie auch in strafrechtlich­er Hin­sicht. Das Daten­schutzrecht verpflichtet den Unternehmer, die Ein­hal­tung der Daten­schutzbes­tim­mungen regelmäßig durch Bestel­lung eines Daten­schutzbeauf­tragten und interne Maß­nah­men sicherzustellen:

Nach § 4f des Bun­des­daten­schutzge­set­zes (kurz “BDSG”) haben öffentliche und nicht-öffentliche Stellen (jedes Unternehmen der freien Wirtschaft ist eine solche nicht-öffentliche Stelle), die per­so­n­en­be­zo­gene Dat­en automa­tisiert ver­ar­beit­en (das trifft in der Regel auf jedes Unternehmen zu, in dem Kom­mu­nika­tion­s­mit­tel wie Tele­fone, Com­put­er, dien­stliche Mobil­funkgeräte etc. ver­wen­det wer­den), einen Daten­schutzbeauf­tragten schriftlich zu bestellen. Die Verpflich­tung zur Bestel­lung eines Daten­schutzbeauf­tragten beste­ht nur für solche nicht-öffentlichen Stellen nicht, die in der Regel höch­stens neun Per­so­n­en ständig mit der automa­tisierten Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en beschäfti­gen.

Ein Daten­schutzbeauf­tragter ist auch dann zu bestellen, wenn per­so­n­en­be­zo­gene Dat­en zwar nicht automa­tisiert ver­ar­beit­et wer­den, aber auf andere Weise erhoben, ver­ar­beit­et oder genutzt wer­den, sofern damit in der Regel min­destens 20 Per­so­n­en beschäftigt sind.

Die Nichtbestel­lung eines Daten­schutzbeauf­tragten stellt eine Ord­nungswidrigkeit dar, die mit einem Bußgeld von bis zu 25.000,00 Euro geah­n­det wer­den kann.

Der Daten­schutzbeauf­tragte muss für die Ein­hal­tung der daten­schutzrechtlichen Vorschriften im Unternehmen sor­gen und die ord­nungs­gemäße Ver­wen­dung der Daten­ver­ar­beitung­spro­gramme überwachen. Er muss weit­er die Mitar­beit­er des Unternehmens, die mit der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en betraut sind, schulen.

Daneben ist der Unternehmer gemäß § 4g Abs. 2 BDSG auch verpflichtet, ein so genan­ntes Ver­fahrensverze­ich­nis aufzustellen, das bes­timmte geset­zlich vorgeschriebene Angaben zu enthal­ten hat und in dem auch die zugriffs­berechtigten Per­so­n­en zu nen­nen sind. Dieses Ver­fahrensverze­ich­nis ist dem Daten­schutzbeauf­tragten zur Ver­fü­gung zu stellen. Jed­er Dritte kann Ein­sicht in dieses Verze­ich­nis ver­lan­gen.

Das Ver­fahrensverze­ich­nis hat fol­gende Angaben gemäß § 4e BDSG zu enthal­ten:

1. Name oder Fir­ma der ver­ant­wortlichen Stelle,

2. Inhab­er, Vorstände, Geschäfts­führer oder son­stige geset­zliche oder nach der Ver­fas­sung des Unternehmens berufene Leit­er und die mit der Leitung der Daten­ver­ar­beitung beauf­tragten Per­so­n­en,

3. Anschrift der ver­ant­wortlichen Stelle,

4. Zweckbes­tim­mungen der Daten­er­he­bung, ‑ver­ar­beitung oder ‑nutzung,

5. eine Beschrei­bung der betrof­fe­nen Per­so­n­en­grup­pen und der dies­bezüglichen Dat­en oder Datenkat­e­gorien,

6. Empfänger oder Kat­e­gorien von Empfängern, denen die Dat­en mit­geteilt wer­den kön­nen,

7. Regel­fris­ten für die Löschung der Dat­en,

8. eine geplante Datenüber­mit­tlung in Drittstaat­en,

9. eine all­ge­meine Beschrei­bung, die es ermöglicht, vor­läu­fig zu beurteilen, ob die getrof­fe­nen Maß­nah­men zur Gewährleis­tung der Sicher­heit der Ver­ar­beitung aus­re­ichend und angemessen sind.

Soweit die automa­tisierte Daten­ver­ar­beitung mit beson­deren Risiken für die Rechte und Frei­heit­en der Betrof­fe­nen ver­bun­den ist, z.B. etwa weil beson­ders sen­si­ble Dat­en ver­ar­beit­et und aus­gew­ertet wer­den sollen, muss der Daten­schutzbeauf­tragte eine Vor­abkon­trolle durch­führen, also eine Prü­fung vor Beginn der Ver­ar­beitung vornehmen.

BEITRAG TEILEN