Compliance und Datenschutz

BEITRAG TEILEN
LinkedInXINGXFacebookEmailPrint

Ein weit­er­er für die Ein­hal­tung der Com­pli­ance wichtiger Bere­ich ist der Daten­schutz. Der Daten­schutz bet­rifft ins­beson­dere den Schutz per­so­n­en­be­zo­gen­er Dat­en. Der Daten­schutz ist im Grundge­setz als Staat­sziel definiert. Bei Nichtein­hal­tung der Bes­tim­mungen über den Daten­schutz dro­hen dem Unternehmen erhe­bliche Haf­tungsrisiken, sowohl in zivil­rechtlich­er wie auch in strafrechtlich­er Hin­sicht. Das Daten­schutzrecht verpflichtet den Unternehmer, die Ein­hal­tung der Daten­schutzbes­tim­mungen regelmäßig durch Bestel­lung eines Daten­schutzbeauf­tragten und interne Maß­nah­men sicherzustellen:

Nach § 4f des Bun­des­daten­schutzge­set­zes (kurz “BDSG”) haben öffentliche und nicht-öffentliche Stellen (jedes Unternehmen der freien Wirtschaft ist eine solche nicht-öffentliche Stelle), die per­so­n­en­be­zo­gene Dat­en automa­tisiert ver­ar­beit­en (das trifft in der Regel auf jedes Unternehmen zu, in dem Kom­mu­nika­tion­s­mit­tel wie Tele­fone, Com­put­er, dien­stliche Mobil­funkgeräte etc. ver­wen­det wer­den), einen Daten­schutzbeauf­tragten schriftlich zu bestellen. Die Verpflich­tung zur Bestel­lung eines Daten­schutzbeauf­tragten beste­ht nur für solche nicht-öffentlichen Stellen nicht, die in der Regel höch­stens neun Per­so­n­en ständig mit der automa­tisierten Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en beschäfti­gen.

Ein Daten­schutzbeauf­tragter ist auch dann zu bestellen, wenn per­so­n­en­be­zo­gene Dat­en zwar nicht automa­tisiert ver­ar­beit­et wer­den, aber auf andere Weise erhoben, ver­ar­beit­et oder genutzt wer­den, sofern damit in der Regel min­destens 20 Per­so­n­en beschäftigt sind.

Die Nichtbestel­lung eines Daten­schutzbeauf­tragten stellt eine Ord­nungswidrigkeit dar, die mit einem Bußgeld von bis zu 25.000,00 Euro geah­n­det wer­den kann.

Der Daten­schutzbeauf­tragte muss für die Ein­hal­tung der daten­schutzrechtlichen Vorschriften im Unternehmen sor­gen und die ord­nungs­gemäße Ver­wen­dung der Daten­ver­ar­beitung­spro­gramme überwachen. Er muss weit­er die Mitar­beit­er des Unternehmens, die mit der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en betraut sind, schulen.

Daneben ist der Unternehmer gemäß § 4g Abs. 2 BDSG auch verpflichtet, ein so genan­ntes Ver­fahrensverze­ich­nis aufzustellen, das bes­timmte geset­zlich vorgeschriebene Angaben zu enthal­ten hat und in dem auch die zugriffs­berechtigten Per­so­n­en zu nen­nen sind. Dieses Ver­fahrensverze­ich­nis ist dem Daten­schutzbeauf­tragten zur Ver­fü­gung zu stellen. Jed­er Dritte kann Ein­sicht in dieses Verze­ich­nis ver­lan­gen.

Das Ver­fahrensverze­ich­nis hat fol­gende Angaben gemäß § 4e BDSG zu enthal­ten:

1. Name oder Fir­ma der ver­ant­wortlichen Stelle,

2. Inhab­er, Vorstände, Geschäfts­führer oder son­stige geset­zliche oder nach der Ver­fas­sung des Unternehmens berufene Leit­er und die mit der Leitung der Daten­ver­ar­beitung beauf­tragten Per­so­n­en,

3. Anschrift der ver­ant­wortlichen Stelle,

4. Zweckbes­tim­mungen der Daten­er­he­bung, ‑ver­ar­beitung oder ‑nutzung,

5. eine Beschrei­bung der betrof­fe­nen Per­so­n­en­grup­pen und der dies­bezüglichen Dat­en oder Datenkat­e­gorien,

6. Empfänger oder Kat­e­gorien von Empfängern, denen die Dat­en mit­geteilt wer­den kön­nen,

7. Regel­fris­ten für die Löschung der Dat­en,

8. eine geplante Datenüber­mit­tlung in Drittstaat­en,

9. eine all­ge­meine Beschrei­bung, die es ermöglicht, vor­läu­fig zu beurteilen, ob die getrof­fe­nen Maß­nah­men zur Gewährleis­tung der Sicher­heit der Ver­ar­beitung aus­re­ichend und angemessen sind.

Soweit die automa­tisierte Daten­ver­ar­beitung mit beson­deren Risiken für die Rechte und Frei­heit­en der Betrof­fe­nen ver­bun­den ist, z.B. etwa weil beson­ders sen­si­ble Dat­en ver­ar­beit­et und aus­gew­ertet wer­den sollen, muss der Daten­schutzbeauf­tragte eine Vor­abkon­trolle durch­führen, also eine Prü­fung vor Beginn der Ver­ar­beitung vornehmen.

BEITRAG TEILEN
LinkedInXINGXFacebookEmailPrint

Über den autor

Aktuelles

Weitere Beiträge des Autors

Krankgeschrieben nach der Kündigung: Wie viel Beweiswert hat ein ärztliches Attest?

Nach der Kündigung kommt die Krankschreibung bis zum Ende der Kündigungsfrist, danach startet der Arbeitnehmer sofort im neuen Job? Ein ärztliches Attest kann viel aussagen - oder auch nicht. Das Bundesarbeitsgericht hat neue Regeln dafür aufgestellt, wie Arbeitgeber mit diesem Balanceakt umgehen können.   (mehr …)

Doppelarbeitsverhältnisse: Müssen Arbeitnehmer sich Urlaub anrechnen lassen?

Wenn der neue Job schon begonnen hat, obwohl noch gar nicht klar ist, ob das alte Arbeitsverhältnis wirksam beendet wurde, können Arbeitnehmer in beiden Arbeitsverhältnissen Urlaubsansprüche haben. Das BAG hat geklärt, wie Unternehmen damit umgehen sollten.   Nach einer (fristlosen) Kündigung und dem Beginn eines neuen Arbeitsverhältnisses ergeben sich häufig Fragen, wie sich die gleichzeitig bestehenden Arbeitsverhältnisse aufeinander auswirken. Zum...