Compliance und Datenschutz

Ein wei­te­rer für die Ein­hal­tung der Com­pli­ance wich­ti­ger Bereich ist der Daten­schutz. Der Daten­schutz betrifft ins­be­son­de­re den Schutz per­so­nen­be­zo­ge­ner Daten. Der Daten­schutz ist im Grund­ge­setz als Staats­ziel defi­niert. Bei Nicht­ein­hal­tung der Bestim­mun­gen über den Daten­schutz dro­hen dem Unter­neh­men erheb­li­che Haf­tungs­ri­si­ken, sowohl in zivil­recht­li­cher wie auch in straf­recht­li­cher Hin­sicht. Das Daten­schutz­recht ver­pflich­tet den Unter­neh­mer, die Ein­hal­tung der Daten­schutz­be­stim­mun­gen regel­mä­ßig durch Bestel­lung eines Daten­schutz­be­auf­trag­ten und inter­ne Maß­nah­men sicher­zu­stel­len:

Nach § 4f des Bun­des­da­ten­schutz­ge­set­zes (kurz “BDSG”) haben öffent­li­che und nicht-öffent­li­che Stel­len (jedes Unter­neh­men der frei­en Wirt­schaft ist eine sol­che nicht-öffent­li­che Stel­le), die per­so­nen­be­zo­ge­ne Daten auto­ma­ti­siert ver­ar­bei­ten (das trifft in der Regel auf jedes Unter­neh­men zu, in dem Kom­mu­ni­ka­ti­ons­mit­tel wie Tele­fo­ne, Com­pu­ter, dienst­li­che Mobil­funk­ge­rä­te etc. ver­wen­det wer­den), einen Daten­schutz­be­auf­trag­ten schrift­lich zu bestel­len. Die Ver­pflich­tung zur Bestel­lung eines Daten­schutz­be­auf­trag­ten besteht nur für sol­che nicht-öffent­li­chen Stel­len nicht, die in der Regel höchs­tens neun Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen.

Ein Daten­schutz­be­auf­trag­ter ist auch dann zu bestel­len, wenn per­so­nen­be­zo­ge­ne Daten zwar nicht auto­ma­ti­siert ver­ar­bei­tet wer­den, aber auf ande­re Wei­se erho­ben, ver­ar­bei­tet oder genutzt wer­den, sofern damit in der Regel min­des­tens 20 Per­so­nen beschäf­tigt sind.

Die Nicht­be­stel­lung eines Daten­schutz­be­auf­trag­ten stellt eine Ord­nungs­wid­rig­keit dar, die mit einem Buß­geld von bis zu 25.000,00 Euro geahn­det wer­den kann.

Der Daten­schutz­be­auf­trag­te muss für die Ein­hal­tung der daten­schutz­recht­li­chen Vor­schrif­ten im Unter­neh­men sor­gen und die ord­nungs­ge­mä­ße Ver­wen­dung der Daten­ver­ar­bei­tungs­pro­gram­me über­wa­chen. Er muss wei­ter die Mit­ar­bei­ter des Unter­neh­mens, die mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten betraut sind, schu­len.

Dane­ben ist der Unter­neh­mer gemäß § 4g Abs. 2 BDSG auch ver­pflich­tet, ein so genann­tes Ver­fah­rens­ver­zeich­nis auf­zu­stel­len, das bestimm­te gesetz­lich vor­ge­schrie­be­ne Anga­ben zu ent­hal­ten hat und in dem auch die zugriffs­be­rech­tig­ten Per­so­nen zu nen­nen sind. Die­ses Ver­fah­rens­ver­zeich­nis ist dem Daten­schutz­be­auf­trag­ten zur Ver­fü­gung zu stel­len. Jeder Drit­te kann Ein­sicht in die­ses Ver­zeich­nis ver­lan­gen.

Das Ver­fah­rens­ver­zeich­nis hat fol­gen­de Anga­ben gemäß § 4e BDSG zu ent­hal­ten:

1. Name oder Fir­ma der ver­ant­wort­li­chen Stel­le,

2. Inha­ber, Vor­stän­de, Geschäfts­füh­rer oder sons­ti­ge gesetz­li­che oder nach der Ver­fas­sung des Unter­neh­mens beru­fe­ne Lei­ter und die mit der Lei­tung der Daten­ver­ar­bei­tung beauf­trag­ten Per­so­nen,

3. Anschrift der ver­ant­wort­li­chen Stel­le,

4. Zweck­be­stim­mun­gen der Daten­er­he­bung, ‑ver­ar­bei­tung oder ‑nut­zung,

5. eine Beschrei­bung der betrof­fe­nen Per­so­nen­grup­pen und der dies­be­züg­li­chen Daten oder Daten­ka­te­go­rien,

6. Emp­fän­ger oder Kate­go­rien von Emp­fän­gern, denen die Daten mit­ge­teilt wer­den kön­nen,

7. Regel­fris­ten für die Löschung der Daten,

8. eine geplan­te Daten­über­mitt­lung in Dritt­staa­ten,

9. eine all­ge­mei­ne Beschrei­bung, die es ermög­licht, vor­läu­fig zu beur­tei­len, ob die getrof­fe­nen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung aus­rei­chend und ange­mes­sen sind.

Soweit die auto­ma­ti­sier­te Daten­ver­ar­bei­tung mit beson­de­ren Risi­ken für die Rech­te und Frei­hei­ten der Betrof­fe­nen ver­bun­den ist, z.B. etwa weil beson­ders sen­si­ble Daten ver­ar­bei­tet und aus­ge­wer­tet wer­den sol­len, muss der Daten­schutz­be­auf­trag­te eine Vor­ab­kon­trol­le durch­füh­ren, also eine Prü­fung vor Beginn der Ver­ar­bei­tung vor­neh­men.