Datenschutz

Die EU-Datenschutzverordnung verlangt von jedem Unternehmen künftig den nachweisbaren Schutz personenbezogener Daten. Aus Sicht des Gesetzgebers sind personenbezogene Daten Eigentum der jeweiligen Person und werden Unternehmen nur geliehen, um z.B. einen Mitarbeiter zu beschäftigen oder eine Dienstleistung zu ermöglichen. Darum müssen Unternehmen auf einfachem Weg erklären können, welche Daten sie von welchen Personen zu welchem Zweck speichern.

Dabei geht es um Informationen über personenbezogene Merkmale, anhand derer eine Person eindeutig identifiziert werden kann. Dazu gehört zum Beispiel ein Datensatz aus Name, Vorname, Geburtsdatum. Auch die eindeutige MAC Adresse eines Smartphones ist so ein Merkmal. Sogar abstrakte Merkmale wie „Der Typ mit der schwarzen Mütze und der rosa Brille“ zählen dazu, sofern sich dadurch eine Person identifizieren lässt, z.B. weil es davon nur eine im Unternehmen gibt.

Den Datenschutz zu organisieren, heißt den Lebenszyklus einer Information nachweislich geregelt zu haben. Gemeint ist z.B. der Lebenszyklus von Mitarbeiterdaten, von Kundendaten, der Lebenszyklus einer Bewerbung, etc. Für eine Aufsichtsbehörde muss schnell und transparent ersichtlich sein, welche Daten zu welchem Zweck wie erhoben werden, welchen Weg sie im Unternehmen nehmen, also wie sie weiterverarbeitet werden, und wann sie wieder gelöscht werden.

Personenbezogene Daten dürfen nur gespeichert werden, wenn eine Einwilligung der jeweiligen Person vorliegt oder es eine Rechtsgrundlage zur Speicherung gibt. Fehlt beides, müssen die Daten gelöscht werden. Ist die Löschung nicht organisiert, ist der Datenschutz nicht geregelt.

Die Bußgeldnormen unterscheiden leichte Datenpannen von schweren. Leichte Datenpannen sind z.B. die nicht organisierte Form des Datenschutzes: fehlende Verfahrensverzeichnisse, fehlende Verträge, fehlende Verfahrensdokumentationen. Eine schwere Datenpanne liegt vor, wenn Sie einen Datenbestand komplett verloren haben. Also z.B. alle Mitarbeiterdaten, oder alle Kundendaten, etwa durch Fremdzugriff im eigenen Unternehmen oder bei einem Dienstleister. Das Bußgeld wird in jedem Fall an die verantwortliche Stelle ausgesprochen und das ist der Geschäftsführer des Unternehmens, welches die Daten erfasst hat, die verlorengegangen sind. Dieser haftet mit seinem Privatvermögen, da es sich um ein Bußgeld handelt, ähnlich wie bei einem Knöllchen. Nur dass das Bußgeld für eine Datenpanne von der EU-Kommission bewusst so empfindlich hoch angesetzt wurde, dass man durchaus mit dem gesamten Privatvermögen und darüber hinaus betroffen sein könnte.

Unternehmen, bei denen mehr als neun Mitarbeiter personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten bestellen, der zusätzlich testiert, dass der Datenschutz verordnungskonform organisiert ist.

Im Falle von Unternehmen ist der Landesdatenschutzbeauftragte des jeweiligen Bundeslandes die zuständige Aufsichtsbehörde. Eine Prüfung kann entweder anlasslos oder anlassbedingt stattfinden. Anlasslos bedeutet raster- oder stichprobenartig. Anlassbedingt wird geprüft, wenn es einen konkreten Vorfall gab, der gemeldet wurde. Dafür kommen unzählige verschiedenste Szenarien in Betracht. Ein Kunde, der sicherstellen will oder muss, dass Sie den Datenschutz organisiert haben, ein ehemaliger Mitarbeiter, der einen Verstoß meldet usw. Inwieweit der Landesdatenschutzbeauftragte im abgeschlossenen Geschäftsjahr geprüft hat, lässt sich im Lagebericht auf der Webseite nachlesen.