Grundlagen zum betrieblichen Datenschutz
Warum Datenschutz im Unternehmen?
Aus heutigen Unternehmensstrukturen sind leistungsfähige IT Systeme zur Verarbeitung und Auswertung personenbezogener Daten, vor allem Kundendaten, nicht mehr wegzudenken. Moderne ERP-, CRM- und Data-Warehouse Systeme bieten nahezu unbegrenzte Möglichkeiten, Daten zu verwerten und zu analysieren. Diesen Möglichkeiten hat der Gesetzgeber das Bundesdatenschutzgesetz und andere rechtliche Vorschriften entgegengesetzt, um das informelle Selbstbestimmungsrecht des Einzelnen zu schützen.
1. Datenschutzrecht
Das Bundesdatenschutzgesetz in seiner aktuellen Form gibt wichtige Grundsätze im Umgang mit personenbezogenen Daten vor:
1.1. Es ist alles verboten, was nicht explizit erlaubt ist.
Dieser Grundsatz soll gewährleisten, dass im Zuge von neuen technischen Entwicklungen keine Möglichkeiten genutzt werden können, die dem Sinn des BDSG widersprechen. Daher dürfen personenbezogene Daten nur so genutzt werden, wie es im Bundesdatenschutzgesetz ausdrücklich gestattet ist.
1.2. Die Speicherung und Verarbeitung von Daten bedarf einer Erlaubnis
Ein Unternehmen darf Daten nur erheben und verarbeiten, wenn eine ausdrückliche Erlaubnis vorliegt. Diese Erlaubnis kann durch den Betroffenen oder durch eine Rechtsvorschrift erteilt werden.
1.3. Datenvermeidung und Datensparsamkeit
Es dürfen nur die Daten gespeichert werden, die für den Nutzungszweck absolut erforderlich sind. So soll der unkontrollierten Erhebung und Nutzung von Daten vorgebeugt werden.
1.4. Daten dürfen nur zweckgebunden verwendet werden
Die Vermischung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, ist im BDSG untersagt. Das soll vermeiden, dass aus den gespeicherten Daten Analysen erstellt werden, die zu detaillierte Rückschlüsse auf Eigenschaften oder persönliche Verhältnisse des Betroffenen zulassen.
Neben dem Bundesdatenschutzgesetz enthalten weitere zahlreiche Rechtsvorschriften Aspekte des Datenschutzes. Das sind beispielsweise das Sozialgesetzbuch, Betriebsverfassungsgesetz oder Teledienstgesetz, um nur einige wenige zu nennen. Diese Spezialvorschriften sind dem Bundesdatenschutzgesetz sogar übergeordnet und müssen im Unternehmen ebenfalls Beachtung finden.
2. Unternehmen in der Verantwortung
Die Unternehmen sind nicht nur verpflichtet, die oben genannten datenschutzrechtlichen Grundsätze einzuhalten, das Gesetz nennt auch konkrete technisch organisatorische Maßnahmen, die dies gewährleisten sollen.
2.1. Technisch organisatorische Maßnahmen
Unternehmen sind verpflichtet, den sorgfältigen Umgang mit den personenbezogenen Daten durch technisch organisatorische Maßnahmen sicherzustellen. Konkret werden in der Anlage zum § 9 BDSG folgende Maßnahmen vorgeschrieben:
- Zutrittskontrolle zu Räumlichkeiten mit IT Systemen
- Zugangskontrolle zu den IT Systemen
- Zugriffskontrolle auf die gespeicherten Daten
- Weitergabekontrolle, um Missbrauch beim Datentransport vorzubeugen
- Eingabekontrolle, um Veränderungen von Daten nachvollziehbar zu machen
- Auftragskontrolle, um Datenmanipulation außerhalb des eigenen Unternehmens vorzubeugen
- Verfügbarkeitskontrolle, um Datenverlust vorzubeugen
Alle diese Maßnahmen sollten nicht nur getroffen werden, um den rechtlichen Vorschriften zu genügen, sondern Sie erhöhen auch ganz konkret die Sicherheit der Unternehmens-IT.
3. Betrieblicher Datenschutzbeauftragter
Sobald mehr als vier Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss das Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen. Die Anforderungen an den Datenschutzbeauftragten sind hoch:
3.1. Fachkunde
Neben den allgemeinen, rechtlichen Vorschriften zum Datenschutz muss er mit den branchenspezifischen Datenschutzvorschriften, beispielsweise das Teledienstgesetz oder dem Sozialgesetzbuch, vertraut sein, da datenschutzrelevante Vorschriften in zahlreichen Gesetzen zu finden sind.
3.2. Zuverlässigkeit
Neben der persönlichen Eignung bezieht sich die Zuverlässigkeit auch auf die sonstige Tätigkeit im Unternehmen. So herrscht allgemein Einigkeit darüber, dass Mitglieder der Geschäftsführung, Personal- und IT Leiter nicht auch Datenschutzbeauftragte in Ihrem Unternehmen sein können. Eine konfliktfreie Ausübung der Aufgabe ist bei diesem Personenkreis nicht möglich.
3.3. IT Know How
Neben der Beratung bezüglich der rechtlichen Aspekte des Datenschutzes muss der Datenschutzbeauftragte auch in der Lage sein, die unter Punkt 3.1 genannten technisch organisatorischen Maßnahmen zu entwickeln, kontrollieren und bewerten.
Ein fundiertes Know How im Bezug auf IT Sicherheit ist somit unumgänglich.
3.4. Konfliktfreie Ausübung der Tätigkeit
Der betriebliche Datenschutzbeauftragte ist, gemäß dem Bundesdatenschutzgesetz, in seiner Aufgabe weisungsfrei und direkt der Geschäftsleitung unterstellt. Bei der Bestellung von Mitarbeitern, die in die normale Unternehmenshierarchie eingebunden sind, kann eine konfliktfreie Ausübung oftmals kaum gewährleistet werden.
Zudem wird der Mitarbeiter seine eigentlichen Aufgaben nicht mehr im bisherigen Umfang wahrnehmen können. Ein Datenschutzbeauftragter muss nicht nur ausgebildet werden, er muss sich auch ständig weiterbilden.
Auch die Aufgabe des Datenschutzbeauftragten selbst nimmt Arbeitszeit in Anspruch, da selbst bei KMUs heutzutage internationaler Datentransfer und moderne CRM- oder ERP Systeme zum Standard gehören. Solche Systeme und Datenübertragungen muss der Datenschutzbeauftragte in seiner Aufgabe überwachen und bewerten.
4. Externer betrieblicher Datenschutzbeauftragter
Oftmals ist es daher sinnvoller, die im Gesetz explizit verankerte Möglichkeit zu nutzen, eine Person außerhalb der verantwortlichen Stelle zum Datenschutzbeauftragten zu bestellen.
Externe Datenschutzbeauftragte erledigen die Aufgabe aufgrund ihrer Erfahrung oftmals schneller und damit auch kostengünstiger. Zudem können sie ihre Aufgaben konfliktfrei wahrnehmen, da sie nicht den Zwängen der Unternehmenshierarchie unterliegen.
Ein weiterer Vorteil ist, dass kein Mitarbeiter von seinen eigentlichen Aufgaben abgezogen wird.
5. Folgen mangelnden Datenschutzes für das Unternehmen
Wenn ein Unternehmen dem Datenschutz keine angemessene Aufmerksamkeit zukommen lässt, kann dies weit reichende Folgen haben:
- Empfindliche Geldstrafen bis zu 250.000 €
- Freiheitsentzug bis zu zwei Jahren
- Imageverlust bei Kunden und Kooperationspartnern
- Nichterfüllung von Anforderungen aus dem Qualitätsmanagement
- Rating Nachteile bei der Kreditvergabe, da IT Sicherheit ein Rating Faktor in den Vorgaben nach Basel II ist
Natürlich gilt auch für die Folgen mangelnden Datenschutzes der Grundsatz der Geschäftsführer- bzw. Vorstandshaftung.
