Neuigkeiten
Startseite / Themen / Büro & IT / Das neue Datenschutzrecht: Was Unternehmen wissen müssen
Das neue Datenschutzrecht: Was Unternehmen wissen müssen

Das neue Datenschutzrecht: Was Unternehmen wissen müssen

Wenn ab dem 25.5.2018 die neue Datenschutz-Grundverordnung (DSGVO) innerhalb der Europäischen Union gilt, verschärfen sich für Unternehmen die Haftungsrisiken in diesem Bereich. Neu ist, dass auch Geschäftsführer, Vorstände und Mitarbeiter vom Risiko der Haftung betroffen sind.

Um eine Haftung künftig zu vermeiden, müssen Unternehmen personenbezogene Daten datenschutzkonform im Sinne der DSGVO verarbeiten. Insofern sind vor allem die Grundsätze zur Datenverarbeitung nach Art. 5 DSGVO zu beachten. Konkret geht es um die

  • Rechtmäßigkeit: Jegliche Datenverarbeitung ist verboten, wenn sie nicht aufgrund einer Einwilligung oder einer gesetzlichen Erlaubnis gestattet ist.
  • Verarbeitung nach Treu und Glauben: Datenverarbeitungen müssen verhältnismäßig sein.
  • Transparenz: Datenverarbeitungen müssen für die Betroffenen nachvollziehbar sein.
  • Zweckbindung: Datenverarbeitungen dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke stattfinden.
  • Datenminimierung: Datenverarbeitungen müssen auf das für den Zweck notwendige Maß beschränkt sein.
  • Richtigkeit: Daten müssen sachlich richtig und auf dem neuesten Stand sein.
  • Speicherbegrenzung: Daten dürfen nur solange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
  • Integrität und Vertraulichkeit: Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.

Die Rechenschaftspflicht nach Art. 5 II DSGVO

Besonders relevant ist im Zusammenhang mit den Datenschutzgrundsätzen, dass der Verantwortliche der Datenverarbeitung jederzeit in der Lage sein muss, den Nachweis zu erbringen, die Vorgaben der DSGVO eingehalten zu haben. „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Grundsätzlich ist somit das jeweilige Unternehmen und nicht etwa der Datenschutzbeauftragte rechenschaftspflichtig. Damit trägt letztlich die Unternehmensführung die Verantwortung für den Datenschutz. Die Rechenschaftspflicht führt im Ergebnis zu einer Beweislastumkehr zulasten des Verantwortlichen. Das Unternehmen muss beweisen, dass alle Datenschutzgrundsätze eingehalten wurden.

Die Haftung des „Verantwortlichen“

Adressat von Bußgeldern und Schadenersatzansprüchen ist immer der nach DSGVO „Verantwortliche“. Dies ist die Unternehmensführung, wobei die Verantwortung für den Datenschutz unter Umständen auch zu einer persönlichen Haftung führen kann. Der Geschäftsführer einer GmbH kann bei einem Verstoß gegen die DSGVO persönlich in Haftung genommen werden, sofern er dabei gegen die Sorgfaltspflichten eines ordentlichen Kaufmanns verstoßen hat (Art. 82 I DSGVO in Verbindung mit § 43 I GmbHG). Ebenfalls können Einzelpersonen im Unternehmen als solche unmittelbar mit einem Bußgeld belegt werden. Zudem sieht das neue Bundesdatenschutzgesetz (BDSG) auch bei bestimmten Datenschutzverstößen Freiheitsstrafen bis zu drei Jahren bzw. Geldstrafen vor (§ 42 BDSG neue Fassung). Der deutsche Gesetzgeber hat über die in Art. 84 DSGVO enthaltene Öffnungsklausel im neuen BDSG für Dritte, die in Ausübung ihrer Tätigkeit für den Verantwortlichen eine datenschutzrechtliche Ordnungswidrigkeit begehen, entsprechende Sanktionen vorgesehen. Solche Ordnungswidrigkeiten können mit einem Bußgeld von bis zu 50.000 € geahndet werden (§ 43 Abs. 3 BDSG neuer Fassung).

Datenschutz = Compliance

Aus der Sicht der Unternehmensführung rückt daher Datenschutz als Thema immer stärker in den Bereich der Unternehmens Compliance. Neben den Sanktionsrisiken birgt ein Verstoß gegen Bestimmungen des Datenschutzes zudem auch immer das Risiko eines Reputationsschadens für das Unternehmen. Entscheider und Verantwortliche im Unternehmen sind daher gut beraten, sich auch aus Gründen des eigenen Schutzes rechtzeitig mit dem Thema vertraut zu machen und auseinanderzusetzen.

Sabine Heukrodt-Bauer, LL.M.
Rechtsanwältin, Fachanwätlin für
Informationstechnologierecht (IT-Recht)
www.res-media.net

Stand: 23.05.2018 11:24