Gesetze und Verordnungen

  • Home   /  
  • Gesetze und Verordnungen

Wer braucht einen Datenschutzbeauftragten?

Unabhängig von der Größe ist jedes Unternehmen in Deutschland verpflichtet, die Verordnungen der Datenschutzgesetze einzuhalten. Zu diesen zählen das Bundesdatenschutzgesetz, 16 verschiedene Landesdatenschutzgesetze und noch mal 18 Weitere wie z. B. das Telekommunikationsgesetz (TKG) oder das Telemediengesetz (TMG). Unternehmer sind hierbei immer für die Sicherheit ihrer Datenprozesse verantwortlich und haftbar, unter Umständen sogar mit dem Privatvermögen (à Haftung, Strafen und Imageschäden bei Datenschutzverstößen).

Ein professioneller Datenschutzbeauftragter hilft, Imageschäden vorzubeugen, Bußgelder zu vermeiden und Haftungsrisiken zu minimieren.

Wann muss ein Datenschutzbeauftragter gemäß §4 BDSG bestellt werden?

  • Wenn in einem Unternehmen regelmäßig mehr als neun (10) Personen mit der automatisierten (also EDV-gestützten) Verarbeitung von personenbezogenen Daten (z.B. Personaldaten, Kundendaten, Lieferantendaten) beschäftigt sind oder mehr als 19 (20) Personen diese Daten manuell verarbeiten. Als „Person“ zählt hierbei jeder – vom Geschäftsführer bis zum Praktikanten.

Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen:

  • Wenn besondere Arten personenbezogener Daten (z.B. Gesundheitsdaten) verarbeitet werden, außer die Einwilligung des Betroffenen liegt vor oder eine gültige Rechtsvorschrift sieht dies vor.
  • Wenn personenbezogene Daten zum Zweck der Übermittlung verarbeitet werden (Auskunfteien, Detekteien, Adressverlage etc.).
  • Wenn personenbezogene Daten zum Zweck der anonymen Übermittlung verarbeitet werden (Markt- und Meinungsforschung).

Anforderungen an den Datenschutzbeauftragten

Laut § 4f BDSG muss der Datenschutzbeauftragte über die nötige Fachkunde verfügen, sich kontinuierlich weiterbilden und seine Kompetenz dokumentieren können.

Zum Datenschutzbeauftragten kann jeder interne Mitarbeiter bestellt werden, der die vom Gesetzgeber geforderte Fachkunde aufweist. Alternativ kann auch ein externer Dienstleister zum DSB bestellt werden. Näheres über die Vor- und Nachteile finden Sie hier.

Entlastung der Geschäftsführung

Ist in einem Unternehmen kein Datenschutzbeauftragter ernannt, hat die Geschäftsführung dafür zu sorgen, dass die Mitarbeiter alle Datenschutzvorschriften einhalten. Durch die fortschreitende Digitalisierung werden die rechtlichen und technischen Anforderungen an den Datenschutz sich in den nächsten Jahren stetig weiterentwickeln. Hier ständig auf dem Laufenden zu bleiben, erfordert einen erheblichen Zeitaufwand. Es ist daher sinnvoll, einen Datenschutzbeauftragten zu bestimmen, damit die Geschäftsführung entlastet wird und sich auf ihre Hauptaufgaben konzentrieren kann.

Datenschutz-Grundverordnung: Bußgelder und Sanktionen gültig ab 25. Mai 2018

Wo stehen die Regelungen zu Sanktionen in der DSGVO?

Die Vorschriften zu Sanktionen sind in den Artikel 83 und 84 zu finden. Strafrechtliche Sanktionen sollen von den einzelnen Mitgliedsstaaten selber festgelegt werden.

Wer wird von den Regelungen erfasst?

Unabhängig davon, ob sie ihre Leistungen entgeltlich oder unentgeltlich erbringen:

  • Unternehmen mit Sitz in der EU
  • Unternehmen, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten

Der Begriff „Unternehmen“ im Vergleich

Unternehmen im Sinne des BDSG

Ein Unternehmen im Sinne des BDSG ist eine einzelne juristische Person, z. B. eine GmbH. Die jeweilige juristische Person bzw. Personengesellschaft wird als eigenständige verantwortliche Stelle angesehen. Auch bei Unternehmensgruppen wird nicht der Konzern als solcher als Unternehmen und damit verantwortliche Stelle angesehen, sondern jede einzelne Konzerngesellschaft für sich. Es gibt kein Konzernprivileg, aber auch keine Konzernhaftung.

Unternehmen im Sinne der EU-Datenschutz-Grundverordnung (EU-DSGVO)

Bei Bußgeldern gilt zukünftig der Begriff des Unternehmens i.S.d. Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV). Nach der ständigen Rechtsprechung des EuGH ist der weite, funktionale Unternehmensbegriff:

  • Ein Unternehmen ist jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Diese wirtschaftliche Einheit kann dabei nicht nur aus einem einzelnen Unternehmen i.S.e. Rechtssubjekts, sondern aus mehreren, natürlichen oder juristischen Personen bestehen.
  • Vergleichbar mit dem Unternehmensbegriffs des europäischen Kartellrechts.

Es wird also nicht mehr am Rechtssubjekt angeknüpft, sondern am Marktverhalten der wirtschaftlichen Einheit insgesamt. Damit kann ein ganzer Konzern als ein Unternehmen behandelt werden. Der gesamte Konzernumsatz bildet dann den für die Berechnung eines Bußgelds maßgeblichen Unternehmensumsatz.

Welche Bußgelder können auf ein Unternehmen zukommen?

Bußgeldvorschrift nach dem BDSG

Derzeit sind nach § 43 BDSG Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich. Die strafrechtlichen Sanktionen sind aktuell in § 44 BDSG geregelt.

Bußgeldvorschrift nach der EU-DSGVO

Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Hier ist der oben genannte Unternehmensbegriff von Bedeutung: Es gilt der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person.

Wie wird das Bußgeld bemessen?

Die Sanktionen sollen von Datenschutzverstößen abhalten und das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Gemäß Art 84 DSGVO müssen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Zur Bemessung der Sanktion gibt es einen Katalog mit Kriterien in Art. 83 Abs. 2 (a) bis (k) DSGVO.

Welche Bemessungskriterien beinhaltet der Katalog des Art. 83?

  • Art, Schwere und Dauer des Verstoßes
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • die getroffenen Maßnahmen zur Minderung des entstandenen Schadens
  • Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
  • etwaige einschlägige frühere Verstöße
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Selbstanzeige
  • Einhaltung früher angeordneter Maßnahmen
  • Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangten finanzielle Vorteile oder vermiedene Verluste

Welche sonstigen Sanktionen können auf ein Unternehmen zukommen?

  • Gewinnabschöpfung
  • Anordnungen zur Beendigung des Verstoßes gemäß Art. 58 Abs. 2, z.B. Rüge; Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen; zeitlich begrenzte oder endgültiges Verbot der Datenverarbeitung.

Ist das eine abschließende Regelung?

Nein, es obliegt gemäß Art. 84 den Mitgliedsstaaten, weitere Strafvorschriften und strafrechtliche Sanktionen einzuführen. Sie müssen lediglich „wirksam, verhältnismäßig und abschreckend“ sein. In dem Bereich wird dann nationales Recht gelten.

Des Weiteren enthält die DSGVO eine Öffnungsklausel bezüglich der Frage, ob Bußgelder auch für Behörden oder öffentliche Einrichtungen verhängt werden können. Dies wird vollständig in die Verantwortung der Mitgliedstaaten gelegt, ohne dass die DSGVO einen Rahmen vorgeben würde.

Wer verhängt Sanktionen und Bußgelder?

Gemäß Art. 55 ist grundsätzlich jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig, d.h. in Deutschland sind die deutschen Aufsichtsbehörden zuständig. Es gibt aber noch die federführende Behörde gemäß Art. 56, 60 bei internationalen Datentransfers.

Wie kommt ein ahndungswürdiger Sachverhalt ans Licht?

  • durch proaktive Überprüfungstätigkeit der Aufsichtsbehörden
  • durch einen unzufriedenen Mitarbeiter, der sich bei der Aufsichtsbehörde beschwert
  • durch Kunden oder potentielle Kunden, die eine Meldung bei der Aufsichtsbehörde machen
  • durch Selbstanzeige des Unternehmens
  • durch die Presse im Allgemeinen, insbesondere auch Investigativjournalismus

Wie kann man vorbeugen?

Ein Unternehmen sollte sich professionell datenschutzrechtlich beraten lassen und regelmäßige Compliance-Audits durchführen. Datenbestand, Datenflüsse und Datenverarbeitungsprozesse sollten dokumentiert werden.

Seiten

Mitgliedschaften

BvD

cyberforum

cyberforum