(openPR) Langenaltheim / Nürnberg: Bis zu 50.000€ Bußgeld sind fällig, wenn dem Unternehmer Fahrlässigkeit und Vorsatz im mangelnden Umgang mit personenbezogenen Daten nachgewiesen werden. Konzerne und Großbetriebe haben es leicht; sie beschäftigen Datenschutzbeauftragte die den Unternehmer beraten und auf den richtigen und sicheren Umgang mit personenbezogenen Daten hinwirken. Und der Handwerksbetrieb und kleine Unternehmen? Sie können es sich oft nicht leisten, ihr Personal mit Tätigkeiten zu beschäftigen, die nicht zum eigentlichen Geschäft gehören. Die Hilfe: Externe Datenschutzbeauftragte.
Der Gesetzgeber hat den Umgang mit personenbezogenen Daten unter einen besonderen Schutz gestellt. Im Bundesdatenschutzgesetz – BDSG – ist u.a. festgelegt, dass die Leitung eines Unternehmens die alleinige Verantwortung für den rechtmäßigen Umgang mit personenbezogenen Daten im Unternehmen hat. Fehlerhafter Umgang mit personenbezogenen Daten ist kein Kavaliersdelikt und kann empfindliche Geldbußen nach sich ziehen. Darüber hinaus kann, durch Bekannt werden einer Datenpanne, ein nicht zu bewertender Imageschaden für Unternehmen entstehen. „Viele Unternehmer unterschätzen das persönliche Risiko, das im nicht fachgerechten Umgang mit personenbezogenen Daten für sie entstehen kann“, sagt Joachim A. Hader, Geschäftsführer der Firma HADER Consulting (www.hader-consulting.de).
Damit das Risiko einer „Datenschutzpanne“ beim Umgang mit personenbezogenen Daten minimiert wird, ist es zwingend notwendig den Datenschutz in Unternehmen zu etablieren und zu professionalisieren. Dies erreicht man einerseits durch eine Sensibilisierung der Menschen, die mit den Daten umgehen und diese nutzen, anderseits durch Treffen von proaktiven Maßnahmen um Daten technisch und organisatorisch zu schützen (Datensicherheit).
Eine tragende Rolle im Umgang mit personenbezogenen Daten im Unternehmen kommt dem Datenschutzbeauftragten (DSB) zu. Der DSB hat die u.a. die Aufgabe die Mitarbeiter im Umgang mit personenbezogenen Daten zu sensibilisieren und auf die richtige und sachgerechte Handhabung der Daten hinzuwirken. Alle Unternehmen in denen mehr als neun Mitarbeiter ständig elektronisch mit personenbezogenen Daten umgehen müssen einen DSB bestellen. Da viele Firmen auf Grund ihrer internen Kostenstruktur keinen internen DSB bestimmen können, greifen sie auf die Dienstleistung eines externen DSB zurück.
„Anders als ein interner DSB unterliegt ein externer DSB keinem besonderen Kündigungsschutz. Von Gesetzes wegen muss ein Unternehmer dem internen DSB die Gelegenheit geben, sich laufend in Bezug auf den aktuellen Stand der Gesetze, Vorgaben und Entscheidungen weiterzubilden. Dies ist ein nicht zu unterschätzender Kostenfaktor, gerade für kleinere Unternehmen. Ein externer DSB trägt dies Kosten selbst. Weiter Vorteile für die Beschäftigung eines externen DSB sind, dass er Erfahrungen von anderen Firmen und Branchen mitbringt, sowie eine unvoreingenommen Sichtweise auf interne Abläuft mitbringt. Selbstverständlich sind die Kosten für einen externen DSB jederzeit transparent und planbar. Von Gesetzes wegen Verschwiegenheit und Vertraulichkeit verpflichtet.“, erläutert der Datenschutzexperte Joachim A. Hader.
Achtung Bußgeld!
Das Datenschutzrecht sieht für formale Verstöße ein Bußgeld von bis zu 50.000 € vor. Bei fahrlässig oder vorsätzlicher unbefugter Erhebung oder Verarbeitung personenbezogener Daten können Geldbußen bis zu 300.000 Euro verhängt werden. Verstöße gegen das Datenschutzrecht stellen teilweise Straftatbestände dar. Bei der Verhängung eines Bußgelds durch die Datenschutzaufsichtsbehörden wird immer Fahrlässigkeit oder Vorsatz angenommen, d.h. die Leitung des Unternehmens haftet persönlich. „Es droht zum Beispiel bei Nicht- oder Scheinbestellung eines Datenschutzbeauftragten ein Bußgeld von bis zu 50.000 Euro.“, gibt Hader zu bedenken.
So haben Mitarbeiter eines Händlers in Bayern im vergangenen Jahr eine Kundeninformation mit allen Emailadressen der Kunden im „AN-Feld“ versandt. Die Emailadressen enthielten vorwiegend die Vor- und Nachnamen der Kunden, deshalb hat das Landesamt für Datenschutzaufsicht in Bayern dies als einen Verstoß gegen die geltenden Datenschutzbestimmungen gewertet und ein empfindliches Bußgeld verhängt. Der Arbeitgeber eines ehemaligen Mitarbeiters wurde mit einem Bußgeld belegt, weil er sich unter einem Vorwand das Handy seines Mitarbeiters geben ließ und dann zwei in Whats-App gespeicherte private Chatverläufe an seine eigene Emailadresse geschickt hat. Auch werden oft Datenschutzvorfälle gemeldet und geahndet, bei denen Unterlagen mit personenbezogenen Daten in Altpapiercontainern oder frei zugänglichen Papierlagern von Dritten gefunden werden. Datenschutzpannen geschehen fast täglich.
Checkliste Datenschutzstatus:
Prüfen sie den Datenschutzstatus im Umgang mit personenbezogenen Daten (pbD) in ihrem Unternehmen:
• Sind in ihrem Unternehmen mehr als 9 Mitarbeiter mit der automatisieren oder mehr als 20 mit manueller Verarbeitung von pbD beschäftigt? und haben sie einen DSB benannt? (Verarbeitung: z.B. Email, Zahlungsterminals, Kundenbuchhaltung, Lieferantenverwaltung, Personalverwaltung; Mitarbeiter: Vollzeit, Teilzeit, Aushilfen, Praktikanten in Vertrieb, Einkauf, Personalabteilung, Kasse, etc.)
• Kennen Sie alle Verfahren, mit denen in ihrem Unternehmen pbD erfasst, verarbeitet und genutzt werden und sind diese dokumentiert (Verfahrensverzeichnis)?
• Können Sie jederzeit Auskunft geben bzw. nachvollziehen wann und wie pbD in ihrem Unternehmen erfasst und / oder verändert wurden?
• Sind ihre Mitarbeiter im Sinne des § 5 BDSG (Datengeheimnis) geschult und verpflichtet worden und wird diese Schulung regelmäßig wiederholt?
• Werden in ihrem Unternehmen pbD gelöscht, wenn sie nicht mehr benötigt werden?
• Haben Sie pbD ausgelagert (z.B. in der Cloud wie Google, Amazon, Dropbox, Microsoft etc. externes Rechenzentrum; Lohn- und Gehaltsbuchhaltung) und haben Sie eine Vereinbarung nach § 11 BDSG (Auftragsdatenverarbeitung) mit dem Dienstleister abgeschlossen?
• Speichern oder verarbeiten Sie pbD auf mobilen Datenträgern (z.B. Notebooks, ext. Festplatten, USB-Sticks) und sind diese verschlüsselt?
• Sind Ihre EDV-Anlagen auf denen pbD gespeichert und verarbeitet werden ausreichend gegen den Zugriff durch Dritte geschützt (z.B. Passwörter, Bildschirmsperre, Zugangs- und Zutrittskontrolle, Virenschutz, etc.)
Der externe Datenschutzbeauftragte Joachim A. Hader gibt den Rat: „Wenn Sie eine dieser Fragen mit NEIN beantworten, dann sollten sie sich den Rat eines Fachmanns zum Thema Datenschutz und IT Sicherheit einholen, um ihr persönliches Risiko (Bußgeld, Datenpanne) zu minimieren. Nehmen Sie Kontakt mit uns auf. Wir werden Ihr Anliegen vertraulich und professionell behandeln.“
