Compliance und Datenschutz

Veröffentlicht am 8. April 2009 von Dr. Christian Ostermaier | Datenschutz Übergreifendes | 2 Kommentare

Law-BlogEin weiterer für die Einhaltung der Compliance wichtiger Bereich ist der Datenschutz. Der Datenschutz betrifft insbesondere den Schutz personenbezogener Daten. Der Datenschutz ist im Grundgesetz als Staatsziel definiert. Bei Nichteinhaltung der Bestimmungen über den Datenschutz drohen dem Unternehmen erhebliche Haftungsrisiken, sowohl in zivilrechtlicher wie auch in strafrechtlicher Hinsicht. Das Datenschutzrecht verpflichtet den Unternehmer, die Einhaltung der Datenschutzbestimmungen regelmäßig durch Bestellung eines Datenschutzbeauftragten und interne Maßnahmen sicherzustellen:

Nach § 4f des Bundesdatenschutzgesetzes (kurz „BDSG“) haben öffentliche und nicht-öffentliche Stellen (jedes Unternehmen der freien Wirtschaft ist eine solche nicht-öffentliche Stelle), die personenbezogene Daten automatisiert verarbeiten (das trifft in der Regel auf jedes Unternehmen zu, in dem Kommunikationsmittel wie Telefone, Computer, dienstliche Mobilfunkgeräte etc. verwendet werden), einen Datenschutzbeauftragten schriftlich zu bestellen. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht nur für solche nicht-öffentlichen Stellen nicht, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Ein Datenschutzbeauftragter ist auch dann zu bestellen, wenn personenbezogene Daten zwar nicht automatisiert verarbeitet werden, aber auf andere Weise erhoben, verarbeitet oder genutzt werden, sofern damit in der Regel mindestens 20 Personen beschäftigt sind.

Die Nichtbestellung eines Datenschutzbeauftragten stellt eine Ordnungswidrigkeit dar, die mit einem Bußgeld von bis zu 25.000,00 Euro geahndet werden kann.

Der Datenschutzbeauftragte muss für die Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen sorgen und die ordnungsgemäße Verwendung der Datenverarbeitungsprogramme überwachen. Er muss weiter die Mitarbeiter des Unternehmens, die mit der Verarbeitung personenbezogener Daten betraut sind, schulen.

Daneben ist der Unternehmer gemäß § 4g Abs. 2 BDSG auch verpflichtet, ein so genanntes Verfahrensverzeichnis aufzustellen, das bestimmte gesetzlich vorgeschriebene Angaben zu enthalten hat und in dem auch die zugriffsberechtigten Personen zu nennen sind. Dieses Verfahrensverzeichnis ist dem Datenschutzbeauftragten zur Verfügung zu stellen. Jeder Dritte kann Einsicht in dieses Verzeichnis verlangen.

Das Verfahrensverzeichnis hat folgende Angaben gemäß § 4e BDSG zu enthalten:

1. Name oder Firma der verantwortlichen Stelle,

2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,

3. Anschrift der verantwortlichen Stelle,

4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,

5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,

7. Regelfristen für die Löschung der Daten,

8. eine geplante Datenübermittlung in Drittstaaten,

9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die getroffenen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung ausreichend und angemessen sind.

Soweit die automatisierte Datenverarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen verbunden ist, z.B. etwa weil besonders sensible Daten verarbeitet und ausgewertet werden sollen, muss der Datenschutzbeauftragte eine Vorabkontrolle durchführen, also eine Prüfung vor Beginn der Verarbeitung vornehmen.

2 Gedanken zu "Compliance und Datenschutz"

Gut, das Sie das Thema ansprechen.

Derzeit kursieren Gerüchte, dass Google Analytics illegal sei!

Was können Sie dazu sagen?

Mit freundlichen Grüßen
Michael H.

Vielen Dank für den Beitrag. Bei weiteren Recherchen bin auf eine Erläuterung der Compliance Organisation und Rolle des Konerzn-Datenschutzbeauftragten gestoßen:

http://www.thomashelbing.com/de/datenschutz-konzern-konzerndatenschutzbeauftragte-organisation-datenschutz-compliance

Wie verhält sich der Konzerndatenschutzbeauftragte denn eigentlich zum „Compliance Officer“?

Grüße aus Ulm