Mit dem "Ersten Gesetzes zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft", das am 26. August 2006 in Kraft getreten ist, erfolgte die Änderung des Bundesdatenschutzgesetzes (BDSG) in vier Paragraphen.
Nach Angaben des Bundesministers für Wirtschaft und Technologie, Michael Glos sei dies ein "guter erster Schritt" um unnötige Bürokratie abzubauen. "Sie sei ein Bremsklotz für jede wirtschaftliche Betätigung und koste Zeit und Geld". Es sind u.a. folgende Entlastungen vorgesehen:
Im Bereich des Datenschutzes ändert sich die generelle Pflicht der Ernennung eines Datenschutzbeauftragten. Diese Pflicht ist nun im Allgemeinen auf Unternehmen reduziert, die mindestens 10 (bisher 5) Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigen. Die weiteren Auflagen des BDSG müssen natürlich auch bei kleineren Unternehmen beachtet werden.
Des Weiteren dürfen jetzt explizit auch Berufsgeheimnisträger wie Rechtsanwälte, Steuerberater und Ärzte einen externen Datenschutzbeauftragten bestellen.
Nun kann man hoffen, dass viele Unternehmen die aktuelle Gesetzesänderung zum Anlass nehmen, sich über das Thema Datenschutz Gedanken zu machen.
Vielen ist offensichtlich nicht bewusst, dass der Geschäftsführer für einen Gesetzesverstoß im Bereich Datenschutz (der normalerweise als grob fahrlässig anzusehen ist) mit seinem Privatvermögen (gem. §43 GmbHG) persönlich unbegrenzt haftet.
Nicht erst seit dem 26. August müssen alle Unternehmen und Einzelpersonen, welche die Voraussetzungen (siehe. Kasten rechts) erfüllen, einen betrieblichen Datenschutzbeauftragten (DSB) bestellen, sowie die Auflagen des BDSG umsetzten.
Die Risiken
1. Nicht- oder Scheinbestellung
Die Nicht- oder Scheinbestellung eines DSBs wird gem. §43 BDSG mit einem Bußgeld von bis zu 25.000 Euro geahndet. Eine Scheinbestellung liegt dann vor, wenn der bestellte DSB nicht über die notwendige Fachkunde verfügt oder ein Interessenkonflikt vorliegt (er z.B. der DV-Leiter ist)
2. Fahrlässiger Verstoß gegen §43 II BDSG
Bereits ein fahrlässiger Verstoß gegen §43 II BDSG (z.B. wer unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet) wird mit einer Geldbuße bis zu 250.000 Euro geahndet.
3. Vorsätzlicher Verstoß gegen §43 II BDSG mit Bereicherungsabsicht
Erfolgt ein Verstoß gegen §43 II BDSG vorsätzlich und mit einer Bereicherungsabsicht oder der Absicht einen anderen zu schädigen, so droht zusätzlich zum Bußgeld (bis zu 250.000 Euro) gem. §44 BDSG eine Freiheitsstrafe von bis zu zwei Jahren.
Die vorgenannten Risiken treffen unmittelbar und persönlich den Geschäftsführer durch die Haftung aus §43 GmbHG. Vor dieser persönlichen Haftung wird ihn seine D&O-Police (Directors and Officers-Versicherung) nicht bewahren, denn ein Gesetzesverstoß gilt als grob fahrlässig. In diesem Fall fällt es dem Geschäftsführer sehr schwer den geforderten Nachweis dafür zu erbringen, dass er in seinen Entscheidungen stets die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters praktiziert hat.
Warum haben so wenige Firmen ein gesetzeskonformes Verhalten?
Sehr viele kleine und mittelständige Unternehmen haben eine Fülle von gesetzlichen Auflagen zu erfüllen. Hierzu gehört auch der Datenschutz. Die Umsetzung des Bundesdatenschutzgesetzes erfolgt durch die Bundesländer. Allerdings statten viele Länder die Aufsichtsbehörde mit sehr wenig Personal aus, so dass der Umsetzungsdruck durch die mehr als seltenen Kontrollen fast nicht existent ist. Kommt es aber zu einer Kontrolle kann es zu einem bösen Erwachen mit den oben dargestellten Risiken führen.
Was ist zu tun? - Ihr Weg zum professionellen Datenschutz!
Um das anspruchsvolle Thema Datenschutz im Unternehmen gesetzeskonform umzusetzen und die Risiken aus potentiellen Gesetzesverstößen zu vermeiden, ist die richtige Vorgehensweise entscheidend.
Die folgenden Punkte zeigen beispielhaft diesen Weg auf:
- Der erste Schritt ist eine Aufwandsanalyse durch einen externen Berater. Ziel der Aufwandsanalyse ist es, den individuellen und häufig sehr unterschiedlichen Bedarf und Aufwand für den Bereich Datenschutz des Unternehmens zu ermitteln und zu dokumentieren.
- Der nächste Schritt ist die Entscheidung: Wird diese Aufgabe ein externer oder ein interner Datenschutzbeauftragte umsetzen?
- Anschließend erfolgt die schriftliche Bestellung des internen oder externen Datenschutzbeauftragten (DSB).
- Der letzte Schritt ist die Umsetzung und Abarbeitung der priorisierten Aufgabenliste durch den bestellten DSB, die aus der Aufwandsanalyse vorliegt.
Diese Vorgehensweise hat sich bewährt, da sie sowohl für Unternehmen geeignet ist, die einen eigenen DSB schon bestellt haben, als auch für die, die sich mit dem Thema erst jetzt notgedrungen beschäftigen.
Man kann allen Verantwortliche nur raten: "Handeln Sie jetzt, bevor die Aufsichtsbehörde Ihnen vorschreibt, wie Sie den Datenschutz in Ihrem Unternehmen umzusetzen haben!" (Karl-Uwe Lüllemann/mf)