Aus dem Newsletter IT und IT-Recht 2015
Organisatorische Verpflichtungen, DV, Internationales und Spezialprobleme im Datenschutz
Weltweit hat die Bedeutung des Datenschutzrechts in den vergangenen Jahren signifikant zugenommen. Deutschland übernimmt durch seine strengen Vorschriften eine Vorreiterrolle, die auch auf europäischer Ebene sichtbar wird. Der Entwurf für die geplante EU-Datenschutzgrundverordnung weist erkennbar einen deutschen „Fingerabdruck“ auf.
Auch die deutschen Aufsichtsbehörden verstärken ihre Kontrolltätigkeit in letzter Zeit deutlich. Unternehmen haben sich daher in Zukunft auf strengere Kontrollen der Einhaltung der datenschutzrechtlichen sowie IT-sicherheitsrelevanten Vorgaben einzustellen: So wurden bereits 2013 vom Bayerischen Landesamt für Datenschutzaufsicht Bußgelder wegen eines sog. „offenen“ E-Mail-Verteilers (Nutzung der „CC“-Funktion anstelle der „BCC“-Funktion) verhängt. Im Mai 2014 wurden ebenfalls durch das Bayerische Landesamt für Datenschutzaufsicht Apps bayerischer und internationaler Anbieter überprüft;
die Festsetzung von Bußgeldern ist beabsichtigt.
Auch der Hessische Datenschutzbeauftragte hat erst vor Kurzem – gemeinsam mit 25 anderen Datenschutzbehörden aus weltweit 19 Ländern – über 200 mobile Apps daraufhin überprüft, ob die datenschutzrechtlichen Verpflichtungen eingehalten werden. Anfang September 2014 hat das Bayerische Landesamt für Datenschutzaufsicht bei über 2000 bayerischen Unternehmen das Sicherheitsniveau der eingesetzten Mailserver automatisiert überprüft; der Landesdatenschutzbeauftragte für den Datenschutz Rheinland-Pfalz hat wegen Verstößen im Rahmen der Direktwerbung Ende Dezember 2014 sogar ein Bußgeld in Höhe von EUR 1,3 Mio. gegen eine Krankenkasse verhängt.Nachlässigkeit in der Datenschutz-Compliance kann somit weitreichende Folgen für in Unternehmen, seine Geschäftsführer und sogar dessen Angestellten haben.
Erfahrungsgemäß gestaltet sich für Unternehmen die Schwerpunktsetzung bei der Beseitigung datenschutzrechtlicher Verstöße jedoch sehr schwierig –was genau bedeutet Datenschutz-Compliance, und welche Probleme sollten zuvorderst angegangen werden? Eine erste Hilfestellung hierfür bietet die nachfolgende Checkliste, die die wichtigsten datenschutzrechtlichen Pflichten von Einzel- und Konzernunternehmen abbildet:
ORGANISATORISCHE VERPFLICHTUNGEN
Eine der wichtigsten datenschutzrechtlichen Verpflichtungen ist die Herstellung einer für das jeweilige Unternehmen bzw. Konzern angemessenen Datenschutzorganisation. Erst wenn entsprechende organisatorische Vorkehrungen getroffen sind, kann überhaupt sinnvoll nachvollzogen werden, Inwieweit bestehende Datenverarbeitungsvorgänge rechtmäßig sind bzw. an welchen Stellen Nachbesserungsbedarf besteht. Zu den organisatorischen Pflichten gehören:
Bestellung eines Datenschutzbeauftragten
Regelmäßig ist bereits ab einer Mitarbeiterzahl von zehn Personen ein Datenschutzbeauftragter zu bestellen, welcher die Rechtmäßigkeit der Datenverarbeitungsvorgänge im Unternehmen überwacht, die Mitarbeiter im Datenschutz schult und die Datenschutzvorkehrungen im Unternehmen organisiert. Der Datenschutzbeauftragte hat auch die in seltenen Fällen vorzunehmende Vorabkontrolle bei Datenverarbeitungsvorgängen mit besonderen Risiken für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen vorzunehmen. Die Bestellung eines Datenschutzbeauftragten lässt die sonst gemäß § 4d BDSG erforderliche Meldung von Datenverarbeitungsverfahren bei den Datenschutzaufsichtsbehörden entfallen.
Verfahrensverzeichnis
Um für sich selbst, Aufsichtsbehörden und interessierte Dritte einen Überblick über die Datenverarbeitungsvorgänge im Unternehmen zu schaffen, sind (nicht öffentliche) Verarbeitungsübersichten sowie (öffentliche) Verfahrensverzeichnisse zu erstellen, welche sämtliche Datenverarbeitungsverfahren innerhalb des Unternehmens samt der verfolgten Zwecke aufzeigen.
Autoren: Dr. Axel von dem Bussche und Paul Voigt, Taylor Wessing
