… und hier ein Beitrag für Firmen und Haidmühle (und anderswo), die keinen Ärger mit der Landesdatenschutzbehörde möchten:
Der Gesetzgeber sagt, dass persönliche Daten Ihrer Kunden, Mitarbeiter, Lieferanten und sonstiger Personen, mit denen Ihre Firma zu tun hat, zu schützen sind. Dazu wurde das Bundesdatenschutzgesetz (BDSG) geschaffen. Falls Unternehmer das Falsche tun, droht es mit einer 300.000 Euro schweren Keule – pro Schadensfall. Damit Sie diese Keule nicht auf den Kopf bekommen, sind hier einige Fragen und Antworten zu dem Thema .
Betrifft mich das Bundesdatenschutzgesetz?
Ja, falls Sie ein Unternehmen der Privatwirtschaft sind (egal, wie groß oder klein die Firma ist), und Sie Daten natürlicher Personen (also Menschen) in Deutschland erheben oder verarbeiten. Und das tun Sie, sobald Sie mehr als einen Mitarbeiter oder Kunden haben.
Was sind personenbezogene Daten?
Name, Adresse, Geburtsdatum, Konfession, Foto, Firmenzugehörigkeit, Urlaubsplanung, Bildungsstand, Kenntnisse, Bankdaten, Verhaltensdaten, Gesundheitsdaten, Lieferantendaten, E-Mails, Telefongespräche, etc.
Geschützt sind übrigens auch die Daten Ihrer Mitarbeiter, die „informationelle Selbstbestimmung“ Ihrer Mitarbeiter sowie deren Persönlichkeitsrechte, was zu manchen Einschränkungen führen kann, z.B. bei der Videoüberwachung.
Was darf ich beispielsweise nicht tun?
– Ihrem Lieferanten Meier mitteilen, dass bei Ihrem Kunden Müller ein Herr Klaus Weber arbeitet.
– Ohne wirklich guten Grund oder ohne die Zustimmung von Herrn Bäcker beispielsweise die Informationen elektronisch verarbeiten, dass er Buddhist ist, homosexuell, in der Gewerkschaft oder der CSU ist. Solche Daten sind besonders sensibel.
– Den öffentlichen Bereich vor Ihrer Firma per Video überwachen.
– Ihre Mitarbeiter durch Videokameras überwachen, ohne dass ein wirklich guter Grund vorliegt (z. B. Verhinderung von Diebstahl). Videoüberwachung ist ein sehr sensibles Thema, Sie müssen sehr vorsichtig vorgehen und sich Rat holen.
– Wenn Sie von Ihrem Lieferanten ein E-Mail bekommen, in dem der Name des Sachbearbeiters steht, dürfen Sie dieses E-Mail nicht ausdrucken und irgendwann in den Papierkorb werfen, ohne den Ausdruck zu vernichten (schreddern).
– Kopieren, Scannen und Speichern von Personalausweisen ist gesetzeswidrig.
… und noch ganz viel mehr.
Was kann mir passieren, wenn ich so tue, als wüsste ich von nichts?
– Wer die datenschutzrechtlichen Bestimmungen nicht beachtet, muss rechnen mit: Bußgeld- und Strafverfahren, Schadenersatzforderungen, arbeitsrechtlichen Konsequenzen, Meldung an die Gewerbeaufsicht, Zwang zum Löschen von Daten etc.
Wer personenbezogene Daten fahrlässig erhebt oder verarbeitet, muss mit einem Bußgeld von bis zu 300.000 Euro pro Schadensfall rechnen.
Geschäftsführer haften hierbei mit ihrem Privatvermögen, D&O-Policen schützen hier übrigens nicht, da man dabei normalerweise von grober Fahrlässigkeit ausgeht. Möglicherweise gibt es sogar strafrechtliche Konsequenzen.
– Sie müssen nach §4d BDSG ein Verzeichnis der benutzten Verfahren, mit denen personenbezogene Daten bei Ihnen automatisiert verarbeitet werden, erstellen. Keines zu haben, ist mit einem Bußgeld behaftet.
– Sollten Sie mit externen Dienstleistern, die in Ihrem Auftrag personenbezogene Daten verarbeiten, keinen Vertrag zur Auftragsdatenverarbeitung haben, der den Anforderungen des BDSG genügt, droht ein Bußgeld von bis zu 50.000 Euro.
Zu all dem kommen Imageschaden und Vertrauensverlust.
Muss ich wirklich diese hohen Strafen zahlen?
Ich vermute (…vermute!), dass die Behörde, sollte sie auf Sie aufmerksam werden und bei einer Überprüfung feststellen, dass Sie datenschutzrechtliche Bestimmungen missachtet haben, maßvoll urteilen wird. Das Strafmaß dürfte irgendwo zwischen diesen beiden Extremen liegen: Sie kommen mit einem blauen Auge davon und man zwingt Sie nur, das eine zu tun und das andere zu lassen. Oder, falls Sie auf haarsträubende Weise die Bestimmungen missachtet haben, dürfte das volle Bußgeld fällig werden.
Wir nehmen es mit dem Datenschutz nicht so genau. Wie wahrscheinlich ist es, dass wir auffliegen?
Die Landesdatenschutzbehörde des Bundeslandes in der, grob gesprochen, Ihre Firma sitzt, ist für Sie zuständig.
Diese Behörden sind personell nicht sehr üppig ausgestattet, die Wahrscheinlichkeit, zufällig „aufzufliegen“ ist wohl nicht hoch. Eher könnte es sein, das jemand, der Ihnen schaden will, Sie anzeigt. Dann wird die Behörde zu einer Prüfung in Ihre Firma kommen. Und das wird mühsam bis brenzlig!
Es gilt aber auch dies: Eben, weil die Behörden nicht alles selbst kontrollieren können, wurde der Zwang zum Datenschutzbeauftragten geschaffen. Er ist gewissermaßen der verlängerte Arm der Behörde und muss, bei schlimmen Verstößen, sogar gegen seine Geschäftsleitung vorgehen.
Wer kann mir Mühe und Ärger machen?
Jeder, dessen personenbezogene Daten Sie verarbeiten, kann von Ihnen Auskunft, Löschung, Korrektur, Sperrung der Daten und ggf. Schadensersatz verlangen.
Jeder (wirklich jeder) kann von Ihnen ein Verzeichnis der Verfahren verlangen, mit denen Sie personenbezogene Daten verarbeiten. Sie haben dann 10 Tage Zeit, eines zu liefern. Das kann recht lästig sein.
Wir schicken Daten ins Ausland!
Dies ist ein komplexes Thema. Nur kurz: Übermittlung von Daten, die in Deutschland erhoben wurden, in´s EU-Ausland und einige als sicher eingestufte Länder (z. B. Schweiz) ist unkritisch, dem Safe-Harbour Abkommen (USA) traut in Europa niemand mehr, und falls Sie Daten in ein als unsicher eingestuftes Drittland (z. B. Rußland) senden, lesen Sie §4c BDSG.
Soll ich erlauben, dass meine Mitarbeiter ihre geschäftlichen E-Mail-Adressen für persönliche Zwecke gebrauchen?
Nein. Sie hätten dann nämlich keine Möglichkeit mehr, legal die E-Mails Ihrer Mitarbeiter zu lesen. Das ist aber manchmal nötig, z. B. bei Urlaub oder längerer Krankheit. Verbieten Sie die private Nutzung der geschäftlichen E-Mail Adressen. Prüfen Sie gelegentlich, ob das Verbot eingehalten wird, ansonsten verlieren Sie Ihr Recht darauf!
Ihre Mitarbeiter haben durch das Verbot übrigens keine Einschränkung. Jeder Berufstätige hat heute eine private E-Mail Adresse.
Brauche ich einen Datenschutzbeauftragten?
Falls Sie eine „natürliche Person“ sind (z. B. Handwerker) ODER Ihr Unternehmen eine „juristische Person“ ist (z. B. GmbH, eingetragener Verein, Handwerksbetrieb), ODER eine Personengesellschaft ODER ein „nicht rechtsfähiger Verein“ (z. B. Parteien) UND wenn in diesem Unternehmen mehr als 9 Personen per Computer auf personenbezogene Daten zugreifen, müssen Sie einen Datenschutzbeauftragten (DSB) bestellen. Wer mit sensiblen Daten arbeitet (z. B. Steuerberater) braucht, auch wenn weniger als 9 Personen auf diese Daten zugreifen, einen DSB.
Wer kann Datenschutzbeauftragter sein?
Jeder, der zuverlässig und fachkundig (auch auf dem Gebiet der IT) ist, und seine Kenntnisse in die Praxis umsetzen kann. Nicht bestellt werden dürfen: Geschäftsführer, Personen mit Interessenskonflikt (z. B. IT-Leiter, Personalleiter, Rechtsanwälte, die als Anwalt für die Firma tätig sind). Ebenso sollte man die Bestellung engerer Verwandter vermeiden. Sie können auch einen externen Datenschutzbeauftragten bestellen.
Welches Risiko habe ich, wenn ich keinen Datenschutzbeauftragten bestelle, obwohl ich müsste?
Wenn Sie keinen Datenschutzbeauftragten bestellen oder nur einen zum Schein, wird ein Bußgeld fällig, das bis zu 50.000 Euro betragen kann. Geschäftsführer haften hier mit ihrem Privatvermögen, D&O-Policen schützen nicht, da man hier normalerweise von grober Fahrlässigkeit ausgeht.
Was gilt noch?
Der DSB ist der Geschäftsleitung unmittelbar unterstellt und nur dieser berichtspflichtig. Gleichzeitig ist er weisungsfrei, das heißt, man darf ihm nicht vorschreiben, wie er seinen Job machen soll.
Der DSB hat einen besonderen Kündigungsschutz. Man wird ihn nicht so einfach wieder los.
Sorgt der Datenschutz nicht für schlimme Einschränkungen für unsere IT?
Das kommt auf den Standpunkt an: Die IT darf jetzt nicht mehr achtlos mit den Daten umgehen, sondern muss darauf achten, wie sie erhoben, verarbeitet, gespeichert und vernichtet werden. Das hat aber auch viel Potential zum Guten: Nachdem Sie Maßnahmen zum Datenschutz in Ihrer IT eingeführt haben, wird Ihre IT insgesamt sicherer, Ihre Firma ist wahrscheinlich besser vor Datenverlust, Datendiebstahl und Industriespionage geschützt.
„Das ist doch alles ein großer Mist!“
Das kommt auf den Standpunkt an. Als Privatmann bin ich froh, in einem Staat zu leben, der sich (zumindest ein wenig) um den Datenschutz kümmert. Ich bin z. B. recht erleichtert, dass mein Arzt meine Befunde nicht an Versicherungen oder Pharmunternehmen verkaufen darf.
Als Unternehmer hingegen würde ich mich vielleicht freuen, beliebig viele Daten über Kunden sammeln zu dürfen und alle meine Mitarbeiter durch Videokameras überwachen zu können. Wie geht man mit diesem Zwiespalt um? Vielleicht so: Firmen, die gute Produkte haben, und ein gutes Marketing betreiben, müssen die Leute nicht gegen deren Willen mit Reklame überfluten, zu denen kommen Kunden von sich aus. Denen geben Kunden ihre Daten gerne. Und wer eine gute Firmenkultur betreibt, die richtigen Leute einstellt und die toxischen Typen draußen lässt, muss nicht per Video überwachen.
Was ist das Minimum, das ich tun sollte, um bei einer behördlichen Überprüfung gut dazustehen?
Hier meine Hitliste:
1) Bestellen Sie einen Datenschutzbeauftragten. Der wird Ihnen viel Arbeit abnehmen.
Falls Sie keinen bestellen müssen und auch nicht wollen:
2) Lesen Sie sich in die Materie ein. Sie müssen nämlich trotzdem Datenschutz betreiben. Im Internet gibt es dazu alles, was Sie wissen müssen.
3) Verfassen Sie eine „Verpflichtung auf das Datengeheimnis“ nach §5 BDSG, welche von jedem internen und externen Mitarbeiter (auch Azubis, Praktikanten, Hausmeister, externe Reinigungskräfte) Ihrer Firma zu unterschreiben ist.
Falls z. B. die Reinigungskräfte ständig wechseln, sie daher keine Datenschutzerklärung unterschreiben können, und sich diese Personen z. B. abends alleine in den Firmenräumen aufhalten, müssen Sie Ordner, in denen personenbezogenen Daten stehen, wegschließen.
4) Setzen Sie eine Erklärung zum Datenschutz auf Ihre Webseite. Benutzen Sie dazu einen der Generatoren im Internet.
5) Erstellen Sie ein Verzeichnis der benutzten Verfahren aller Abteilungen, mit denen personenbezogene Daten bei Ihnen automatisiert (per Computer) verarbeitet werden (z. B. E-Mail, Datenbank, Office). Halten Sie dieses Verzeichnis bei Änderungen aktuell. Siehe §4d des BDSG!
6) Bereiten Sie sich darauf vor, dieses Verzeichnis jedem, der es sehen will, zukommen lassen zu können.
7) Erstellen Sie eine Übersicht über die technischen und organisatorischen Maßnahmen Ihrer Firma, um personenbezogene Daten zu schützen (Beispiele: PC-Zugang nur mit Passwort, Aktenschränke verschlossen). Das müssen Sie bei einer behördlichen Überprüfung vorweisen können. Siehe die Anlage zum § 9 BDSG.
8) Verbieten Sie die private Benutzung der geschäftlichen E-Mail Adressen. Das schützt Sie vor Ärger mit Telekommunikations- und Telemediengesetz.
9) Sie brauchen dringend, sofort und unbedingt saubere Verträge zur Auftragsverarbeitung mit externen Auftragnehmern (z. B. IT-Dienstleister, Webmaster, Aktenvernichter, Lohnbuchhalter). Siehe § 11 BDSG.
10) Sie müssen überprüfen (indem sie hingehen und nachsehen), dass diese Auftragnehmer den Datenschutz beachten.
11) Senden Sie keine Dateien, in denen sich personenbezogene Daten befinden, als E-Mail zu externen Stellen, ohne diese Daten bzw. Dateien vorher zu verschlüsseln.
12) Stellen Sie einen Schredder auf. Werfen Sie Papier, auf dem persönliche Daten (z. B. Namen von Kunden) stehen, nicht mehr in den Papierkorb, sondern vernichten Sie es. Werfen Sie keinen PC weg, ohne die Festplatte zu überschreiben. Löschen reicht nicht.
13) Verschlüsseln Sie personenbezogene Daten auf mobilen Datenträgern (Laptops, USB-Sticks, Smartphones).
14) Schulen Sie Ihre Mitarbeiter über den Datenschutz. Dokumentieren, Sie, dass Sie trainiert haben.
Ich habe noch Fragen
Kein Problem, fragen Sie Ihren lokalen, TÜV-zertifizierten Datenschutzbeauftragten (also mich 
).
Im Rahmen der Nachbarschaftshilfe beantworte ich Ihre Fragen kostenlos (wenn es nicht zuuuu viele sind, irgendwann muss ich auch mal ins Bett).