Datenschutz geht alle an

digital-579553_1280Datenschutz, Teil 1

Gerade im beruflichen Umfeld von Beratern und Vermittler ist das Risiko groß, gegen den Datenschutz zu verstoßen. Und das kann teuer werden. Auftakt zur neuen Monitor-Serie als Wegweiser durch die Datenschutzvorschriften.

Fehler sind menschlich: Ein falscher Knopfdruck kann genügen und schon ist ein vertraulicher Datensatz beim falschen Adressaten gelandet. Solche Fehler können passieren. Aber sie dürfen nicht passieren. Gerade, wenn es um sensible Daten geht, ist der Gesetzgeber streng. Und weil wir alle tagtäglich mit sensiblen Daten arbeiten, geht uns der Datenschutz auch alle etwas an, viel sogar.

Das BDSG (Bundesdatenschutzgesetz) schreibt etwas schwammig vor, dass im geschäftlichen Bereich, im Verein und sogar in gemeinnützigen Vereinigungen, in denen alle im Ehrenamt arbeiten, die geltenden Datenschutzbestimmungen einzuhalten sind. Konkret heißt dies: Es geht in allererster Linie darum, den Betroffenen zu schützen! Der Betroffene ist derjenige, der beispielsweise einem Vermittler oder Berater seine personenbezogenen Daten für einen Vertrag oder über ein Kontaktformular auf der Webseite gibt. Derjenige, der die Daten zu einem bestimmten Zweck vom Betroffenen erhebt, steht in der Verantwortung so mit den Daten umzugehen, dass dem Betroffenen durch Missbrauch kein Schaden entstehen kann. Deshalb heißt die Stelle, die Daten erhebt, auch „Verantwortliche Stelle“.

Zunächst ist es wichtig zu wissen, welche Unternehmenseinheit als verantwortliche Stelle auftritt und die Verantwortung trägt. Es ist die kleinste juristische Einheit, zu der die datenerhebende Stelle gehört. Das kann eine ganze Firma mit 1000 Mitarbeitern sein oder auch eine Tochtergesellschaft mit 20 Mitarbeitern oder eben auch ein Ein-Personen-Unternehmen. Das bedeutet jedoch auch, dass in einem Konzern nicht die Holding oder Muttergesellschaft für alle Konzernteile die verantwortliche Stelle ist. Aus Datenschutzsicht ist es zwar legitim, dass der gesamte Konzern nach denselben Regeln arbeitet, jedoch muss jede Einheit für sich diese Regeln verabschieden und ihre Verantwortung übernehmen. In Konzernen ist es daher auch nicht so einfach möglich, dass alle mit allen Daten arbeiten, unabhängig davon in welchem Teil des Konzerns sie erhoben wurden. Genau dieser Punkt ist jüngst der Apo-Bank zum Verhängnis geworden. Sie hat die Daten ihrer Kunden einfach so an die Tochter-Gesellschaft Apo-Bank-Finance weitergegeben und die haben damit gearbeitet, als ob es ihre eigenen Daten wären.

Bezüglich der Gesetze, die einzuhalten sind, unterscheidet das BDSG zwischen öffentlichen und nicht-öffentlichen Einrichtungen. Alle nicht-öffentlichen Unternehmen und die Bundesbehörden werden nach dem BDSG behandelt und alle anderen öffentlichen Stellen werden nach dem jeweils geltenden LDSG, dem Landesdatenschutzgesetz geregelt.

Datenschutzvergehen werden nicht durch Automatismen wie z.B. bei stationären Radarfallen festgestellt und geahndet, sondern fallen meist erst dann auf, wenn sich ein Betroffener beschwert oder die Medien Wind davon bekommen. Dann muss die Aufsichtsbehörde des Landes aktiv werden und dem Fall nachgehen. Je nachdem werden die Mitarbeiter der Aufsichtsbehörde dabei auch weitere Verstöße feststellen können, als nur den einen, der die Kontrolle ausgelöst hat. Neben Verwarnungen kann es auch empfindliche Strafen geben. Ein Beispiel für eine solche Strafe wäre, dass die Aufsichtsbehörde sich an den Datenschutzbeauftragten (DSB) der Firma wenden möchte und dieser nicht vorhanden ist. Unter welchen Voraussetzung ein Unternehmen verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, erfahren Sie im nächsten Artikel der Reihe „Datenschutz“.

Satte Strafen bei Verstößen

Wenn die Firma einen DSB bestellen muss und das nicht tut, können bis zu 50.000 € fällig werden. Werden unbefugt personenbezogene Daten verarbeitet, sieht der Strafenkatalog bis zu 300.000€ vor und wenn man für diese unbefugte Nutzung auch noch Geld nimmt, kann es zu einer Freiheitsstrafe bis zu 2 Jahren kommen. In bestimmten, gravierenden Situationen ist die Firma sogar verpflichtet, ein Datenschutzvergehen zu melden. Das ist zwar äußerst peinlich, aber besser, als sich bei Bekanntwerden sogar zwei Vorwürfen ausgesetzt zu sehen: Dem Verstoß und der Nicht-Meldung.

Und noch ein weiterer Passus macht die Idee, die Strafe einfach mal in Kauf zu nehmen, unter Umständen sehr teuer. Es heißt nämlich auch, dass die Strafe den wirtschaftlichen Vorteil übersteigen soll, den man sich durch die Nichteinhaltung der Datenschutzgesetze verschafft hat. Ein Beispiel: Firma X hat sich seit zehn Jahren die Bestellung eines Datenschutzbeauftragten gespart. Schon allein die Personalkosten für einen internen Datenschutzbeauftragten kann man bei niedriger Schätzung auf 7.500 € / Jahr schätzen. In 10 Jahren hat die Firma also mindestens 75.000 € gespart. Es ist nicht schwer zu ermitteln, wie hoch das Strafmaß bei Verstößen ausfallen wird.

Kontakt:

Startklar – Rose MüllerBild Rose Mueller
Bei der Kelter 5
74321 Bietigheim-Bissingen

Telefon: 07142 3392343
Fax: 07142 9669588
Mobil: 01577 3366800
E-Mail: dsb@startklar-rosemueller.de
Web: www.startklar-rosemueller.de