Nach weitverbreiteter Ansicht kristallisiert sich heraus, dass der Datenschutz eine nur untergeordnete Rolle im Arbeitsalltag spielt. Befasst sich ein Unternehmen jedoch zunehmend mit der Materie des Datenschutzes, tritt statt des anscheinend hohen bürokratischen Aufwandes das greifbare Potential des Datenschutzes in den Vordergrund.

Die Grundlage des Datenschutzrechtes bildet das grundgesetzlich verankerte Recht auf informationelle Selbstbestimmung (Artikel 1 und 2 Grundgesetz), welches die Persönlichkeit des Einzelnen in den Vordergrund stellt. Datenschutz sollte daher in Verbindung mit einer frühzeitigen Risikominimierung zum Schutz der von der Datenverarbeitung betroffenen Personen gebracht werden. Gleichwohl ist auch der Gesichtspunkt der Datensicherheit als gemeinsame Schnittmenge mit dem Datenschutz durch technische und organisatorische Maßnahmen zu sichern. Hinsichtlich der wettbewerbsrechtlichen Konkurrenz-Situation kann eine positiv ausgestaltete Datenschutzorganisation zur Vorbeugung von Image- und Reputationsverlusten und der compliancekonformen Sicherung der Qualitätsstandards beitragen. Zugleich spielt der informationstechnologische Fortschritt in Bezug auf die Verwaltung mittels Computersystemen und die steigende technische Affinität zu maschinellen und softwaregestützten Hilfsmitteln im wirtschaftlichen Arbeitsalltag im Bereich des Datenschutzes und der Datensicherheit eine immer bedeutendere Rolle; jenes verlangt auch eine eingehende Auseinandersetzung.

Perspektivisches Ziel im Unternehmen sollte es also sein, sich mit dem Datenschutz zu befassen und die Grundlagen einer datenschutzgerechten Organisation zu etablieren. Unabhängig von der Maßgabe, einen Datenschutzbeauftragten zu bestellen sind auch ohne diese Verpflichtung allgemeine gesetzliche Normen, beispielsweise aufgrund von Bundes- und Landesdatenschutzgesetzen, zu beachten. Das Bundesdatenschutzgesetzt (BDSG) stellt eine Grundlage dar, jedoch tritt es subsidiär in den Hintergrund, wenn ein konkretes Spezialgesetz einschlägig ist oder sich branchenspezifische Regelungen ergeben. Beispielsweise sind bei der E-Mail- und Internetnutzung die Normen des Telemediengesetztes (z. B. §§ 1-16 TMG) und des Telekommunikationsgesetzes (z. B. §§ 88 ff. TKG) zu berücksichtigen.

Ein datenschutzkonformes Handeln schützt personenbezogene Daten vor unbefugter Erhebung, Verarbeitung oder Nutzung. Dies sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Werden diese Daten in Form von Kunden-, Geschäftspartner- und Beschäftigtendaten zur Ausführung des operativen Geschäftes erhoben, bedarf es daher der Einhaltung weiterer Regularien. Den wohl bedeutendsten stellt das präventive Verbot mit Erlaubnisvorbehalt dar; demnach ist grundsätzlich jede Datenerhebung verboten, es sei denn, der Betroffene willigt ein (bestimmte Voraussetzungen) oder ein Gesetz erlaubt dies. Weitere Grundsätze sind die Einhaltung der Erforderlichkeit, Zweckbindung, Datensparsamkeit, Datenvermeidung und Transparenz (Benachrichtigung und Information). Zur Wahrung dieser Prinzipien stehen der von der Datenverarbeitung betroffenen Person (Kunden, Mandanten, Beschäftigte) ausdifferenzierte Rechte – sog. Betroffenenrechte – zu z. B. das Recht auf Auskunft und Benachrichtigung. Weiterhin kann auch eine Sperrung von Daten notwendig sein, wenn die Daten aufgrund von Aufbewahrungsfristen (z. B. § 257 Handelsgesetzbuch, § 147 Abgabenordnung) noch nicht gelöscht werden dürfen.

Gleichwohl, und dies ist ein praktisches Einfallstor für bußgeld- und strafbewehrte Rechtsverletzungen, sollten datenschutzrechtliche Problemstellungen unternehmensbezogen  sowie risiko- und gefährdungsanlaysierend evaluiert werden, z. B. in Fällen der Einschaltung Dritter (Auftragsdatenverarbeitung wie z. B. Cloudanbieter, Lohnbuchalter), Datenübermittlung ins (außereuropäische) Ausland und aufsichtsrechtliche Meldepflichten, um auf etwaige Konstellationen reagieren zu können. Insbesondere – hier liegt ein Schwerpunkt der vorzunehmenden Maßnahmen – bedarf eine strukturierte Verwaltung und Datenschutzorganisation eine ausführliche Dokumentation und Archivierung und der Etablierung eines „gelebten“ Datenschutzes durch die Mitarbeiter. Um dies aufsichtsgerecht umzusetzen und den Regelungen des Bundesdatenschutzgesetzes zu entsprechen sollten zumindest Verarbeitungsübersichten und Verfahrensverzeichnisse, Datenschutzkonzepte, Verpflichtungserklärungen auf das Datengeheimnis, Geheimhaltungsvereinbarung u. a. vorgehalten werden. Bei einem Verstoß können erhebliche bußgeld- und ordnungsrechtliche Konsequenzen (derzeit bis zu 300.000,00 € – künftig mehr) drohen; gleichfalls ist eine Strafverfolgung bis hin zur persönlichen Haftung und Freiheitsstrafe für die Verantwortlichen (Datenschutz ist Chefsache) möglich. Die weitere Rechtsentwicklung wird auch von der in der Diskussion stehen geplanten Datenschutzgrundverordnung (vgl. Gesetzesentwurf) beeinflusst, welche auf europäischer Ebene die datenschutzrechtlichen Vorschriften harmonisieren soll.

Insbesondere im rechtsgeschäftlichem Umgang mit Verbrauchern (B2C) wurde Anfang Februar 2015 ein Gesetzesentwurf von der Bundesregierung gefasst, welcher es Verbraucherschutzverbänden erlauben soll, gegen die Nichteinhaltung von datenschutzrechtlichen Vorgaben (vgl. Gesetzesentwurf § 2 Abs. 2 in Nr. 11 UKlaG) zu klagen. Für den Verbraucher soll zudem nun ein über die Betroffenenrechte der §§ 33 ff. BDSG hinausgehendes Mittel zur Durchsetzung zivilrechtlicher Ansprüche eingeführt werden. Die neuen Regelungen betreffen vor allem Daten, die zu Zwecken der Werbung, Markt- und Meinungsforschung, Bonitätsprüfung, Persönlichkeits- und Nutzungsprofilbildung, Adress- und sonstigem Datenhandel (z. B. soziale Netzwerke, Internetangebote, Apps für mobile Endgeräte oder Kundenkarten) erfasst werden.

Auch im Unterlassungsklagegesetz sollen demzufolge künftig Umstände zu einer gerichtlichen Durchsetzbarkeit führen, welche sich aus der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von einem Verbraucher durch den Unternehmer ergeben, wie beispielhaft: Datennutzung ohne Einwilligung. Durch die Würdigung der gesamten Umstände soll eine missbräuchliche Verwendung ausgeschlossen werden.

Als Fazit ist festzuhalten, dass, um datenschutzrechtliche Schwachstellen auch in kleineren Unternehmen zu minimieren, eine umfassende Sensibilisierung der Beteiligten und der Aufbau als auch die Aufrechterhaltung einer aufsichtskonformen Datenschutzorganisation erforderlich ist. Die  gegenwärtige Entwicklung zeigt, dass der Datenschutz eine nicht mehr zu vernachlässigende Funktion einnimmt, um den Einzelnen mit seinen personenbezogenen Daten zu schützen. Die entstehenden Haftungsrisiken lassen sich unternehmensbezogen und pragmatisch als auch vertriebsorientiert etablieren.

Die datarea GmbH hat sich auf die rechtssichere, aufsichtsgerechte und praxisorientierte Umsetzung datenschutzrechtlicher Belange spezialisiert. Gern stehen Ihnen die TÜV(®)-zertifizierten Mitarbeiter für Rückfragen und individuelle Analysen der gegenwärtigen Datenschutzorganisation (Auditierungen) zur Verfügung.