Das Thema Datenschutz ist in aller Munde – oftmals wird es jedoch nur mit entsprechenden Anforderungen für große Konzerne in Verbindung gebracht. Dabei spielt Datenschutz gerade auch für mittelständische Unternehmen eine bedeutende Rolle, und zwar nicht nur im technisch zu verstehenden Bereich der Datensicherheit. Denn eine Reihe von gesetzlichen Bestimmungen stellen Firmen – gleich welcher Art und Größe – auch vor rechtliche Herausforderungen.
Vielfältige Anwendungsbereiche
Das für die Privatwirtschaft maßgebliche Bundesdatenschutzgesetz findet immer dann Anwendung, wenn personenbezogene Daten durch den Einsatz von IT-Systemen erhoben, verarbeitet oder genutzt werden. Unter personenbezogenen Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen. Für Unternehmen ergeben sich damit entsprechende rechtliche Verpflichtungen sowohl im Innen- als auch im Außenverhältnis.
Beschäftigtendatenschutz
Zunächst gilt es also, die personenbezogenen Daten von Bewerbern und Mitarbeitern datenschutzkonform zu verarbeiten. Schon die herkömmliche Personalverwaltung erfordert eine Einhaltung gesetzlicher Datenschutzvorgaben. Oft werden zudem Beschäftigtendaten aus dem Haus gegeben, sei es im Rahmen einer externen Lohnbuchhaltung oder auch durch die Übermittlung im Firmenverbund zu Personalplanungszwecken (in letzterem Fall kommt verbundenen Unternehmen dabei entgegen häufiger Meinungen keine datenschutzrechtliche Privilegierung zugute). Aber auch außerhalb der Personalverwaltung bringen Themen wie Videoüberwachung, Bring-Your-Own-Device oder der Einsatz von Social Media stets Anforderungen an den Beschäftigtendatenschutz mit sich.
Kundendatenschutz
Im Außenverhältnis sehen sich mittelständische Firmen ebenfalls datenschutzrelevanten Regelungsbereichen ausgesetzt: das Speichern von Daten zu Ansprechpartnern bei Geschäftsverbindungen sowie von Informationen zu Endkunden ist ein entsprechend relevanter Vorgang. Oft kommen hier Kundendatenbanken zum Einsatz, die eine Vielzahl von Datenkategorien enthalten, um zum einen die Kundenhistorie umfassend zu dokumentieren und zum anderen ein gezieltes Marketing zu ermöglichen. Gerade bei Erfüllung dieses Zwecks schließen sich eine Reihe von weiteren Anforderungen in Bezug auf den Datenschutz an. So etwa beim Versand von Werbemails oder Newslettern bzw. bei der Ansprache über Social Media-Plattformen.
Datenverarbeitung durch externe Dienstleister
Unabhängig davon, ob es sich um die Verarbeitung von personenbezogenen Daten in den oben skizzierten Innen- und Außenbereichen handelt: immer mehr Unternehmen greifen dabei auf externe Unterstützung zurück. Dies reicht von der Inanspruchnahme von Cloud-Computing-Angeboten für bestimmte Geschäftsprozesse über die Fernwartung eigener Hard- und Software bis zum ganzheitlichen Outsourcing der IT-Umgebung. Die regelmäßig durch solche Maßnahmen verbundenen Kosteneinsparungen entbinden Firmen jedoch nicht von der Verpflichtung zur Einhaltung des Datenschutzes. Diese Verantwortung lässt sich nicht auslagern; gleichwohl kann man ihr rechtlich durch entsprechende Vereinbarungen zur Auftragsdatenverarbeitung begegnen.
Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten
Neben den inhaltlichen Anforderungen an den Datenschutz in den oben beschriebenen Bereichen haben Unternehmen aber auch entsprechend formelle Aspekte zu beachten. Eine wesentliche Anforderung liegt insbesondere in der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten: Sind mehr als neun Mitarbeiter in der automatisierten Datenverarbeitung beschäftigt (darunter fällt z.B. die Zugriffsmöglichkeit auf eine Kundendatenbank oder die Zuteilung eines geschäftlichen E-Mail-Accounts), muss ein Datenschutzbeauftragter bestellt werden. Dieser hat die Einhaltung des Datenschutzes im Unternehmen zu überwachen; eine entsprechende Fachkunde und Zuverlässigkeit wird dabei gesetzlich vorgeschrieben. Aufgrund möglicher Interessenkonflikte scheiden jedoch beispielsweise Geschäftsführer oder IT-Leiter für diese Funktion aus. Für viele Unternehmen kommt daher nicht nur aus Kostengründen die Bestellung eines externen Datenschutzbeauftragten bevorzugt in Frage.
Fazit
Die Anforderungen an den Datenschutz sind vielfältig – auch für mittelständische Unternehmen – und sollten nicht unterschätzt werden. Denn die Nichteinhaltung entsprechender Vorschriften kann Bußgelder nach sich ziehen und – im Zweifelsfall wiegt dies noch schwerer – einen Imageschaden in der Außendarstellung bewirken. Ein nachhaltiges Datenschutzkonzept, insbesondere durch den Abschluss notwendiger Vereinbarungen zum Datenschutz mit externen Dienstleistern, durch die Implementierung von Mitarbeiter-Richtlinien und die Durchführung von Schulungen zum Umgang mit personenbezogenen Daten sowie durch die Erstellung gesetzlich geforderter Dokumentationen stellt die Datenschutzkonformität im Unternehmen sicher.
Über den Autor:
Helge Kauert, LL.M. ist Rechtsanwalt und Partner der überörtlichen und auf das Datenschutzrecht spezialisierten Kanzlei Kinast & Partner Rechtsanwälte am Standort München. Er berät Unternehmen in allen Belangen des Datenschutzes und ist für Firmen unterschiedlichster Branchen und Größen als externer Datenschutzbeauftragter tätig. Weitere Informationen finden Sie unter www.kinast-partner.de/externer-datenschutzbeauftragter
