Die Themen Datenschutz und Datensicherheit sind allgegenwärtig. Während in den Jahren 2007 und 2008 einige große deutsche Unternehmen mit Skandalen aufgrund von Missbrauch von Arbeitnehmerdaten auf sich aufmerksam gemacht hatten, steht aktuell vor allem das Thema Datensicherheit auf der Medienagenda. Vom "Abhandenkommen" sensibler Steuerdaten bei einer Schweizer Bank über Datenklau bei einem Versicherungsunternehmen bis hin zur Entwendung von Emissionshandelszertifikaten: die Anlässe sich mit dem Thema zu befassen sind vielfältig. 

Der Gesetzgeber hat bereits Mitte 2009 auf die zahlreichen Datenskandale reagiert und eine Novelle des Bundesdatenschutzgesetzes (BDSG) verabschiedet, die seit dem 01.09.2009 in Kraft ist, und zahlreiche neue Herausforderungen für Unternehmen jeglicher Größe und Branche birgt. 

Für wen gilt das Gesetz?

In der Vergangenheit gab es insbesondere bei KMU häufig Missverständnisse, was den Geltungsbereich des BDSG betrifft. Häufig wurde die auf die Mitarbeiterzahl bezogene Grenze, ab der ein Datenschutzbeauftragter bestellt werden muss, fälschlicherweise auf das gesamte BDSG übertragen. Das Gesetz betrifft jedoch grundsätzlich alle Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen (und zwar unabhängig von der Anzahl der Mitarbeiter). Zu diesen personenbezogenen Daten zählen nicht nur Kunden- und Lieferantendaten, sondern auch die Daten der Beschäftigten des Unternehmens. Dabei ist anzumerken, dass das BDSG ein sehr weite Definition des "Beschäftigten" anwendet: neben den Angestellten eines Unternehmens zählen auch Bewerber und ehemalige Mitarbeiter dazu. Das BDSG gilt somit für Unternehmen jeglicher Größe und Branche.

Was hat sich geändert?

Eine der Hauptneuerungen betrifft den Umgang mit Kundendaten zu Werbezwecken. Zwar gelten weiterhin zahlreiche Ausnahmen, grundsätzlich haben sich die Regelungen allerdings verschärft.

Der Gesetzgeber hat auch den Schutz von Arbeitnehmerdaten etwas verbessert und die bei Verstößen drohenden Geldbußen erhöht. Das Gesetz setzt außerdem neue Maßstäbe bezüglich organisatorischer und technischer Maßnahmen, die den Datenschutz gewährleisten sollen. So sollen personenbezogene Daten beispielsweise (wo möglich) verschlüsselt und anonymisiert oder pseudonymisiert werden. Ebenso sind alle Mitarbeiter, die mit personenbezogenen Daten in Berührung kommen, auf das Datengeheimnis nach §5 BDSG zu verpflichten.

Hinzu kommt, dass die Haftung des Unternehmens bei Auslagerung von Datenverarbeitungsprozessen verstärkt wurde. Dies gilt beispielsweise auch bei der Personalabrechnung durch den Steuerberater oder der Inanspruchnahme von IT-Dienstleistungen.

Was ist zu tun?

Wir empfehlen allen Unternehmen sich zunächst intensiv mit den vom Gesetzgeber verlangten Anforderungen auseinander zu setzen und anschließend zu prüfen, ob alle relevanten Geschäftsprozesse gesetzeskonform sind, und diese gegebenenfalls den neuen Anforderungen anzupassen. Hierfür hat die GUT Unternehmens- und Umweltberatung auf Basis der BDSG-Novelle, sowie anderer relevanter Gesetzestexte, eine Checkliste für interne Datensicherheits- und Datenschutzaudits erarbeitet. Gleiches gilt für unsere Vorlagen der Verpflichtungen auf das Datengeheimnis nach §5 BDSG für Mitarbeiter und Fremdunternehmen, sowie unsere Vorlage einer Regelung zur Nutzung des Internets durch Mitarbeiter. 

Wichtig wird es ebenso sein, die Mitarbeiter mit den neuen Anforderungen vertraut zu machen und sie entsprechend zu schulen; ein entsprechendes Schulungsmodul haben wir bereits erarbeitet. Auch bei der Erarbeitung einer Datenschutzpolicy, die unter Umständen nützlich sein kann, unterstützen wir Sie gerne.

Wenn mehr als neun Mitarbeiter ständig mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beschäftigt sind, muss außerdem ein Beauftragter für den Datenschutz bestellt werden.

Grundsätzlich gilt, dass das Thema Datenschutz keine einmalige Aufgabe ist, sondern ein stetiger Prozess, der regelmäßig überprüft und gegebenenfalls verbessert werden sollte. Idealerweise sollten die datenschutz- und datensicherheitsrelevanten Prozesse in ein bereits bestehendes Managementsystem integriert werden. Gerne stehen wir Ihnen mit unserem Know-How und unseren Erfahrungen bei der Realisierung dieses Prozesses zur Seite und helfen Ihnen ein für Ihr Unternehmen geeignetes Datenschutzkonzept zu erstellen.

typo3/sysext/cms/layout/db_layout.php?id=107#