Datenschutznovelle – Das müssen Unternehmen beachten

Anja Schütz,

Heute, am 28. Januar 2010, ist der 4. Europäische Datenschutztag – das haben wir zum Anlass genommen, den Unternehmen nochmal genau vor Augen zu führen, welche Bedeutung die Datenschutznovelle hat und was genau beachtet werden muss.

Hohe Bußgelder möglich

Verstößt ein Unternehmen gegen die Vorschriften, droht im Falle einer unterbliebenen, verspäteten oder inhaltlich falschen Information ein Bußgeld. “Eine Meldung, die nur die halbe Wahrheit enthält, ist in der Praxis ebenso riskant wie eine, die so unverständlich verklausuliert ist, dass ein Betroffener die für ihn bestehenden Risiken kaum abzuschätzen vermag. Dies wirkt sich dann auch auf die Höhe des Bußgeldes nach Paragraph 43 BDSG aus”, erläutert Schultze-Melling. Dessen Höhe soll dabei laut Gesetzesnovelle den wirtschaftlichen Erfolg übersteigen, der gegebenenfalls durch das datenschutzwidrige Verhalten erzielt wurde. In besonders schweren Fällen kann daher auch die Bußgeldobergrenze von 300.000 Euro überschritten werden.

Arbeit mit Dienstleistern geregelt

Ein weiterer Aspekt der Gesetzesnovellierung betrifft die Auftragsdatenverarbeitung (ADV). Wann immer ein Unternehmen personenbezogene Daten von einem fremden Dienstleistungsunternehmen verarbeiten lässt, bleibt es aus datenschutzrechtlicher Sicht für diese verantwortlich. Bereits vor dem 1. September galt die Regel, dass die entsprechenden Aufträge schriftlich dokumentiert werden müssen. “Nach der Novellierung beschreibt das BDSG jedoch auch den Inhalt dieser Verträge deutlich detaillierter”, so der Rechtsexperte

Der Auftraggeber muss zudem sicherstellen, dass die Vereinbarungen korrekt eingehalten werden. “Wer für eine Direkt-Marketing-Kampagne einen Letter Shop bei einem Dienstleister beauftragt, muss vorher und auch danach immer wieder prüfen, ob dieser alle Bestimmungen einhält. Gleiches trifft für Call-Center, Internet-Provider, Storage-Anbieter und alle anderen zu, die mit der Verarbeitung von personenbezogenen Daten beauftragt werden”, erklärt der Rechtsexperte. Dabei gilt, je sensibler die Daten und je größer somit der potenzielle Schaden, desto öfter und desto umfangreicher die Kontrollen. Diese müssen für einen späteren Nachweis sorgfältig dokumentiert werden. Fehlt dem Unternehmen selbst das nötige Know-how, muss es Dritte mit der Durchführung eines Datenschutz-Audits beauftragen.

Erprobte Standards nutzen

Datenverluste sind an der Tagesordnung. Dies zeigt eine Studie des Ponemon Institutes und des IT-Anbieters Symantec aus dem Januar 2009: Rund zwei Drittel der befragten Arbeitnehmer haben demzufolge beim Verlassen ihres vorherigen Arbeitgebers vertrauliche Unternehmensdaten wie Kundenkontakte mitgenommen. 82 Prozent gaben an, dass ihr Arbeitgeber keine Durchsicht oder Prüfung elektronischer oder gedruckter Dokumente veranlasst hatte, bevor sie ihren Arbeitsplatz verließen.