Neuregelungen garantieren mehr Kontrolle beim Umgang mit persönlichen Daten
Spätestens seit dem Datenskandal bei der Deutschen Bundesbahn, bei Lidl und der Telekom ist das öffentliche Bewusstsein für den Datenschutz gestiegen. Der Gesetzgeber hat reagiert und das Bundesdatenschutzgesetz novelliert. Die Neuerungen gewährleisten mehr Transparenz und Kontrolle, stärken die Aufsicht und ermöglichen mehr Rechtssicherheit für den Bürger. Auch die Unternehmen werden verstärkt in die Pflicht genommen – etwa durch die Bestellung von betrieblichen Datenschutzbeauftragten, die jetzt einem erweiterten Kündigungsschutz unterstehen. Über ihre Aufgaben informiert Dr.-Ing. Rudolf Scheid-Bonnetsmüller, IT-Sicherheitsexperte und langjähriger Datenschutzbeauftragter.
Herr Scheid-Bonnetsmüller, wer braucht eigentlich einen Datenschutzbeauftragten?
Scheid-Bonnetsmüller: „Eigentlich jedes Unternehmen, das mit personenbezogenen Daten arbeitet. Viele Firmen sind zwar der Meinung, dass sie erst ab neun Personen, die mit personenbezogenen Daten zu tun haben, einen Datenschutzbeauftragten benötigen. Doch grundsätzlich hat jeder Unternehmer dafür zu sorgen, dass beim Umgang mit persönlichen Daten das Bundesdatenschutzgesetz eingehalten wird. Er muss sich also selber darum kümmern oder eine Person, die hierfür zuständig ist, benennen. Verfügt eine Firma über einen Datenschutzbeauftragten, muss sie kein Verfahrensverzeichnis, das alle eingesetzten automatisierten Verfahren zur Verarbeitung personenbezogener Daten umfasst, bei der Meldebehörde einreichen.“ Dies führt in der Regel dann der Datenschutzbeauftragte.
Genießt ein interner Datenschutzbeauftragter eigentlich einen besonderen Kündigungsschutz?
Scheid-Bonnetsmüller: „Ja, seit der Datenschutz-Novelle vom 1. September 2009 ist der interne Beauftragte nur aus wichtigem Grund kündbar. Er kann auch nicht ohne wichtigen Grund abbestellt werden, außer er tut dies selbst.“ Sogar in der Insolvenz kann er nicht ohne wichtigen Grund gekündigt oder abbestellt werden, und das ist auch gut so. Dadurch wird
seine Unabhängigkeit im Unternehmen gestärkt.
Welcher Handlungsbedarf besteht bei Unternehmen, wenn Daten-Lecks auffallen?
Scheid-Bonnetsmüller: „Unter bestimmten Umständen müssen sich die Unternehmen selber anschwärzen, das heißt: Die Datenpannen sind an die Betroffenen und an die Datenschutzaufsichtsbehörden zu melden. Eine Benachrichtigung muss beispielsweise immer dann erfolgen, wenn Daten unrechtmäßig übermittelt oder von ihnen Dritte unrechtmäßig Kenntnis genommen haben. Eine Benachrichtigung ist auch erforderlich, wenn es sich um besonders sensible Daten handelt – etwa von Berufsgeheimnisträgern, bei Daten mit Bezug zu strafbaren Handlungen oder Daten von Bank- und Kreditkartenkonten. Durch letztere hat sich der Adressatenkreis der Regelungen enorm erhöht. Auch Rechte oder schützwürdige Interessen von Betroffenen werden vor schwerwiegender Bedrohung geschützt.“
Können Sie typische Fälle nennen, bei denen Unternehmen es mit dem Datenschutz nicht so genau genommen haben?
Scheid-Bonnetsmüller: „Da gibt es krasse Beispiele wie ein Fall in Mainz, wo in zwei großen Papiercontainern Bewegungsunterlagen und sogar zahlreiche Lohnsteuerkarten von Arbeitnehmern gefunden worden sind. Eine Firma hatte ihre Geschäftsräume aufgegeben und die Unterlagen mit sensiblen Daten auf diese Weise achtlos entsorgt. Die Akten wurden mittlerweile unter Aufsicht des Landesdatenschützers von Rheinland-Pfalz vernichtet und ein Bußgeldverfahren gegen den Unternehmer eingeleitet. Mit Erfolg hat sich auch eine Klägerin gegen ihren Telekommunikationsanbieter durchgesetzt, der nach einer Tarifumstellung ihre vollständige Anschrift in Telefonbüchern und elektronischen Medien veröffentlich hatte, obwohl diese geheim bleiben sollte. Die Betroffene erhielt daraufhin unerwünschte Werbeanrufe. Sie widersprach der Veröffentlichung und der Weitergabe ihrer Daten an Dritte und legte nach mehreren erfolglosen Versuchen, die Datenbekanntgabe rückgängig zu machen, Klage ein und erhielt Recht. Deutlich hat dieser Fall auch gemacht, dass nach wie vor Systemfehler bei Unternehmen, die intensiv mit sensiblen Daten arbeiten, Verstöße gegen den Datenschutz auslösen.“
Welche Änderungen ergeben sich für Freiberufler, Selbständige und Unternehmen mit den Novellierungen?
Scheid-Bonnetsmüller: Das ist eine ganze Menge, es müssen meistens Anpassungen des Mahnverfahrens durchgeführt werden, neue Fristen eingehalten werden bei Auskunftspflichten, neue Regelungen bei der Speicherung von Bewerberdaten, die Datenschutzerklärung muss angepasst werden, kurz gesagt, Datenschutz muss teilweise neu organisiert werden, sonst kann es zu Verstößen kommen. Wichtig ist, eine kompetente Person, ob intern oder extern zu haben, die auch ausreichend Zeit dafür hat, den Datenschutz konform zu organisieren, zu kontrollieren und ständig voranzutreiben.
Welche Haftungsthemen kommen auf die Unternehmen zu?
Scheid-Bonnetsmüller: „Überraschend ist die deutliche Ausweitung der Bußgeldtatbestände, weniger die Erhöhung der Bußgelder. Die Aufsichtsbehörden wurden stark aufgewertet, die Auskunftspflichten gegenüber Betroffenen sind nun auch an Fristen gekoppelt.“
Kann sich der einzelne Bürger auch persönlich bei den Aufsichtsbehörden beraten lassen?
Scheid-Bonnetsmüller: „Natürlich. Jedes Bundesland besitzt eine eigene Datenschutzbehörde für die Kontrolle nichtöffentlicher Stellen, das heißt der Privatwirtschaft. In Bayern ist das Landesamt bei der Regierung von Mittelfranken eingerichtet worden. Hier können sich die Bürger kostenfrei über Datenschutzverletzungen beschweren. Die Datenschutzaufsichtsbehörde führt auch die Kontrollen durch. Sie dient betroffenen Bürgerinnen und Bürgern im Falles eines Verstoßens als Ansprechpartner und kann unter bestimmten Voraussetzungen gegen die verantwortlichen Stellen auch Sanktionen – zum Beispiel Bußgelder – festsetzen.“
X
