Momentan in aller Munde und von vielen Arbeitgebern wahlweise gefürchtet oder für zu kompliziert befunden: die neue europäische Datenschutzgrundverordnung (DSGVO) und das reformierte deutsche Bundesdatenschutzgesetz (BDSG). Warum man sich als Arbeitgeber vor den neuen gesetzlichen Regelungen nicht fürchten muss und warum verstecken nicht hilft möchte ich in den nächsten Zeilen kurz darstellen.

Grundsätzlich betreffen BDSG und DSGVO jeden, der personenbezogene Daten verarbeitet. Da der Begriff der personenbezogenen Daten sehr weit gefasst ist (jede Information, die einer natürlichen Person zugeordnet werden kann), unterfällt dem praktisch jedes Unternehmen. Das fängt bereits bei Namen, Adresse und Geburtsdatum von zum Beispiel Kunden und Mitarbeitern an.

An Unternehmen von unterschiedlicher Größe werden dabei unterschiedliche Anforderungen gestellt. Große, insbesondere datenverarbeitende Unternehmen, betreiben derzeit einen massiven Aufwand, um ihre Unternehmen für die Zukunft datenschutzkonform zu machen. Diese Unternehmen möchte ich hier ausklammern, da deren Situation den Rahmen sprengen würde. Für kleinere und mittlere Unternehmen sollte sich der Aufwand jedoch in engen Grenzen halten.

Warum?

Die Datenschutzgrundverordnung verlangt von jedem Unternehmen:

Ein Verzeichnis von (Daten-)Verarbeitungstätigkeiten zu erstellen (bestehende Ausnahmen haben praktisch keine Relevanz), dieses Verzeichnis zu analysieren, technische und organisatorische Maßnahmen zum Schutz von Daten einzuführen und Besucher von Websites, Kunden und Mitarbeiter über die Verarbeitung ihrer Daten zu informieren und ihre Rechte mitzuteilen.

Gegebenenfalls müssen Unternehmen mit 10 oder mehr Mitarbeitern oder solche, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verwenden, einen Datenschutzbeauftragten bekommen.

Bei einigen besonderen Unternehmen muss auch eine sogenannte Datenschutz-Folgenabschätzung vorgenommen werden. Da das nur Unternehmen betrifft, deren Datenverarbeitung potentiell ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, möchte ich auch diese Unternehmen hier ausklammern.

Diese Liste klingt zunächst sehr umfangreich. Bei genauer Betrachtung hält sich der Aufwand aber für die meisten kleineren bis mittleren Unternehmen in Grenzen. Die Datenschutzinformationen auf der Website müssen aktualisiert werden. Hierfür gibt es aber ebenso Muster, wie für die Information von Kunden und Mitarbeitern. Die letzteren beiden müssen im Normalfall nur geringfügig auf das Unternehmen angepasst werden, die Datenschutzinformation für die Website muss in der Regel gar nicht individuell bearbeitet werden. Auch das Verzeichnis der Verarbeitungstätigkeiten klingt umfangreicher, als es ist. Es müssen sämtliche Verarbeitungsprozesse nur sehr grob dargestellt werden. Auch dafür gibt es Muster, die in den meisten Fällen nur geringfügig angepasst werden müssen. Schließlich arbeiten die meisten Unternehmen im Grunde sehr ähnlich. Gleichzeitig ist das Erstellen des Verzeichnisses und die Analyse der Tätigkeiten und Datenbestände eine gute Gelegenheit, unnütze Daten zu entfernen.

Die technischen und organisatorischen Maßnahmen sind letztlich alle Maßnahmen, die ein Unternehmen trifft um die ihm anvertrauten Daten zu schützen. Das betrifft EDV-Maßnahmen wie Firewalls, Virenscanner, Spamfilter und Daten-Back-ups. Es geht aber auch um ganz klassische Maßnahmen der Einbruchsicherung (Sicherheitsschlösser, Kameras, abschließbare Fenster im Erdgeschoss, einen abschließbaren Serverraum usw.). Diese Maßnahmen können sich selbstverständlich je nach Unternehmen unterscheiden. Einige Unternehmen setzen auf den klassischen Server im Haus, andere arbeiten in der Cloud, wieder andere verwenden überhaupt keinen Server und speichern ihre Daten auf einem einzigen Rechner. Allerdings sind auch hier die meisten Unternehmen ähnlicher, als man das vielleicht vermuten würde. Auch hierfür können deshalb Muster verwendet werden, die dann mit wenig Aufwand individuell auf das Unternehmen abgestimmt werden.

Auch bisher gibt es bereits ein Bundesdatenschutzgesetz. Einige der oben dargestellten Verpflichtungen gelten eigentlich auch schon heute. Bisher hatte das aber quasi keine Auswirkungen, Unternehmen hielten sich schlicht nicht daran. Kleine Unternehmen konnten darauf vertrauen, nicht von den Aufsichtsbehörden geprüft zu werden und wenn eine Prüfung erfolgen sollte, musste sich die Behörde vorher anmelden, die Strafen für Verstöße waren gering. Von Verstößen Betroffene hatten selbst faktisch keinen Anspruch auf den Ersatz immaterieller Schäden und selbst wenn ein solcher Anspruch einmal bestand, war der dem Betroffenen zugesprochene Schadensersatz gering. Materielle Schäden entstehen bei Datenschutzverstößen aber nur in absoluten Ausnahmesituationen. Kurz: der Handlungsdruck für Unternehmen war gering bis kaum vorhanden.

Zumindest einiges davon wird sich in Zukunft ändern. Die Berliner Landesbeauftragte für Datenschutz zum Beispiel erhält zwar auch zukünftig nicht wesentlich mehr Personal, um Verstöße aufzudecken und zu verfolgen. In anderen Bundesländern sieht das aber teilweise erheblich anders aus. Außerdem können die Behörden in Zukunft unangemeldete Kontrollen vornehmen und der betriebliche Datenschutzbeauftragte muss den Datenschutzbehörden gemeldet werden. Das Verzeichnis von Verarbeitungstätigkeiten muss den Behörden auf Verlangen vorgelegt werden.

Wenn die Behörden Verstöße aufdecken, können die Strafen ab sofort existenzbedrohend sein. Der Bußgeldrahmen beträgt jetzt bis zu 20.000.000,- (20 Millionen) € oder 4 % des weltweiten Konzernjahresumsatzes. Grenze ist die jeweils höhere Summe, für die meisten Unternehmen also 20.000.000,- €. Darüber hinaus besteht mittlerweile ein Schadensersatzanspruch für immaterielle Schäden. Dieser soll aufgrund der europarechtlichen Grundlage des Schadensersatzanspruches effektiven Rechtsschutz für die Betroffenen erstellen. Auch hier ist deshalb mit deutlich empfindlicheren Zahlungen für Unternehmen zu rechnen.

Das bedeutet: auch wenn sich das Entdeckungsrisiko für Ihr Unternehmen möglicherweise nicht wesentlich erhöht, können einmal aufgedeckte Verstöße ein Unternehmen wirtschaftlich ruinieren. Da die Anforderungen an Unternehmen wesentlich niedriger sind, als es zunächst den Anschein hat, gibt es keinen Grund sich diesem Risiko auszusetzen.

Die notwendigen Muster stellt unsere Kanzlei selbstverständlich gerne zur Verfügung und berät Sie individuell und umfassend zu den notwendigen Anpassungen auf Ihr Unternehmen.

Rechtsanwalt Benjamin Wunderle von der Berliner Kanzlei MAYR ist unser Rechtsratgeber in Sachen Arbeitsrecht.

Falls Ihr detaillierten Rechtsbeistand von erfahrenen Arbeitsrecht-Anwälten benötigt, wendet euch gerne direkt an die Kanzlei:

MAYR Kanzlei für Arbeitsrecht in Berlin und Brandenburg

www.mayr-arbeitsrecht.de

Columbiadamm 29

10965 Berlin

Tel: +49 30 69809070