Compliance und Datenschutz

Ein weiterer für die Einhaltung der Compliance wichtiger Bereich ist der Datenschutz. Der Datenschutz betrifft insbesondere den Schutz personenbezogener Daten. Der Datenschutz ist im Grundgesetz als Staatsziel definiert. Bei Nichteinhaltung der Bestimmungen über den Datenschutz drohen dem Unternehmen erhebliche Haftungsrisiken, sowohl in zivilrechtlicher wie auch in strafrechtlicher Hinsicht. Das Datenschutzrecht verpflichtet den Unternehmer, die Einhaltung der Datenschutzbestimmungen regelmäßig durch Bestellung eines Datenschutzbeauftragten und interne Maßnahmen sicherzustellen:

Nach § 4f des Bundesdatenschutzgesetzes (kurz “BDSG”) haben öffentliche und nicht-öffentliche Stellen (jedes Unternehmen der freien Wirtschaft ist eine solche nicht-öffentliche Stelle), die personenbezogene Daten automatisiert verarbeiten (das trifft in der Regel auf jedes Unternehmen zu, in dem Kommunikationsmittel wie Telefone, Computer, dienstliche Mobilfunkgeräte etc. verwendet werden), einen Datenschutzbeauftragten schriftlich zu bestellen. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht nur für solche nicht-öffentlichen Stellen nicht, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Ein Datenschutzbeauftragter ist auch dann zu bestellen, wenn personenbezogene Daten zwar nicht automatisiert verarbeitet werden, aber auf andere Weise erhoben, verarbeitet oder genutzt werden, sofern damit in der Regel mindestens 20 Personen beschäftigt sind.

Die Nichtbestellung eines Datenschutzbeauftragten stellt eine Ordnungswidrigkeit dar, die mit einem Bußgeld von bis zu 25.000,00 Euro geahndet werden kann.

Der Datenschutzbeauftragte muss für die Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen sorgen und die ordnungsgemäße Verwendung der Datenverarbeitungsprogramme überwachen. Er muss weiter die Mitarbeiter des Unternehmens, die mit der Verarbeitung personenbezogener Daten betraut sind, schulen.

Daneben ist der Unternehmer gemäß § 4g Abs. 2 BDSG auch verpflichtet, ein so genanntes Verfahrensverzeichnis aufzustellen, das bestimmte gesetzlich vorgeschriebene Angaben zu enthalten hat und in dem auch die zugriffsberechtigten Personen zu nennen sind. Dieses Verfahrensverzeichnis ist dem Datenschutzbeauftragten zur Verfügung zu stellen. Jeder Dritte kann Einsicht in dieses Verzeichnis verlangen.

Das Verfahrensverzeichnis hat folgende Angaben gemäß § 4e BDSG zu enthalten:

1. Name oder Firma der verantwortlichen Stelle,

2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leit…