Gesetzliche Grundlagen

Die Basis: Die Informationelle Selbstbestimmung

Jedermann hat das Recht auf Informationelle Selbstbestimmung.
Dadurch hat der Einzelnen das Recht, grundsätzlich selbst über die Offenlegung und weiteren Verwendung seiner personenbezogenen Daten zu bestimmen.
Der Gesetzgeber hat beschlossen, dass das alleinige Recht zum Umgang dieser Daten beim Eigentümer liegt.
Die rechtlichen Regeln dazu sind in der EU-Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz Neu beschrieben (BDSG-Neu).

Dieses Recht der Informationelle Selbstbestimmung ist ein Menschenrecht nach unserem Grundgesetz aber auch nach der EU-Menschenrechtscharta. Diese wurde mehrfach von Gerichten – wie dem Bundesverfassungsgericht oder dem Europäischen Gerichtshof – bestätigt.

Seit 1998 gibt es in Deutschland das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG)“.
Es ist die Basis zu der Installation des Risikomanagements in der Wirtschaft und ergänzt die Regelungen des § 91 Aktiengesetz (geeignetes Überwachungssystem zu dem Fortbestand der Gesellschaft), den § 321 u. 332 HGB (Bestandsgefährdende Risiken) und des § 43 GmbHG (Anwendung dieser Regelungen auch für Geschäftsführer einer GmbH).
Das Risikomanagement ist eine Aufgabe, die zum technisch-organisatorischen Datenschutz gehört und ergibt sich aus den Anforderungen der Datensicherheit.
Der Datenschutzbeauftragte ist in das Risikomanagement einbezogen und sollte es zum Vorteil des Unternehmens mit gestalten. 

Der Datenschutzbeauftragte: intern vs. extern

Ein interner Datenschutzbeauftragte hat nach dem Gesetz einen sehr umfangreichen Kündigungsschutz.
Deshalb nutzen viele Unternehmen die Vertragsfreiheit mit einem externen Datenschutzbeauftragten.
Das bietet der externe Datenschutzbeauftragte für Vorteile:

  • Der externe Beauftragte ist tatsächlich unabhängig von der Unternehmensleitung, so wie in der DSGVO gefordert.
  • Ein Fall der „Betriebsblindheit“ kann nicht eintreten, da der externe Datenschutzbeauftragte nicht in die internen Strukturen (wie z.B. Betriebsrat oder IT) eingebunden ist. Damit sind unabhängige Bewertungen möglich.
  • Es gibt keinen Kündigungsschutz ähnlich dem von Betriebsratsmitgliedern.
  • Er kann einfach abberufen werden – nämlich dann, wenn der Vertrag endet bzw. gekündigt wurde.
  • Das Unternehmen muss keine Ressourcen für die Weiterbildung des internen Datenschutzbeauftragten freihalten und finanzieren. Denn die DSGVO fordert Kompetenz – und diese wird im Problemfall auch von den Datenschutzaufsichten kontrolliert.
  • Und nicht zuletzt: Der externe Datenschutzbeauftragte kommt von außen.
    Und damit wird er eher gehört als der Rufer aus dem eigenen Haus…

Welche Unternehmen müssen Datenschutz betreiben?

Die Datenschutzbestimmungen sind unabhängig von Ihrer Größe und Tätigkeit für alle Unternehmen bindend.

Was vielfach vergessen wird:
auch Freiberufler wie z.B. Steuerberater oder kleine Unternehmen müssen einen funktionierenden Datenschutz betreiben und nachweisen. Also die Führung einer Verfahrensdokumentation, Datenschutzschulungen, Informationspflichten sind Pflicht.

Das Gesetz spricht davon. dass Unternehmen, „die in der Regel höchstens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ keinen explizit ausgewiesenen Datenschutzbeauftragten benennen müssen.
Hier muss der Inhaber/Geschäftsführer diese Aufgabe übernehmen. Denn der Datenschutz und die Vorgaben des Gesetzes gelten trotzdem.

Wichtig: Körperschaften öffentlichen Rechts (z.B. die Innungen des Handwerks) sind zu behandeln wie eine Behörde und benötigen deshalb immer einen Datenschutzbeauftragten – und das unabhängig von der Mitarbeiterzahl.

Weiter…