Jyn Schultze-Melling, Datenschutz- und Compliance-Experte der Kanzlei Nörr Stiefenhofer Lutz rät Top-Managern, das neue Datenschutzrecht ernst zu nehmen und die gesetzlichen Änderungen zügig umzusetzen – da sonst ihren Unternehmen und damit letztlich ihnen selbst Haftung droht.
Auch wegen der jüngsten Datenskandale hat der Gesetzgeber das Datenschutzrecht reformiert. Die – teils schon geltenden – Änderungen: Ein stärkerer Schutz von Verbraucherdaten und strengere Anforderungen an den Umgang mit ihnen sowie neue Rechte für Betroffene. Aber auch die Regeln für den Umgang mit Arbeitnehmerdaten wurden geändert und – auch wenn hierzu im Einzelnen noch viele Fragen offen sind – Unternehmen müssen darauf reagieren. Wenn sie sich nicht an die neuen Vorgaben im Datenschutzrecht halten, riskieren sie saftige Bußgelder – in schweren Fällen neuerdings bis zu 300 000 Euro – und zwar pro Fall. Und damit ist noch nicht einmal zwingend das Maximum erreicht: anders als bisher können die Datenschutzaufsichtsbehörden zukünftig den Gewinn einziehen, der durch eine unzulässige Datenverarbeitung erwirtschaftet wurde. Diese Änderungen sollten nicht auf die leichte Schulter genommen werden. Im Ergebnis verändert sich durch die Neuerungen die datenschutzrechtliche Risikoanalyse für viele Unternehmen drastisch und dies sollte zu Konsequenzen führen. Denn entstehen dem Unternehmen trotz besseren Wissens Schäden, stehen die verantwortlichen Vorstände und Geschäftsführer in der Haftung.

Hinzu kommt, dass nicht nur die Bußgeldbeträge hoch gesetzt wurden, sondern auch die Zahl der Ordnungswidrigkeiten mit Bußgeldandrohung erhöht wurde. Ab sofort nennt das Gesetz zum Beispiel auch unterlassene Aufklärungs- und Informationspflichten, fehlerhafte Auftragsdatenverarbeitungen oder die unterlassene Anzeige eines Datenverlustes als mögliche Tatbestände. Schon eine schlecht formulierte oder auch nur nachlässig umgesetzte Vereinbarung mit einem Dritten wie einem externen Rechenzentren, einem Call Center oder einem Lettershop kann also zukünftig zu einem öffentlichen Ordnungswidrigkeitenverfahren führen – was die in solchen Fällen ohnehin zu erwartenden Imageschäden noch erheblich verstärken dürfte.

Am wichtigsten aber: die Datenschutzaufsichtsbehörden können in Zukunft stärker einschreiten. Bezogen sich ihre Anordnungsrechte früher fast nur auf Maßnahmen zur Datensicherheit, so können sie nun bei Datenschutzverstößen Zwangsgelder verhängen und in erheblichen Fällen sogar Unterlassungsanordnungen erlassen und durchsetzen. Dass die Behörden ihre neuen Instrumente auch nutzen werden, ist zu erwarten.

Unternehmen sollten daher den folgenden Fünf-Punkte-Plan schnellstmöglich umsetzen, um nicht unversehens in die Haftungsfalle zu laufen:

1. Datenschutz-Check:
Zunächst müssen Unternehmen angesichts der erhöhten Risiken als erstes alle bestehenden Datenverarbeitungsprozesse überprüfen und sicher stellen, dass Daten nicht versehentlich verloren gehen können und dass unberechtigte Dritte keinen Zugriff darauf haben. Wichtig ist hierbei auch, die Aktualität und Angemessenheit der bestehenden Datensicherheitsrichtlinien und die konsequente Schulung und Sensibilisierung der Mitarbeiter zu überprüfen.

2. Nachverhandlung der bestehenden Auftragsdatenverarbeitungsvereinbarungen (ADV):
Die Unternehmen müssen dringend sämtliche bestehenden Auftragsdatenverarbeitungsvereinbarungen – also alle Verträge mit Dritten, bei denen es um die Verarbeitung personenbezogener Daten im Auftrag geht – überarbeiten. Hier haben sich die gesetzlichen Anforderungen an die konkrete Vertragsgestaltung erheblich verschärft und neue Bußgeldtatbestände lassen Nachlässigkeiten schnell teuer werden.

3. Umfassende Vorbereitung auf potentielle Zwischenfälle:
Die Unternehmen müssen Notfallprozesse aufsetzen, weil neue Pflichten zur Veröffentlichung von Sicherheitslecks und dadurch verursachten Datenverlusten bestehen. Diese müssen regeln, wie man im Falle es Falles damit umgeht und wann wer in der Firma welche Maßnahmen ergreifen muss. Da nicht jeder Datenverlust gleich behandelt wird, muss sofort geklärt werden, ob die verloren gegangenen Daten im konkreten Fall tatsächlich eine öffentliche Informationspflicht auslösen. Und: Es muss entschieden werden, welche Stellen worüber informiert werden müssen und wie die eigene Pressearbeit bei der Schadensbegrenzung helfen soll.

4. Prüfung der Adress-Datenbanken:
Die Marketingabteilung muss die eigenen Adresslisten im Hinblick auf die neuen gesetzlichen Anforderungen prüfen. Durften früher Daten in Listen (aufgrund des so genannten Listenprivileges) relativ unkompliziert verarbeitet und vor allem weitergegeben werden, ist diese Möglichkeit heute eingeschränkt worden. Die Marketing-Datenbanken müssen aktualisiert und in der Regel erweitert werden, da Betroffene zukünftig darüber informiert werden müssen, woher das Unternehmen ihre Daten hat. Es muss also bei jeder erhobenen oder angekauften Adresse vermerkt werden, von wem sie stammt. In diesem Zuge sollte man auch gleich die eigenen Direktmarketing-Strategien und die Verkaufsprozesse überprüfen, um zu sehen, ob die neuen datenschutzrechtlichen Notwendigkeiten eingehalten werden. Zum Beispiel: Das Scoring, die Einbindung der Schufa und der Umgang mit Auskunfteien ist jetzt im Gesetz geregelt und stellt neue Anforderungen an die Unternehmen.

5. Rechts-Check des Umgangs mit Arbeitnehmerdaten:
Schließlich sollte jedes Unternehmen kontrollieren, wie die Personalabteilung mit den eigenen Mitarbeiterdaten umgeht. Generell ist ein Verarbeiten von Arbeitnehmerdaten nur noch dann unkompliziert möglich, wenn dies für die Begründung, Durchführung oder die Beendigung des Arbeitsverhältnisses zwingend erforderlich ist. Speziell manche Ausgestaltungen der Mitarbeiterbeurteilung und vor allem die Überwachung der Mitarbeiter durch externe Servicegesellschaften wird im Einzelfall anders als bislang gemacht werden müssen.