nach oben

Erschienen in:

2013 | OriginalPaper | Buchkapitel

Datenschutzrechtliche Compliance im Unternehmen

verfasst von : Silvia C. Bauer

Erschienen in: Compliance in der Unternehmerpraxis

Verlag: Springer Fachmedien Wiesbaden

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Aus

Zusammenfassung

Das Thema „Datenschutz“ gerät immer mehr in den Fokus der Öffentlichkeit. Nicht nur die Verschärfung der Rechtslage innerhalb Deutschlands und die geplante Umsetzung einer europäischen Datenschutzgrundverordnung, die ganz Europa ein einheitliches Datenschutzniveau bringen soll, haben dazu beigetragen, sondern auch die stetige Sensibilisierung der Öffentlichkeit hinsichtlich des Umgangs mit ihren Daten. Neben der Forderung nach einer technisch ausgereiften und möglichst sicheren Datenverarbeitung hat sich auch verstärkt das Bewusstsein ausgebildet, dass Daten nicht beliebig für jeden Zweck verarbeitet und genutzt werden dürfen und den entsprechenden Aktivitäten von Unternehmen Grenzen zu setzen sind. Damit einhergehend sind die Anforderungen an Unternehmen, Daten im Einklang mit den gesetzlichen Vorgaben – also „compliant“ – zu verarbeiten, gestiegen.

Unternehmen müssen die verschiedenen formalen Anforderungen der gesetzlichen Vorgaben wie Meldepflichten, Bestellung von Datenschutzbeauftragten oder Erstellung von Verfahrensverzeichnissen einhalten und daneben sicherstellen, dass auch der Umgang mit den Daten an sich innerhalb des Unternehmens den geltenden Rechtsvorschriften entspricht. Gerade in Hinblick auf den Umgang mit Arbeitnehmer- und Kundendaten haben die Skandale der jüngsten Zeit bedauerlicherweise erhebliche Defizite in deutschen Unternehmen aufgezeigt. Ein Unternehmen sollte daher den Datenschutz als Wettbewerbsvorteil begreifen, ihn zielgerichtet in seine organisatorischen Abläufe integrieren und entsprechende Strukturen etablieren. Thematisch auf den Datenschutz ausgerichtete Schulungen, Verhaltensregelungen und die Benennung von Verantwortlichen sollten daher wesentlicher Bestandteil einer Compliance-Organisation im Unternehmen sein.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Vorheriges Kapitel Rechtliche Aspekte von IT-Compliance

Nächstes Kapitel IP-Compliance

Siehe dazu Kapitel Rath, Rechtliche Aspekte von IT-Compliance, Ziff 3.2.

Siehe weiterführend zu den Anforderungen an eine entsprechende Compliance-Organisation Bauer/Wesselmann, WISU 8-9/08, 1128 ff.; Bauer, Datenschutzpraxis 9/2008, 2 ff.

Siehe dazu bspw. die Ergebnisse aus der „Jahresstudie 2008: Kosten von Datenpannen“ des Marktforschungsinstituts „The Ponemon Institute“, das pro Datenpanne Kosten von 2,4 Mio. € ermittelt hat, abrufbar unter www.encryptionreports.com

Vgl. Bauer, WISU 4/09, 504 ff.

Vgl. Dammann in: Simitis, BDSG, 7. Aufl. 2011, § 3 Rn. 225 ff.; Gola, in: Gola/Schomerus, BDSG, 11. Aufl. 2012, § 3 Rn. 48.

Vgl. dazu Kapitel Rath, Rechtliche Aspekte von IT-Compliance, Ziff. 2.

Vgl. Ehmann in: Simitis, BDSG, 7. Aufl. 2011, § 43, Rn. 22 ff.

Vgl. bspw. für den Fall der Haftung bei fehlender Auskunftserteilung gegenüber einem Betroffenen durch einen Beauftragten: OLG Celle v. 14.6.1995 – 2 Ss (OWi) 185/95, RDV 1995, 244 f.

Vgl. dazu etwa Weichert, NStZ 1999, 490.

Siehe dazu m. w. N. Bergmann/Möhrle/Herb, BDSG, Loseblatt, Stand: Januar 2012, § 43, Rn. 114 oder auch beispielhaft den 23. Tätigkeitsbericht des hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit, S. 201, abrufbar unter: http://www.datenschutz-hamburg.de/uploads/media/23._Taetigkeitsbericht_Datenschutz_2010-2011.pdf.

Vgl. die Pressemitteilung über den Beschluss des Innenministeriums Baden-Württemberg – Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich – vom 11.9.2008, abrufbar unter http://www.innenministerium.baden-wuerttemberg.de/fm7/2028/Lidl%20%20Bu%DFgeldverfahren%20abgeschlossen.470204.pdf.

Vgl. den 23. Tätigkeitsbericht des hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, S. 185–187, abrufbar unter: http://www.datenschutz-hamburg.de/uploads/media/23._Taetigkeitsbericht_Datenschutz_2010-2011.pdf.

Siehe etwa die Tätigkeitsberichte des hamburgischen Beauftragten für Datenschutz und Informationsfreiheit unter: http://www.datenschutz-hamburg.de/publikationen-taetigkeitsberichte/taetigkeitsberichte.html.

Siehe dazu beispielhaft das Merkblatt zum Meldebogen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein nebst entsprechender Meldeformulare unter: https://www.datenschutzzentrum.de/download/merkmeld.pdf.

Siehe dazu Gola, in: Gola/Schomerus, BDSG, 11. Aufl. 2012, § 29 Rn. 4.

Vgl. zur Durchführung der Vorabkontrolle: Bergmann/Möhrle/Herb, BDSG, Loseblatt, Stand: Januar 2012, § 4d, Rn. 46 ff.; Ehmann, Datenschutzpraxis, 01/09, 12 ff.

Vgl. Bergmann/Möhrle/Herb, BDSG, Loseblatt, Stand: Januar 2012, § 4d, Rn. 36 ff.

20 Vgl. ausführlich Gola/Klug, NJW 2007, 118 ff. zu den seit 2006 geltenden Neuregelungen.

Vgl. die Pressemitteilung über den Beschluss des Innenministerium Baden-Württemberg – Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich vom 11.9.2008, a. a. O.

Vgl. Bergmann/Möhrle/Herb, BDSG, Loseblatt, Stand: Januar 2011, § 4d, Rn. 40; Petri in: Simitis, BDSG, 7. Aufl. 2011, § 4d, Rn. 33.

Vgl. Däuble, in Däuble/Klebe/Wedde/Weichert, BDSG, 3. Aufl. 2010, § 4f, Rn. 15 ff.

Vgl. zur Sinnhaftigkeit der Bestellung eines konzernweiten bzw. multinationalen Datenschutzbeauftragten, Simitis, in Simitis, BDSG,7. Aufl. 2011, § 4f Rn. 36 ff.

Vgl. BAG v. 23.03.2011 – 10 AZR 562/09, NZA 2011, S. 1063.

Vgl. LAG Berlin-Brandenburg v. 28.05.2009 – 5 Sa 425/09, 5 Sa 434/09, 5 Sa 425, 434/09, Folgeinstanz: BAG v. 23.3.2011 – 10 AZR 562/09, NZA 2011, S. 1063.

Vgl. zum Berufsbild des Datenschutzbeauftragten: LG Ulm v. 31.10.1990 – 5 T 153/90, CR 1991, 103, mit Anm. Ehmann; Koch, in: Koch (Hrsg.), Der Betriebliche Datenschutzbeauftragte, 6. Aufl. 2006, S. 131 ff.; Rudolf, NZA 1996, 296 ff.; Berufsverband der Datenschutzbeauftragten Deutschland e. V.: Das Berufliche Leitbild der Datenschutzbeauftragten, abrufbar unter: https://www.bvdnet.de/dokumente/bvd_leitbild.pdf.

Vgl. bspw. die Angebote der GDD, der DEKRA oder des TÜV Rheinland.

Vgl. Walz, in: Simitis, BDSG, 7. Aufl. 2011, § 5 Rn. 28 f.

Dieser kommt insbesondere zum Tragen, wenn dem Mitarbeiter wegen unbefugter Datenverarbeitung arbeitsrechtliche Konsequenzen drohen, vgl. zur Kündigung: LAG Köln v. 29.9.1982 – 5 Sa 514/82, DB 1983, 124 f.; LAG Chemnitz v. 14.7.1999 – 2 Sa 34/99, RDV 2000, 177; VG Frankfurt v. 22.8.2000 – 23 L 1642/00 (V), RDV 2000, 279 ff.; LAG Berlin v. 10.7.2003 – 16 Sa 545/03, RDV 2004, 129 f. LAG Köln v. 14.05.2010 – 4 Sa 1257/09, Gola/Schomerus, BDSG, 11. Aufl. 2012, § 5 Rn. 3.

Vgl. Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl. 2010, § 5, Rn. 15.

Vgl. Walz, in: Simitis, BDSG, 7. Aufl. 2011, § 5 Rn. 13 ff.

Vgl. Walz, in: Simitis, BDSG, 7. Aufl. 2011, § 5 Rn. 15; Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl. 2010, § 5, Rn. 5; einschränkend: Gola, in: Gola/Schomerus, BDSG, 11. Aufl. 2012, § 5 Rn. 9.

Praktische Tipps zur IT-Sicherheit sind bspw. bei dem Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein im Rahmen des IT-Magazins „backUP“ unter https://www.datenschutzzentrum.de/backup-magazin/index.htm abrufbar.

Vgl. Ernestus, in: Simitis, BDSG, 7. Aufl. 2011, § 9 Rn. 23 ff.

Vgl. dazu auch die von dem Bundesamt für Sicherheit und Informationstechnik (BSI) empfohlenen datenschutzrechtlichen Maßnahmen, die der Sicherheit dienen; die tabellarische Aufstellung der möglichen Maßnahmen abrufbar unter: http://www.bsi.de/gshb/baustein-datenschutz; Die Beschreibung der Maßnahmen bzw. die Maßnahmenkataloge sind abrufbar unter: http://www.bsi.de/gshb/deutsch.

Hier sollte darauf geachtet werden, dass das Datenschutzniveau des BDSGs nicht unterschritten wird; im Gegensatz zu den arbeitsrechtlichen Stimmen halten Datenschutzaufsichtsbehörden in der Regel Betriebsvereinbarungen, die Regelungen zu Lasten der Betroffenen vorsehen, als nicht wirksam. In diesem Fall stellen diese keine geeignete Rechtsgrundlage für den Umgang mit den Beschäftigtendaten dar.

Vgl. bspw. zu den Voraussetzungen der Datenverarbeitung in Unternehmen: Roßnagel, in: Handbuch Datenschutzrecht, 2003, S. 485 ff.; Tinnefeld/Ehmann/Gerling, in: Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 539 ff.; vgl. ausführlich zu den Voraussetzungen einer wirksamen Einwilligung: Bergmann/Möhrle/Herb, BDSG, Loseblatt, Stand: Januar 2012, § 4a, Rn. 3a ff.

Vgl. mit Bsp. zu einzelnen Vertragsverhältnissen: Bergmann/Möhrle/Herb, BDSG, Loseblatt, Stand: Januar 2012, § 28, Rn. 30 ff.

Vgl. mit weiteren Bsp.: Bergmann/Möhrle/Herb, BDSG, Loseblatt, Stand: Januar 2012, § 28, Rn. 200 ff.

Vgl. Bergmann/Möhrle/Herb, BDSG, Loseblatt, Stand: Januar 2012, § 28, Rn. 226 ff.

In diesem Fall sind weitere Voraussetzungen zu beachten (bspw. Protokollierung, dauerhafte Abrufbarkeit); zusätzlich sind – sofern die Einwilligungen auf einer Webseite eingeholt werden, auf der Telemediendienste angeboten werden, die Anforderungen des Telemediengesetzes beachtlich. Telemediendienste sind bspw. Informationsseiten, Webshops, Newsletterdienste u. ä.

Vgl. mit weiteren Bsp.: Bergmann/Möhrle/Herb, BDSG, Loseblatt, Stand: Januar 2012, § 28, Rn. 310 ff., Bauer, Datenschutz und Marketing, in: Oelschlaegel/Scholz (Hrsg.), Handbuch zum Versandhandelsrecht – E-Commerce, M-Commerce, Katalog, 2012; Drewes, ZD 2011, S.115;Roßnagel/Jandt, MMR 2011, S. 86.

Vgl. bspw. die Empfehlungen des Unabhängigen Landeszentrum für Datenschutz, abrufbar unter: https://www.datenschutzzentrum.de/tracking/piwik/

Vgl. Freckmann/Wahl, BB 2008, 1904 ff.; weiterführend zum Arbeitnehmerdatenschutz: Gola/Wronka, in: Handbuch zum Arbeitnehmerdatenschutz, 5. Aufl. 2009, Rn. 48 ff.; Oberwetter, NZA 2008, 609 ff.

Vgl. Bauer, Datenschutzpraxis 5/09, 1 ff.; Bull, ZRP 2008, 233 ff.; Dann/Gastell, NJW 2008, 2945 ff.; Gola, NZA 2007, 1139 ff.; siehe auch zum IT-Grundrecht und dem daraus resultierenden Schutz des Allgemeinen Persönlichkeitsrechts des Arbeitnehmers: BVerfG v. 27.2.2008–1 BvR 370/07 und 1 BvR 595/07, ZUM 2008, 301.

Vgl. statt vieler aus jüngster Zeit: Albrecht/Maisch, DSB 3/2010, 11 ff.; Behling, BB 2010, 892 ff.; Beisenherz/Tinnefeld, DuD 2010, 221 ff.; Bierekoven, CR 2010, 203 ff., Forst, RDV 2010, 8 ff.; Kamp/Körffer, RDV 2010, 72 ff.; Kramer, DSB 5/2010, 14 ff.; Salvenmoser/Hauschka, NJW 2010, 331 ff.; vgl. auch die Beiträge von Däubler, Gläserne Belegschaften, 5. Aufl., Rdnr. 183; Gola/Wronka, Hdb. zum Arbeitnehmerdatenschutz, 5. Aufl., Rn. 847 ff.

Vgl. ausführlich zu der Thematik: Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010.

Vgl. Thüsing, RDV 2010, 147 ff., Tinnefeld/Petri/Brink, MMR 2010, 727, Forst NZA 2010, 1043.

Vgl. BR-Drs. 535/10, BT-Drs. 17/4230, BT-Drs. 17/4853, Gesetzentwürfe SPD-Fraktion, BT-Drs. 17/69; Fraktion Bündnis 90/Die Grünen, BT-Drs. 17/121, BT-Drs. 17/4853 und Fraktion Die Linke, BT-Drs. 17/779.

Vgl. Europäische Kommission, Vorschlag für eine Verordnung des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum Schutz des freien Datenverkehrs (Datenschutz-Grundverordnung – DS-GVO), Kom (2012) 11 endg.; siehe auch die negative Haltung der Bundesregierung vom 26.7.2010, RDV 2011, 157 und Stellungnahme des Bundesrates vom 11.2.2011 (BR-Drs. 707/10); vgl. auch Hornung, ZD 2012, 99, Wybitul/Fladung, BB 2012, 509.

Vgl. Gaulke, DuD 2011, S. 417.

Vgl. Wybitul/Patzak, RDV 2011, S. 11.

Siehe dazu bspw. Gola, in: Gola/Schomerus, BDSG, 11. Aufl. 2012, § 4c Rn. 10 ff.; hinsichtlich der Problematik der Nutzung von Clouds: Engels, K&R 2011, S. 548; vgl. zur internationalen Auftragsdatenverarbeitung: Scholz/Lutz, CR 2011, S. 424.

Liegt die Zertifizierung mehr als sieben Jahre zurück, ist sie nicht mehr gültig.

Siehe dazu: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Duesseldorfer_Kreis/Inhalt/2010/Pruefung_der_Selbst-Zertifizierung_des_Datenimporteuers/Beschluss_28_29_04_10neu.pdf.

Siehe bspw. die Orientierungshilfe der Datenschutzaufsichtsbehörden: http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf, Wagner/Blaufuß, BB 2012, S. 1751.

Vgl. den Beschluss des Düsseldorfer Kreises von Stralsund vom 26./27. November 2009, betreffend „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“, abrufbar bspw. unter: http://www.lfd.m-v.de/dschutz/beschlue/Analyse.pdf, a. a. O.; dazu auch ausführlich: Informationen des Unabhängigen Landeszentrum für Datenschutz, abrufbar unter https://www.datenschutzzentrum.de/tracking, insbesondere: https://www.datenschutzzentrum.de/tracking/20090123_GA_stellungnahme.pdf, siehe auch Bauer, Datenschutzpraxis 6/2009, 6.

Vgl. die unter „http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf“ abrufbaren Hinweise des Hamburgischen Datenschutzbeauftragten für Datenschutz und Informationssicherheit.

Vgl. zu den für Webseiten-Betreiber resultierenden Risiken: Bauer, Datenschutzpraxis 12/2011, 1.

Abrufbar unter: http://www.google.de/intl/de/analytics/tos.pdf.

S. dazu: http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizIp.

Siehe dazu die Entschließung des Düsseldorfer Kreises vom 8.12.2011: https://www.datenschutzzentrum.de/internet/20111208-DK-B-Soziale-Netzwerke.html, ausführliche Informationen zum Streit zwischen den Datenschutzaufsichtsbehörden und Facebook, siehe: https://www.datenschutzzentrum.de/facebook/; die IHK Schleswig-Holstein hat Klage gegen entsprechende Bußgeldbescheide vor dem VG Schleswig erhoben, die Entscheidung wird für Mitte 2013 erwartet. Bis dahin werden wohl keine weiteren Bußgeldbescheide erlassen. Weiterführend statt vieler: Voigt/Alich, NJW 2011, 3541, Ernst, NJOZ 2010, 1917.

Vgl. dazu auch die Entscheidung des KG Berlin, Beschl. v. 29.4.2011 – 5 W 88/11, NJW-RR 2011, 1264: Ein Unterlassen der Belehrung ist nicht wettbewerbswidrig, da § 13 TMG keine markschützende Norm nach UWG ist.

Vgl. zum Beispiel: www.hamburg.de/datenschutz/

Siehe zu den verschiedenen Möglichkeiten der Schulung bereits Kapitel Wecker/Galla: Pflichten der Geschäftsleitung und Aufbau einer Compliance-Struktur, Ziff. 3.2.2.

Siehe zu Pro und Kontra eines allgemeinen Datenschutzaudits: Gola, in: Gola/Schomerus, BDSG, 11. Aufl. 2012, § 9a Rn. 3 ff.

Vgl. dazu die unter: https://www.datenschutzzentrum.de/bdsauditg/. Abrufbaren Materialien; Hanloser, MMR 2008, V ff.; der Entwurf des Datenschutzauditgesetzes sollte bis spätestens 2010 umgesetzt werden, dieses Vorhaben ist allerdings gescheitert; vgl. BR-Drucks. 4/09, abrufbar unter: http://dip21.bundestag.de/dip21/brd/2009/0004-09.pdf.

Siehe zu einem möglichen Ablauf eines Audits: Scholz in: Simitis, BDSG, 7. Aufl. 2011, § 9a Rn. 23 ff.

Vgl. den angenommenen Antrag der FDP-Fraktion: http://dipbt.bundestag.de/dip21/btd/17/100/1710092.pdf.

Vgl. dazu: http://www.spiegel.de/netzwelt/netzpolitik/verzicht-auf-mitarbeit-stiftung-datenschutz-ohne-datenschuetzer-a-866250.html.

Vgl. https://www.datenschutzzentrum.de/guetesiegel/index.htm.

Vgl. https://www.european-privacy-seal.eu/.

Vgl. u. a. § 11c BgfDSG; § 7b BremDSG; § 10a DSG NRW, § 4 Abs. 2 LDSG SH nebst den erforderli chen Ausführungsvorschriften in Schleswig-Holstein (Landesverordnung über ein Datenschutzaudit; GS Schl-H., S. 51, – Gl. Nr. 204-4-2 = RDV 2001, 203 nebst weiterführenden Hinweisen des ULD unter: https://www.datenschutzzentrum.de/audit/material.htm.

Vgl. bspw. den Kodex für Geodatendienste: http://www.bitkom.org/files/documents/Datenschutz_Kodex.pdf.

Abrufbar unter: http://www.legalarchiver.org/soa.htm.

Vgl. bspw. die Entscheidungen der französischen Datenschutzaufsichtsbehörde CNIL, CNIL Entscheidung 2005-110 v. 26.5.2005 (Mc Donald’s Gruppe Frankreich); CNIL Entscheidung 2005-111 v. 26.5.2005 (Exide Technologies) oder auch die Entscheidung des LAG Düsseldorf v. 14.11.2005 – 10 TaBV 46/05, BB 2006, 335 betreffend die Mitbestimmung bei Einführung einer Ethikrichtlinie im Fall Wal-Mart.

Abrufbar unter: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp117_en.pdf.

Vgl. bspw. CNIL-recommandations-whistleblowing-VA.pdf. oder die Empfehlungen des Düsseldorfer Kreises für den Betrieb von Hotlines in Deutschland, abrufbar unter: http://www.datenschutz-hamburg.de/news/detail/article/whistleblowing-hotlines-firmeninterne-warnsysteme-beschaeftigtendatenschutz.html.

Vgl. dazu weitergehend: Wisskirchen/Körber/Bissels, BB 2006, 28 ff.; Breinlinger/Krader, RDV 2006, 1 ff.; Deiseroth/Derleder, ZRP 2008, 248; Bauer, Datenschutzpraxis 11/2012, S. 14.

Titel: Datenschutzrechtliche Compliance im Unternehmen
verfasst von: Silvia C. Bauer
Verlag: Springer Fachmedien Wiesbaden
Buch: Compliance in der Unternehmerpraxis
Print ISBN: 978-3-658-00892-5

Electronic ISBN: 978-3-658-00893-2

Copyright-Jahr: 2013
DOI: https://doi.org/10.1007/978-3-658-00893-2_8