Die Risiken
1. Nicht- oder Scheinbestellung
Die Nicht- oder Scheinbestellung eines DSBs wird gem. §43 BDSG mit einem Bußgeld von bis zu 25.000 Euro geahndet. Eine Scheinbestellung liegt dann vor, wenn der bestellte DSB nicht über die notwendige Fachkunde verfügt oder ein Interessenkonflikt vorliegt (er z.B. der DV-Leiter ist)
2. Fahrlässiger Verstoß gegen §43 II BDSG
Bereits ein fahrlässiger Verstoß gegen §43 II BDSG (z.B. wer unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet) wird mit einer Geldbuße bis zu 250.000 Euro geahndet.
3. Vorsätzlicher Verstoß gegen §43 II BDSG mit Bereicherungsabsicht
Erfolgt ein Verstoß gegen §43 II BDSG vorsätzlich und mit einer Bereicherungsabsicht oder der Absicht einen anderen zu schädigen, so droht zusätzlich zum Bußgeld (bis zu 250.000 Euro) gem. §44 BDSG eine Freiheitsstrafe von bis zu zwei Jahren.
Die vorgenannten Risiken treffen unmittelbar und persönlich den Geschäftsführer durch die Haftung aus §43 GmbHG. Vor dieser persönlichen Haftung wird ihn seine D&O-Police (Directors and Officers-Versicherung) nicht bewahren, denn ein Gesetzesverstoß gilt als grob fahrlässig. In diesem Fall fällt es dem Geschäftsführer sehr schwer den geforderten Nachweis dafür zu erbringen, dass er in seinen Entscheidungen stets die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters praktiziert hat.
Warum haben so wenige Firmen ein gesetzeskonformes Verhalten?
Sehr viele kleine und mittelständige Unternehmen haben eine Fülle von gesetzlichen Auflagen zu erfüllen. Hierzu gehört auch der Datenschutz. Die Umsetzung des Bundesdatenschutzgesetzes erfolgt durch die Bundesländer. Allerdings statten viele Länder die Aufsichtsbehörde mit sehr wenig Personal aus, so dass der Umsetzungsdruck durch die mehr als seltenen Kontrollen fast nicht existent ist. Kommt es aber zu einer Kontrolle kann es zu einem bösen Erwachen mit den oben dargestellten Risiken führen.
Was ist zu tun? - Ihr Weg zum professionellen Datenschutz!
Um das anspruchsvolle Thema Datenschutz im Unternehmen gesetzeskonform umzusetzen und die Risiken aus potentiellen Gesetzesverstößen zu vermeiden, ist die richtige Vorgehensweise entscheidend.
Die folgenden Punkte zeigen beispielhaft diesen Weg auf:
- Der erste Schritt ist eine Aufwandsanalyse durch einen externen Berater. Ziel der Aufwandsanalyse ist es, den individuellen und häufig sehr unterschiedlichen Bedarf und Aufwand für den Bereich Datenschutz des Unternehmens zu ermitteln und zu dokumentieren.
- Der nächste Schritt ist die Entscheidung: Wird diese Aufgabe ein externer oder ein interner Datenschutzbeauftragte umsetzen?
- Anschließend erfolgt die schriftliche Bestellung des internen oder externen Datenschutzbeauftragten (DSB).
- Der letzte Schritt ist die Umsetzung und Abarbeitung der priorisierten Aufgabenliste durch den bestellten DSB, die aus der Aufwandsanalyse vorliegt.
Diese Vorgehensweise hat sich bewährt, da sie sowohl für Unternehmen geeignet ist, die einen eigenen DSB schon bestellt haben, als auch für die, die sich mit dem Thema erst jetzt notgedrungen beschäftigen.
Man kann allen Verantwortliche nur raten: "Handeln Sie jetzt, bevor die Aufsichtsbehörde Ihnen vorschreibt, wie Sie den Datenschutz in Ihrem Unternehmen umzusetzen haben!" (Karl-Uwe Lüllemann/mf)