Mit dem "Ersten Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft", das am 26. August 2006 in Kraft getreten ist, erfolgte die Änderung des Bundesdatenschutzgesetzes (BDSG) in vier Paragrafen.

Nach Angaben des Bundesministers für Wirtschaft und Technologie, Michael Glos, sei dies ein "guter erster Schritt", um unnötige Bürokratie abzubauen. "Sie sei ein Bremsklotz für jede wirtschaftliche Betätigung und koste Zeit und Geld." Es sind unter anderem folgende Entlastungen vorgesehen: Im Bereich des Datenschutzes ändert sich die generelle Pflicht der Ernennung eines Datenschutzbeauftragten. Diese Pflicht ist nun im Allgemeinen auf Unternehmen reduziert, die mindestens zehn (bisher fünf) Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigen. Die weiteren Auflagen des BDSG müssen natürlich auch bei kleineren Unternehmen beachtet werden.

Des Weiteren dürfen jetzt explizit auch Berufsgeheimnisträger wie Rechtsanwälte, Steuerberater und Ärzte einen externen Datenschutzbeauftragten bestellen. Nun kann man hoffen, dass viele Unternehmen die aktuelle Gesetzesänderung zum Anlass nehmen, sich über das Thema Datenschutz Gedanken zu machen.

Vielen ist offensichtlich nicht bewusst, dass der Geschäftsführer für einen Gesetzesverstoß im Bereich Datenschutz (der normalerweise als grob fahrlässig anzusehen ist) mit seinem Privatvermögen (gemäß §43 GmbHG) persönlich unbegrenzt haftet.

Nicht erst seit dem 26. August müssen alle Unternehmen und Einzelpersonen, welche die Voraussetzungen (siehe Kasten rechts) erfüllen, einen betrieblichen Datenschutzbeauftragten (DSB) bestellen sowie die Auflagen des BDSG umsetzen.

Die Risiken

1. Nicht- oder Scheinbestellung

Die Nicht- oder Scheinbestellung eines DSBs wird gemäß §43 BDSG mit einem Bußgeld von bis zu 25.000 Euro geahndet. Eine Scheinbestellung liegt dann vor, wenn der bestellte DSB nicht über die notwendige Fachkunde verfügt oder ein Interessenkonflikt vorliegt (er zum Beispiel der DV-Leiter ist).

2. Fahrlässiger Verstoß gegen §43 II BDSG

Bereits ein fahrlässiger Verstoß gegen §43 II BDSG (zum Beispiel wer unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet), wird mit einer Geldbuße bis zu 250.000 Euro geahndet.

3. Vorsätzlicher Verstoß gegen §43 II BDSG mit Bereicherungsabsicht

Erfolgt ein Verstoß gegen §43 II BDSG vorsätzlich und mit einer Bereicherungsabsicht oder der Absicht, einen anderen zu schädigen, so droht zusätzlich zum Bußgeld (bis zu 250.000 Euro) gemäß §44 BDSG eine Freiheitsstrafe von bis zu zwei Jahren.

Die vorgenannten Risiken treffen unmittelbar und persönlich den Geschäftsführer durch die Haftung aus §43 GmbHG. Vor dieser persönlichen Haftung wird ihn seine D&O-Police (Directors and Officers Versicherung) nicht bewahren, denn ein Gesetzesverstoß gilt als grob fahrlässig. In diesem Fall fällt es dem Geschäftsführer sehr schwer, den geforderten Nachweis dafür zu erbringen, dass er in seinen Entscheidungen stets die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters praktiziert hat.

Warum haben so wenige Firmen ein gesetzeskonformes Verhalten?

Sehr viele kleine und mittelständische Unternehmen haben eine Fülle von gesetzlichen Auflagen zu erfüllen. Hierzu gehört auch der Datenschutz. Die Umsetzung des Bundesdatenschutzgesetzes erfolgt durch die Bundesländer. Allerdings statten viele Länder die Aufsichtsbehörde mit sehr wenig Personal aus, sodass der Umsetzungsdruck durch die mehr als seltenen Kontrollen fast nicht existent ist. Kommt es aber zu einer Kontrolle kann es zu einem bösen Erwachen mit den oben dargestellten Risiken führen.

Der Weg zum professionellen Datenschutz

Um das anspruchsvolle Thema Datenschutz im Unternehmen gesetzeskonform umzusetzen und die Risiken aus potenziellen Gesetzesverstößen zu vermeiden, ist die richtige Vorgehensweise entscheidend.

Die folgenden Punkte zeigen beispielhaft diesen Weg auf:

3Der erste Schritt ist eine Aufwandsanalyse durch einen externen Berater. Ziel der Aufwandsanalyse ist es, den individuellen und häufig sehr unterschiedlichen Bedarf und Aufwand für den Bereich Datenschutz des Unternehmens zu ermitteln und zu dokumentieren.

3Der nächste Schritt ist die Entscheidung: Wird diese Aufgabe ein externer oder ein interner Datenschutzbeauftragte umsetzen?

3Anschließend erfolgt die schriftliche Bestellung des internen oder externen Datenschutzbeauftragten (DSB).

3Der letzte Schritt ist die Umsetzung und Abarbeitung der priorisierten Aufgabenliste durch den bestellten DSB, die aus der Aufwandsanalyse vorliegt.

Diese Vorgehensweise hat sich bewährt, da sie sowohl für Unternehmen geeignet ist, die einen eigenen DSB schon bestellt haben, als auch für die, die sich mit dem Thema erst jetzt notgedrungen beschäftigen. Man kann allen Verantwortliche nur raten: "Handeln Sie jetzt, bevor die Aufsichtsbehörde Ihnen vorschreibt, wie Sie den Datenschutz in Ihrem Unternehmen umzusetzen haben!"