Datenschutz im Unternehmen

Datenschutz und Unternehmensleitung

Datenschutz und internes Kontrollsystem

Die Ressource Information bildet in unserer Informationsgesellschaft den vierten Produktionsfaktor und repräsentiert für die Unternehmen einen hohen Wert. Bei diesen Informationen handelt es sich zu einem großen Teil um personenbezogene Daten, die dem Datenschutzrecht unterliegen. Die personenbezogene Betrachtungsweise ist aber nur eine von mehreren Perspektiven. Diese Daten sind aus revisions- und buchhalterischer Sicht auch Gegenstand handels- und steuerrechtlicher Vorschriften sowie weiterer Regelungen. Sie bilden auch das grundlegende Datenmaterial für alle von der Geschäftsleitung zu zeichnenden Berichte bis hin zur Bilanz.

Damit greifen für diese Daten neben dem Handels- und Steuerrecht aus buchhalterischer Sicht und aus Revisionssicht zusätzliche Vorschriften wie z. B.

  • die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD),
  • die Grundsätze ordnungsgemäßer Datenverarbeitung (GoDV),
  • die Prüfstandards zur Durchführung von Wirtschaftsprüfungen,
  • Compliancevorschriften des Unternehmens.

Aufgrund der Relevanz für die Bilanz und die Rechnungslegung des Unternehmens sind diese Daten Gegenstand des Risikomanagements und des internen Kontrollsystems, zu deren Einrichtung die Unternehmensleitungen von Aktiengesellschaften verpflichtet sind. Dabei wird davon ausgegangen, dass diese Verpflichtung auch auf den Pflichtenrahmen der Geschäftsführung einer GmbH ausstrahlt.

Die Beachtung des Datenschutzes und dessen Kontrolle ist zwar für sich allein betrachtet schon eine Complianceaufgabe der Geschäftsleitung. Die Notwendigkeit des Schutzes dieser Daten sollte aber nicht isoliert nur aus der Sicht des Datenschutzes betrachtet werden. Die Bedeutung des Schutzes der Ressource „Daten“ ist vielmehr in einer Gesamtsicht aus handels-, steuer- und datenschutzrechtlichen Perspektiven sowie unter Sicherheits-, Ordnungsmäßigkeits- und Revisionsgesichtspunkten zu sehen.

In einem integrierten Sicherheitsansatz ist der Schutz der Unternehmenswerte mit den Zielen des Datenschutzes zu vernetzen.

Erst die Vernetzung dieser einzelnen Aspekte zu einem integrierten Sicherheitsansatz wird der Bedeutung des Themas gerecht und zeigt auch die Rolle und den Stellenwert des Datenschutzes und der Informationssicherheit im Unternehmen. Die DSGVO schreibt zwar diesen integrierten Sicherheitsansatz nicht konkret vor, setzt ihn aber unausgesprochen voraus, wenn die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO mit der Forderung der Nachweisbarkeit der Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO erfüllt werden soll. Auch die an verschiedenen Stellen der DSGVO angebotenen genehmigten Zertifizierungsverfahren gem. Art. 42 DSGVO (z. B. in Art. 24 Abs. 3, 25 Abs. 3, Art. 83 Abs. 2 lit. j DSGVO) setzen als Grundlage für die Durchführung eines Audits mit dem Ziel der Erfüllung der Rechenschaftspflicht einen alle Datenschutz- und Datensicherheitsprozesse umfassenden integrativen Datenschutz- und Datensicherheitsansatz voraus, denn anders lässt sich ein Audit mit diesem Anspruch an den Nachweis der Erfüllung aller Datenschutzvorschriften der DSGVO kaum durchführen.

Der Schutz personenbezogener Daten ist nur dann gegeben, wenn auch die Sicherheit, Zulässigkeit und Zuverlässigkeit der Ursprungsdaten und der Verarbeitungsverfahren gewährleistet sind und wenn alle relevanten Vorschriften einschließlich der Vorschriften zum Datenschutz und zur Datensicherheit korrekt angewendet werden. Aus Sicht der Unternehmensleitung ist es daher nur sinnvoll, das Anliegen „Schutz der Prozesse, Verarbeitungssysteme und Daten“ als eine einheitliche Aufgabe zu sehen und den Datenschutz in das Management- und Kontrollsystem des Unternehmens einzubeziehen.

Checkliste: Managementsystem

Flipbook Element

DSB-Portal jetzt kostenlos testen

Haftung des Verantwortlichen und des Auftragsverarbeiters

Ähnlich wie unter dem Regime des § 7 BDSG a. F. und der RL 95/46 EG begründet Art. 82 DSGVO einen Haftungsanspruch der Betroffenen, wenn diesen durch eine nicht den Vorschriften der DSGVO entsprechende Verarbeitung ihrer personenbezogenen Daten ein Schaden zugefügt wird. Art. 82 DSGVO erweitert aber die Haftung einerseits auch auf die Auftragsverarbeiter und andererseits ausdrücklich auch auf immaterielle Schäden. Ein immaterieller Schaden kann durch eine Verletzung des Persönlichkeitsrechts des Betroffenen entstehen, so gem. § 253 Abs. 2 BGB durch eine Verletzung höchstpersönlicher Rechtsgüter wie Leben, Körper, Gesundheit oder sexuelle Selbstbestimmung.

Der Begriff des Schadens ist weit auszulegen, das heißt, es sind auch Bagatellschäden erfasst, und ein Erreichen bzw. Überschreiten einer Erheblichkeitsschwelle wird auch nicht verlangt. Art. 82 Abs. 1 DSGVO bestimmt, ohne eine Erheblichkeitsschwelle vorzuschreiben, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat. Zur Frage, ob zur Auslösung eines Schadensersatzanspruchs eine sog. Erheblichkeitsschwelle erreicht bzw. überschritten werden muss, werden unterschiedliche Rechtsauffassungen vertreten. Einerseits wird in der Rechtsprechung argumentiert, dass zwar eine schwere Verletzung des Persönlichkeitsrechts nicht erforderlich sei, die Verletzungshandlung aber zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben muss. Dem Betroffenen muss ein spürbarer Nachteil entstanden sein, und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen eingetreten sein. Andererseits wird auch die Auffassung vertreten, dass Art. 82 Abs.1 DSGVO keine Erheblichkeitsschwelle vorsehe und deshalb Schmerzensgeld auch schon bei geringfügigen Verletzungen des Persönlichkeitsrechts zu gewähren ist.

Weder aus dem Wortlaut des Art. 82 Abs. 1 DSGVO noch aus EG-Nr. 46 kann abgeleitet werden, dass ein Schmerzensgeldanspruch erst ab Erreichen einer bestimmten Erheblichkeitsschwelle entstehen kann. Die Frage, ob eine Erheblichkeitsschwelle zur Realisierung eines Schmerzensgeldanspruchs tatsächlich erreicht werden muss, liegt derzeit im Rahmen eines Vorlageverfahrens zur Entscheidung beim EuGH.

Auch EG-Nr. 146 sagt dazu:

(1) Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. 2Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. 3Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. 4Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. 5Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. 6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.(…)“

Der Schaden muss durch einen Verstoß gegen die Vorschriften der DSGVO, also durch eine unzulässige oder unrichtige Datenerhebung, -verarbeitung oder -nutzung, z. B. durch eine unzulässige Datenübermittlung, entstanden sein. Anspruchsgegner und zum Schadensersatz verpflichtet ist der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter. Sind mehrere Verantwortliche i. S v. Art. 26 DSGVO oder Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß Art. 82 Absatz 2 und 3 DSGVO für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet gem. Art. 82 Abs. 4 DSGVO jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden. Dies entspricht dem Prinzip der gesamtschuldnerischen Haftung gem. §§ 830 i. V. m. 421 ff. BGB. § 830 Abs. 1 BGB bestimmt dazu:

„(1) Haben mehrere durch eine gemeinschaftlich begangene unerlaubte Handlung einen Schaden verursacht, so ist jeder für den Schaden verantwortlich. Das Gleiche gilt, wenn sich nicht ermitteln lässt, wer von mehreren Beteiligten den Schaden durch seine Handlung verursacht hat.“

Damit soll für die betroffene Person ein wirksamer Schadensersatz sichergestellt werden.

Der Betroffene kann bei einer Gesamtschuldnerschaft gem. § 421 BGB den Schadensersatz nach seinem Belieben von einem der Verantwortlichen oder Auftragsverarbeitern einfordern, darf aber die Forderung nur einmal geltend machen. Hat der vom Betroffenen in Anspruch genommene Verantwortliche oder Auftragsverarbeiter den erlittenen Schaden erstattet, ist dieser gem. Art. 82 Abs. 5 DSGVO berechtigt, von den übrigen Verantwortlichen oder Auftragsverarbeitern den nach dem Anteil ihrer Verantwortung auf sie entfallenden Schaden zurückzufordern.

Auftragsverarbeiter können, anders als nach der bisherigen Rechtslage, dem Geschädigten gegenüber unmittelbar zum Schadensersatz verpflichtet sein. Sie haften für den durch eine Verarbeitung verursachten Schaden jedoch nur dann, wenn sie ihren speziell von den Auftraggebern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen sind oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen gegen diese Anweisungen gehandelt haben. Es muss also ein dem Auftragsverarbeiter zurechenbares eigenes Verschulden vorliegen. Die Haftung des Verantwortlichen oder des Auftragsverarbeiters kann nicht durch Vertrag ausgeschlossen werden.

Der Verantwortliche oder der Auftragsverarbeiter haftet gem. Art. 82 Absatz 2 DSGVO nicht, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Der rechtswidrige Umgang mit den Daten muss also schuldhaft, d. h. gem. § 276 BGB vorsätzlich oder fahrlässig, erfolgen und für den Eintritt des Schadens ursächlich gewesen sein.

Der Betroffene muss den Schaden belegen und darlegen, dass die Umstände, durch die der Schaden eingetreten ist, durch eine nicht der DSGVO entsprechende Verarbeitung verursacht worden sind. Erst hinsichtlich der Frage des Verschuldens greift die Beweislastumkehr des Art. 82 Abs. 3 DSGVO. So hat das LG Frankfurt/Main mit Urteil vom 18. Januar 2021, Az.: 2 – 30 O 147/20 zum Schadensersatz bei einem Hackerangriff entschieden, dass der Kläger die Beweislast dafür trägt, dass das Datenleck aufgrund einer Pflichtverletzung der Beklagten oder ihrer Erfüllungsgehilfen entstanden ist, und führte aus, dass der Umstand allein, dass es zu einem Datenleck kam, noch nicht indiziere, dass dies auf einer Pflichtverletzung durch die Beklagte oder ihrer Erfüllungsgehilfen beruhte. Es wäre, so das Gericht weiter, Sache des Klägers, darzulegen und zu beweisen, dass das Datenleck aufgrund einer Pflichtverletzung der Beklagten oder ihrer Erfüllungsgehilfen entstanden ist. Art. 82 Abs. 3 DSGVO führt nur insoweit zu einer Beweislastumkehr, als die Frage des Verschuldens betroffen ist, nicht aber zu einer Beweislastumkehr bei der Frage nach der Ursache des Datenlecks. Dies bedeutet, dass der Kläger zunächst darlegen und beweisen müsste, dass das Datenleck durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Lediglich hinsichtlich der Frage des Verschuldens hierbei würde dann die Beweislastumkehr nach § 82 Abs. 3 DSGVO greifen (siehe auch: OLG Stuttgart, Urteil vom 31. März 2021, Az.: 9 U 34/21).

DSB-Portal jetzt kostenlos testen

Kurzcheck Datenschutz

Der folgende Kurzcheck erlaubt einen groben Überblick über eventuelle Lücken im Datenschutz und entsprechenden Handlungsbedarf. Beantworten Sie sich deshalb nachfolgende Fragen: Wenn Sie eine oder mehrere mit „Nein“ beantworten müssen, besteht für Ihr Unternehmen ein Bußgeldrisiko, das Risiko von Abmahnungen, oder Ihre Geschäftsprozesse sind nicht rechtssicher und dadurch anfechtbar.

Falls der Betroffene als Folge einer Missachtung der gesetzlichen Vorschriften eine Verletzung seines Persönlichkeitsrechts geltend macht, kann auch ein Schadensersatzanspruch entstehen.

Kurzcheck
  • Ist in Ihrem Unternehmen gem. Art. 37 DSGVO ein Datenschutzbeauftragter benannt? Eine Benennungspflicht besteht, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht. Nach § 38 BDSG ist ergänzend dazu eine Benennungspflicht eines Datenschutzbeauftragten ähnlich der bisherigen Regelung vorgesehen, wenn mindestens zwanzig Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind oder Verarbeitungen vorgenommen werden, die einer Datenschutzfolgenabschätzung gem. Art. 35 DSGVO unterliegen oder Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
  • Haben Sie alle Mitarbeiter, die personenbezogene Daten erheben, verarbeiten oder nutzen, auf die Wahrung der Vertraulichkeit verpflichtet und im erforderlichen Maße im Datenschutz unterwiesen? Abgesehen von Auftragsverarbeitern ist ein förmlicher Verpflichtungsakt nicht mehr erforderlich, jedoch muss z. B. in einer internen Richtlinie oder im Anstellungsvertrag ein vertraulicher Umgang mit personenbezogenen Daten geregelt werden.
  • Ist gewährleistet, dass bei der Erhebung der Daten alle Informations- und Benachrichtigungspflichten gem. Art. 13 und 14 DSGVO erfüllt werden (z. B. über die Zweckbestimmung der Erhebung, Verarbeitung und Nutzung, insbesondere über eine Nutzung der Daten für Zwecke der Werbung)?
  • Ist sichergestellt, dass, soweit keine andere Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten vorhanden ist, die erforderlichen Einwilligungen eingeholt und nachweisbar dokumentiert werden?
  • Sind Prozesse und Verfahren eingerichtet, die gewährleisten, dass bei Auskunftsverlangen der Betroffenen gem. Art. 15 DSGVO firstgerecht eine vollständige und richtige Auskunft über die gespeicherten Daten sowie deren Verarbeitung und Nutzung gegeben werden kann?
  • Ist gewährleistet, dass bei einer Nutzung von personenbezogenen Kundendaten für Zwecke der Werbung bei der Erhebung der Daten alle Informationspflichten erfüllt, die Betroffenen bei Werbemaßnahmen gem. Art. 21 Abs. 2 und 3 DSGVO über ihr Widerspruchsrecht gegen weitere Werbung unterrichtet und Werbewidersprüche zuverlässig beachtet werden?
  • Ist sichergestellt, dass, soweit nach den Vorschriften des UWG erforderlich, die notwendigen Einwilligungen für eine Nutzung der Kundendaten für Zwecke der Werbung eingeholt und die Einwilligungen nachweisbar dokumentiert werden?
  • Ist sichergestellt, dass bei einer Vergabe von Dienstleistungen zur Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten (Auftragsverarbeitung) die Vorschriften der Art. 28 und 29 DSGVO zur Prüfung der Auftragnehmer und zur Vertragsgestaltung eingehalten werden?
  • Ist sichergestellt, dass bei der Datenverarbeitung die Grundsätze des Art. 5 Abs. 1 DSGVO (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit der Daten, Speicherbegrenzung, Integrität und Vertraulichkeit) beachtet werden?
  • Ist sichergestellt, dass die Einhaltung dieser o. g. Grundsätze gem. Art. 5 Abs. 2 DSGVO nachgewiesen werden kann (Rechenschaftspflicht)?
  • Ist sichergestellt, dass bei einer Datenübermittlung in Staaten außerhalb der EU/EWR oder bei einer Datenverarbeitung in solchen Staaten (Drittstaaten) die besonderen Datenschutzvorschriften der Art. 44 ff. DSGVO beachtet werden, z. B. durch Abschluss von Verträgen nach den EU-Standardvertragsklauseln?
  • Sind die zur Umsetzung des Datenschutzes im Unternehmen gem. Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen eingerichtet und dokumentiert und wird die Einhaltung der Regelungen kontrolliert?
  • Sind alle für die Erhebung, Verarbeitung und Nutzung von Personaldaten geltenden Vorschriften und Voraussetzungen erfüllt, insbesondere Betriebsvereinbarungen abgeschlossen bzw. die erforderlichen Einwilligungen eingeholt, z. B.
    • für den Einsatz von Überwachungs- und Kontrollsystemen (Videokontrolle, Zutrittskontrolle, Zeiterfassung u. a.)?
    • für die Nutzung, insbesondere für die private Nutzung, von Kommunikationssystemen (Telefon, E-Mail, Internet u. a.)?
    • für die Verarbeitung von Personaldaten in Personalverwaltungs- und Personalmanagementsystemen?
    • für die Protokollierung von Benutzeraktivitäten bei der Anwendung von Datenverarbeitungsverfahren und von Administrationsaktivitäten im Bereich der IT und für die Speicherung und Auswertung der Protokolldaten?
    • für die Verarbeitung und Nutzung von Mitarbeiterdaten innerhalb von Konzernunternehmen, insbesondere in zentralen Einrichtungen im Ausland?
  • Existiert eine aktuelle und vollständige Datenschutzdokumentation, insbesondere, soweit vorgeschrieben, das Verzeichnis über Verarbeitungstätigkeiten gem. Art. 30 DSGVO, und sind Sie in der Lage, die Datenschutzkonformität als Teilgebiet der Ordnungsmäßigkeit Ihrer Datenverarbeitungsverfahren revisionssicher zu belegen?
  • Ist die datenschutzrechtliche Zulässigkeit der einzelnen Datenverarbeitungsverfahren und der einzelnen Nutzungen überprüft und dokumentiert, z. B. im Verzeichnis von Verarbeitungstätigkeiten, und ist, soweit erforderlich, die Einwilligung der Betroffenen eingeholt?
  • Ist gewährleistet, dass von anderen Stellen übermittelte Daten nur für die zugelassenen Zwecke verarbeitet und genutzt werden (Einhaltung der Zweckbindung)?
  • Ist gewährleistet, dass Betroffene gem. Art. 14 DSGVO bei einer erstmaligen Speicherung ihrer Daten ohne Kenntnis über die Art der Daten, die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung sowie über die Identität der verantwortlichen Stelle und über eventuelle Datenübermittlungen unterrichtet werden?
  • Ist gewährleistet, dass bei einer unrechtmäßigen Kenntnisnahme von Daten, z. B. bei Verlust von Datenträgern mit personenbezogenen Daten, gem. Art. 33 und 34 DSGVO unverzüglich die Betroffenen und die Aufsichtsbehörde für den Datenschutz unterrichtet werden?
  • Ist durch ein Löschkonzept sichergestellt, dass nicht mehr erforderliche personenbezogene Daten fristgerecht und sicher gelöscht werden?
  • Ist sichergestellt, dass die nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) vorgeschriebenen Informationen erteilt und Einwilligungen eingeholt werden?

DSB-Portal jetzt kostenlos testen