Euroforum

EUROFORUM GmbH-Geschäftsführer-Seminare
Info-Hotline: +49 2 11/887 43 - 33 45

TYPISCHE COMPLIANCE-RISIKEN IM BEREICH DES DATENSCHUTZES

Im Rahmen der Compliance gewinnt das Datenschutzrecht zunehmend an Bedeutung. Derzeit können auf Grundlage des Bundesdatenschutzgesetzes (BDSG) Verstöße mit Bußgeldern von bis zu 300.000 € geahndet werden.

Mit der Anwendbarkeit der EU-Datenschutzgrundverordnung ab dem 25. Mai 2018 drohen Unternehmen jedoch Bußgelder bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes – wobei insbesondere Aufsichtsbehörden davon ausgehen, ass auf den weltweiten Jahresumsatz der gesamten Unternehmensgruppe bzw. des gesamten Konzerns abzustellen ist.

Haftungsrisiken des Geschäftsführers bestehen nicht nur im Innenverhältnis gegenüber der Gesellschaft, sondern auch im Außenverhältnis. Eine persönliche Haftung gegenüber Behörden kommt über §§ 130, 9 des Gesetzes über Ordnungswidrigkeiten (OwiG) in Betracht.

Die nachfolgenden Beispiele – jenseits von unzulässigen Mitarbeiterüberwachungen und vermeidbaren Hackerangriffen – sollen ein erstes Problembewusstsein vermitteln. Zugleich sollen sie zeigen, dass sich Risiken häufig ohne großen Aufwand vermeiden lassen.

Betrieblicher Datenschutzbeauftragter

Nahezu jedes Unternehmen erhebt, verarbeitet und nutzt personenbezogene Daten, sowohl von eigenen Mitarbeitern als auch von Kunden. Dazu zählen etwa Name, Geburtsdatum, Anschrift, E-Mail-Adresse, Konto-/Kreditkartennummer, Krankheitstage, Konfession, Fotos, aufgegebene Bestellungen etc. Regelmäßig erfolgt die Verarbeitung automatisiert, d.h. unter EDV-Einsatz. Grundlegende organisatorische Pflichten werden dabei in kleineren Unternehmen oftmals verkannt.

Beispiel: In der Personalabteilung eines Unternehmens sind fünf HR-Manager tätig, die Personalakten auch auf dem Server speichern. Sechs Vertriebsmitarbeiter bearbeiten elektronische Kundendatenbanken. Ein betrieblicher Datenschutzbeauftragter wurde jedoch nicht bestellt.

Es kann ein Bußgeld von derzeit bis zu 50.000 € verhängt werden. Werden zehn oder mehr Personen mit der automatisierten Verarbeitung von Daten beschäftigt, ist ein betrieblicher Datenschutzbeauftragter zu bestellen, der über eine besondere Fachkunde verfügen und zuverlässig sein muss.

Unternehmen ist es freigestellt, ob sie einen externen oder einen internen Datenschutzbeauftragten bestellen. Wird die Funktion auf einen internen Mitarbeiter übertragen, gilt allerdings zu beachten, dass dieser dann – vergleichbar einem Betriebsratsmitglied – über einen Sonderkündigungsschutz verfügt (§ 4 Abs. 3 S. 5, 6 BDSG). Ungeachtet dessen sind potenzielle Interessenkonflikte auszuschließen.

Beispiel: Der IT-Manager eines Unternehmens wird zum Datenschutzbeauftragten bestellt.

In einem solchen Fall hat die Aufsichtsbehörde (nach mehrfacher erfolgloser Aufforderung, Änderungen vorzunehmen) dem Unternehmen ein Bußgeld auferlegt. Nach der gesetzlichen Konzeption soll ein Datenschutzbeauftragter eine unabhängige Instanz sein, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt. Damit verträgt es sich regelmäßig nicht, wenn gleichzeitig eine maßgebliche operative Verantwortung für Datenverarbeitungsprozesse besteht.

 

Trotz gesellschaftsrechtlicher und wirtschaftlicher Verbundenheit werden Konzerngesellschaften datenschutzrechtlich wie sonstige Dritte behandelt. Die Weitergabe personenbezogener Daten darf daher nur erfolgen, wenn dies durch Gesetz oder Rechtsvorschrift/Betriebs vereinbarung erlaubt ist oder wirksame Einwilligungen der betroffenen Personen vorliegen.

Konzerninterner Datentransfer

Wie weithin bekannt, ist eine Weitergabe personenbezogener Daten an Dritte nicht ohne Weiteres zulässig. Vielfach wird jedoch übersehen, dass vermeintlich interne Vorgänge datenschutzrechtlich anders gewertet werden, da das Datenschutzrecht kein Konzernprivileg kennt.

Beispiel: Die Konzernzentrale bittet die GmbH um Übersendung aussagekräftiger Listen der bei ihr beschäftigten Arbeitnehmer mit Einzelheiten zu Sozialdaten (Alter, Dauer der Beschäftigung, Unterhaltspflichten, Schwerbehinderung) und Krankheitszeiten.

Trotz gesellschaftsrechtlicher und wirtschaftlicher Verbundenheit werden Konzerngesellschaften datenschutzrechtlich wie sonstige Dritte behandelt. Die Weitergabe personenbezogener Daten darf daher nur erfolgen, wenn dies durch Gesetz oder Rechtsvorschrift/ Betriebsvereinbarung erlaubt ist oder wirksame Einwilligungen der betroffenen Personen vorliegen. Es ist daher auch bei konzerninternen Sachverhalten regelmäßig eine Einzelfallprüfung erforderlich. Wird dies missachtet, droht ein Bußgeld.

Datentransfer in Drittstaaten

Bei einer Übermittlung in einen Drittstaat außerhalb der EU und des EWR bestehen weitergehende Einschränkungen.

Beispiel: Die Konzernzentrale sitzt in den USA. Die deutsche Tochtergesellschaft hat ihr einen Fernzugriff auf die Personaldaten eingerichtet.

Eine Abrufmöglichkeit gilt ebenfalls als Übermittlung im Sinne des Datenschutzrechts. Eine solche Übermittlung in die USA ist nur unter zusätzlichen Voraussetzungen zulässig. Anders als Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz und Uruguay gilt die USA datenschutzrechtlich nicht als sicherer Drittstaat. Ein Transfer bedarf daher entweder einer zusätzlichen Einwilligung der Arbeitnehmer (an deren Wirksamkeit hohe Anforderungen gestellt werden) oder gesonderter Vereinbarungen. Neben verbindlichen Unternehmensregeln („Binding Corporate Rules“), die von einer Aufsichtsbehörde genehmigt sein müssen, können die frei verfügbaren EU-Standardvertragsklauseln vereinbart werden. Für die USA soll – das ist derzeit allerdings nicht unumstritten – auch ausreichen, wenn sich der Datenempfänger den Regelungen des EU-US-Privacy Shield unterwirft.

Die behördlichen Kontrollen haben in diesem Bereich zugenommen. Im November 2016 wurde bei 500 Unternehmen in Deutschland die Praxis bei grenzüberschreitenden Datenübermittlungen geprüft. Betroffen waren Unternehmen unterschiedlicher Größe und Branchen. Die Auswahl erfolgte nach dem Zufallsprinzip.

Unzulässige Datenweitergabe

Selbst in noch einfacher gelagerten Fällen drohen unzulässige Übermittlungen.

Beispiel: Eine Mitarbeiterin versendet einen Rundbrief an sämtliche Kunden per E-Mail. Die E-Mail-Adressen, die sich überwiegend aus Vor- und Nachnamen zusammensetzen, wurden sämtlich in das Adressfeld („An“-Feld) eingetragen und sind somit jedem Empfänger ersichtlich.

Die Aufsichtsbehörde hat ein Bußgeld verhängt, in einem Fall sogar gegen die Unternehmensleitung. Die Versendung einer Sammel-E-Mail an einen offenen Verteiler war eine unzulässige Übermittlung personenbezogener Daten.

Der Verstoß wäre leicht zu verhindern gewesen. Wären die Adressen in das „BCC-Feld“ (Blind Carbon Copy = Blindkopie) eingetragen worden, hätte keiner der Empfänger die E-Mail-Adressen der anderen sehen können.

Auftragsdatenverarbeitung

Es ist zulässig, im Wege der sogenannten Auftragsdatenverarbeitung Externe einzubinden, z. B. einen Gehaltsabrechner oder einen Cloud-Anbieter. Diese gelten unter bestimmten Voraussetzungen nicht als Dritte, sodass die Weitergabe personenbezogener Daten keiner gesonderten Rechtfertigung bedarf. Allerdings muss die Vertragsgestaltung den strengen gesetzlichen Vorgaben genügen.

Beispiel: Die GmbH beauftragt einen externen Anbieter mit der Erstellung der Gehaltsabrechnungen. In dem Vertrag wird festgelegt, dass der Anbieter „technische und organisatorische Maßnahmen zur Datensicherheit“ treffen muss.

In einem vergleichbaren Fall wurde ein Unternehmen mit einem fünfstelligen Bußgeld belegt, weil im Vertrag keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt waren. Pauschale Aussagen und schlichte Wiederholungen des Gesetzestextes reichten der Behörde nicht aus.

 

Datenverluste sind in der Praxis sehr häufig und lassen sich nie vollständig vermeiden. Mehrheitlich handelt es sich nicht um Hackerangriffe oder Datendiebstähle durch Mitarbeiter.

Datenverluste

Datenverluste sind in der Praxis sehr häufig und lassen sich nie vollständig vermeiden. Mehrheitlich handelt es sich nicht um Hackerangriffe oder Datendiebstähle durch Mitarbeiter.

Beispiel: Ein Vertriebsmitarbeiter versendet eine unverschlüsselte Excel-Liste mit Kundendaten (Name, Adresse, Geburtsdatum, E-Mail, Kreditkartennummer) versehentlich per E-Mail an eine unbekannte ausländische E-Mail-Adresse.

Ein solcher Datenverlust ist sowohl den Aufsichtsbehörden anzuzeigen als auch den Betroffenen zu melden – u.U. sogar durch halbseitige Anzeigen in bundesweit erscheinenden Tageszeitungen (§ 42a BDSG). Erfolgt eine Anzeige nicht, nicht rechtzeitig oder nicht ordnungsgemäß, drohen die vorbezeichneten Geldbußen, darüber hinaus besteht ein spezieller Schadensersatzanspruch der Betroffenen (§ 7 BDSG).

Wären die Daten wirksam verschlüsselt worden, hätte eine Informationspflicht unter Umständen verneint werden können, weil eine Schädigung der Betroffenen (Identitätsdiebstahl, Kreditkartenmissbrauch) wohl nicht gedroht hätte. Eine vergleichsweise simple Vorsichtsmaßnahme kann somit erhebliche Image- und Folgeschäden verhindern.

Private IT-Nutzung

Eine Vermengung von dienstlicher und privater IT-Nutzung kann erhebliche Probleme nach sich ziehen.

Beispiel: Das Unternehmen erlaubt den Mitarbeitern die private Nutzung der IT einschließlich der dienstlichen E-Mail-Adresse.

Seitens der Aufsichtsbehörden wird vertreten, dass der Arbeitgeber in einem solchen Fall zur Einhaltung des Fernmeldegeheimnisses verpflichtet ist. Arbeitsgerichte sehen dies zwar zum Teil anders, eine höchstrichterliche Entscheidung hierzu ist jedoch noch nicht ergangen. Die besondere Brisanz der Frage liegt darin, dass eine Verletzung des Fernmeldegeheimnisses eine Straftat darstellt. Infolgedessen wäre ein einseitiger arbeitgeberseitiger Zugriff auch auf rein dienstliche E-Mails jedenfalls dann nicht risikolos möglich, wenn dienstliche und private Inhalte vermengt werden. Es ist daher dringend dazu anzuraten, die Privatnutzung zu untersagen oder jedenfalls konkrete Regelungen zu schaffen, die eine klare Trennung zwischen dienstlichen und privaten Inhalten vorsehen.

Asset Deals

Daten können den wesentlichen Wert eines Unternehmens ausmachen. Bei einem Asset Deal sind datenschutzrechtliche Grundsätze zu beachten.

Beispiel: Im Rahmen des Erwerbs eines Online-Shops im Wege eines Asset-Deals wird vereinbart, dass die Kundendaten mit übergehen. Zu den Daten gehörten Telefonnummern, E-Mail-Adressen, Konto- und/oder Kreditkartendaten sowie „Kaufhistorien“.

In einem ähnlichen Fall hat die Aufsichtsbehörde Geldbußen in fünfstelliger Höhe sowohl gegen das veräußernde als auch gegen das erwerbende Unternehmen festgesetzt. Weder hatten die Kunden in die Übermittlung der Daten eingewilligt, noch erfolgte im Vorfeld zumindest ein Hinweis auf die geplante Übermittlung nebst Einräumung eines Widerspruchsrechts.

Fazit

Fachbereiche dürfen nicht sich selbst überlassen werden in der Hoffnung, es werde schon gut gehen. Es ist sicherzustellen, dass Mitarbeiter die maßgeblichen Regelungen kennen und einhalten. Erste Schritte in Richtung einer ordnungsgemäßen Compliance-Organisation sind klare Verhaltensanweisungen bzw. Richtlinien sowie Schulungen.


Andreas Josupeit, Rechtsanwalt und Fachanwalt für Arbeitsrecht, CMS Hasche Sigle Partnerschaft von Rechtsanwälten und Steuerberatern mbB, Düsseldorf
Dr. Hans-Christian Woger,  Rechtsanwalt, CMS Hasche Sigle Partnerschaft von Rechts anwälten und Steuerberatern mbB, Leipzig