Home
Intern
Regelmäßig sind Unternehmen gefordert, sich an Veränderungen des rechtlichen und wirtschaftlichen Umfelds anzupassen. Im Mai 2018 betrifft das umfangreiche Anforderungen bei der Verarbeitung personenbezogener Daten. Überlegungen zu einer risikobasierten Befolgung der Datenschutzanforderungen lassen sich dabei zugleich mit den Vorteilen eines modernen Datenschutzes kombinieren.
Unternehmen prüfen üblicherweise die wahrscheinlichsten Ursachen für zivilrechtliche oder behördliche Inanspruchnahmen, bestimmen deren Eintrittswahrscheinlichkeit und ihre Auswirkungen auf den Geschäftsbetrieb. Je nach Ergebnis der Prüfung passen sie sich an oder nehmen Risiken bewusst in Kauf. Die Risiken sind abhängig von der Größe des Unternehmens, Art und Ort des Geschäftsbetriebs, der Konfrontationsfreude von Betroffenen, Wettbewerbern und staatlichen Stellen sowie den jeweils unternommenen Bemühungen zur Einhaltung der gesetzlichen Vorgaben.
Trotz dieser individuell zu beurteilenden Faktoren birgt das künftige europäische Datenschutzrecht ein hohes Risiko bei der Verletzung lediglich formaler Anforderungen. Hierzu zählen etwa die vielfältigen Pflichten zu Informationen und Erklärungen gegenüber Betroffenen, die Bestellung eines Datenschutzbeauftragten, Vereinbarungen mit Dritten zur Datenübermittlung oder das Vorhalten einer Übersicht personenbezogener Datenverarbeitungen im Unternehmen. Die Nichteinhaltung der formalen Anforderungen ist für Aufsichtsbehörden wie Beteiligte leicht erkennbar.
Neben der individuellen Feststellung von Haftungsrisiken und deren Reduzierung gibt es aus Unternehmersicht auch Vorteile, sich aktiv mit dem Schutz der Daten von Mitarbeitern, Kunden und Dritten zu befassen. Unternehmen können den Datenschutz als Werteversprechen ausgestalten und sich mit einer entsprechenden Unternehmensdarstellung positiv von Wettbewerbern abgrenzen. Ein Erfüllen oder Übertreffen gesetzlicher Anforderungen zugunsten von Mitarbeitern und Kunden kann das Ansehen des Unternehmens stärken und vertrauensbildend wirken.
Die nachweisbare Einhaltung von Datenschutzvorschriften stellt einen Unternehmenswert an sich dar, vergleichbar der Registrierung und Zusammenstellung des geistigen Eigentums einer Gesellschaft. So werden bei Unternehmenstransaktionen – etwa dem Erwerb oder der Veräußerung von Unternehmensanteilen – die bestehenden Risiken eines Geschäftsbetriebs bei Due Diligences üblicherweise vom Erwerber geprüft und bewertet. Aufgrund des erheblichen Bußgeldrahmens werden sich derartige Prüfungen künftig auch angemessen mit der Einhaltung des Datenschutzes im Unternehmen befassen müssen. Innerhalb des häufig knappen zeitlichen Rahmens solcher Prüfungen ermöglicht eine vorhandene, aktuelle Dokumentation die Beurteilung der Datenschutzorganisation im Unternehmen. Selbst wenn dabei Mängel auftreten, bietet die Zusammenstellung zumindest eine Chance zur Bewertung des Vorhandenen und ggf. Fehlenden. Das vollständige Fehlen einer solchen Dokumentation wird dagegen Zweifel an der generellen Einhaltung des Datenschutzes im Unternehmen aufwerfen, was ein deutlich größeres Risiko darstellt und damit bei der Bewertung des Unternehmensanteils nachteilig zu Buche schlägt.
Für international tätige Unternehmen kann es zudem sinnvoll sein, Datenschutz nicht lediglich lokal zu betrachten, um allein die jeweiligen einzelstaatlichen Mindestanforderungen einzuhalten. Dann ist es möglich, mit einem unternehmenseinheitlichen Standard die Anforderungen einer Vielzahl von Ländern zugleich einzuhalten und nur einander unvereinbaren gesetzlichen Anforderungen individuell zu begegnen. Zwar werden dadurch im Einzelfall gesetzliche Spielräume nicht ausgenutzt und vereinzelt ein höheres als das lokal erforderliche Datenschutzniveau erreicht, dafür entfallen für die Unternehmen die Kosten individueller lokaler Anpassungen und deren dauerhafte Aktualisierungen.
Letztlich können Unternehmen das Risiko von Datenvorfällen sowie die Auseinandersetzung mit den Begehrlichkeiten interessierter Kreise – Betroffene, Strafverfolgungs- und Aufsichtsbehörden – durch die bewusste Reduzierung der überhaupt verarbeiteten oder vorgehaltenen Daten verringern. Was nicht vorhanden ist, kann nicht verlorengehen, braucht nicht herausgegeben zu werden und reduziert Arbeiten außerhalb des unternehmerischen Kerngeschäfts.
Unternehmen müssen sich ihre Risiken und Chancen bei der Einhaltung des Datenschutzes bewusst machen. Dabei sind eigene Positionen regelmäßig zu prüfen und erforderlichenfalls anzupassen. Für die formalen, leicht prüfbaren Anforderungen der Datenschutz-Grundverordnung sollten Unternehmen rechtzeitig überzeugende Lösungen finden.
Daten – Treibstoff einer neuen Ökonomie
Fakten zur DSGVO
Datenschutz als Wettbewerbsvorteil für Unternehmen – Einheitliche Regelung in der EU
Datenschutz-Grundverordnung – Alle Zielsetzungen werden verfehlt
Einhaltung von Datenschutz-Vorgaben – Zwischen unsäglichem Übel und großartiger Gelegenheit
Kontrolle von Beschäftigten in Europa – Informationspflichten in Polen nach nationalen und europäischen Vorgaben
§ 203 StGB: Neuerung im Gesetz – Inanspruchnahme von IT-Dienstleistern und Cloud-Computing vereinfacht
Steuerlicher Datenschutz – Was die Finanzbehörden dürfen
DSGVO in Polen, Rumänien und Italien – Revolutionäre Änderungen in der Personal- und Lohnbuchhaltung
Anonymisieren und Pseudonymisieren von Kundendaten – Praxisbeispiel aus dem Datenschutz
Die DSGVO im Ökosystem der ERP-Lösungen – Auswirkung auf das Zusammenspiel zwischen Unternehmen und Dienstleister
DSGVO und Abschlussprüfung – Veränderungen nicht nur für den Datenschutzbeauftragten
Umsetzung der DSGVO – So verschaffen Sie sich als Geschäftsführer, Vorstand oder Aufsichtsrat Sicherheit
Alexander von Chrzanowski
Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht
Associate Partner
Anfrage senden
Profil
Beratung im IT- und Datenschutzrecht
Ein Jahr DSGVO – Lösungen und neue Fragen
