Einhaltung von Datenschutz-Vorgaben – Zwischen unsäglichem Übel und großartiger Gelegenheit

PrintMailRate-it
veröffentlicht am 7. Februar 2018
 

Regelmäßig sind Unternehmen gefordert, sich an Veränderungen des rechtlichen und wirtschaft­lichen Umfelds anzupassen. Im Mai 2018 betrifft das umfangreiche Anforderungen bei der Verarbeitung personenbezogener Daten. Überlegungen zu einer risikobasierten Befolgung der Datenschutzanforderungen lassen sich dabei zugleich mit den Vorteilen eines modernen Daten­schutzes kombinieren.

 

    
Unternehmen prüfen üblicherweise die wahrscheinlichsten Ursachen für zivilrechtliche oder behördliche Inanspruchnahmen, bestimmen deren Eintrittswahrscheinlichkeit und ihre Auswirkungen auf den Geschäfts­betrieb. Je nach Ergebnis der Prüfung passen sie sich an oder nehmen Risiken bewusst in Kauf. Die Risiken sind abhängig von der Größe des Unternehmens, Art und Ort des Geschäftsbetriebs, der Konfrontationsfreude von Betroffenen, Wettbewerbern und staatlichen Stellen sowie den jeweils unternommenen Bemühungen zur Einhaltung der gesetzlichen Vorgaben.
 

Trotz dieser individuell zu beurteilenden Faktoren birgt das künftige europäische Datenschutzrecht ein hohes Risiko bei der Verletzung lediglich formaler Anforderungen. Hierzu zählen etwa die vielfältigen Pflichten zu Informationen und Erklärungen gegenüber Betroffenen, die Bestellung eines Datenschutzbeauftragten, Vereinbarungen mit Dritten zur Datenübermittlung oder das Vorhalten einer Übersicht personenbezogener Datenverarbeitungen im Unternehmen. Die Nichteinhaltung der formalen Anforderungen ist für Aufsichtsbehörden wie Beteiligte leicht erkennbar.
 

Unternehmerische Gründe für den Datenschutz

Neben der individuellen Feststellung von Haftungsrisiken und deren Reduzierung gibt es aus Unternehmersicht auch Vorteile, sich aktiv mit dem Schutz der Daten von Mitarbeitern, Kunden und Dritten zu befassen. Unternehmen können den Datenschutz als Werteversprechen ausgestalten und sich mit einer entsprechenden Unternehmensdarstellung positiv von Wettbewerbern abgrenzen. Ein Erfüllen oder Übertreffen gesetzlicher Anforderungen zugunsten von Mitarbeitern und Kunden kann das Ansehen des Unternehmens stärken und vertrauensbildend wirken.
 

Die nachweisbare Einhaltung von Datenschutzvorschriften stellt einen Unternehmenswert an sich dar, vergleichbar der Registrierung und Zusammenstellung des geistigen Eigentums einer Gesellschaft. So werden bei Unternehmenstransaktionen – etwa dem Erwerb oder der Veräußerung von Unternehmensanteilen – die bestehenden Risiken eines Geschäftsbetriebs bei Due Diligences üblicherweise vom Erwerber geprüft und bewertet. Aufgrund des erheblichen Bußgeldrahmens werden sich derartige Prüfungen künftig auch angemessen mit der Einhaltung des Datenschutzes im Unternehmen befassen müssen. Innerhalb des häufig knappen zeitlichen Rahmens solcher Prüfungen ermöglicht eine vorhandene, aktuelle Dokumentation die Beurteilung der Datenschutzorganisation im Unternehmen. Selbst wenn dabei Mängel auftreten, bietet die Zusammenstellung zumindest eine Chance zur Bewertung des Vorhandenen und ggf. Fehlenden. Das vollständige Fehlen einer solchen Dokumentation wird dagegen Zweifel an der generellen Einhaltung des Datenschutzes im Unternehmen aufwerfen, was ein deutlich größeres Risiko darstellt und damit bei der Bewertung des Unternehmensanteils nachteilig zu Buche schlägt.
 

Für international tätige Unternehmen kann es zudem sinnvoll sein, Datenschutz nicht lediglich lokal zu betrachten, um allein die jeweiligen einzelstaatlichen Mindestanforderungen einzuhalten. Dann ist es möglich, mit einem unternehmenseinheitlichen Standard die Anforderungen einer Vielzahl von Ländern zugleich einzuhalten und nur einander unvereinbaren gesetzlichen Anforderungen individuell zu begegnen. Zwar werden dadurch im Einzelfall gesetzliche Spielräume nicht ausgenutzt und vereinzelt ein höheres als das lokal erforderliche Datenschutzniveau erreicht, dafür entfallen für die Unternehmen die Kosten individueller lokaler Anpassungen und deren dauerhafte Aktualisierungen.
 

Fazit

Letztlich können Unternehmen das Risiko von Datenvorfällen sowie die Auseinandersetzung mit den Begehrlichkeiten interessierter Kreise – Betroffene, Strafverfolgungs- und Aufsichtsbehörden – durch die bewusste Reduzierung der überhaupt verarbeiteten oder vorgehaltenen Daten verringern. Was nicht vorhanden ist, kann nicht verlorengehen, braucht nicht herausgegeben zu werden und reduziert Arbeiten außerhalb des unternehmerischen Kerngeschäfts.
 

Unternehmen müssen sich ihre Risiken und Chancen bei der Einhaltung des Datenschutzes bewusst machen. Dabei sind eigene Positionen regelmäßig zu prüfen und erforderlichenfalls anzupassen. Für die formalen, leicht prüfbaren Anforderungen der Datenschutz-Grundverordnung sollten Unternehmen rechtzeitig überzeugende Lösungen finden.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu