HomeNewsWozu brauchen wir Standards?Welche Standards gibt es?Anwendung im UnternehmenIT-Sicherheits- und RisikomanagementStandards mit IT-SicherheitsanforderungenVorschriftenKonTraGBasel IISOXEURO-SOXBDSGEvaluierung von IT-SicherheitNormen zu kryptographischen und IT-SicherheitsverfahrenPhysische SicherheitDanksagung

Schnelleinstieg: 

Logo: Inhalte Verbessern

In Zusammenarbeit mit

Logo: DIN

|||

BDSG

Für den nicht-öffentlichen Bereich, sprich für die Unternehmen in Deutschland, ist im Bereich des Datenschutzes vor allem das Bundesdatenschutzgesetz (BDSG) maßgeblich. Weitere relevante Regelungen finden sich bspw. im Telemediengesetz (TMG), wenn es um die Webpräsenz eines Unternehmens geht.
Das BDSG soll die Daten der einzelnen natürlichen Personen schützen. Personenbezogene Daten sind dabei z.B. der Name der betroffenen Person, das Geburtsdatum, aber auch besonders sensible Informationen wie zu Krankheiten, politischen Ansichten oder sexueller Ausrichtung.
Daher regelt das BDSG
  • ob und wie mit personenbezogenen Daten umgegangen werden darf
  • welche Rechte die natürlichen Personen bezüglich ihrer auf ihre Person bezogenen Daten haben
  • welche Kontrollmöglichkeiten es bei dem Umgang mit personenbezogenen Daten gibt und
  •  wie Verstöße gegen den Datenschutz geahndet werden

Der Grundsatz im Datenschutzrecht besagt, dass der Umgang mit personenbezogenen Daten verboten ist, es sei denn der Inhaber (Betroffene) willigt in den Umgang mit seinen Daten ein oder eine spezielle Rechtsvorschrift außerhalb des BDSG oder das BDSG selbst erlaubt den Umgang.
Hier ist zu beachten, dass spezielle Regelungen, wie das bereits angesprochen TMG für den Internetbereich oder auch Regelungen in den Sozialgesetzbüchern für den sozialen Bereich, dem BDSG vorgehen. Erst wenn sich keine speziellen Rechtsvorschriften finden lassen, ist auf das BDSG zurückzugreifen.
Der Betroffene hat auch gegenüber dem Unternehmen, das seine personenbezogenen Daten nutzt, ein gesetzlich normiertes Auskunftsrecht, wenn es um die Frage geht, was das Unternehmen mit den Daten macht und wie es an die Daten gelangt ist. Weiterhin kann er die Löschung oder Berichtigung der Daten verlangen.
Damit der Datenschutz in den Unternehmen wirksam umgesetzt werden kann, sieht das BDSG für Unternehmen eine Selbstkontrolle vor. Damit ist das Unternehmen für die Einhaltung des Datenschutzes selbst verantwortlich. Zu diesem Zweck hat es einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn eine bestimmte Anzahl seiner Beschäftigten mit personenbezogenen Daten arbeitet. Der Datenschutzbeauftragte kann als interner oder externer Beauftragter bestellt werden. Er ist bei der Erfüllung seiner Aufgaben keinen Weisungen der Unternehmungsführung unterworfen. Damit er den Datenschutz wirksam durchsetzen kann, muss er ein gewisses Maß an Zuverlässigkeit und Fachkunde für den Datenschutz aufweisen. Neben diesem Datenschutzbeauftragten findet auch eine Überwachung der Unternehmen durch die Datenschutzaufsichtsbehörden der jeweiligen Bundesländer statt.
Sobald es um den Datentransfer eines Unternehmens an ein anderes Unternehmen geht, ist besondere Aufmerksamkeit in Hinsicht auf den Datenschutz geboten. Sollte beispielsweise die Aktenvernichtung (bspw. Personalakten) nicht selbst, sondern durch einen Dienstleister durchgeführt werden, so besteht eine sogenannte Auftragsdatenverarbeitung. Sie ist dadurch charakterisiert, dass eine solche Datenverarbeitung bzw. –vernichtung auch vom verantwortlichen Unternehmen selbst durchgeführt werden könnte, es dieses aus Kosten- und Effizienzgründen aber auslagern möchte. Das Unternehmen, das solche Vorgänge an ein anderes Unternehmen überträgt, bleibt in diesem Fall verantwortlich für den Umgang mit den personenbezogenen Daten. Das Unternehmen muss dann sicherstellen, dass der Dienstleister den Datenschutz einhält. Dies muss zwingend durch einen schriftlichen Vertrag geregelt werden. Ebenso ist das Unternehmen während der Auftragsdatenverarbeitung verpflichtet Kontrollen auf Einhaltung des Datenschutzes beim Dienstleister durchzuführen. Im Detail sei hierzu auf die BITKOM-Publikation „Mustervertragsanlage zur Auftragsdatenverarbeitung“ verwiesen.
Etwas anderes gilt dann, wenn ein Unternehmen eigene Aufgaben komplett an einen anderen Dienstleister überträgt. Dies ist bspw. der Fall, wenn die Buchhaltung an einen Dienstleister auslagert wird. Da verfügt das Unternehmen bzw. will es in der Regel nicht über das Know-How verfügen, um die Buchhaltung steuer- und sozialabgabenkonform selbst durchzuführen. Dann spricht man von einer Funktionsübertragung. Für diese bedarf es allerdings einer rechtlichen Grundlage, bspw. aus dem BDSG.
Für eine wirksame Durchsetzung des Datenschutzes und Sanktionierung von Datenschutzverstößen, sieht das BDSG Geldbußen in Höhe von bis zu 300.000 € und bei schwerwiegenden Verstößen auch Geld- und Haftstrafen vor.
Zusammenfassend ist zu sagen, dass der Datenschutz für die Unternehmen ein nicht zu unterschätzender Bereich ist, der auch im Rahmen der Compliance Beachtung finden muss.

© 2017, BITKOM - Nutzungsbedingungen für Inhalte der BITKOM-Internetseite