Datenschutz und Datensicherheit



Das Datenschutzrecht nimmt in der modernen Informationsgesellschaft einen immer wichtigeren Stellenwert ein. Anfangs noch als Hindernis in einer weltweiten Boom-Branche angesehen, rückt dieses Rechtsgebiet immer mehr in den Vordergrund. Denn vor allem die Internetnutzer haben ein zunehmendes Gespür und Interesses daran entwickelt, was beim Surfen im Internet mit ihren Daten geschieht.

Einen ersten Überblick kann man sich durch Lesen des weiterhin geltenden Bundesdatenschutzgesetzes (BDSG) bzw. der Datenschutzgrundverordnung (DSGV) verschaffen. Danach gilt der Grundsatz, dass jede Verarbeitung personenbezogener Daten verboten ist, es sei denn ein Gesetz gibt der verarbeitenden Stelle hierfür die Erlaubnis.

Am 25. Mai 2018 wird die neue EU-DSGVO wirksam. Unternehmen bekommen Torschlusspanik und so mancher scheint den Kopf in den Sand stecken zu wollen. Aber auch für Mittelständler ist eine rechtskonforme Umsetzung der Vorgaben der DSGVO machbar. IT-Unternehmen und Webagenturen haben dabei Multiplikatorenfunktion für eine rechtskonforme Umsetzung in der Wirtschaft insgesamt.

Die neuen Regelungen sehen erweiterte Betroffenenrechte, Pflichten und Bußgeldvorschriften vor, gleichzeitig geben sie Gelegenheit, das eigene Firmen Kno-How neu zu ordnen und in ein IT-Sicherheitssystem einzubinden. Auch bringt die DSGVO einige vorteilhafte Änderungen. So ist z.B im Gegensatz zum bisherigen BDSG eine Möglichkeit für jedermann, in das Verzeichnis von Verarbeitungstätigkeiten Einsicht zu nehmen, nach der DSGVO nicht vorgesehen. Ebenso entfallen mit der DSGVO die bisher in § 4d und § 4e BDSG geregelten Meldepflichten von manchen Unternehmen an die Aufsichtsbehörde. Erstellt und vorgehalten werden müssen die Verzeichnisse dennoch, da sie den Aufsichtsbehörden jederzeit auf Anfrage zur Verfügung zu stellen sind (siehe Art. 30 Abs. 4 DS-GVO und ErwGr. 82).

Wenn man sich an die folgenden 10 Punkte hält und umsetzt, sollte man für die Deadline zum 25.05.2018 aber gerüstet sein:

  1. Datenschutzbeauftragten benennen (ab 10 Bildschirmplätzen Pflicht)
  2. Schulungen von Mitarbeitern, Booklet mit DS-Regeln erstellen
  3. Datenschutzrisikomanagement einführen, Prozess für fortlaufende Evaluierung etablieren (Wiedervorlagen Geschäftsführung)
  4. Verarbeitungsverzeichnisse erstellen mit Risikofolgenabschätzung und Festlegung von Löschungsfristen
  5. IT-Infrastruktur überprüfen und TOMs erstellen (Cloud in Deutschland, Virensoftware, Firewall, Dateiverschlüsselung, Back-Up-Routinen)
  6. Dokumentation aller Maßnahmen und Entscheidungen schriftlich festhalten
  7. Datenschutzerklärung Website
  8. Datenschutzverpflichtung der Mitarbeiter und der externen Dienstleister (ADV)
  9. Unnötig risikobehaftete und nicht erforderliche Datenverarbeitungen einstellen
  10. Verschlüsselung der Kommunikation prüfen und anbieten
Auch der Bayerische Landesdatenschützer versucht nach der Panikmache der letzten Monate die Wirtschaft und vor allem den Mittelstand einzufangen, indem er die gesamten Pflichten aus der DSGVO einmal auf die wesentlichen notwendigen Maßnahmen heruntergebrochen hat.

Ein wichtiger Aspekt des Datenschutzes ist auch die Datensicherheit. Dabei wird auch die Gefahr "von Innen" immer noch unterschätzt. Zwar will nun eine Studie herausgefunden haben, dass der Großteil der Angriffe auf Unternehmensdaten doch nicht von innen kommt. Allerdings ist es für eine Entwarnung sicher zu früh, wenn man bedenkt, dass unerlaubte Dateneinsicht oder -mitnahme oft nicht als Angriff erkannt wird. Ohne Sicherheit der bei der automatisierten Datenverarbveitung verwendeten Rechner und Netze ist ein Datenschutz schlechthin unmöglich. Dabei gehen die technischen Veränderungen rasend schnell voran, der Sicherheitsmarkt muss daher ständig beobachtet werden, neue Konzepte müssen eventuell erarbeitet werden. Wichtig ist hierbei, dass die nachträgliche Änderung eines Sicherheitskonzeptes wesentlich teurer ist, als die frühzeitige Analyse und Umsetzung der Sicherheitsanforderung.

Nicht zuletzt wegen der immensen Strafgelder, die nach dem neuen Datenschutzvorschriften ab 2018 gelten, stellen Unternehmen aktuell erhebliche Budgets bereit, um sich für die neue Rechtslage zu wappnen. Nach Art. 83 Abs. 6 DSGVO beträgt die maximale Geldbuße bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Wohlgemerkt: Es gilt der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person.

Für die Umsetzung des Datenschutzes in Unternehmen ist der sog. betriebliche Datenschutzbeauftragte zuständig. Bestimmte Unternehmen müssen nach § 4f Abs. 1 BDSG (Art. 37ff DSGVO) einen Beauftragten für den Datenschutz bestellen, wenn Art und Umfang der Datenverarbeitung dies "erforderlich machen" oder sensible personenbezogene Daten verarbeitet werden.

Für die Umsetzung des geltenden Datenschutzrechtes in Unternehmen ist der sog. betriebliche Datenschutzbeauftragte zuständig. Die Kanzlei Flick bietet Unternehmen an, die Aufgaben des betrieblichen Datenschützers zu übernehmen.

Bestimmte Unternehmen müssen immer einen Betriebsdatenschützer haben. Andere Unternehmen können diesen freiwillig bestimmen. Unternehmen, welche personenbezogene Daten zum Zweck der Übermittlung (z.B. Adresshandel, Auskunfteien etc.) oder zum Zweck der anonymisierten Übermittlung (Markt- und Meinungsforschung) erheben, verarbeiten oder nutzen müssen immer einen Datenschutzbeauftragten benennen. Stets ist auch dann ein Datenschutzbeauftragter zu bestellen, wenn automatisierte Verarbeitungen erfolgen, die der Vorabkontrolle unterliegen (sensible Daten).

Das Fehlen eines zwingend vorgeschriebenen betrieblichen Datenschützers kann im Einzelfall nach Inkrafttreten der DSGVO 2018 als Ordnungswidrigkeit mit einer Geldbuße von bis zu 10.000.000,00 EUR oder 2% des Konzernjahresumsatzes geahndet werden. Der vorsätzliche oder fahrlässige Verstoß gegen geltendes Datenschutzrecht, wie etwa die unbefugte Datenerhebung oder Datenübermittlung an Dritte ist sogar mit einem Bußgeld bis zu 20.000.000,00 EUR bedroht. Geschieht die unbefugte Datenverarbeitung in Bereicherungs- oder Schädigungsabsicht, kann dies sogar eine Straftat darstellen, die mit Haftstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden kann. Tatsächlich ist es auch schon zu Verurteilungen gekommen. Der 1. Strafsenat des BGH stellte bereits 2013 fest, dass unrechtmäßige Kontrollmaßnahmen wie die heimliche Überwachung von Zielpersonen mittels GPS-Empfängern grundsätzlich strafbar sind und hat auch Haftstrafen erteilt. Der betriebliche Datenschutzbeauftragte hilft, ein solches Risiko im Vorwege zu vermeiden.

Zum betrieblichen Datenschützer darf nur ernannt werden, wer die notwendige berufliche Qualifikation und das Fachwissen und die betriebliche Unabhängigkeit hat. Er darf nicht der Geschäftsleitung angehören oder sonstigen Interessenkonflikten (IT-Leitung) ausgesetzt sein (vgl. Art. 38 Abs. 6 DSGVO. Zu den wichtigsten Aufgaben des Betriebsdatenschützers zählt die Einholung einer Liste der vorhandenen Datenvararbeitung (Verfahrensverzeichnis) und die Erstellung eines Datensicherheitskonzeptes (vgl. Art. 30 DSGVO). Er ist direkt der Geschäftsleitung zu unterstellen und darf durch die Ausübung seiner Tätigkeit keinerlei Nachteile erfahren. Damit ist der Angestellte, der als interner betriebliche Datenschützer fungiert praktisch unkündbar.

Die Aufgabe des betrieblichen Datenschützers kann auch auf externe Berater übertragen werden. Aufgrund der vom Gesetz geforderten Zuverlässigkeit und besonderen Fachkunde über Datenschutzfragen empfiehlt sich hier sicherlich, einen Anwalt oder eine IT-Fachfirma zu beauftragen.

Damit die Kanzlei Flick als betrieblicher Datenschützer auftreten kann und wir gegenüber Behörden und Kunden als Datenschutzbeauftragter benannt werden können, ist der Abschluss eines Dienstleistungsvertrages notwendig. An Kosten berechnen wir hierfür je nach Betriebsgröße und Beratungsanforderungen pauschal oder nach Aufwand. Selbstverständlich bieten wir unsere Leistung auch zu Festpreisen pro Monat an.

Abgesehen von der geringen Grundgebühr entstehen Kosten also nur nach tatsächlichem Aufwand. Sofern bereits ein Datenschutzkonzept oder sonstige Vorarbeiten bestehen, sind auch diese Kosten eher gering, wenn man die klaren Vorteile eines externen Datenschutzbeauftragten berücksichtigt:

  • vorhandene Mitarbeiter müssen nicht mit Extraaufgaben des betrieblichen Datenschützers belastet und nicht freigestellt werden
  • ein externer Berater sieht nicht durch die beriebliche Brille und kann Gefahren besser erkennen; ein externer Berater erhöht also die Effektivität und somit die Glaubwürdigkeit des Datenschutzes
  • durch die tägliche Erfahrung in unserer juristischen Arbeit sind wir mit Themen des Datenschutzes und der Datensicherheit bestens vertraut; darüberhinaus können wir auf ein bestehendes Netzwerk von Datensicherheitsexperten zurückgreifen; Fortbildungskosten entfallen also bzw. werden selbstverständlich von uns getragen


Unsere Dienstleistung als externer betrieblicher Datenschützer erbringen wir reglemäßig wie folgt:

  • Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten
  • Überwachung der Einhaltung der DSGVO und nationalen Sonderregelungen
  • Sensibilisierung und Schulung
  • Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung nach DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Gründliche Erstprüfung der vorhandenen Datenverarbeitung mit Prüfung der Arbeitsprozesse mit personenbezogenen Daten und Datenverarbeitungsanlagen sowie bestehender Sicherheitsvorkehrungen
  • Erstellung eines internen und externen Verfahrensverzeichnisses
  • Erstellung eines Datensicherheitskonzeptes
  • Information und Schulungen der Mitarbeiter sowie der Geschäftsleitung zu gesetzlichen Vorgaben des Datenschutzes
  • Kompetenter Ansprechpartner für Betroffene und Kunden
  • projektbezogene Beratung zu Datenschutz und Recht im vereinbarten Zeitrahmen
  • Erfahrung im Umgang mit Aufsichtsbehörden und Gerichten
  • Angabe eines Rechtsanwaltes im Impressum als Betriebsdatenschützer


Probleme des Datenschutzes sollte man nicht unterschätzen. Neben beträchtlichen Imageverlusten kann ein Verstoß gegen gesetzliche Bestimmungen sogar eine Straftat darstellen oder aber erhebliche Geldbußen nach sich ziehen. Auch kann die Aufsichtsbehörde bei Verstößen konkrete Weisungen erteilen. In jedem Fall verletzt man aber Persönlichkeitsrechte einer wichtigen Person, nämlich regelmäßig die des Kunden. Eine Verletzung seines Rechtes auf informationelle Selbstbestimmung kann aber nicht nur das Ende der Kundenbeziehung sondern auch Schadensersatzforderungen zur Folge haben. Auch hier sollte man daher frühzeitig rechtlichen Rat in Anspruch nehmen.