Bußgelder und Schadensersatzansprüche aufgrund von Daten ... / 2 Vermeidung von Datenschutzverstößen

Wie einleitend bereits erläutert, existiert eine große Anzahl gesetzlicher und behördlicher Datenschutzvorschriften. Unternehmen müssen sich mit diesen Vorgaben auseinandersetzen, um datenschutzkonform agieren zu können und Datenschutzverstöße zu vermeiden. Wir zeigen – unabhängig von den Details und Einzelfragen – in diesem Artikel überblicksartig auf, welche Strukturen und Prinzipien erfahrungsgemäß in einem Unternehmen implementiert werden sollten, um eine solide Basis zu schaffen, auf deren Grundlage die jeweiligen datenschutzrechtlichen Themen im Einzelnen umgesetzt und Verstöße vermieden werden können:

• Datensicherheit: Der Schutz von personenbezogenen Daten ist ein elementarer Bestandteil des Datenschutzes, dessen Missachtung sowohl Bußgeldverfahren als auch Ansprüche auf Schadensersatz auslösen kann. Es ist daher unerlässlich, ausreichende und effektive Sicherheitsvorkehrungen zu treffen, die insbesondere vor dem Verlust sowie der unbefugten Offenlegung der Daten schützen und jeweils dem aktuellen Stand der Technik entsprechen. Als Orientierungshilfe für solche Schutzmaßnahmen kann zum Beispiel der IT-Grundschutz des BSI oder auch die Checkliste für technische und organisatorische Maßnahmen des Bayrischen Landesamtes für Datenaufsicht dienen. Ebenfalls kann insbesondere bei Unternehmen, die als Auftragsverarbeiter tätig sind, eine Zertifizierung des unternehmenseigenen Informationssicherheitssystems nach der ISO-Norm 27001 hilfreich sein, mit der gleichzeitig die erste Stufe des Datenschutz-Audits durch den Verantwortlichen erfüllt werden kann.
• Privacy by Design: Unternehmen sollten sicherstellen, dass bereits bei der Entwicklung neuer Prozesse oder dem Einkauf neuer Produkte von Beginn an der Datenschutzbeauftragte oder andere Berater im Bereich des Datenschutzes hinzugezogen werden. Diese sollen sicherzustellen, dass auch bei neuen Prozessen und Produkten datenschutzrechtliche Vorschriften von Anfang an eingehalten werden. Denn bereits bestehende Unternehmensprozesse oder Kundenangebote im Nachhinein so abzuändern, dass sie den Datenschutzanforderungen entsprechen, gestaltet sich meist sowohl aus technischer als auch aus unternehmenspolitischer Sicht sehr schwierig und teu(r)er.
• Awareness: Datenschutz – wie auch sonstige Compliance-Regeln – funktionieren nur, wenn sie im Unternehmen auch gelebt werden. Vor diesem Hintergrund muss sichergestellt sein, dass die Mitarbeiter des Unternehmens regelmäßig und auf ihre jeweiligen Funktionen spezialisiert geschult und bezüglich datenschutzrechtlicher Probleme sensibilisiert werden. Dies gilt umso mehr vor dem Hintergrund, dass Unternehmen – unter bestimmten Voraussetzungen – für die Datenschutzverstöße ihrer Angestellten verantwortlich gemacht werden können.
• Betroffenenmanagement: Die DSGVO spricht den Betroffenen eine Reihe an Rechten zu, die diese gegenüber dem Verantwortlichen geltend machen können. Insbesondere Unternehmen mit viel Kundenkontakt sollten daher Prozesse etablieren, um auf entsprechende Fragen von Betroffenen innerhalb der gesetzlichen Fristen reagieren zu können. Denn bei Verletzung der Betroffenenrechte steht den Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu, das oftmals den ersten Schritt für ein behördliches Ermittlungsverfahren darstellt. Unternehmen sollten vor diesem Hintergrund auf Anfragen von Betroffenen eingehen und die weiteren Prozesse umfassend dokumentieren, insbesondere sofern sie einer Anfrage nicht nachkommen.

• Rechtsmonitoring: Aufgrund der eher kurzen "Lebensdauer" der DSGVO und der engen Verknüpfung des Datenschutzes mit der sich rasant entwickelnden Digitalisierung besteht in vielen Bereichen noch keine gefestigte Rechtslage. Vielmehr entstehen fast wöchentlich Neuerungen, Änderungen oder weitere Spezifikationen. Als Beispiel seien hier nur die Entwicklungen in Bezug auf die Verwendung von Cookies oder der internationale Datentransfer genannt. Es empfiehlt sich daher für Unternehmen, die aktuelle Rechtslage regelmäßig zu überprüfen beziehungsweise prüfen zu lassen und bestehende interne Prozesse und Richtlinien gegebenenfalls zu aktualisieren.
• Dokumentation: Da datenschutzrechtlich Verantwortliche gemäß Art. 5 Abs. 1 DSGVO einer Rechenschaftspflicht unterliegen, sind sie jedenfalls der Aufsichtsbehörde gegenüber verpflichtet, nachzuweisen, dass sie ihren datenschutzrechtlichen Verpflichtungen vollumfänglichnachgekommen sind. Trotz des dadurch entstehenden Zeitaufwandes ist es daher notwendig, dass Unternehmen eine umfassende Datenschutzdokumentation führen, die regelmäßig aktualisiert wird. Nur mit dieser kann gegenüber den Aufsichtsbehörden die Einhaltung datenschutzrechtlicher Prozesse und Strukturen bewiesen werden. Inwieweit Unternehmen auch in zivilrechtlichen Prozessen gegenüber Betroffenen darlegungs- und beweislastig sind, ist aktuell umstritten. Jedoch kann es auch hier helfen, entsprechende Dokumentationen vorlegen zu können, um das Gericht von einer gelebten Datenschutzkonformität zu übe...