Rechtsanwalt beantwortet Fragen

Unternehmen verstoßen gegen neues Bundesdatenschutzgesetz



Andrea König lebt als freie Journalistin in Hamburg. Arbeiten von ihr wurden unter anderem in der Süddeutschen Zeitung und im Focus veröffentlicht, seit 2008 schreibt sie auch für CIO.de. Die Schwerpunkte Ihrer Arbeit für die CIO-Redaktion sind Themen rund um Karriere, soziale Netzwerke, die Zukunft der Arbeit und Buchtipps für Manager.

Die rechtliche Verantwortung liegt häufig beim CIO

CIO: Was könnte passieren, wenn Unternehmen das neue Recht ignorieren?

Hilber: Auch die Folgen haben sich mit dem neuen Bundesdatenschutzgesetz geändert. Neu ist, dass bei jeder teilweisen Nichterfüllung dieser Anforderungen eine Ordnungswidrigkeit vorliegt und Bußgelder von bis zu 50.000 Euro in jedem Einzelfall fällig werden.

CIO: Wird das denn kontrolliert?

Hilber: Die Datenschutzbehörden haben angedeutet, Verstöße zu verfolgen. Allerdings ist die Personaldecke der Behörden nicht entsprechend aufgestockt worden. Ich bezweifele daher, dass die Behörden von ihrem Recht, Unternehmen auch anlassunabhängig zu kontrollieren, tatsächlich flächendeckend Gebrauch machen. Sollte diese Erwartung zutreffen, gälte zumindest eine Art Schonfrist.

CIO: Wen im Unternehmen würde so eine Konsequenz denn treffen?

Hilber: Bei einer bloßen Ordnungswidrigkeit trifft die Geldbuße in der Regel das Unternehmen selbst. Im worst-case Szenario kommt auch eine Strafbarkeit in Betracht, die nicht den Datenschutzbeauftragten, sondern den Vorstand oder den Geschäftsführer träfe. Denn rechtlich bleibt die Verantwortung für den DatenschutzDatenschutz beim Vorstand, in dessen Zuständigkeit der Datenschutz fällt - häufig der CIO. Alles zu Datenschutz auf CIO.de

CIO: Was ist sonst neu bei der Auftragsdatenverarbeitung?

Hilber: Nach dem neuen § 11 Abs. 2 S. 4 BDSG muss der Kunde sich beim Dienstleister regelmäßig davon überzeugen, dass der die Daten hinreichend schützt, indem angemessene technische und organisatorische Maßnahmen getroffen werden. Das heißt, man muss jemanden zum Dienstleister schicken, der das vor Ort überprüft. Ein Besuch pro Jahr dürfte ausreichen und es dürfte auch zulässig sein, die Überprüfungen durch einen Dienstleister durchführen zu lassen.

CIO: Muss auch jemand vor Ort überprüfen, wenn der Dienstleister in Indien oder Litauen sitzt?

Hilber: Ja, das ist unabhängig vom Ort. Gerade wenn zur Kostensenkung Ressourcen in weit entfernten Niedriglohnländern zugekauft werden, ist es besonders lästig, vor Ort kontrollieren zu müssen. Und: Auch diese Regelung gilt seit dem 1. September ohne Übergangsregelung. Das ist für Unternehmen natürlich schwer verdaulich.

Zur Startseite