RA Andreas Jaspers, RA Thomas Müthlein
Ausgangslage:
In vielen Unternehmen wird Datenschutz vernachlässigt. Die Gründe
hierfür sind häufig die gleichen:
- Datenschutz hat keinen Nutzen, er kostet nur
- Datenschutz gehört nicht zum Kerngeschäft des Unternehmens
- es ist noch nie etwas passiert
Auch wenn der Datenschutz nicht zum Kerngeschäft des Unternehmens
gehört, können diese Risiken auf das Kerngeschäft durchschlagen.
Ziel des Datenschutz-Kurz-Checks
Die wirklichen Gründe, warum Datenschutz nicht systematisch angegangen
wird, ist häufig die Unsicherheit bezüglich der Punkte
- Worum muss ich mich beim Datenschutz kümmern?
- Welche Hilfen stehen zur Verfügung?
- Wie kann eine schneller Überblick
geschaffen werden, ob und an welchen Stellen Maßnahmen ergriffen
werden müssen?
Anleitung
Die folgende Checkliste soll in zehn Punkten Anhalt zu den
aufgeworfenen Fragen geben und helfen, die unternehmensspezifischen
Risiken zu identifizieren.
- Gehen Sie die zehn Fragen unter Berücksichtigung der Erläuterungen
im Einzelnen durch.
- Setzen Sie die Ampel nur dann auf Grün, wenn Sie diesbezüglich
keine Zweifel haben.
- Setzen Sie sie auf Gelb, wenn sie diesbezüglich Nachforschungen
anstellen müssen oder sich unsicher sind.
- Sind Sie sicher, dass die angesprochene Frage in einem oder
mehreren Punkten nicht erfüllt ist, setzen Sie die entsprechende Ampel
auf Rot.
- Ihr Unternehmen hat seine Datenschutzrisiken minimiert und ist
hinreichend organisiert, wenn alle Ampeln auf Grün stehen.
Bei den gelben Ampeln sollten Sie Sachverhaltsaufklärung betreiben und
klären, ob sie auf Grün oder Rot gesetzt werden muss. Bei den roten
Ampeln ist Handlungsbedarf gegeben. Hier sollten Sie je nach Risiko
auch nicht davor zurückschrecken, auf Hilfe von Spezialisten
zurückzugreifen. Beachten Sie bei der Checkliste, dass sie nur einen
ersten groben Überblick über Ihren Handlungsbedarf gibt.
Denken Sie auch daran, dass sich die aufgezeigten Risiken
ausschließlich auf Sanktionsmöglichkeiten aus dem BDSG beziehen.
Weitergehende Risiken z. B. aus dem Zivilrecht (z. B. Verletzung von
Vertragspflichten), Strafrecht (z. B. Verletzung des
Fernmeldegeheimnisses, Verletzung beruflicher Schweigepflichten) oder
dem Arbeitsrecht (z. B. Beweisverwertungsverbote auf Grund unzulässiger
Datenerhebung) sind hierbei weitgehend unberücksichtigt.