Ansatzlose und nicht begründbare Videoüberwachung in Zahnarztpraxis verstößt gegen Datenschutzrecht

Ansatzlose und nicht begründbare Videoüberwachung in Zahnarztpraxis verstößt gegen Datenschutzrecht

Zwar erfolge die Entscheidung des Bundesverwaltungsgerichts (Urteil vom 27. März 2019, Az.: BVerwG 6 C 2.18) noch auf Basis des vor dem 25. Mai 2018 geltende alten BDSG und der dortigen Rechtsgrundlage des § 6b DSGB alter Fassung. Dennoch hat die Entscheidung auch Auswirkungen auf ein zulässiges Handeln nach der DSGVO und dort Art. 6.. Danach muss eine solche Maßnahme schon im konkreten Fall mit konkreten Zwecken begründet werden. Im durch das Gericht zu bewertenden Fall konnte die Inhaberin der Zahnarztpraxis nicht darlegen, warum und zu welchen Gründen bzw. Zwecken die Videoüberwachung erfolgte.

Quelle:

https://www.bverwg.de/de/pm/2019/22

Beschäftigtendatenschutz

Beschäftigtendatenschutz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat einen veröffentlicht aktualisierten Ratgeber zum Thema „Beschäftigtendatenschutz“ veröffentlicht, der für Verantwortliche Tipps für den richtigen und damit  datenschutzkonformen Umgang mit personenbezogen Daten im Unternehmen enthält.

Quelle:

https://www.baden-wuerttemberg.datenschutz.de/ratgeber-zum-beschaeftigtendatenschutz-3-auflage/

Datenschutzkonferenz veröffentlicht Kurzpapier zur „Einwilligung nach DSGVO“

Datenschutzkonferenz veröffentlicht Kurzpapier zur „Einwilligung nach DSGVO“

In dem Kurzpapier Nr.20 werden die Anforderungen an die Einwilligung als Rechtsgrundlage nach der DSGVO dargestellt. Es dient als Orientierungshilfe für die nicht-öffentlichen Stellen, die Umgang mit personenbezogenen Daten haben. Inhaltlich wird unter anderem auf die Fortgeltung alter Einwilligungen Bezug genommen und die Datenschutzkonferenz äußert sich auch zur Frage des Kopplungsverbot bei Einholung der Einwilligung.

Das Kurzpapier kann hier heruntergeladen werden:

Quelle:

https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/auslegungshilfen-zum-neuen-datenschutzrecht/

Wie prüfe ich als Unternehmen oder Verein die Identität des Auskuntsbegehrenden, wenn ich ein elektronisches Auskunftsersuchen nach Art. 15 DSGVO erhalte?

Wie prüfe ich als Unternehmen oder Verein die Identität des Auskuntsbegehrenden, wenn ich ein elektronisches Auskunftsersuchen nach Art. 15 DSGVO erhalte?

Das Recht auf Auskunft ist ein Recht, dass im Datenschutzrecht schon immer eine wichtige Rolle spielt.

Nicht erst seit dem 25. Mai 2018 wird dieses Recht durch die sog. „betroffenen Personen“ genutzt, um Auskunft zu personenbezogenen Daten zu erhalten.

Tipps wie mit einem elektronischen Auskunftsersuchen umzugehen ist und wie die Identität des Anfragenden geklärt werden kann, gibt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg in einer aktuellen Veröffentlichung

Quelle:

https://www.baden-wuerttemberg.datenschutz.de/identitaetspruefung-bei-elektronischen-auskunftsersuchen-nach-art-15-ds-gvo/

Landgericht Magdeburg: Sanktionssystem der DSGVO ist abschließend; Keine Befugnis des Vorgehens für Mitbewerber nach UWG

Landgericht Magdeburg: Sanktionssystem der DSGVO ist abschließend; Keine Befugnis des Vorgehens für Mitbewerber nach UWG

So das Gericht in einer aktuell veröffentlichten Entscheidung (Urteil vom 18. Januar 2019, Az.: 36 O 48/18). Dort wurde unter anderem der Verstoß gegen die DSGVO über das Wettbewerbsrecht geltend gemacht, dass beklagte Unternehmen, dass Medikamente über Amazon vertreibt, auch Vorgänge der Speicherung und Verarbeitung von gesundheitsbezogenen Daten vornehmen und dazu keine Einwilligung vorliege. Das Gericht sieht keine Sanktionsmöglichkeit über das UWG, da es an der Klagebefugnis fehle.

Wenn die Nachfrage bei einer Aufsichtsbehörde ein Bußgeld verursacht

Wenn die Nachfrage bei einer Aufsichtsbehörde ein Bußgeld verursacht

So geschehen in einem Fall, über den aktuelle heise online berichtet. Ein Unternehmen hatte bei einer Aufsichtsbehörde nachgefragt, ob mit einem Dienstleister eine Vertrag zur Auftragsverarbeitung zu schließen sei. Die Aufsichtsbehörde am Sitz des Dienstleisters bejahte dies und verwies wohl auch darauf, dass beide Vertragsparteien dafür verantwortlich seien. Nunmehr wurde ein Bußgeld durch die Aufsichtsbehörde am Sitz des fragenden Unternehmens verhangen, da kein Vertrag geschlossen wurde. Weitere Angaben zu dem etwas „kuriosen“ Fall finden Sie hier:

Quelle:.

https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html

Umsetzungshilfe für NRW-Unternehmen zu Informationspflichten nach der DSGVO

Umsetzungshilfe für NRW-Unternehmen zu Informationspflichten nach der DSGVO

Diese wurde aktuell von der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen veröffentlicht und soll Unternehmen eine Hilfestellung bieten.

Quelle:

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Informationspflichten-nach-der-Datenschutz-Grundverordnung/Informationspflichten-nach-der-Datenschutz-Grundverordnung.html

Brexit und das Datenschutzrecht

Brexit und das Datenschutzrecht

Egal wieder Brexit ablaufen wird: Datenschutzrechtlich muss die verantwortliche Stelle berücksichtigen, dass ein Drittland nunmehr im Rahmen der Datenverarbeitung betroffen ist. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz gibt Tipps zur Vorbereitung.

Quelle:

https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/brexit-drittland-ueber-nacht

Einbindung von Like-Button  = Internetseitenbetreiber wird gemeinsam Verantwortlicher mit Social Network

Einbindung von Like-Button = Internetseitenbetreiber wird gemeinsam Verantwortlicher mit Social Network

Nach Ansicht des Generalanwaltes beim EUGH in dem Verfahren C-40/17 muss der Betreiber der Internetseite, der den Like-Button einbindet, den Nutzer vor der Erhebung und Übermittlung von Daten, die über den Like Button an das Network übertragen werden, über diesen Vorgang informieren und ggf., sofern erforderlich, eine Einwilligung im Sinne des Datenschutzrechtes einholen. Für die Vorgänge, zu denen der Internetseitenbetreiber einen Beitrag leistet, wird er zudem aus Sicht des Generalanwaltes gemeinsam Verantwortlicher und hat daher entsprechende Pflichten. Für die Einbindung des Like-Button, so der Generalanwalt, seien der Internetseiten Verantwortlicher und daher gemeinsam mit Facebook verantwortlich, da er die Phasen der Erhebung und Übermittlung von personenbezogenen Daten dadurch eingeleitet habe. Der EUGH muss noch abschließend entscheiden, nach dem ihm unter anderem diese Frage durch den Bundesgerichtshof (BGH) vorgelegt worden war. In den meisten Fällen in der Vergangenheit ist der EUGH aber der Ansicht des Generalanwaltes gefolgt.

Praxisratgeber zum Datenschutzbeauftragten veröffentlicht

Praxisratgeber zum Datenschutzbeauftragten veröffentlicht

Eine sehr gute Zusammenstellung bietet hier die aktuelle Veröffentlichung  des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg und hilft Unternehmen ggf. bei der Entscheidung bzw. Feststellung, dass ein solcher Beauftragter zwingend erforderlich ist, um den rechtlichen Vorgaben zu genügen.

Quelle:

https://www.baden-wuerttemberg.datenschutz.de/praxisratgeber-ds-beauftragte/

Orientierungshilfe zu Whistleblowing-Hotlines und Datenschutzrecht veröffentlicht

Orientierungshilfe zu Whistleblowing-Hotlines und Datenschutzrecht veröffentlicht

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat eine sehr informative Zusammenstellung vorgenommen, um die bestehenden rechtlichen Besonderheiten und Probleme unter Berücksichtigung der DSGVO und des § 26 BDSG-neu im Rahmen des Beschäftigtendatenschutzes zu „beleuchten“.

Quelle:

https://www.baden-wuerttemberg.datenschutz.de/orientierungshilfe-zu-whistleblowing-hotlines/

Datenschutzaufsichtsbehörden veröffentlichen Orientierungshilfe zur Verarbeitung von  personenbezogenen Daten für Zwecke der Direktwerbung unter DSGVO

Datenschutzaufsichtsbehörden veröffentlichen Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter DSGVO

Diese Hilfe, entwickelt durch die Datenschutzkonferenz, zeigt Unternehmen nochmals auf, ob und wie Prozesse abgepasst werden sollten, um rechtliche Risiken zu vermeiden oder zu minimieren, die die DSGVO begründen kann.

Quelle (Achtung: .pdf-Dokument):

https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Entschliessungen_Datenschutzkonferenz/Inhalt/96_-Konferenz/Orientierungshilfe-der-Aufsichtsbehoerden-zur-Verarbeitung-von-personenbezogenen-Daten-fuer-Zwecke-der-Direktwerbung-unter-Geltung-der-Datenschutz-Grundverordnung-_DS-GVO_/OH_Werbung_Stand_07_11_2018.pdf

Es bleibt spannend: DSGVO und Abmahnungen nach dem UWG

Es bleibt spannend: DSGVO und Abmahnungen nach dem UWG

Das Landgericht Bochum hat in einer Entscheidung (Teil-Versäumnis- und Schlussurteil vom 12. August 2018, Az.: I.12 O 85/18) festgestellt, dass ein Verstoß gegen Art. 13 DSGVO kein Verstoß gegen § 3a UWG seien und damit eine wettbewerbsrechtliche Abmahnung aus dieser Vorschrift nicht durchgreife. In einem einstweiligen Verfügungsverfahren zwischen zwei Mitbewerbern waren zahlreiche rechtliche Verstöße thematisiert worden. Darunter auch eine unvollständige Information zum Datenschutz, da z.B. Informationen zu Name und Kontaktadressen des Verantwortlichen sowie gegebenenfalls seines Vertreters, ggf. die Kontaktdaten seines Datenschutzbeauftragten sowie des Bestehens eines Beschwerderechts bei der Datenschutzbehörde fehlten.

Die Ablehnung der Behandlung  von Patienten, die die Kenntnisnahme von Informationen zum Datenschutz nicht bestätigen, ist mit DSGVO nicht vereinbar

Die Ablehnung der Behandlung von Patienten, die die Kenntnisnahme von Informationen zum Datenschutz nicht bestätigen, ist mit DSGVO nicht vereinbar

Darauf weist die Datenschutzkonferenz hin. Nach Ansicht der Zusammenkunft der deutschen Aufsichtsbehörden für den Datenschutz reicht z.B. der Vermerk in den Akten aus, dass der Patient die Informationen erhalten hat. Ein Gegenzeichnen ist nicht erforderlich.

Quelle:

https://www.datenschutz-berlin.de/pdf/publikationen/DSK/2018/2018-DSK-Ablehnung_Behandlung_Aerzte_ohne_Unterschrift.pdf

Datenschutzkonferenz erneuert Hinweise: Betrieb einer Facebook Fanpage ohne Vertrag mit Facebook verstößt gegen Datenschutzrecht

Datenschutzkonferenz erneuert Hinweise: Betrieb einer Facebook Fanpage ohne Vertrag mit Facebook verstößt gegen Datenschutzrecht

Nach Ansicht der Zusammenkunft der deutschen Aufsichtsbehörden für den Datenschutz muss eine Vereinbarung nach Art. 26 DSGVO durch den Betreiber der Fanpage und Facebook geschlossen werden. Diese Vereinbarung muss die Verantwortlichkeiten von beiden im Sinne der DSGVO „Verantwortlichen“ regeln. Welchen Inhalt eine solche Vereinbarung haben muss, können alle Betreiber aus einem Fragenkatalog entnehmen, den die Datenschutzkonferenz veröffentlicht hat. Aktuell liegt von Seiten Facebook ein Entwurf einer Vereinbarung noch nicht vor. Eine Vereinbarung auf individueller Basis ist aussichtslos. Bis eine Vereinbarung geschlossen wird, setzen sich Unternehmen, die eine Fanpage-Betreiber, durchaus der Gefahr von aufsichtsrechtlichen Maßnahmen der Abmahnungen durch Wettbewerber aus.

Quelle:

https://www.datenschutz-berlin.de/pdf/publikationen/DSK/2018/2018-DSK-Facebook_Fanpages.pdf

Bieten Sie Waren oder Dienstleistungen über eine Internetseite in verschiedenen Ländern auch unter Nutzung der Landessprache an?

Bieten Sie Waren oder Dienstleistungen über eine Internetseite in verschiedenen Ländern auch unter Nutzung der Landessprache an?

Dann müssen Sie die Informationen zur Datenverarbeitung auch in der jeweiligen Landessprache zur Verfügung stellen und entsprechend auch die Auskunftsersuchen erfüllen. Darauf weist das Bayerisches Landesamt für Datenschutzaufsicht in einer Veröffentlichung vom 19. Juli 2018 hin.

Quelle (ACHTUNG: .pdf-Dokument):

https://www.lda.bayern.de/media/FAQ_Informationspflichten_Sprache.pdf

Verwertungsverbote bei rechtmäßiger offener Videoüberwachung?

Verwertungsverbote bei rechtmäßiger offener Videoüberwachung?

Das Bundesarbeitsgericht hat in einer aktuellen Entscheidung eine wichtige Frage zur Aufzeichnung und Speicherung von Videoüberwachungen am Arbeitsplatz gefällt.
Wenn eine rechtmäßige offene Videoüberwachung vorliegt, in der die vorsätzlichen schädigenden Handlungen eines Arbeitnehmers in das Eigentum des Arbeitgebers aufgezeigt werden, wird eine Verwendung dieser Aufzeichnungen vor Gericht nach Ansicht der Richter nicht schon durch einen bloßen ggf. auch längeren Zeitablauf unverhältnismäßig.  Dies gelte solange, wie die Verfolgung der arbeitsrechtlichen Pflichtverletzung des Arbeitnehmers durch den Arbeitgeber aus arbeitsrechtlichen Gründen noch möglich ist. Dann liege keine Unverhältnismäßigkeit vor. Die Aufzeichnungen dürfen daher vor Gericht verwendet werden. Das BAG widersprach in diesem Punkt der Vorinstanz.

Auch aus datenschutzrechtlicher Sicht ist diese Entscheidung von großer Bedeutung, denn der Senat stellte auch fest, dass die Verarbeitung und Nutzung der Aufzeichnungen aus nicht gegen § 32 Abs. 1 Satz 1 des Bundesdatenschutzgesetzes (BDSG) (alte Fassung) und auch nicht gegen die Europäische Datenschutzgrundverordnung (DSGVO) verstoße. Der die Arbeitnehmer aufzeichnende Arbeitgeber muss die Videos schließlich nicht sofort auswerten, sondern durfte damit solange warten, bis er einen berechtigten Anlass hatte.

Zu beachten bei dieser Entscheidung ist jedoch, dass die Überwachung per Video selbst jedoch rechtmäßig und offen erfolgt sein muss.

Quelle: BAG Pressemitteilung 40/18 zu: BAG Urteil vom 23. August 2018 – 2 AZR 133/18
Vorinstanz: Landesarbeitsgericht Hamm, Urteil vom 20. Dezember 2017 – 2 Sa 192/17 –
https://juris.bundesarbeitsgericht.de/cgi-bin/rechtsprechung/document.py?Gericht=bag&Art=pm&Datum=2018&nr=20865&pos=0&anz=40&titel=Offene_Video%FCberwachung_-_Verwertungsverbot

Datenschutz – WhatsApp im Unternehmen

Datenschutz – WhatsApp im Unternehmen

Nach der verbindlichen Umsetzung der DSGVO zum 25. Mai 2018 beschäftigt viele Unternehmen auch die Frage, ob ein Einsatz von WhatsApp für Unternehmen datenschutzkonform möglich ist oder nicht. Ein Merkblatt dazu hat Landesbeauftragte für Datenschutz Niedersachen aktuell, im Monat Juli 2018, veröffentlicht. Dieses Merkblatt gibt dazu auch rechtliche Ansichten wieder, die aber keine Prüfung im Einzelfall durch Unternehmen ersetzen.

Quelle:

http://www.lfd.niedersachsen.de/startseite/datenschutzreform/dsgvo/nutzung_von_whatsapp_im_unternehmen/merkblatt-fuer-die-nutzung-von-whatsapp-in-unternehmen-166297.html

Datenschutzkonferenz veröffentlicht sog. Postivliste zu Zwang von Datenschutzfolgeabschätzungen

Datenschutzkonferenz veröffentlicht sog. Postivliste zu Zwang von Datenschutzfolgeabschätzungen

Die Liste deckt sich im Wesentlichen mit der Liste, die einzelnen Länderaufsichtsbehörden bereits veröffentlicht hatten. Die Besonderheit durch die jetzt veröffentlichte Liste der Datenschutzkonferenz ist, dass diese als Ausschuss alle Aufsichtsbehörden für Datenschutz der Bundesländer und des Bundes vereint und daher die Liste als verbindlich angesehen werden sollte.

Die Liste ist hier z.B. abrufbar (Achtung: Es öffnet sich ein .pdf. Dokument):

https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/DSFA-Muss-Liste-1_0.pdf

Steuerberatung und Datenverarbeitung

Steuerberatung und Datenverarbeitung

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat aktuell Hinweise zur Datenverarbeitung im Rahmen der Steuerberatung unter Anwendung der DSGBO veröffentlicht. Wichtig ist dies vor allem für verantwortliche Stellen in NRW, da z.B. für die reine Lohn-und Gehaltsabrechnung durch Steuerberater eine Auftragsverarbeitung für erforderlich gehalten wird.

Quelle:

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Datenverarbeitung-in-der-Steuerberatung/Datenverarbeitung-in-der-Steuerberatung.html

Datenschutzrecht für Ärzte

Datenschutzrecht für Ärzte

Daten von Patienten sind nach Art.9 DSGVO eine besondere Kategorie personenbezogener Daten. Umso wichtiger ist es für jeden Arzt, sich mit der Frage des Datenschutzes und auch der Datensicherheit zu beschäftigen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat aktuell eine Liste mit wichtigen Fragen und Antworten (sog. FAQ) zur Orientierung veröffentlicht.

Quelle:

https://www.baden-wuerttemberg.datenschutz.de/erste-hilfe-fuer-aerzte/

Datenschutzrecht und Pflege

Datenschutzrecht und Pflege

Auch für Pflegedienste und Pflegeeinrichtungen ist das Thema Datenschutzrecht ein wichtiges Thema. Neben dem Umgang mit Beschäftigtendaten ist vor allem der Schutz der personenbezogenen Daten der betreuten Personen von immenser Wichtigkeit. Hintergrund ist, dass vor allem besondere Kategorien von personenbezogenen Daten verarbeitet werden. Hier greift dann Art. 9 DSGVO ein, da insbesondere Gesundheitsdaten vorliegen.

Umso wichtiger ist die richtige und umfassende Anwendung des geltenden Datenschutzrechts.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat dazu aktuell eine Liste mit wichtigen Fragen und Antworten (sog. FAQ) zur Orientierung veröffentlicht.

Quelle:

https://www.baden-wuerttemberg.datenschutz.de/faq-datenschutz-in-der-pflege/

Die Auskunftsansprüche nach der DSGVO

Die Auskunftsansprüche nach der DSGVO

Betroffene Personen, also die, deren Daten verarbeitet werden, können ein umfangreiches Auskunftsrecht gegenüber dem Verantworten geltend machen (Art. 15 DSGVO). Sie haben das Recht, von den Verantwortlichen eine Bestätigung mit der Auskunft darüber verlangen zu können, ob und wie die Daten verarbeiten werden. Wenn dies zutrifft, stehen der betroffenen Person dann umfangreiche Auskünfte über diese personenbezogenen Daten zu. Es wird zudem davon auszugehen sein, dass der Verantwortliche hierzu eine Kopie aller der in Art 15 Abs. 1 DSGVO aufgeführten Daten der betroffenen Person zur Verfügung stellen muss. Dies sind:

  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Der Verantwortliche muss der betroffenen Person eine Kopie seiner konkreten personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche von der betroffenen Person hingegen ein angemessenes Entgelt auf der Grundlage der tatsächlich auch angefallenen Verwaltungskosten verlangen.

Stellt die betroffene Person den Antrag auf Auskunft bei dem Verantwortlichen in elektronischer Form, so sind ihm die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt. Schließlich darf jedoch das Recht auf Erhalt einer solchen Kopie gemäß Art. 15 Abs. 3 DSGVO nicht die Rechte und Freiheiten anderer Personen beeinträchtigen.

Der Verantwortliche muss der betroffenen Person dabei alle Informationen über die aufgrund des Auskunftsantrags gemäß Art. 15 DSGVO  ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellen. Diese Frist kann jedoch um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Der Verantwortliche muss dann aber die betroffene Person innerhalb des ersten Monats nach Eingang des Antrags über eine Fristverlängerung informieren und zwar zusammen mit der Angabe der Gründe für die konkrete Verzögerung. Stellt die betroffene Person den Auskunftsantrag elektronisch, so ist sie nach Möglichkeit auch auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

Unsere Empfehlung

Wenn und soweit die Unternehmen hier bei der Umsetzung der gesetzlichen Vorgabe der DSGVO auch ein entsprechendes Daten- und Informationsmanagementsystem installiert haben, stellen solche Auskünfte kein Problem dar. Ist dies nicht der Fall, kann es auch hier zu Problemen kommen, denn es ist nicht auszuschließen, dass, z.B. aufgrund einer öffentlich zugänglichen Mitteilung, gleich mehrere betroffene Personen ein solches Auskunftsbegehren geltend machen. Aber auch aus Gründen der Nach- und Beweisbarkeit in möglichen Klageverfahren macht ein entsprechendes fundiertes System Sinn.

Schadensersatzrisiken für Unternehmen steigen extrem an

Schadensersatzrisiken für Unternehmen steigen extrem an

Viele Unternehmerinnen und Unternehmer sind durch die neuen extrem hohen Bußgelder der neuen DSGVO verunsichert und übersehen dadurch nicht selten, dass insbesondere auch das Risiko möglicher Schadensersatzansprüche ebenfalls sehr gestiegen ist. Das könnte sich als fataler Fehler und als kaum noch überschaubares Risiko für die Unternehmen entwickeln.

Nicht nur, dass potenzielle Kläger auch einen Ersatz für immaterielle Schäden fordern können ist insbesondere die nun wohl sehr viel ungünstigere Beweislast ein wichtiges und unbedingt zu berücksichtigendes Aufgabenfeld. Daneben sollte auch bedacht werden, dass es nun auch Verbraucheranwälten und Arbeitnehmervertretern möglich ist, durch z.B. Sammelklagen auch eigentlich jeweils nur kleinere Ansprüche insgesamt durchzusetzen. Die Summe der dann von den Unternehmen zu zahlenden Gesamtansprüche kann jedoch schnell sehr hoch sein.

Diese Risiken sollten vermeiden werden und dafür ist es dringend erforderlich, dass bereits im Vorfeld, also bei der gesamten tatsächlichen, technischen und rechtlichen Prüfung aller datenschutzrechtliche relevanten Prozesse im eigenen Unternehmen und bei dann ggf. erforderlichen Neustrukturierungen und Dokumentationen diese Aufgaben vollumfänglich mit berücksichtigt werden.

 

Voraussetzungen

Gemäß Art. 82 Abs. 1 DSGVO kann jeder Verstoß gegen die Verordnung einen Schadensersatzanspruch durch die betroffene Person begründen. Bereits hier ist größte Vorsicht geboten, denn neben den eigentlichen Verstößen gegen die „Regeln“ der DSGVO sind hier wohl auch Verstöße gegen z.B. die Informationspflichten, die Dokumentationspflichten oder auch Löschungspflichten als Anspruchsgrundlage ebenfalls heranziehbar. Allein dies macht deutlich, wie weit die bei der Umsetzung der Vorgaben der DSGVO zu beachtenden Grundsätze auch insbesondere in diesen Risikobereich mit hineinspielen können.

 

Achtung: Beweislastumkehr

Bislang war es so, dass grundsätzlich der Anspruchsteller selbst erst einmal etwaige Verstöße gegen datenschutzrechtliche Vorgaben darlegen und beweisen musste, was vielen Personen die Geltendmachung in der Vergangenheit erheblich erschwerten und den Unternehmen große Vorteile bot.

Die DSGVO hat nun jedoch die sog. „Rechenschaftspflicht“ eingeführt, was in der Praxis nun wohl zu einer Beweislastumkehr führen könnte, die dann erhebliche Auswirkungen für die Unternehmen mit sich bringen.

Der Verantwortliche muss nun gemäß Art. 5 Abs. 2 und Art 24 Abs. 1 DSGVO nachweisen können, dass er alle Vorgaben der Verordnung eingehalten hat. Daraus wird in Fachkreisen aktuell geschlossen, dass somit wohl auch eine Beweislastumkehr gefordert wird, die dann dazu führen könnte, dass Unternehmen also praktisch die gesamten datenschutzrechtlichen Prozesse umfassend dokumentiert jederzeit vorlegen können müssen. Aus diesen muss dann möglichst zweifelsfrei nachweisbar sein, dass die Vorgaben eingehalten wurden. Insofern können also Fehler oder Unzulänglichkeiten bei der Gestaltung der Prozesse im Nachhinein zu katastrophalen Folgen führen, wenn z.B. mehrere betroffene Personen Schadenersatzansprüche geltend machen. Es wird in diesem Zusammenhang sogar die Ansicht vertreten, dass sogar datenschutzrechtliche Zertifizierungen oder auch z.B. entsprechende Audits alleine u.U. nicht ausreichend sein sollen.

Ob eine solche harte Umkehr von der grundsätzlichen Beweislast durch die Gerichte bestätigt wird, ist noch offen. Dennoch sollten die Unternehmen zur präventiven Risikovermeidung durch eine schnelle und umfassende Anpassung der eigenen Prozesse darauf vorbereitet sein, denn diese weite Auslegung der Rechenschaftspflicht erscheint nicht unwahrscheinlich.

Nur der Ordnung halber muss auch in diesem Kontext darauf hingewiesen werden, dass als Anspruchsgegner für Schadensersatzansprüche nicht nur der Verantwortliche selbst, sondern auch dessen Auftragsverarbeiter in Betracht kommt. Hierdurch wird in der Praxis der mögliche Kreis von Anspruchsgegner tatsächlich und rechtlich erheblich vergrößert. Zudem gilt dann: Kann ein Verstoß dem Verantwortlichen und dem Auftragsverarbeiter zugerechnet werden, haften nun sogar beide gegenüber der betroffenen Person als sog. Gesamtschuldner auf den vollen Schadensersatz (siehe auch Art. 82 Abs. 4 DSGVO).

 

Ersatz von materiellen und immateriellen Schäden

Im Gegensatz zum Bundesdatenschutzgesetz (BDSG) gibt die DSGVO den betroffenen Personen nun die Möglichkeit materielle und sogar immaterielle Schäden (z.B. wegen einer Verletzung des allg. Persönlichkeitsrechts) geltend zu machen.

 

Materieller Schaden

Der Verletzer muss Schadensersatz für alle zurechenbare Nachteile leisten, die die geschädigte Person an rechtlichen geschützten Gütern erleiden musste. Hier sind neben den eigentlichen Schäden z.B. auch der entgangene Gewinn, aber auch alle unmittelbaren, mittelbaren, schon aktuellen oder erst zukünftigen Einbußen mit umfasst. Wichtig ist auch, dass dies nicht nur bei Schäden der unmittelbar betroffenen Personen, sondern auch bei den Schäden von nur mittelbar betroffenen in Betracht kommt.

 

Immaterieller Schaden

Während die materiellen Schäden in der Praxis eher weniger von Bedeutung sein werden, stellt die nun neu eingefügte Möglichkeit zur Geltendmachung von immateriellen Schäden ein von den Unternehmen dringend zu beachtendes und präventiv zu berücksichtigendes Risiko dar.

Die betroffene Person kann ihre Beeinträchtigungen ihres Rechts auf Schutz ihrer sie betreffenden personenbezogenen Daten und damit auch eine mögliche Verletzung ihres Grundrechts auf informationelle Selbstbestimmung geltend machen.

Noch herrscht Unklarheit darüber, wie hoch ein solcher Ersatzanspruch sein kann. Dies ist noch nicht abschließend geklärt, dennoch kann und muss man davon ausgehen, dass die Gerichte dabei die gesamten Handlungen der Unternehmen zur Erreichung der eigenen datenschutzrechtlichen Schutzziele und die gesamten Aktivitäten bei der Umsetzung der Vorgaben der DSGVO mit berücksichtigen werden, wenn es um die Bewertung und Bemessung der Höhe gehen wird. Jedes Unternehmen, das bereits hier Defizite hat, wird dann ggf. von diesen im Rahmen jedes geltend gemachten Schadensersatzanspruchs betroffener Personen unsanft „eingeholt“.

Empfehlung

Die Unternehmen (und Vereine) müssen die gesamten Vorgaben der DSGVO beachten und umsetzen. Diese Verpflichtungen treffen sie nicht nur im Außenverhältnis, sondern insbesondere auch im Innenverhältnis zu den eigene Mitarbeiterinnen und Mitarbeiter („Beschäftigtendatenschutz“).

Es empfiehlt sich daher nicht nur in Bezug auf drohende Abmahnungen, Klagen oder Bußgelder, sondern insbesondere auch im Hinblick auf mögliche Schadensersatzansprüche von betroffenen Personen (oder Mitarbeiterinnen und Mitarbeiter) diese Aufgaben auch aus dieser Sicht heraus sehr ernst zu nehmen und eine entsprechend lückenlose Dokumentation so vorzuhalten, dass diese jederzeit zum Nachweis des eigenen rechtmäßigen Handelns vorgelegt werden kann.

Es gilt hier insbesondere auch zu bedenken, dass es auch zur Geltendmachung gleich mehrerer Hundert oder sogar Tausender Ansprüche durch jeweils betroffene Personen kommen kann, wenn und soweit sich z.B. eine Verletzung auf eine Vielzahl von Kunden (Mitglieder) oder Mitarbeiterinnen und Mitarbeiter auswirken kann. Dies ist bei der heute in der Regel anzutreffenden umfangreichen Datenverarbeitung nicht selten der Fall.

Das Bundesverfassungsgericht nimmt die Verfassungsbeschwerde gegen die Vorratsdatenspeicherung an

Das Bundesverfassungsgericht nimmt die Verfassungsbeschwerde gegen die Vorratsdatenspeicherung an

Das Bundesverfassungsgericht hat die Verfassungsbeschwerde (Az. 1 BvR 2683/16) angenommen, die u.a. insbesondere auch von dem „Arbeitskreis gegen Vorratsdatenspeicherung“ gegen das deutsche Gesetz zur anlasslosen Vorratsdatenspeicherung erhoben worden war. Hierzu wurden bereits bei der Einlegung der Beschwerde dem Gericht mehr als 29 000 Unterschriften überreicht.

Seit dem 01.07.2017 sind die Kommunikationsanbieter dazu verpflichtet, von all ihren Kunden die Standortdaten, Zeitpunkt und Dauer von Telefongesprächen, IP-Adressen und SMS-Daten auf Vorrat zu speichern. Allerdings hatte die Bundesnetzagentur nach einem Urteil des Oberverwaltungsgerichts NRW nur wenige Tage vor dem Tag des Inkrafttretens die Vorratsdatenspeicherung eigentlich faktisch bereits schon ausgesetzt und erklärt, dass Anbieter keine Strafen bekommen, wenn sie Daten entgegen der gesetzlichen Vorgaben doch nicht speichern würden. Es bleibt daher abzuwarten, wie die Praxis darauf reagieren und das höchste deutsche Gericht hier abschließend entscheiden wird.

Verbot mit Erlaubnisvorbehalt

Verbot mit Erlaubnisvorbehalt

Im Datenschutzrecht gilt ein sehr besonderes und im gesamten deutschen Recht selten anzutreffendes Prinzip des „Verbots mit Erlaubnisvorbehalts“. Grundsätzlich ist es eigentlich immer so, dass man alles machen kann, solange es nicht verboten ist. Im Datenschutzrecht ist es jedoch genau anders herum: Man darf nichts, es sei denn, es ist erlaubt.

Und um die Anforderungen noch höher anzusiedeln, muss im Datenschutzrecht nun auch noch die Rechenschaftspflicht berücksichtig werden, das heißt, die Verantwortlichen müssen nicht nur die gesetzlichen Vorgaben vollumfänglich einhalten, sondern diese Einhaltung auch jederzeit auf Nachfrage nachweisen können.

Dies hat für die Unternehmen erhebliche Auswirkungen auf deren Umgang mit personenbezogenen Daten im internen und externen unternehmerischen Handeln. Das Prinzip gibt vor, dass niemand mit personenbezogenen Daten anderer umgehend darf, d.h. diese erheben, speichern oderweitergeben darf, wenn er nicht z.B. über eine konkrete Einwilligung verfügt, eine gesetzliche Grundlage ihn dazu ermächtigt und/oder verpflichtet, er die Daten aufgrund eines Vertrags mit dem Betroffen erhalten hat (inkl. vorvertraglichen Handlungen) oder er sie zur Wahrung berechtigter Interessen benötigt. Dies sind die 4 wichtigsten Rechtfertigungsmöglichkeiten, die das Gesetz normiert. Bereits hier ist jedoch größte Vorsicht geboten, denn, wie schon angedeutet, sind hierzu nicht nur alle gesetzlichen Vorgaben jeweils vollumfänglich einzuhalten, sondern deren Einhaltung muss auch praktisch jederzeit durch die Unternehmen z.B. gegenüber den Aufsichtsbehörden tatsächlich auch nachgewiesen werden können.

Des Weiteren ist bei den Gründen aus der Einwilligung, eines Vertrags (oder bei der Erfüllung vorvertraglicher Pflichten) oder auch bei einer Interessenabwägung immer zuerst vorher ein konkreter Zweck der jeweiligen Datenerhebungen und -verarbeitungen genau festzulegen. In der weiteren Folge dürfen die personenbezogenen Daten dann auch ausschließlich für diese jeweilige konkrete Zweck verwendet werden.

Allein schon die legitime Festlegung eines solchen Zweckes für praktisch jedes personenbezogene Datum. stellt in der Praxis, insbesondere auch bei größeren und umfangreichen Datensammlungen und umfangreichen Prozessen und Verfahren in den Unternehmen, eine enorme Hürde dar.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Welche Aufgaben hat ein Datenschutzbeauftragter?

Unabhängig davon, ob ein interner oder ein externer Datenschutzbeauftragter bestellt wurde, hat ein solcher umfangreiche Aufgaben zur Kontrolle und als Unterstützung der Geschäftsleitungen (oder auch Vereinsvorständen)

Art. 39 Abs. 1 DS-GVO normiert im Wesentlichen folgende Aufgaben für einen Datenschutzbeauftragten:

Unterrichtung und Beratung der jeweiligen Verantwortlichen und der Beschäftigen hinsichtlich aller ihrer Pflichten aus dem Datenschutzrecht

Die kontinuierliche Überwachung der Einhaltung aller gesetzlichen Vorschriften des Datenschutzrechts

Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung

Die Zusammenarbeit mit der Aufsichtsbehörde

Die Anlaufstelle für die Aufsichtsbehörde in allen Fragen, die mit der Verarbeitung der personenbezogenen Daten in Zusammenhang stehen

Beratung betroffener Personen gemäß Art. 38 Abs. 4 DS-GVO

Die Rechenschaftspflicht

Die Rechenschaftspflicht

In der neuen DS-GVO wurde mit der Vorgabe der sog. Rechenschaftspflicht eine gigantische Aufgabe für die Unternehmen (und Vereine) gesetzlich normiert.

Die Verantwortlichen müssen nicht nur alle gesetzlichen Vorgaben des Datenschutzes einhalten, sondern nun auch alle hierfür durchgeführten Handlungen jederzeit nachweisen können, insbesondere auch gegenüber den Aufsichtsbehörden. Im Zweifel muss der Verantwortliche also durch die Vorlage einer entsprechenden schriftlichen Dokumentation nachweisen können, welche personenbezogenen Daten er von seinen Kundinnen und Kunden (oder Mitgliedern), seinen gesamten Mitarbeiterinnen und Mitarbeiter, Lieferanten usw. verarbeitet UND aufgrund welcher Rechtsgrundlage er meint, dies tun zu dürfen (siehe auch: Verbot mit Erlaubnisvorbehalt) und für welchen konkreten Zweck. Zudem muss er dann auch jeweils nachweisen können, wie lange er die Daten speichern möchte und wann und wie er diese einer Löschung und einer Vernichtung zuführt.

Hierbei gilt dann, dass diese Verpflichtung auch die Personen betrifft, die dem eigentlich Verantwortlichen unterstellt sind und die Daten ausschließlich auf seine Weisung verarbeiten. (Art. 29 DS-GVO)

Zudem resultiert u.a. auch hieraus die Verpflichtung des Verantwortlichen alle seine Mitarbeiterinnen und Mitarbeiter ebenfalls in gleichem Umfang auf die ihm obliegenden gesetzlichen Anforderungen zu verpflichten und auch hierüber eine entsprechende lückenlose Kette der Nachweisbarkeit zu führen.

Ein erster richtiger Schritt, gerade auch für kleinere Unternehmen, um hier sicher zu gehen, ist das Erstellen und das Führen eines eigenen Verarbeitungsverzeichnisses, am besten noch ergänzt u.a. um die konkreten Verarbeitungstätigkeiten, die jeweils herangezogenen Rechtsgrundlagen und alle konkreten Zwecke. Wie immer gilt auch hier: Schriftlich oder elektronisch.

Müssen die Kontaktdaten des eigenen Datenschutzbeauftragten veröffentlicht werden?

Müssen die Kontaktdaten des eigenen Datenschutzbeauftragten veröffentlicht werden?

Das Gesetz schreibt vor, dass der Verantwortliche die Kontaktdaten des eigenen (internen oder externen) Datenschutzbeauftragten veröffentlichen muss. Dies soll z.B. den Behörden, aber auch den Betroffenen selbst die Möglichkeit eröffnen, sich direkt an diesen wenden zu können.

Es erscheint hierbei sinnvoll, dass die Kontaktdaten dazu auch im Internet auf den Webseiten des Verantwortlichen veröffentlicht werden, wobei es aber nicht erforderlich ist, dass der Name oder die persönliche Anschrift aufgeführt werden. Es genügt wohl z.B. die Angabe einer funktionalen E-Mailadresse wie z.B. datenschutzbeauftragter@xy-GmbH/oder Verein.de

Wichtig ist dabei aber, dass die eingehenden Mails auch tatsächlich regelmäßig abgerufen und dann auch vom jeweiligen Datenschutzbeauftragten gelesen und auch bearbeitet werden.

Was sind personenbezogene Daten?

Was sind personenbezogene Daten?

„Personenbezogen Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbare wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einen Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Nr. 1 DS-GVO)“

Hierzu zählen u.a. der Name, Wohnort, Geburtsdatum, Steuernummer oder die Religionszugehörigkeit eines Menschen. Unternehmen sind selbst keine natürlichen Personen, aber bestehen aus solchen, so dass dann spätestens auf dieser Datenebene dann u.U. wieder datenschutzrechtlich relevante personenbezogene Daten anfallen.

Wichtig: Auch jede Mitarbeiterin und jeder Mitarbeiter eines Unternehmens und auch jedes Mitglied eines Vereins zählen unmittelbar dazu. Auch hier greifen alle Vorgaben, Anforderungen und Sanktionsmöglichkeiten des Datenschutzrechts.

Automatisierte Verarbeitung

Automatisierte Verarbeitung

Die Datenschutzgrundverordnung gilt für alle ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Neben dem klassischen Anwendungsfall der elektronischen Datenverarbeitung mittels EDV Systemen können also auch nach bestimmten Kriterien geordnete „analoge“ Karteisysteme darunterfallen.

ACHTUNG: Solche Karteisysteme können also auch aus Papier sein! Daher insbesondere Vorsicht bei den auch heute noch häufig in Unternehmen und Vereinen anzutreffende Mitarbeiter- (Mitglieder-) oder Kundenakten in ausgedruckter Form, da auch hier extra der sachliche Anwendungsbereich der DS-GVO eröffnet worden ist.

Konfliktlösungen für Datenschutzbeauftragte

Der Datenschutzbeauftragte (DSB) eine Unternehmens, gleich ob interner oder externe, untersteht zunächst einmal unmittelbar der Geschäftsleitung und muss diese nicht selten kritisieren und ggf. sogar vor geplanten unternehmerischer Handlungen aus datenschutzrechtlicher Sicht warnen. Der DSB steht daher in einem besonderen und hohen Spannungs- und potenziellen Konfliktverhältnis. Es ist in diesem von vielen Besonderheiten geprägten gegenseitigen Abhängigkeitsverhältnis daher von größter Bedeutung, dass Unstimmigkeiten, Probleme und drohende Konflikte möglichst früh erkannt und dann auch aktiv gelöst werden.

Werden die nicht selten dann sogar auch auf persönlicher Ebene ausgetragenen Differenzen nicht wirklich gelöst, drohen in Bezug auf eine sinnvolle Arbeit des DSB erhebliche Nachteile und daraus zudem erhebliche wirtschaftliche Risiken für das Unternehmen. Zudem können Datenschutzverstöße neben den unmittelbaren finanziellen Folgen auch nur sehr schwer wieder zu kompensierende Imageverluste erzeugen. Wird hier zu lange gewartet, sind viele Folgen nicht mehr zu vermeiden und bei den durch die neue DSGVO eingeführten exorbitanten Bußgeldern kann dies für Unternehmen u.U. schnell existenziell werden.

Durch eine möglichst frühzeitige aktive Konfliktlösungen mit allen an den Prozessen und Verfahren beteiligten Personen, immer unter besonderer Berücksichtigung der technischen und juristischen Hintergründe, kann so nicht nur die Arbeit der Personen zum Vorteil des Unternehmens wieder fortgesetzt, sondern in vielen Fällen auch hohe wirtschaftliche Risiken vermieden werden.

Wer ist Verantwortlicher und wer ist Betroffener?

Wer ist Verantwortlicher und wer ist Betroffener?

Die DSGVO spricht immer von der betroffenen Person und dem Verantwortlichen, so dass es erforderlich ist, diese zu definieren:

Betroffene Person ist jede natürliche Person, die durch personenbezogene Daten identifiziert werden kann oder identifizierbar wird.

Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität diese natürlichen Person sind, identifiziert werden können.

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Konflikte im Datenschutz in den Unternehmen nehmen zu

Wie in vielen Bereichen, ist es auch beim Datenschutz so, dass dieser zum einen im Innenverhältnis, also im Verhältnis zu den eigenen Mitarbeiterinnen und Mitarbeitern, als auch im Außenverhältnis, also immer dann, wenn Beschäftigte selbst Datenschutzverstöße im Rahmen ihrer Leistungserbringung realisieren, zu schlimmen Konflikten unter den Mitarbeitern selbst und zu solchen zwischen den Führungskräften und ihren jeweiligen Mitarbeitern führen kann.

Eskalieren können solche zunächst vielleicht nur internen Differenzen dann, wenn zum Beispiel von außen die jeweiligen Datenschutzverstöße gerügt und entsprechende Überprüfungen durchgeführt werden oder es sogar zu Abmahnungen kommt.

Spätestens dann stellt sich die Verantwortlichkeit einer jeden einzelnen Person. Zu fragen ist hier, wann sie von welchem Datenschutzverstoß Kenntnis hatte, beziehungsweise ob sie diesen ggf. sogar bewusst realisiert hat.

Die rechtliche Bewertung solcher Verfahren ist umfangreich und sehr zeit- und kostenintensiv. Aber auch hier entstehen viele große Probleme jedoch aus zunächst noch kleineren Unstimmigkeiten und müssen daher möglichst früh kommuniziert werden.

Nicht zuletzt auch auf Grund des mit einem Mediationsverfahren verbundenen offenen Kommunikationsaustauschs der Parteien in einem frühen Stadium, werden vielfach Risiken für die Zukunft endgültig vermieden. Ein offener Umgang, verbunden mit der Kommunikation aller Interessen und Bedürfnisse der beteiligten Menschen und Abteilungen im Unternehmen, führen dazu, dass die Risiken einer sich nach außen ausbreitenden Datenschutzverletzung erheblich reduziert werden können. Nicht zuletzt auch wegen der aus einer Datenschutzverletzung resultierenden erheblichen unmittelbaren wirtschaftlichen Risiken, sollte insbesondere auch der drohende mittelbare Imageverlust in der Öffentlichkeit bedacht werden. Führt der Umgang mit Daten intern und/ oder extern zu Unstimmigkeiten und Problemen sollten diese frühzeitig durch ein Mediationsverfahren gelöst und zukünftige neue Probleme durch eine abgestimmte Vorgehensweise und Vermeidungsstrategien vermieden werden.

Insbesondere der Datenschutzbeauftragte eines Unternehmens gerät aktuell immer häufiger in Konflikte mit der Geschäftsführung, da er dieser zwar unterstellt, sie aber dennoch häufig wegen drohender Datenschutzverstöße kritisieren muss. Die Aufgaben des Datenschutzbeauftragten kollidieren leider in sehr vielen Fällen mit seiner eigenen wirtschaftlichen Abhängigkeit als Angestellter des jeweiligen Unternehmens. Die Praxis zeigt, dass zwischen sehr vielen Datenschutzbeauftragten, gleich ob intern oder extern, und den Unternehmensleitungen eine Vielzahl von Konflikten und offenen Auseinandersetzungen drohen können.

Sind Datenschutzbeauftragter und Geschäftsführer selbst nicht mehr in der Lage diese Streitigkeiten beizulegen, sollten sie dringend und schnellst möglichst externe Hilfe in Anspruch nehmen. Geschieht dies nicht, können selbst eigentlich kleinere Konflikte zu einem späteren Zeitpunkt zu einem großen offenen Konflikt eskalieren.

Der Druck auf IT-Abteilungen und Dienstleister steigen immer mehr an

Die Daten- und IT- Sicherheit in Unternehmen ist für diese von größter Bedeutung. Die verantwortlichen Führungskräfte sind immer häufiger auch persönlich gefordert. Zudem sind es aber auch die Mitarbeiter der jeweiligen IT- Abteilungen, die unter Druck geraten und dadurch auch in offenen Konflikten zu den sie beauftragenden Abteilungen, Abteilungsleitern oder Geschäftsführern geraten.

Ist Datensicherheit für jedes Unternehmen eigentlich selbstverständlich und von geradezu existenzieller Bedeutung, wird es in der Praxis immer dann besonders kritisch, wenn die Unternehmensleitungen Änderungen vornehmen wollen, die dann zu erhöhten Risiken im Bereich der IT- oder Datensicherheit führen könnten. Der IT- Dienstleister, gleich ob externer oder interner, gerät so schnell in einen Gewissenskonflikt, der nicht zuletzt aufgrund der wirtschaftlichen Abhängigkeit zu seinem Auftraggeber oder Arbeitgeber unlösbar erscheint. Werden solche Unstimmigkeiten nicht bereits früh offen kommuniziert, resultieren daraus in der Praxis schnell erhebliche Auseinandersetzungen.

In vielen Unternehmen treten auch im Bereich Datensicherheit immer häufiger Konflikte zwischen den Unternehmensführungen und den internen oder externen Datenschutzbeauftragten auf. Auch hier sollten frühzeitig beginnende oder sich bereits verstärkende Konflikte im Rahmen einer Mediation und einem sich daraus resultierenden zukünftigen Konfliktmanagements einer praxisnahen Lösung zugeführt werden.