Die Datenschutz-Grundverordnung (kurz: DSGVO) ist seit etwas über einem Jahr in Kraft. Kaum ein Gesetz hat so viel Beachtung erfahren, wie die Datenschutzrichtlinie der EU. Was hat sich mit der DSGVO verändert? Was müssen Sicherheitsdienste beachten? Ist Ihr Unternehmen DSGVO-konform?

Die DSGVO änderte das Datenschutzrecht europaweit

Die Verordnung (EU) 2016/679, auch Datenschutz-Grundverordnung genannt, wurde im Mai 2016 veröffentlicht und trat am 25.05.2018 in Kraft. In den Medien wurde das Gesetz seitdem viel zitiert und im Internet sowie an Stammtischen kursieren viele (angebliche) Vorgaben. Warum erzeugte die Verordnung so viel Wirbel? Als EU-Verordnung gilt die DSGVO allgemein, unmittelbar und vorrangig. Das bedeutet, dass EU-weit alle nationalen Vorgaben durch die DSGVO ersetzt wurden. Insofern benennt die DSGVO Spielregeln für den Datenschutz, die in der gesamten EU gelten und zu fairem Wettbewerb führen sollen.

DSGVO und deutsches Bundesdatenschutzgesetz

Trotz der DSGVO existiert weiterhin ein Bundesdatenschutzgesetz (BDSG). Warum ist das notwendig? Die EU hat in der DSGVO sogenannte Öffnungsklauseln vorgesehen. Diese erlauben es den Mitgliedsstaaten die Regeln an bestimmten Stellen zu erweitern, wenn das Schutzniveau der DSGVO eingehalten wird. Der Gesetzgeber hierzulande hat davon, z. B. bei den Vorgaben für die Notwendigkeit eines Datenschutzbeauftragten (DSB), Gebrauch gemacht. Diese Regeln finden sich dann im BDSG wieder.

Was ist Datenschutz überhaupt?

DSGVO und BDSG legen Regeln für den Datenschutz fest. Sie gelten immer dann, wenn personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden. Das heißt, immer wenn ein Computerprogramm eingesetzt wird, um etwas mit personenbezogenen Daten zu machen. Die DSGVO ist auch anzuwenden, wenn personenbezogene Daten nichtautomatisiert in einem Dateisystem verarbeitet werden (vgl. DSGVO Art. 2 Abs. 1). Hier ist strukturierte Sammlung von Daten gemeint, z. B. in einem Register oder einer Datenbank.

Datenschutz bezieht sich also auf jeden Vorgang, bei dem personenbezogene Daten auf einem Computer, durch ein Computerprogramm oder in einer Datensammlung, wie einer Personalakte, verarbeitet werden. Der Begriff „Verarbeitung“ ist in Art. 4 Nr. 2 der DSGVO definiert. Gemeint ist hier das Erfassen, Erheben, Organisieren, Ordnen, Anpassen, Verändern oder Speichern von Daten. Also so ziemlich alles, was man mit Daten machen kann.

Was ist personenbezogen?

Der Datenschutz und die DSGVO beziehen sich auf personenbezogene Daten. Gemeint sind Daten, die sich entweder direkt auf eine Person beziehen oder in der Kombination auf eine Person beziehen lassen (DSGVO Art. 4 Nr. 1). Das bedeutet, wann immer Daten – und sei es getrennt – verarbeitet werden, die von einer bestimmbaren Person stammen, sind personenbezogene Daten im Spiel. Ein Dienstausweis, der eine Dienstnummer trägt, die in einer Tabelle (wir erinnern uns: strukturierte Sammlung) zu einem Mitarbeiter zugeordnet ist, beinhaltet ein personenbezogenes Datum. Für Sicherheitsunternehmen heißt das: Die DSGVO muss von der Verwaltung der Kundendatei bis zum Schichtplan bei vielen Tätigkeiten beachtet werden.

DSGVO gilt für alle Unternehmen und bestraft Verstöße

Ein weit verbreiteter Irrtum ist, dass die DSGVO erst für Unternehmen einer bestimmten Größe gilt. Das ist nicht der Fall. Die Regeln der DSGVO müssen immer umgesetzt werden, egal ob der Sicherheitsdienst einen oder tausende Mitarbeiter beschäftigt. Jedes Sicherheitsunternehmen muss sich also mit den Regeln der DSGVO auseinandersetzen und Maßnahmen treffen.

Bei Verstößen gegen die DSGVO drohen sensible Strafen, denn die Aufsichtsbehörden können bei Verstößen Geldbußen verhängen. Die Geldbußen sollen gemäß Art. 83 Abs. 1 der DSGVO „wirksam, verhältnismäßig und abschreckend“ sein. Verstöße können mit Ordnungsgeldern von bis zu 20 Mio. € oder, wenn dies mehr ist, mit bis zu 4 % des weltweiten Umsatzes einer Unternehmensgruppe geahndet werden. Es kommt allerdings immer auf den Einzelfall an. Nicht sofort werden 20 Mio. € fällig.

Wer nichts tut, den bestraft die Behörde

Die Geldbußen richten sich am konkreten Einzelfall aus. Kurz nach Inkrafttreten der Verordnung waren die Behörden sicherlich vorsichtig bei der Bußgeldhöhe, brauchten die Unternehmen Zeit sich auf die neue Situation einzustellen. Immerhin lag das mittlere Bußgeld in Deutschlang bis Mai 2019 bereits bei ca. 6.000 € [1]. Besonders hohe Strafen wurden vor allem dann verhängt, wenn Unternehmen aktiv etwas versäumt haben [2]. Für Sicherheitsdienste heißt das konkret: Nichts machen, ist die schlechteste Strategie. Bei einem Bußgeld wird es nicht bleiben. Die Behörde wird Nachbesserung verlangen. Kommt ein Unternehmen dieser Aufforderung nicht nach, kann es sogar zum Entzug der Gewerbeerlaubnis kommen (§ 40 Abs. 3 Satz 3). Auch wenn die Strafen in Deutschland bislang nicht utopisch hoch waren, ist davon auszugehen, dass die Aufsichtsbehörden in naher Zukunft strenger werden.

Was muss ich als Sicherheitsdienst konkret machen?

Die Bandbreite an Maßnahmen, die ein Unternehmen treffen muss, ist groß und würde den Umfang des Artikels sprengen. Im Wesentlichen muss ein Sicherheitsunternehmen folgende Fragen beantworten können: Welche Daten erhebe ich wo und wann? Darf ich diese Daten erheben? Wie schütze ich die Daten? Wie lange muss ich die Daten speichern und wie lösche ich sie? Wie gehe ich mit Anfragen zu personenbezogenen Daten um?

Wie sich unschwer erahnen lässt, ist die Beantwortung der Fragen oftmals gar nicht so leicht. Es ist Fleißarbeit notwendig, um herauszufinden, wo im Unternehmen personenbezogene Daten erhoben werden. Das beginnt bei der Webseite, denn hier werden IP-Adressen verarbeitet. Für viele kleine Unternehmen ist die Beantwortung dieser Fragen ohne externe Unterstützung gar nicht möglich.

Datenschutz braucht Prozesse und Strukturen

Aus den obenstehenden Fragen wird klar, dass Datenschutz Klarheit über die eigenen Prozesse bedingt. Wie soll ich wissen, wo ich Daten erhebe, wenn ich nicht weiß, wie ich was mache? Die Umsetzung der DSGVO geht deshalb eng mit der Definition von Prozessen einher, wie es bei der Einführung eines Qualitätsmanagements notwendig ist. Sind bereits Prozesse vorhanden, müssen diese analysiert werden. Es gilt die Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden (sog. Verarbeitungstätigkeiten), zu identifizieren. Die Verarbeitungstätigkeiten werden in ein Verarbeitungsverzeichnis nach Art. 30 DSGVO zusammengefasst.

Auf Basis der QM-Prozesse können auch Risiken bei der Verarbeitung analysiert und bewertet werden. Die Ergebnisse dieser Risikoanalysen sind die Grundlage für Maßnahmen, die für den Schutz der personenbezogenen Daten notwendig sind.

Im Rahmen des Datenschutzes sind zudem neue Prozesse zu etablieren. Betroffene, also Personen deren personenbezogene Daten verarbeitet werden, haben das Recht auf Auskunft, Löschung oder Berichtigung der Daten. Um diese Rechte zu wahren, müssen vorab Vorgehensweisen definiert werden. Zu den Betroffenenrechten kommen Meldepflichten. Wird der Schutz personenbezogener Daten verletzt, also werden Daten unbeabsichtigt verloren, veröffentlicht, verändert etc., muss innerhalb von 72 Stunden eine Meldung an die Datenschutzbehörde erfolgen. Das bedingt einen Eskalationsprozess.

Pflicht zur fachlichen Unterstützung

Der Gesetzgeber hat erkannt, dass fachliche Unterstützung beim Schutz personenbezogener Daten notwendig ist. Unter bestimmten Voraussetzungen müssen Unternehmen einen Datenschutzbeauftragten (DSB) benennen. Die DSGVO sieht dies vor, wenn das Unternehmen im Rahmen seiner Haupttätigkeit besonders schützenswerte Daten, wie Rasse oder ethnische Herkunft, politische Meinungen, Religion, genetische und biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben sowie zur sexuellen Orientierung (DSGVO Art. 9 Abs. 1) verarbeitet. Besonders schützenswert findet der Gesetzgeber zudem Daten über strafrechtliche Verurteilungen (DSGVO Art. 10). Sicherheitsunternehmen dürften solche Daten nur in den seltensten Fällen im Rahmen ihrer Haupttätigkeit verarbeiten. Denkbar ist es aber, dass z. B. biometrische Daten im Rahmen der Bereitstellung einer Zutrittskontrollanlage verarbeitet werden. Eine solche Verarbeitung könnte als Kerntätigkeit gewertet werden, wenn das Unternehmen hiermit Geld verdient [3].

Weitere Kriterien für die Notwendigkeit eines DSB definiert das BDSG

Das nationale Datenschutzrecht, also das BDSG, geht einen Schritt weiter und definiert die Pflicht zur Benennung eines DSB, wenn mindestens zehn Personen ständig automatisiert personenbezogene Daten verarbeiten (BDSG § 38 Abs. 1 Satz 1). Jedes Unternehmen, in dem mindestens zehn Personen E-Mails im Auftrag des Unternehmens (hoffentlich nur über dienstliche Mail-Accounts) bearbeiten, benötigt also einen DSB. Das dürfte eine Vielzahl von Sicherheitsunternehmen treffen. Bei der Bemessung spielt es keine Rolle, ob die Personen nur halbtags arbeiten oder Vollzeit beschäftigt sind. Es zählt einzig die Anzahl der „Köpfe“. Eine Organisation mit einem Geschäftsführer, einem Disponenten, einer Assistenz, einer Halbtagskraft in der Buchhaltung und drei Einsatzleitern mit Dienst-Smartphone dürfte bereits der Notwendigkeit zur Benennung eines DSB unterliegen.

Unternehmen, die weder besonders schützenswerte Daten verarbeiten noch mehr als zehn Personen beschäftigen, die ständig mit der Verarbeitung personenbezogener Daten befasst sind, können trotzdem der Pflicht zur Benennung eines DSB unterliegen. Das ist dann der Fall, wenn bei der Verarbeitung neue Technologien eingesetzt werden (denken wir an Videoanalyse)  oder bei der Verarbeitung aufgrund von Art, Umfang, Zweck und den Umständen der Verarbeitung ein hohes Risiko für die Betroffenen entsteht (BDSG § 38 Abs. 1 i.V.m. DSGVO Art. 35 Abs. 1 Satz 1). Diese Anforderung ist butterweich, kann es aber in sich haben. Das Tracking von Mitarbeitern Fahrzeugen eines Sicherheitsdienstes ist eine solche Verarbeitungstätigkeit. Deshalb ist es wichtig, wirksame Risikomanagementstrukturen zu schaffen.

Egal, warum ein DSB notwendig ist, die Nichtbenennung eines DSB ist ein Verstoß, der mit einer Geldbuße belegt werden kann.

Besser jetzt vorbeugen

Wenn Sie den Artikel bis hier gelesen haben und an keiner Stelle ins Grübeln gekommen sind, haben Sie vermutlich bereits die wichtigsten Maßnahmen getroffen. Sollten Sie allerdings von einigen Anforderungen noch nichts gehört haben oder diese noch nicht umgesetzt haben, sollten Sie jetzt handeln. Durch eine Beratung beim Aufbau eines Datenschutz-Managementsystems etablieren Sie die notwendigen Prozesse, um die Anforderungen der DSGVO umzusetzen. Durch einen externen Datenschutzbeauftragten können Sie sich professionelle Unterstützung ins Haus holen. Dank der Bandbreite der Beratung der Krisensicher Risikoberatung, können im Rahmen der Betreuung auch zusätzliche Mehrwerte, z. B. im Qualitätsmanagement, geschaffen werden.

Sprechen Sie mich an und vereinbaren Sie einen Termin zur Bestandsaufnahme in Ihrem Unternehmen. Nehmen Sie das Zepter des Handelns in die Hand und beugen Sie hohen Strafzahlungen vor. Das Beste ist, Sie erhalten bis zu 3.200 € für die Erstberatung zurück, dank der „Förderung unternehmerischen Know-hows  des Bundesamt für Wirtschaft und Ausfuhrkontrolle.  Werden Sie krisensicher.

Hinweis: Dieser Artikel enthält Informationen zu rechtlichen Sachverhalten. Die Informationen stellen keine Rechtsberatung sondern allgemeine Hinweise dar. Bei (konkreten) rechtlichen Fragen und für eine Rechtsberatung wenden Sie sich bitte an einen Rechtsanwalt.

[1] Heise online (2019). DSGVO: Bislang 75 Bußgelder wegen Verstößen. [online] Zu finden unter: https://www.heise.de/newsticker/meldung/DSGVO-Bislang-75-Bussgelder-wegen-Verstoessen-4420368.html (aufgerufen am 09. Juli 2019)

[2] enforcementtracker.com (2019). GDPR Enforcement Tracker [online] Zu finden unter: http://www.enforcementtracker.com/ (aufgerufen am 09. Juli 2019)

[3] LDI NRW (2018). Häufig gestellte Fragen zu Datenschutzbeauftragten (FAQ) [online] ] Zu finden unter: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Datenschutzbeauftragte_nach_der_DS-GVO_und_der_JI-RL/Inhalt/FAQ_zum_Datenschutzbeauftragten/FAQ_ein_Dokument.pdf (aufgerufen am 09. Juli 2019), Seite 8

    Kontakt aufnehmen

    2 + 6 =

    Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Ihren Besuch stimmen Sie unserer Datenschutzerklärung zu. Klicken Sie auf den Button für mehr Informationen.