Datenschutz im Unternehmen

Die Bestellpflicht für einen Datenschutzbeauftragten in Deutschland wird sehr wahrscheinlich gelockert. Grund für Unternehmen, zu jubeln? Keinesfalls, denn die datenschutzrechtlichen Anforderungen werden nicht gelockert. Die gesetzlichen Voraussetzungen sind unverändert und damit auch die Pflicht jedes Unternehmens, diese zu erfüllen. Man muss nur niemanden mehr benennen, der sich mit Datenschutz auskennt, einem Querschnittsthema, das eine Menge Fachkunde voraussetzt – wie Steuern und wer macht die schon selbst? Warum sich also nicht auch beim Datenschutz helfen lassen, auch wenn man weniger als 20 Beschäftigte hat?

Wer seine Pflichten nicht erfüllt, könnte schnell in die Röhre schauen: Denn die Aufsichtsbehörden gehen nach dem ersten Jahr mit verstärkter Beratung langsam wieder in den Kontrollmodus. Wer dann seine Hausaufgaben nicht gemacht hat, wird unerfreuliche Diskussionen führen. Doch worin bestehen denn nun die Hausaufgaben? Um zu zeigen, dass Datenschutz im Unternehmen gelebt wird, muss man mindestens drei Punkte auf dem Schirm haben: formale Dokumentation (Verzeichnis der Verarbeitungstätigkeiten, TOMs …), Informationspflichten und Auskunftsersuchen bzw. Datenschutzpannen.
Und warum brauchen Unternehmen das? Alles nur Schikane … weit gefehlt, denn Aufsichtsbehörden prüfen Unternehmen anlassbezogen, wenn z. B. ein Kunde oder (ehemaliger) Beschäftigter sich beschwert hat. Außerdem prüfen die Behörden anlasslos nach Branchen oder sonstigen Kriterien. Wer dann nicht mindestens die oben genannten Punkte „aus der Schublade zaubern“ kann, wird auf wenig Verständnis hoffen dürfen. Denn ein Verarbeitungsverzeichnis hätte man schon vor Mai 2018 haben müssen …