Unternehmensberatung Reiner Gosdzik

Allgemeines

Unabhängig davon, ob weitere Verpflichtungen aus den Datenschutzgesetzen resultieren, haben alle öffentlichen und nicht öffentlichen Stellen die Einhaltung der Datenschutzgesetze zu gewährleisten.

Bei der Verarbeitung personenbezogener Daten sind bestimmte Grundregeln zu beachten, um eine Gefährdung des Persönlichkeitsrechts des Einzelnen von vorneherein zu verhindern.

Das BDSG ebenso wie DS-GVO stellen Regeln für den Umgang mit personenbezogenen Daten auf. Hierbei gilt für jegliche Verarbeitung personenbezogener Daten der Grundsatz: Was nicht ausdrücklich erlaubt ist, das ist verboten. Die Erlaubnis zur Datenverarbeitung kann in Form von Gesetzen oder der ausdrücklichen Einwilligung des Betroffenen vorliegen. Damit ist vom Gesetzgeber für die Datenverarbeiter der rechtliche Rahmen vorgegeben.

Wird einem Betroffenen durch die Datenverarbeitung ein Schaden zugefügt, so ist der Datenverarbeiter Schadenersatzpflichtig, wenn er nicht die nach dem Gesetz erforderliche Sorgfalt hat walten lassen. Hierzu gehören z. B. die Einrichtung von technischen und organisatorischen Maßnahmen, die in der Anlage zu § 9 BDSG näher beschrieben waren. In der Datenschutz-Grundverordnung finden sich die Hinweise zu den technischen und organisatorischen Maßnahmen gleich an verschiedenen Stellen, z. B. in Artikel 5, Artikel 24, Artikel 25 oder Artikel 32, wobei diese Aufzählung nicht vollständig ist.

Neben den Ansprüchen des Betroffenen auf Schadenersetz waren im BDSG Bußgeld und Strafvorschriften geregelt. Während diese vergleichsweise harmlos waren, sind mit der Datenschutz-Grundverordnung Bußgelder zu erwarten, die gemäß Grundverordnung „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sind. Artikel 83 der Datenschutz-Grundverordnung legt Geldbußen von bis zu 10 Mio. bzw. 20 Mio. Euro oder für Unternehmen von bis zu 2 bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des Vorjahres fest, je nachdem welcher Betrag höher ist.