Die europäische Datenschutz-Grundverordnung (EU-DSGVO) ist am 25. Mai in Kraft getreten und bildet seither den verbindlichen Rechtsrahmen für den Umgang mit personenbezogenen Daten in der gesamten Europäischen Union. Als EU-Verordnung gilt sie unmittelbar in allen Mitgliedstaaten – nationale Gesetze müssen sich ihr unterordnen, sofern sie inhaltlich abweichen oder im Widerspruch stehen. Praktisch betrifft die DSGVO jede natürliche oder juristische Person innerhalb des EU-Raums, die personenbezogene Daten verarbeitet – unabhängig davon, ob es sich um private Unternehmen, Vereine oder öffentliche Stellen handelt. Nur rein private oder familiäre Datenverarbeitungen sind ausgenommen.
Verstöße gegen die DSGVO werden streng geahndet. Dabei spielt es keine Rolle, ob tatsächlich ein Schaden entstanden ist – entscheidend ist allein der Regelverstoß. Die möglichen Bußgelder sind erheblich: je nach Schwere des Vergehens bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, in besonders gravierenden Fällen sogar bis zu 20 Millionen Euro bzw. 4 %. Diese Sanktionsmöglichkeiten machen Datenschutzverstöße für Unternehmen potenziell existenzbedrohend – gerade in Krisensituationen, in denen Verstöße publik werden oder Aufsichtsbehörden ermitteln.
Um solchen Situationen vorzubeugen, prüfen und dokumentieren wir die Einhaltung der DSGVO und anderer relevanter Datenschutzbestimmungen (wie etwa des Bundesdatenschutzgesetzes, BDSG) in Ihrem Unternehmen. So tragen wir dazu bei, Risiken frühzeitig zu erkennen, Bußgelder zu vermeiden und das Vertrauen von Kunden sowie Mitarbeitenden zu schützen.
Ein besonderer Schwerpunkt liegt auf der datenschutzkonformen Gestaltung interner Ermittlungen. Sowohl die DSGVO als auch das BDSG – insbesondere § 26 BDSG zum Beschäftigtendatenschutz – setzen dabei enge Grenzen. Sie verlangen, dass Daten ausschließlich rechtmäßig, zweckgebunden und verhältnismäßig verarbeitet werden. Von zentraler Bedeutung sind unter anderem:
-
Art. 6 DSGVO: Rechtmäßigkeit der Verarbeitung
-
Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, ethnische Herkunft)
-
Art. 12–22 DSGVO: Rechte der betroffenen Personen, wie Auskunft, Berichtigung oder Löschung
-
§ 26 BDSG: Verarbeitung von Beschäftigtendaten zu arbeitsbezogenen Zwecken
-
Grundsatz der Verhältnismäßigkeit: Nur so viele Daten wie nötig, so wenig wie möglich
In unseren internen Prozessen achten wir darauf, dass jede Form der Datenverarbeitung folgenden Prinzipien entspricht:
-
Rechtsgrundlage: Wir stellen sicher, dass für jede Erhebung und Verarbeitung personenbezogener Daten eine tragfähige Rechtsgrundlage besteht (z. B. Einwilligung oder berechtigtes Interesse gemäß Art. 6 DSGVO).
-
Zweckbindung: Daten dürfen ausschließlich für den konkret definierten Zweck der internen Ermittlungen verwendet werden – eine Weiterverarbeitung zu anderen Zwecken ist unzulässig.
-
Transparenz: Betroffene werden grundsätzlich über die Datenerhebung informiert und über den Zweck aufgeklärt, es sei denn, eine vorübergehende Geheimhaltung ist erforderlich, um den Ermittlungserfolg nicht zu gefährden.
-
Datenminimierung: Nur die Daten, die tatsächlich erforderlich sind, dürfen verarbeitet werden (Art. 5 Abs. 1 lit. c DSGVO).
-
Datensicherheit: Technische und organisatorische Maßnahmen schützen personenbezogene Daten vor unberechtigtem Zugriff, Verlust oder Manipulation (Art. 32 DSGVO).
-
Interne Richtlinien: Klare interne Vorgaben regeln, wie Ermittlungen ablaufen, wer Zugriff auf Daten hat und wie Datenschutzkonflikte vermieden werden können.
-
Erforderlichkeit und Verhältnismäßigkeit: Jede Maßnahme muss angemessen sein – das bedeutet: so viel Eingriff wie nötig, so wenig wie möglich.
Datenschutz ist heute weit mehr als eine juristische Pflicht. Er ist Ausdruck von Professionalität, Transparenz und Respekt. Unternehmen, die Datenschutz ernst nehmen, stärken nicht nur ihre rechtliche Sicherheit, sondern auch ihr Image und das Vertrauen ihrer Stakeholder – ein entscheidender Wettbewerbsvorteil in einer datengetriebenen Wirtschaft. Inbesondere bei Unternehmen, die berufsmäßig personenbezogene Daten erheben und die so gesammelten Beweise ggfls. vor Gericht im Gerichtsprozess verwenden, ist die Kenntnis des rechtlichen Rahmens existenziell. Das ist eine der Säulen, um einem Beweisverwertungsverbot vor Gericht vorzubeugen.
