Nach der neusten Statistik steigt das Wirtschaftswachstum in Sachsen um ca. 2 %. Ein kontinuierlich anziehendes Wachstum, welches mit großer Wahrscheinlichkeit in Zukunft weiter anhalten wird. Doch was verursacht dieses Wachstum und wieso muss der Datenschutz in Unternehmen mitwachsen?
Geprägt ist die sächsische Industrielandschaft durch klein- und mittelständische Unternehmen (KMU), welche den Motor für das Wirtschaftswachstum darstellen. Dabei nehmen sächsische Unternehmen eine technologische Top-Stellung ein, insbesondere in den Bereichen Automobilindustrie, Mikroelektronik sowie Maschinen- und Anlagenbau.
Was ist unter Wirtschaftswachstum grundsätzlich zu verstehen?
Ziel fast jeder Volkswirtschaft dürfte das Erreichen eines Wirtschaftswachstumes sein, da mit höherer Einnahmeerzielung des Einzelnen auch dessen persönlicher bzw. finanzieller Wohlstand zunimmt. Das Wirtschaftswachstum sorgt folglich für eine höhere Verteilungsmasse (Geld), mit dem Ziele wie Umweltschutz, Bildung, etc. besser verwirklicht werden können, da mehr Mittel zur Verfügung stehen. Gemessen wird das Wirtschaftswachstum mit dem Anstieg des Bruttoinlandproduktes. Das Bruttoinlandprodukt (BIP) wiederum ist die Ermittlung der Gesamtheit von Waren und Dienstleistungen, welche im Inland produziert werden, unter Abzug aller Vorleistungen.
Datenschutzrechtliche Relevanz
Das Bundesdatenschutzgesetz (BDSG) gilt nach § 1 BDSG für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch
- Öffentliche Stellen des Bundes
- Öffentliche Stellen der Länder, sofern nicht durch das Landesgesetz geregelt und die Stellen Bundesrecht ausführen oder als Organe der Rechtspflege tätig werden, sowie
- nicht öffentliche Stellen (private Unternehmen).
Eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten wird dabei durch praktisch alle verantwortlichen Stellen durchgeführt, da gerade Wirtschaftswachstum zu Neueinstellungen, Erweiterungen von Unternehmen oder Unternehmensgründungen führt.
Ein Beispiel für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten stellt das Bewerbungsverfahren für die Einstellung neuer Mitarbeiter dar. Bei diesem werden sensible personenbezogene Daten gesammelt, wie Geburtsdatum, Geschlecht und Name. Bewerbungsunterlagen enthalten zahlreiche sensible personenbezogene Daten und müssen deshalb mit besonderer Sorgfalt behandelt werden. So muss unter anderem gewährleistet werden, dass kein Unbefugter Zugang zu den Unterlagen hat. Weiterhin stellt sich die Frage, wer die Daten sichten darf, wie die Übermittlung der Daten erfolgen darf und wann eine Löschung der Daten stattfinden sollte. Bei einem Wachstum der Wirtschaft darf somit von einem Mehr an Datensätzen in den Unternehmen gerechnet werden. Dieser Effekt tritt nicht nur in den Unternehmen auf, die neues Personal einstellen, sondern erweitert sich durch den Geldkreislauf bzw. steigenden Konsum (z. B. durch Einkauf der neuen Arbeitskräfte in Supermärkten oder Online-Shops).
Das Bundesdatenschutzgesetz und sächsische Datenschutzgesetz
Das sächsische Datenschutzgesetz (SächsDSG) regelt die Anwendung des Datenschutzes für öffentliche Stellen des Landes Sachsen. Dabei regelt es die datenschutzrechtlichen Vorrausetzungen, wie öffentliche Stellen in Sachsen mit personenbezogenen Daten zu verfahren haben. Das Bundesdatenschutzgesetz hingegen findet dann Anwendung, wenn unter anderem die Bundesbehörde oder nicht-öffentliche Stellen mit personenbezogenen Daten agieren.
In anderen Bereichen, wie dem Polizei- und Sozialrecht, gelten primär die jeweiligen speziellen Datenschutzregelungen. Weiterhin existieren noch zahlreiche andere datenschutzrechtliche Spezialvorschriften, welche auf EU-, Bundes- und Landesebene angesiedelt sind.
Bestellung der Datenschutzbeauftragten
Der Datenschutzbeauftragter ist nach § 4f BDSG zu bestellen, wenn eine öffentliche oder nicht öffentliche Stelle personenbezogene Daten automatisiert verarbeitet. Er ist somit dann tätig, wenn eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten durchgeführt wird, und für die Aufgaben zuständig, welche im § 4g BDSG geregelt sind. Dabei wirkt der Datenschutzbeauftragte als internes Kontrollorgan, welches auf die Einhaltung der Datenschutzvorschriften hinweist.
Eine interner / externer Datenschutzbeauftragter sollte durch nicht-öffentliche Stellen bestellt werden, wenn …
- mindestens 10 Personen personenbezogene Daten automatisiert verarbeiten oder
- die automatisierte Verarbeitung eine Vorabkontrolle erfordert oder
- die automatisierte Verarbeitung zum Zweck der (anonymisierten) Übermittelung dient oder
- die automatisierte Verarbeitung zum Zweck der Markt- und Meinungsforschung erfolgt oder
- mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.
Ein interner / externer Datenschutzbeauftragter sollte durch öffentliche Stellen des Bundes bestellt werden, wenn …
- personenbezogene Daten automatisiert verarbeitet werden oder
- mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.
Das sächsische Landesdatenschutzgesetz regelt, dass ein interner / externer Datenschutzbeauftragter durch öffentliche Stellen des Landes bestellt werden kann, allerdings besteht keine Verpflichtung.
Die Bestellung eines Datenschutzbeauftragten ist laut BDSG unter dieser Personengrenze und laut SächsDSG gar nicht verpflichtend. Dennoch sollten kleinere Unternehmen diesbezüglich vorsichtig sein, falls sie stark expandieren (möchten). Fallen sie durch die Expansion in diesen Bereich, ist nach §4f Abs. 1 Satz 2 BDSG spätestens nach einem Monat ein geeigneter Datenschutzbeauftragter zu bestellen. Geschieht dies nicht und wird das Unternehmen durch die Datenschutzaufsicht, die zuständigen Aufsichtsbehörde „Landesdatenschutzbeauftragter“, kontrolliert, könnte dies rechtliche Konsequenzen für das Unternehmen bedeuten. Auch für öffentliche Stellen des Landes, die keiner Bestpflicht unterliegen, ist eine frühzeitige Einbindung eines Datenschutzbeauftragten anzuraten, um geeignete Maßnahmen zu ergreifen, Datenschutzverstöße zu vermeiden und insbesondere Sanktionen abzuwenden.
Datenschutz in Unternehmen – Fördermittel für Datenschutz- und Datensicherheitsleistungen durch den Staat
Bestimmte Datenschutz- und Datensicherheitsleistungen können mit Fördermitteln vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) bezuschusst werde. Nach den Leitlinien der BAFA können kleine und mittelständische Unternehmen der gewerblichen Wirtschaft und Freiberufler (KMU) Anträge für Fördermittel stellen. Nach den Leitlinien der BAFA ist ein Unternehmen ein KMU, wenn
- das Unternehmen seinen Sitz oder eine Zweigniederlassung in der Bundesrepublik Deutschland hat,
- weniger als 250 Leute darin beschäftigt sind und
- das Unternehmen einen Jahresumsatz von nicht mehr als 50 Millionen Euro oder eine Jahresbilanzsumme von nicht mehr als 43 Millionen Euro hat. Neu gegründete Unternehmen, welche noch keine Jahresbilanz erstellt haben, können die Angaben nach Treu und Glauben schätzen.
Bei Konzernunternehmen müssen für die Ermittlung der Mitarbeiterzahl und des Jahresumsatzes die Partnerunternehmen des Unternehmens mit einbezogen werden.
Der Fördersatz beträgt dabei in Sachsen um die 80%, für Unternehmen in der wirtschaftlichen Krise um die 90%. Dabei richten sich die maximalen förderfähigen Beratungskosten danach, wie lange ein Unternehmen auf dem Markt aktiv ist oder ob es sich in einer schwierigen Lage befindet. Gegliedert werden die Unternehmen dabei in
- Jungunternehmen (nicht länger als 2 Jahre am Markt), welche einen Höchstzuschuss von 3200 Euro,
- Bestandsunternehmen mit Höchstsatz von 2400 Euro und
- Unternehmen in Schwierigkeiten, welche im Höchstsatz 2700 Euro
Förderung erhalten können.
Wirtschaftswachstum und die Notwendigkeit des Datenschutzes
Die sächsische Wirtschaft wächst kontinuierlich, was auf die Expansion von kleinen und mittelständigen Unternehmen zurückzuführen ist. Daneben wird das Wirtschaftswachstum auch zu Neugründungen von Unternehmen führen. Das Thema Datenschutz in Unternehmen gewinnt somit stetig an Bedeutung. Organisationen, die personenbezogene Daten erheben, verarbeiten oder nutzen, sollten auf Datenschutzregelungen ein Auge haben – nicht nur, um Sanktionen, welche bei datenschutzrechtlichen Verstößen durch die Datenschutzbehörde verhängt werden können, zu umgehen, sondern auch, um datenschutzrechtliche Sicherheitslücken im Unternehmen zu schließen. Weiterhin ist zu beachten, dass eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ab einer bestimmten Organisationsgröße besteht. Der Datenschutzbeauftragte sollte dabei nicht nur als weiterer Kostenfaktor angesehen werden, sondern als Hilfsorgan, welches nicht nur die Organisation vor datenschutzrechtlichen Sanktionen bewahren kann, sondern auch den richtigen Umgang mit personenbezogenen Daten aufzeigt.
Weiter oben wurde bereits der folgende Satz erwähnt: „Das Wirtschaftswachstum sorgt folglich für eine höhere Verteilungsmasse (Geld), mit dem Ziele wie Umweltschutz, Bildung, etc. besser verwirklicht werden können, da mehr Mittel zur Verfügung stehen.“
Ein solches Wachstum dürfte auch auf die Arbeit im Datenschutz zu übertragen sein. Der Datenschutz in Unternehmen wird regelmäßig durch die Verhältnismäßigkeit begrenzt. Geht es einem Unternehmen wirtschaftlich besonders gut, wären an diese Verhältnismäßigkeit regelmäßig andere Maßstäbe zu setzen. Kritiker mögen dies vielleicht als „Luxusprobleme“ bezeichnen, ein externer Datenschutzbeauftragter wohl eher als „Sicherstellung des Rechts des Menschen auf informationelle Selbstbestimmung, einer Ausprägung des allgemeinen Persönlichkeitsrechts“!