Nahezu jedes Unternehmen erhebt, verarbeitet und nutzt personenbezogene Daten seiner Mitarbeiter, Geschäftspartner und natürlich seiner Kunden. Da verwundert es nicht, dass wöchentlich Meldungen von gestohlenen oder geleakten Datenbeständen oder anderen versehentlichen Datenpannen in den News ganz oben stehen.
Schwindelerregend hohe Bußgelder nach der Datenschutz-Grundverordnung (DS-GVO) – das sind bis zu 20 Millionen Euro – sowie Ordnungswidrigkeitsverfahren, Schadensersatzforderungen bei Leaks und anderen versehentlichen Datenpannen, sowie Kontrollen zur Einhaltung des Datenschutzes nehmen immer weiter zu. Das führt schnell zu hohen finanziellen Schäden und Imageverlust, umso wichtiger ist es, sich als Unternehmen von Vornherein abzusichern, damit es gar nicht zum Schadensfall kommt.
Um die gravierenden Folgen eines Verstoßes abzuwehren, ist es wichtig, den Datenschutz im Unternehmen zu pflegen und sich fachkundige Unterstützung zu sichern.
Datenschutz ist grundsätzlich Aufgabe der Geschäftsführung. Dort fehlt es jedoch meistens an zeitlichen und fachlichen Ressourcen, deshalb ist die Unsicherheit in Unternehmen häufig groß, ob ihr Vorgehen den Datenschutzgesetzen entspricht. Die Geschäftsführung kann (oder muss) einen internen oder externen betrieblichen Datenschutzbeauftragten (bDSB) bestellen, der in Fragen des Datenschutzes beratend zur Seite steht, der ein Datenschutzkonzept zu entwickeln hilft und letztlich die getroffenen Maßnahmen zum Datenschutz und zur Datensicherheit überwacht.
Gerne stellen wir Ihnen unsere Fachkompetenz als betrieblicher Externer Datenschutzbeauftragter zur Verfügung oder beraten Sie allgemein zu Ihrer Datenschutzsituation oder zu den nötigen Anpassungen an die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) Eine fachkundige Beratung liefert alle notwendigen Mittel – von der Vertragsprüfung hin bis zur umfassenden Überprüfung im Hinblick auf geeignete technische und organisatorische Maßnahmen (TOM) zur Einhaltung des Datenschutzes im Unternehmen oder die nötigen Anpassungen an die Anforderungen der Datenschutz-Grundverordnung (DS-GVO).
Dem Interesse Ihres Unternehmens an der Nutzung der Daten steht das durch das Grundgesetz geschützte Recht auf informationelle Selbstbestimmung der Betroffenen gegenüber. Ein Nutzen der Daten zu ermöglichen, sie dabei aber bestmöglich zu schützen, ist Regelungszweck der Gesetze über den Datenschutz.
Die für Unternehmen relevantesten Regelungen finden sich im Bundesdatenschutzgesetz (BDSG), in der EU-Datenschutz-Grundverordnung (DS-GVO) und im Betriebsverfassungsgesetz (BetrVG).
Unabhängig von ihrer Größe verarbeitet jede Firma personenbezogene Daten Ihrer Mitarbeiter:innen, sei es zur reinen Personalverwaltung, Entgeltabrechnung, Bearbeitung von Urlaubs- und Krankheitstagen, oder um Dienstpläne, Schichtpläne und Vertretungsregelungen zu erstellen. Die zentralen datenschutzrechtlichen Fragen, die sich hier stellen, fallen vor allem in die Bereiche Zutritts, Zugangs- und Zugriffskontrolle.
Bereits der Urlaubs- oder Dienstplan im Intranet oder die elektronische Arbeitszeiterfassung mittels RFID-Transpondern beeinträchtigen das Recht auf informationelle Selbstbestimmung der Beschäftigten.
Abgesehen von der zwingenden Beteiligung des Betriebsrats, ist sensibler Umgang und datenschutzrechtliche Umsicht auch gefragt, wenn Sie die Leistung Ihrer Mitarbeiter erfassen und bewerten wollen. Gleiches gilt für die Erstellung von Bewerberprofilen. Vielfach ist der Umgang mit digitalen, wie auch analogen, Bewerbungsmappen überhaupt nicht geregelt. Werden diese zurückgesandt, gelöscht oder geschreddert?
Für alles nicht abschließend Aufgezählte empfehlen wir, klare Regelungen zu treffen und Einwilligungen der betroffenen Arbeitnehmer einzuholen, ggf. unter Beteiligung der Arbeitnehmervertretung. Dies dient nicht zuletzt der Transparenz und Absicherung des Unternehmens im Fall von Datenpannen, sondern schafft auch verbindliche Datenschutzregeln für alle mit personenbezogenen Daten umgehenden Mitarbeiter:innen.
Ob es um Auswertung des Browserverlaufs von Beschäftigten oder verschollene dienstliche E-Mails ging, diese Frage war in den vergangenen Jahren vielfach Thema gerichtlicher Entscheidungen. Hier ist dringend zu empfehlen, im Unternehmen verbindliche Regelungen zu treffen. Ganz klar im Interesse des Unternehmens ist es, keine Privatnutzung des Internets und insbesondere der dienstlichen Emailadresse zu gestatten. Andernfalls ist Ihnen als Arbeitgeber unter Umständen der Zugriff z. B. auf Emails oder Browserverlauf generell verwehrt, da stets private Kommunikation enthalten sein kann.
Zwar hat die Rechtsprechung in diversen – allerdings (noch) nicht höchstrichterlichen – Entscheidungen zugunsten der Arbeitgeber klargestellt, dass diese keine Diensteanbieter im Sinne von § 3 Nr. 6 TKG sind, wenn sie die private Nutzung dienstlicher Kommunikationsmittel gestatten. In dem Fall greift das Fernmeldegeheimnis – das strenge Verbot der Kenntnisnahme – nicht, sondern die Regeln des § 32 BDSG.
Die Aufsichtsbehörden jedoch sind nach wie vor der Auffassung, dass das Fernmeldegeheimnis gilt. Das bedeutet jedoch, dass jegliche private Kommunikation über dienstliche Kanäle den strengen Regeln des Fernmeldegeheimnisses nach § 88 TKG unterfällt. Danach ist es dem Arbeitgeber untersagt, sich Kenntnis über Inhalt oder Beteiligte privater Kommunikation zu verschaffen.
Da die Möglichkeit, dass sich private Kommunikationsdaten im Browserverlauf oder im E-Mail-Postfach befinden, bei erlaubter privater Nutzung stets gegeben ist, darf der Arbeitgeber ohne Einwilligung auch im Krankheits-, Urlaubs,- oder Notfall nicht auf das Email-Postfach zugreifen. Das ist letztlich weder im Sinne des Unternehmens, noch des Mitarbeiters, der in aller Regel kein Interesse hat, seinen Arbeitgeber zu sabotieren.
Daher sollte die Frage klar geregelt sein über betriebliche Regelungen oder Dienstanweisungen, auch sollte auf die Einhaltung des Verbots geachtet werden, damit sich nicht eine gegenteilige „betriebliche Übung“ zum Nachteil des Arbeitgebers durchsetzt. Insbesondere wenn eine private Nutzung dennoch erlaubt wird, muss die Einwilligung der Arbeitnehmer:innen eingeholt werden, dass die z.B. die Chefin in aufgeführten Fällen zugreifen darf. Die Richtlinien sollten in dem Zuge auch vorsehen, was mit dem Email-Postfach im Krankheitsfall oder im Urlaub passiert, ob Emails automatisch weitergeleitet werden, wer Zugriff hat, etc.
Kontrollen des Kommunikationsverhaltens sind jedenfalls immer dem § 32 BDSG entsprechend zu beurteilen, einen Freibrief für Arbeitgeber stellt die Rechtsprechung gerade nicht aus. Das Surfverhalten darf allenfalls stichprobenartig und pseudonymisiert erhoben und ausgewertet werden. Nur ein konkreter Verdacht des Missbrauchs dienstlicher Kommunikationsmittel rechtfertigt es, einen Personenbezug herzustellen – selbstverständlich dann ohne Einwilligung. Dann geht es jedoch in aller Regel auch bereits um „die Entscheidung über die Beendigung des Beschäftigungsverhältnisses“ einer der in § 32 BDSG genannten Zwecke der Datenverarbeitung.
Solche Maßnahmen sollten aber stets gut überlegt und abgestimmt sein und insbesondere datenschutzrechtlich überprüft werden, sei es durch den betrieblichen Datenschutzbeauftragten oder eine kompetente rechtliche Beratung im Einzelfall.
Viele Unternehmen unterschätzen, wenn sie Daten ausgelagert von einem Dienstleister verarbeiten oder nutzen lassen, dass sie trotzdem voll in der Verantwortung bleiben. Zahlreiche Datenpannen der jüngeren Vergangenheit waren – ob analoge oder digitale Daten – verursacht worden durch Beauftragte, die „versehentlich“ Datenträger mit 100.000 Patientendaten verloren oder Akten mit Personaldaten entsorgt, aber vorher nicht geschreddert haben. Zur Verantwortung gezogen und mit Bußgeldern belegt wurden dennoch die Auftraggeber, die datenschutzrechtlich in der Pflicht bleiben. Auch der Imageverlust trifft in aller Regel das auftraggebende Unternehmen empfindlich.
Es ist also in Ihrem Interesse den jeweiligen Dienstleister gut auszuwählen und die Einhaltung der Datenschutz-Gesetze zu überprüfen. Vorzunehmen ist eine solche Überprüfung vor Abschluss eines Vertrages und stichprobenartig während der Vertragslaufzeit. Es reicht nicht, den Vertragspartner dazu lediglich zu verpflichten, es bedarf auch der Kontrolle.
Ein Vertrag zur Auftragsdatenverarbeitung ist immer schriftlich abzuschließen und muss die in §11 Abs. 2 BDSG aufgezählten zehn Angaben enthalten.
Gerne erstellen wir Ihnen Verträge zur Auftragsdatenverarbeitung. Zahlreiche Muster finden Sie auch im Netz, z. B. auf den Seiten des
oder des
Dies sind allerdings allgemeine Muster, sodass Sie unter Umständen nicht zu 100 % zu Ihnen passen. Gleiches gilt für Verträge die Ihnen die – häufig erfahreneren – Dienstleister vorlegen. Wir raten davon ab, diese ungeprüft zu übernehmen.
Wir übernehmen für Ihr Unternehmen die Aufgaben des externen betrieblichen Datenschutzbeauftragten in dem Umfang, in dem es Ihr Unternehmen benötigt und wünscht. Maja Reuter ist zertifizierte Datenschutzbeauftragte nach den Regeln der TÜV NORD CERT GmbH.
Auch wenn Sie nicht beabsichtigen, uns als externe Datenschutzbeauftragte zu bestellen, kommen wir gerne zu Ihnen in den Betrieb und prüfen Ihre datenschutzrechtliche Situation vor Ort in Kombination mit Ihren rechtlichen bzw. arbeitsvertraglichen Texten. Sollte sich dabei Verbesserungsbedarf ergeben, erhalten Sie vertrauliche Tipps.