Der erste Teil der Rechtskolumne hat beschrieben, dass Firmen bei der Datenerhebung grundsätzlich nach dem Motto “so viel wie nötig, so wenig wie möglich” verfahren sollen. Geht es um Kundendaten und deren Verwendung für Werbezwecke, müssten Kunden eine ausdrückliche Einwilligung der Kunden einholen – für die strenge Anforderungen gelten. Der zweite Teil beschreibt nun unter anderem den richtigen Umgang mit Mitarbeiterdaten.
Gebremste Sammelleidenschaft
Geht es um das Sammeln von Mitarbeiterdaten, werden dem Unternehmen enge Grenzen gesetzt. Das hat der Gesetzgeber kürzlich durch die Aufnahme des neuen § 32 in das Bundesdatenschutzgesetz manifestiert. Es besagt, dass Beschäftigtendaten grundsätzlich nur verwendet werden dürfen, soweit dies zur Durchführung des Arbeitsverhältnisses erforderlich ist. Ganz besonders genau schaut der Gesetzgeber hin, wenn es darum geht, Mitarbeiterdaten für das Aufdecken einer Straftat zu verwenden. Hier muss erstmal ein Verdacht vorliegen. “Vorsorgliche” Überwachungsmaßnahmen waren oft der Grund dafür, warum Unternehmen in die öffentliche Kritik geraten sind. Sie haben dann meist die Erhebung mit “Compliance-Gründen” zu rechtfertigen versucht. Dass diese Praktiken teuer werden können, beweisen Bußgelder der Datenschutzaufsichtsbehörde von teilweise über 1 Million Euro im Einzelfall. Aber auch an anderen Ecken werden fleißig die Daten von Beschäftigten verarbeitet: etwa bei dem Umgang mit E-Mails und dem Internet, vor allem soweit den Mitarbeitern eine Privatnutzung am Arbeitsplatz erlaubt ist. Das Fernmeldegeheimnis verwehrt dem Unternehmen dann grundsätzlich einen Zugriff auf “private” E-Mails der Mitarbeiter.
Stopp dem unkontrollierten Datenabfluss
Arbeitet ein Unternehmen mit externem Dienstleister wie beispielsweise einem Callcenter zusammen, muss es ganz besondere Pflichten für eine rechtskonforme Verwendung von Kunden- und Mitarbeiterdaten beachten. Aus diesem Umstand haben viele Callcenter in der Vergangenheit ihren eigenen Vorteil gezogen und Daten unberechtigt weiterverkauft. Daher unbedingt bei der Vertragsgestaltung prüfen, ob die entsprechenden gesetzlichen Grundlagen hierfür beachtet werden. Seit neuestem sind Auftraggeber explizit verpflichtet, zu kontrollieren, ob der Auftragnehmer auch die notwendigen technischen und organisatorischen Schutzmaßnahmen vor Beginn der Datenverarbeitung realisiert hat. Ferner muss er das regelmäßig kontrollieren sowie das Ergebnis dieser Prüfungen dokumentieren. Neben einer Vor-Ort-Kontrolle und einer Vorlage von Zertifikaten und Audits dürfte auch eine Bestätigung des betrieblichen Datenschutzbeauftragten des Auftragnehmers ein geeignetes Mittel sein. Wichtig ist nur, dass die Unternehmen überhaupt kontrollieren. Damit kann man oft schon im Vorfeld unseriöse Dienstleister identifizieren und das Risiko von Datenpannen vermeiden.
Fazit
Unternehmen sollten nicht untätig bleiben, bis sie der nächste “Datenschutzskandal” trifft. Durch gezieltes Prüfen der Erhebung und Verarbeitung wichtiger Kunden- und Mitarbeiterdaten, entsprechend abgeleitete Datenschutz-Compliance-Maßnahmen sowie durch organisatorische Vorkehrungen, lassen sich negative Auswirkungen von Datenpannen eingrenzen und erfolgreich managen – bestenfalls sogar ganz vermeiden.
Folgende Tipps können dabei helfen:
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
View Comments
ein weiterer Tipp
In der tägllichen Beratungsarbeit sind wir mit dem Thema Datenschutz im Unternehmen immer häufiger konfrontiert. Die Inhalte dieses Artikels kann ich nur unterstreichen. Als weiteren Tipp möchte ich gerne noch die Betriebsvereinbarung hinzufügen. Denn nur diese hat auch rechtlich bindenden Charakter und garantiert, dass die Betroffenen gemeinsam die innerbtrieblichen Regeln ausverhandeln.
Auf dem Blog http://blog.gpa-djp.at/arbeitundtechnik/ finden sich weitere Beiträge zum Thema betrieblicher ArbeitnehmerInnen-Datenschutz.