Teil 2: Vom legalen Umgang mit sensiblen Daten
Viele Unternehmen müssen Kunden- und Mitarbeiterdaten für geschäftliche Zwecke einsetzen – sind aber über die rechtlichen Voraussetzungen oft schlecht informiert. Im zweiten Teil unserer Rechtskolumne lesen Sie unter anderem, konkrete Empfehlungen, wie man Datenpannen vorbeugen kann.
Der erste Teil der Rechtskolumne hat beschrieben, dass Firmen bei der Datenerhebung grundsätzlich nach dem Motto “so viel wie nötig, so wenig wie möglich” verfahren sollen. Geht es um Kundendaten und deren Verwendung für Werbezwecke, müssten Kunden eine ausdrückliche Einwilligung der Kunden einholen – für die strenge Anforderungen gelten. Der zweite Teil beschreibt nun unter anderem den richtigen Umgang mit Mitarbeiterdaten.
Gebremste Sammelleidenschaft
Geht es um das Sammeln von Mitarbeiterdaten, werden dem Unternehmen enge Grenzen gesetzt. Das hat der Gesetzgeber kürzlich durch die Aufnahme des neuen § 32 in das Bundesdatenschutzgesetz manifestiert. Es besagt, dass Beschäftigtendaten grundsätzlich nur verwendet werden dürfen, soweit dies zur Durchführung des Arbeitsverhältnisses erforderlich ist. Ganz besonders genau schaut der Gesetzgeber hin, wenn es darum geht, Mitarbeiterdaten für das Aufdecken einer Straftat zu verwenden. Hier muss erstmal ein Verdacht vorliegen. “Vorsorgliche” Überwachungsmaßnahmen waren oft der Grund dafür, warum Unternehmen in die öffentliche Kritik geraten sind. Sie haben dann meist die Erhebung mit “Compliance-Gründen” zu rechtfertigen versucht. Dass diese Praktiken teuer werden können, beweisen Bußgelder der Datenschutzaufsichtsbehörde von teilweise über 1 Million Euro im Einzelfall. Aber auch an anderen Ecken werden fleißig die Daten von Beschäftigten verarbeitet: etwa bei dem Umgang mit E-Mails und dem Internet, vor allem soweit den Mitarbeitern eine Privatnutzung am Arbeitsplatz erlaubt ist. Das Fernmeldegeheimnis verwehrt dem Unternehmen dann grundsätzlich einen Zugriff auf “private” E-Mails der Mitarbeiter.
Stopp dem unkontrollierten Datenabfluss
Arbeitet ein Unternehmen mit externem Dienstleister wie beispielsweise einem Callcenter zusammen, muss es ganz besondere Pflichten für eine rechtskonforme Verwendung von Kunden- und Mitarbeiterdaten beachten. Aus diesem Umstand haben viele Callcenter in der Vergangenheit ihren eigenen Vorteil gezogen und Daten unberechtigt weiterverkauft. Daher unbedingt bei der Vertragsgestaltung prüfen, ob die entsprechenden gesetzlichen Grundlagen hierfür beachtet werden. Seit neuestem sind Auftraggeber explizit verpflichtet, zu kontrollieren, ob der Auftragnehmer auch die notwendigen technischen und organisatorischen Schutzmaßnahmen vor Beginn der Datenverarbeitung realisiert hat. Ferner muss er das regelmäßig kontrollieren sowie das Ergebnis dieser Prüfungen dokumentieren. Neben einer Vor-Ort-Kontrolle und einer Vorlage von Zertifikaten und Audits dürfte auch eine Bestätigung des betrieblichen Datenschutzbeauftragten des Auftragnehmers ein geeignetes Mittel sein. Wichtig ist nur, dass die Unternehmen überhaupt kontrollieren. Damit kann man oft schon im Vorfeld unseriöse Dienstleister identifizieren und das Risiko von Datenpannen vermeiden.
Fazit
Unternehmen sollten nicht untätig bleiben, bis sie der nächste “Datenschutzskandal” trifft. Durch gezieltes Prüfen der Erhebung und Verarbeitung wichtiger Kunden- und Mitarbeiterdaten, entsprechend abgeleitete Datenschutz-Compliance-Maßnahmen sowie durch organisatorische Vorkehrungen, lassen sich negative Auswirkungen von Datenpannen eingrenzen und erfolgreich managen – bestenfalls sogar ganz vermeiden.
Folgende Tipps können dabei helfen:
- Begreifen Sie Datenschutz als Management-Aufgabe (Prüfung der Zuständigkeiten).
- Definieren Sie Abläufe und Verfahren zur Umsetzung datenschutzrechtlicher Vorgaben im Unternehmen (wer kümmert sich um was? – wer informiert wen? – wer entscheidet?).
- Sorgen Sie für eine frühzeitige und enge Einbindung des betrieblichen Datenschutzbeauftragten.
- Machen Sie regelmäßig Eigen- und Fremdprüfungen (Audits) zur Datenschutz-Compliance – insbesondere bei Dienstleistern.
- Etablieren Sie routinemäßige Prüfungsstandards (Checklisten).
- Sorgen Sie für Transparenz der Datenschutzanforderungen im Unternehmen (Schulungen/Informationen über Policies etc.).