Der erste Teil der Rechtskolumne hat beschrieben, dass Firmen bei der Datenerhebung grundsätzlich nach dem Motto “so viel wie nötig, so wenig wie möglich” verfahren sollen. Geht es um Kundendaten und deren Verwendung für Werbezwecke, müssten Kunden eine ausdrückliche Einwilligung der Kunden einholen – für die strenge Anforderungen gelten. Der zweite Teil beschreibt nun unter anderem den richtigen Umgang mit Mitarbeiterdaten.
Gebremste Sammelleidenschaft
Geht es um das Sammeln von Mitarbeiterdaten, werden dem Unternehmen enge Grenzen gesetzt. Das hat der Gesetzgeber kürzlich durch die Aufnahme des neuen § 32 in das Bundesdatenschutzgesetz manifestiert. Es besagt, dass Beschäftigtendaten grundsätzlich nur verwendet werden dürfen, soweit dies zur Durchführung des Arbeitsverhältnisses erforderlich ist. Ganz besonders genau schaut der Gesetzgeber hin, wenn es darum geht, Mitarbeiterdaten für das Aufdecken einer Straftat zu verwenden. Hier muss erstmal ein Verdacht vorliegen. “Vorsorgliche” Überwachungsmaßnahmen waren oft der Grund dafür, warum Unternehmen in die öffentliche Kritik geraten sind. Sie haben dann meist die Erhebung mit “Compliance-Gründen” zu rechtfertigen versucht. Dass diese Praktiken teuer werden können, beweisen Bußgelder der Datenschutzaufsichtsbehörde von teilweise über 1 Million Euro im Einzelfall. Aber auch an anderen Ecken werden fleißig die Daten von Beschäftigten verarbeitet: etwa bei dem Umgang mit E-Mails und dem Internet, vor allem soweit den Mitarbeitern eine Privatnutzung am Arbeitsplatz erlaubt ist. Das Fernmeldegeheimnis verwehrt dem Unternehmen dann grundsätzlich einen Zugriff auf “private” E-Mails der Mitarbeiter.
Stopp dem unkontrollierten Datenabfluss
Arbeitet ein Unternehmen mit externem Dienstleister wie beispielsweise einem Callcenter zusammen, muss es ganz besondere Pflichten für eine rechtskonforme Verwendung von Kunden- und Mitarbeiterdaten beachten. Aus diesem Umstand haben viele Callcenter in der Vergangenheit ihren eigenen Vorteil gezogen und Daten unberechtigt weiterverkauft. Daher unbedingt bei der Vertragsgestaltung prüfen, ob die entsprechenden gesetzlichen Grundlagen hierfür beachtet werden. Seit neuestem sind Auftraggeber explizit verpflichtet, zu kontrollieren, ob der Auftragnehmer auch die notwendigen technischen und organisatorischen Schutzmaßnahmen vor Beginn der Datenverarbeitung realisiert hat. Ferner muss er das regelmäßig kontrollieren sowie das Ergebnis dieser Prüfungen dokumentieren. Neben einer Vor-Ort-Kontrolle und einer Vorlage von Zertifikaten und Audits dürfte auch eine Bestätigung des betrieblichen Datenschutzbeauftragten des Auftragnehmers ein geeignetes Mittel sein. Wichtig ist nur, dass die Unternehmen überhaupt kontrollieren. Damit kann man oft schon im Vorfeld unseriöse Dienstleister identifizieren und das Risiko von Datenpannen vermeiden.
Fazit
Unternehmen sollten nicht untätig bleiben, bis sie der nächste “Datenschutzskandal” trifft. Durch gezieltes Prüfen der Erhebung und Verarbeitung wichtiger Kunden- und Mitarbeiterdaten, entsprechend abgeleitete Datenschutz-Compliance-Maßnahmen sowie durch organisatorische Vorkehrungen, lassen sich negative Auswirkungen von Datenpannen eingrenzen und erfolgreich managen – bestenfalls sogar ganz vermeiden.
Folgende Tipps können dabei helfen:
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.
View Comments
ein weiterer Tipp
In der tägllichen Beratungsarbeit sind wir mit dem Thema Datenschutz im Unternehmen immer häufiger konfrontiert. Die Inhalte dieses Artikels kann ich nur unterstreichen. Als weiteren Tipp möchte ich gerne noch die Betriebsvereinbarung hinzufügen. Denn nur diese hat auch rechtlich bindenden Charakter und garantiert, dass die Betroffenen gemeinsam die innerbtrieblichen Regeln ausverhandeln.
Auf dem Blog http://blog.gpa-djp.at/arbeitundtechnik/ finden sich weitere Beiträge zum Thema betrieblicher ArbeitnehmerInnen-Datenschutz.