Kein Unternehmen kommt heute ohne Daten aus – seien es die persönlichen Daten der Angestellten, um den Arbeitsvertrag abzuschließen, die Kundendaten im CRM-System oder Daten, auf die man aufgrund geschäftlicher Prozesse zugreifen muss. Spätestens seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 ist das Thema Datenschutz aus dem Unternehmensalltag nicht mehr wegzudenken und steht wahrscheinlich auch bei dir immer wieder auf der Agenda. Dieser Beitrag beschreibt die wichtigsten Maßnahmen, die Unternehmer in Bezug auf den Schutz von Daten am Arbeitsplatz ergreifen müssen.
DSGVO: Die rechtliche Grundlage in Bezug auf den Datenschutz
Im Mai 2018 trat die DSGVO in Deutschland als nationale Umsetzung der europäischen Datenschutzgrundverordnung in Kraft. Das Ziel der Europäischen Union war es, mit der Verordnung einheitliche Regeln für Unternehmen zu schaffen, wie personenbezogene Daten erhoben, gesammelt und verarbeitet werden dürfen.
Beispiele für personenbezogenen Datenschutz im Unternehmen
Personenbezogene Daten sind Daten, die sich auf eine eindeutig identifizierbare Person beziehen und mit deren Hilfe sich bestimmen lässt, um welche Person es sich handelt. Dies sind einige Beispiele für personenbezogene Daten im Unternehmenskontext:
- Name
- Adresse
- Personalausweisnummer
- Geburtsdatum und Geburtsort
- Standortdaten, zum Beispiel von einem Mobiltelefon
Wann Arbeitgeber personenbezogene Daten verarbeiten dürfen
Unternehmen dürfen personenbezogene Daten in zwei Fällen verarbeiten:
- Es gibt eine gesetzliche Grundlage für das Verarbeiten der Daten (ohne Einwilligung der Mitarbeiter).
- Es liegt eine Einwilligung der Mitarbeiter vor, zum Beispiel die persönliche Zustimmung oder eine Betriebsvereinbarung. Diese Einwilligung ist freiwillig und muss schriftlich vorliegen.
Die Rolle von Unternehmen in Bezug auf den Datenschutz persönlicher Daten
Unternehmen müssen personenbezogene Daten erheben, verarbeiten und speichern. Das beginnt schon im Bewerbungsprozess und geht beim Arbeitsvertrag weiter. Wichtig ist es, die Zustimmung der Personen einzufordern, deren Daten erhoben werden, oder mit sachlichen Gründen nachzuweisen, dass die Arbeit mit den Daten notwendig ist. Für einen Arbeitsvertrag müssen beispielsweise persönliche Daten wie Name, Adresse, Geburtsdatum und Kontoverbindung erhoben und gespeichert werden. Andernfalls sind eine Anmeldung bei der Krankenversicherung und die Lohnverrechnung nicht möglich.
Zu beachten ist jedoch, dass die Daten nur zweckgebunden erhoben werden dürfen – und zwar immer nach dem Grundsatz der Datensparsamkeit. Das bedeutet: Je weniger Daten, desto besser.
Der Grundsatz der Datensparsamkeit
Die DSGVO spricht vom Grundsatz der Datensparsamkeit oder Datenminimierung. Das bedeutet, dass so wenige personenbezogene Daten wie nötig gesammelt und gespeichert werden sollen. Wenn zum Beispiel ein Online-Shop im Zuge der Bestellung neben der E-Mail-Adresse auch die Telefonnummer als Pflichtangabe fordert, könnte das ein Verstoß gegen den Grundsatz der Datensparsamkeit sein. Schließlich reicht die E-Mail-Adresse in der Regel als Kontaktmöglichkeit aus, um eine Bestellung abzuwickeln.
Was Angestellte bei der Verarbeitung beachten müssen
Wenn du ein Unternehmen führst, gibt es für dich keine Verpflichtung, die Mitarbeiter in Hinblick auf die DSGVO und den Umgang mit Daten zu schulen. Allerdings herrscht eine indirekte Verpflichtung. Schließlich kannst du als Unternehmer zur Verantwortung gezogen werden, falls es einen Missbrauch von Daten oder eine Panne gibt. Stellt sich dann heraus, dass du deine Mitarbeiter nicht über den Umgang mit Daten aufgeklärt hast, kann das folgenschwere Konsequenzen nach sich ziehen. Daher hat es sich in Unternehmen als gängige Praxis erwiesen, regelmäßige Schulungen für die Mitarbeiter anzubieten, um sie im Umgang mit Daten zu sensibilisieren.
Verstößt ein Mitarbeiter unabsichtlich und ohne Vorsatz gegen die Vorgaben des Datenschutzgesetzes, dann haftet der Arbeitgeber. Anders sieht es bei vorsätzlichen oder grob fahrlässigen Verstößen seitens der Mitarbeiter aus. Dabei kann der betroffene Mitarbeiter persönlich haftbar gemacht werden.
Datenzugriff gezielt verteilen
Du kannst in infra-struktur bestimmen, welcher Mitarbeiter zu welchen Daten Zugriff erhält. So bekommt jeder Mitarbeiter gezielt die Dateneinsicht, die für den Bereich relevant sind.
Die Informationspflicht des Arbeitgebers in Hinblick auf die Datenverarbeitung
Der Arbeitgeber hat die Pflicht, seine Mitarbeiter darüber zu informieren, in welchem Umfang er welche ihrer Daten zu welchem Zweck verarbeitet. Manchmal ist dieser Hinweis bereits Bestandteil des Arbeitsvertrags. Manchmal gibt es ein separates Schreiben, in dem die Angestellten darüber informiert werden. In diesem Schreiben muss darauf hingewiesen werden, dass die Angestellten ihre Einwilligung jederzeit widerrufen können.
Welche Daten Unternehmen an Dritte weiterleiten dürfen
Manchmal ist es nötig, dass Unternehmen personenbezogene Daten nicht nur speichern und verarbeiten, sondern an Dritte weiterleiten. Das ist zum Beispiel der Fall, wenn die Lohnbuchhaltung über ein externes Büro erfolgt oder wenn der Jahresabschluss durch einen externen Steuerberater erbracht wird. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung zwischen beiden Partnern nötig. Außerdem muss sichergestellt werden, dass der Transfer der Daten gemäß den Vorgaben der DSGVO über einen sicheren Weg erfolgt.
Nicht nur beim Transfer an Dritte, sondern auch bei der Verarbeitung der Daten im Unternehmen sollten Firmen geeignete Maßnahmen für die Sicherheit etablieren. Wichtig ist es, die Zugangsrechte genau zu regeln, um unbefugten Zugriff zu verhindern und eine spezielle Sicherheits-Software zu nutzen.
Die Berufung eines Datenschutzbeauftragten
Unternehmen, in denen regelmäßig mehr als 20 Personen im Bereich der Datenverarbeitung tätig sind, müssen einen Datenschutzbeauftragten bestimmen. Die Aufgabe dieser Person ist es, das datenschutzrechtlich konforme Vorgehen im Unternehmen sicherzustellen und die Maßnahmen zu überwachen. Zudem ist der Datenschutzbeauftragte der Ansprechpartner für Mitarbeiter, Unternehmensleitung und Behörden. Ein Datenschutzbeauftragter muss kein Mitarbeiter sein. Diese Position kann auch extern an einen Dienstleister vergeben werden, der sich dann um die Einhaltung des Datenschutzes kümmert.
Die Informationspflichten des Arbeitgebers gegenüber den Mitarbeitern
Arbeitgeber haben gegenüber ihren Mitarbeitern Informationspflichten in Hinblick auf die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten. Mitgeteilt werden muss zum Beispiel, zu welchem Zweck die Daten erhoben werden und wer Zugang zu diesen hat. Auch muss kommuniziert werden, ob die Daten an Dritte weitergegeben werden und wie lange sie gespeichert werden. Auch die Kontaktdaten des Datenschutzbeauftragten müssen offengelegt werden.