Der falsche Umgang mit sensiblen Informationen ist mit hohen finanziellen Risiken verbunden. Und was noch viel schwerer wiegt: Auch der Ruf des Unternehmens steht auf dem Spiel. Grund genug, ein besonderes Augenmerk auf die Datensicherheit im eigenen Unternehmen zu richten. In vielen Unternehmen herrscht jedoch oft Unklarheit darüber, wann welche Daten über Arbeitnehmer und Kunden gesammelt und verarbeitet werden dürfen. Hier finden Sie die wichtigsten Regelungen zum Thema Datenschutz und Sie erfahren, wie Sie Ihre Mitarbeiter für dieses Thema sensibilisieren und hinreichend einweisen können.
Tipp: Sie wollen Mitarbeiter effizient in Compliance-Themen unterweisen. Dann informieren Sie sich über unser Online-Compliance-Training und fordern Sie eine kostenlose Live-Demo an.

Datenschutz

Bild: “System Lock” von Yuri Samoilov. Lizenz: CC BY 2.0


1. Nichteinhaltung der Datenschutz-Richtlinien hat harte Konsequenzen

Verstöße gegen das Datenschutzgesetz geschehen oft im Rahmen von scheinbar unbedeutenden, routinemäßigen Handlungen im Unternehmensalltag: E-Mails an Kunden werden über einen offenen Verteiler verschickt, sodass alle Adressen für den gesamten Adressatenkreis sichtbar sind. Bewerbungsunterlagen werden nicht wie vorgeschrieben vernichtet. Daten von ehemaligen Mitarbeitern werden nicht von allen unternehmensrelevanten Internetseiten gelöscht.

Der rechtswidrige Umgang mit personenbezogenen Daten birgt enorme finanzielle Risiken für Mitarbeiter und Unternehmen. Sie können Schadenersatzforderungen auslösen (§ 6 BDSG, § 7 BDSG, § 34 BDSG, § 35 BDSG) oder Bußgelder in Höhe von bis zu 300.000 € bzw. eine Freiheitsstrafe von bis zu 2 Jahren nach sich ziehen (§ 43 BDSG, § 44 BDSG).

Gefahren bestehen allerdings nicht allein in finanzieller Hinsicht, denn Datenschutzskandale haben vor allem auch fatale Folgen für das Image des Unternehmens. Geschäftspartner und Kunden verlieren das Vertrauen. Es zurückzugewinnen, kann sehr mühsam und langwierig sein.

Der arglose Umgang mit personenbezogenen Daten ist meist auf Unwissenheit zurückzuführen. Für Unternehmen wird es daher immer wichtiger, die Kenntnisse in Sachen Datenschutz in der gesamten Belegschaft auf dem neuesten Stand zu halten.

2. Personenbezogene Daten stehen unter besonderem gesetzlichen Schutz

Um personenbezogene Daten zu schützen, hat das Bundesverfassungsgericht bereits im sog. Volkszählungsurteil von 1983 das „Recht auf informationelle Selbstbestimmung“ als Grundrecht anerkannt. Es verleiht dem Einzelnen die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Das Recht auf informationelle Selbstbestimmung ist Bestandteil des allgemeinen Persönlichkeitsrechts, das durch das Grundgesetz (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) geschützt wird.

Im Bundesdatenschutzgesetz ist definiert, dass es sich bei personenbezogenen Daten um „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ handelt (§ 3 BDSG).

Um Angaben über eine „bestimmte Person“ handelt es sich dann, wenn diese mit einem bestimmten Namen verbunden sind oder sich aus deren Inhalt unmittelbar ein Bezug dazu herstellen lässt. Als „bestimmbar“ wird eine Person dann angesehen, wenn sie direkt oder indirekt identifiziert werden kann, z. B. durch Zuordnung zu einer bestimmten Nummer.

Welche Daten sind demnach personenbezogen?

All dies sind Informationen, über die sich ein Personenbezug zu einem Mitarbeiter oder Geschäftskunden herstellen lässt:

  • Name
  • Alter
  • Familienstand
  • Geburtsdatum (ausschließliche Nutzung des Geburtsjahres erlaubt)
  • Anschrift
  • Telefonnummer
  • E-Mail-Adresse
  • Konto- und Kreditkartennummer
  • Gehalt
  • Kraftfahrzeugnummer und Kfz-Kennzeichen
  • Personalausweis- und Sozialversicherungsnummer
  • Genetische Daten und Gesundheitsdaten
  • Passwörter und IP-Adressen von Rechnern

Zu beachten gilt es, dass die technische Form der Informationen nicht von Bedeutung ist. Auch Fotos, Videos, Röntgenbilder oder Tonbandaufnahmen können personenbezogene Daten enthalten.

Mitunter ist die Frage, ob es sich bei bestimmten Informationen um personenbezogene Daten handelt, nicht ganz leicht zu beantworten. Würden Sie beispielsweise die Arbeitszeiten Ihrer Mitarbeiter zu den personenbezogenen Daten zählen? Nach einem Urteil des Europäischen Gerichtshofes müssen Sie dies tun (EuGH, Urteil v. 30.5.2013 – C-342/12).

Zu beachten ist außerdem § 3 Abs. 9 BDSG, in welchem besondere Arten personenbezogener Daten gelistet werden. Dazu zählen rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Nur unter diesen rechtlichen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden:

Personenbezogene Daten dürfen nur erhoben, gespeichert, verarbeitet, übermittelt oder in einer sonstigen Weise genutzt werden, wenn sie folgenden Grundsätzen des Bundesdatenschutz­gesetzes (BDSG) genügen:

Rechtmäßigkeit
Jede Nutzung personenbezogener Daten bedarf einer rechtlichen Grundlage. Dabei kann es sich um ein Gesetz, einen Vertrag oder eine betriebliche Regelung handeln.

Zustimmung
Die betroffene Person muss der Verwendung ihrer Daten zustimmen. Diese Einwilligung ist nur dann wirksam, wenn der Betroffene ausreichend informiert worden ist und seine Einwilligung freiwillig erteilt hat.

Zweckbindung
Personenbezogene Daten dürfen nur für den vorher definierten Zweck erhoben werden. Es ist rechtswidrig, sie in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterzuverarbeiten. Entfällt der ursprüngliche Zweck der Erhebung und Speicherung und besteht keine besondere Aufbewahrungsfrist für die Daten, so sind diese zu löschen.

Datensparsamkeit
Es dürfen nicht mehr Daten erhoben werden als für den konkreten Zweck erforderlich, d.h. die Datenverarbeitung ist auf den notwendigen Umfang zu begrenzen. Teildaten, die nicht mehr benötigt werden, sind zu löschen.

Transparenz
Jede betroffene Person ist vor der Speicherung von persönlichen Daten umfassend über Art und Umfang der Datenerhebung und -verarbeitung zu informieren.

Datensicherheit
Speichert und verarbeitet ein Unternehmen personenbezogene Daten, so ist es auch für deren Sicherheit verantwortlich. Es muss technische und organisatorische Maßnahmen im Sinne des § 9 BDSG treffen, die sicherstellen, dass die Daten nicht durch Unberechtigte eingesehen, verändert oder gelöscht werden können.

Kontrolle
Die Datenverarbeitung muss einer internen und externen Kontrolle unterliegen.

3. Bedeutung des Datenschutzes im Personalmanagement

Im Rahmen einer Studie der Unternehmensberatungen Kienbaum und Bitkom Consult wurden 2013 knapp 800 Geschäftsführer und Personalverantwortliche unterschiedlich großer Unternehmen aus verschiedenen Branchen zu ihrer Haltung zum Thema Datenschutz befragt.

Datenschutz nimmt hohen Stellenwert ein

Mehr als die Hälfte der Studienteilnehmer schreibt dem Datenschutz gegenwärtig eine große Bedeutung zu und 70 Prozent glauben, dass die Relevanz des Themas künftig weiter steigen wird.

Bedeutung Datenschutz heute und zukünftig

In rund einem Drittel der Unternehmen ist der Personalmanager gemeinsam mit dem Datenschutzbeauftragten und ggf. weiteren Partnern wie beispielsweise der IT-Abteilung für die Überwachung des sicheren Umgangs mit den ihnen anvertrauten Daten zuständig.

Es besteht ein hohes Risikobewusstsein: 74 Prozent sehen bei Versäumnissen im Datenschutz eine große Gefahr für die Arbeitgebermarke. Negative Auswirkungen auf die Kooperation mit den Gremien der Mitbestimmung sowie mit den Aufsichtsbehörden befürchten etwa 60 Prozent. Knapp die Hälfte der Befragten bangt um die Motivation und Zufriedenheit der Mitarbeiter.

Auswirkungen von Versäumnissen

Rasante technologische Entwicklung wirkt verunsichernd

Die Präsenz von Arbeitgebern in sozialen Netzwerken, die Nutzung von Intranet- und Internet-Portalen für Kommunikation mit Bewerbern und Mitarbeitern, die Verlagerung personalwirtschaftlicher Daten in die Cloud externer Dienstleister, die Zusammenführung von Personaldaten über nationale Grenzen hinweg – Personalmanager fühlen sich stark verunsichert, was die Datensicherheit im Online-Bereich betrifft.

Auswirkungen von Trends im IT-Umfeld

4. Wie gut funktioniert Datenschutz in Ihrem Unternehmen?

Wo steht Ihr Unternehmen in puncto Datenschutz? Halten Ihre Mitarbeiter alle Richtlinien ein, um Datenschutzpannen zu verhindern? Wäre bei Vergehen eine Enthaftung für den Geschäftsführer, Datenschutzbeauftragten oder der Institution gewährleistet? Der folgende Quick-Check hilft Ihnen, Ihre aktuelle Situation besser einzuschätzen.

Quickcheck DatenschutzHaben Sie eine dieser Fragen mit „Nein“ beantwortet? Dann sollten Sie an Ihrem Datenschutzmanagement arbeiten.

Anmerkungen zum Quick-Check

1. Einen Datenschutzbeauftragten berufen
Wenn Sie mindestens zehn Mitarbeiter haben, die personenbezogene Daten automatisch verarbeiten
, z.B. in einer Datenbank, müssen Sie einen Datenschutzbeauftragten berufen (§ 4f BDSG), der sicherstellt, dass die Daten nach außen hin ausreichend geschützt sind (§ 4g BDSG). Werden die Daten dagegen in Ordnern verwaltet, benötigen Sie erst ab 20 zugangsberechtigten Kollegen einen Datenschutzbeauftragten. Tun Sie dies nicht, kann die Aufsichtsbehörde ein Bußgeld von 25.000 € verhängen.

2. Vorabkontrolle durchführen
Sofern „automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“
, muss der Datenschutzbeauftragte eine Vorabkontrolle durchführen. (§ 4d Abs. 5, Abs. 6 BDSG) Das gilt beispielsweise für den Fall einer Videoüberwachung, der Einführung eines GPS-Systems oder der Erstellung von Kundenprofilen. Weitere Beispiele finden Sie im Datenschutz-Wiki des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

3. Verfahrensverzeichnis erstellen
Damit der Datenschutzbeauftragte die Vorabkontrolle durchführen kann, müssen Sie ihm ein Verfahrensverzeichnis erstellen. Dabei handelt es sich um eine Übersicht über die laufenden Verarbeitungen von personenbezogenen Daten.

Die Inhalte des internen Verfahrensverzeichnisses sind in § 4e BDSG geregelt. Die Übersicht dient der betriebsinternen Selbstkontrolle.

Das öffentliche Verfahrensverzeichnis ist inhaltlich weniger umfangreich. (§ 4g Abs. 2 BDSG) Es soll nach außen hin Transparenz über die Datenverarbeitungsvorgänge im Unternehmen schaffen. Daher muss es im Gegensatz zum internen Verfahrensverzeichnis jedermann auf Antrag zugänglich gemacht werden.

Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz sind regelmäßig beide Verfahrensverzeichnisse vorzulegen.

4. Verpflichtung auf das Datenschutzgeheimnis abgeben
Alle Mitarbeiter, die mit der Verarbeitung personenbezogener Daten zu tun haben werden
, müssen bei Aufnahme ihrer Tätigkeit eine Verpflichtung auf das Datengeheimnis abgeben. Ein Muster für die Geheimhaltungsvereinbarung stellt das BfDI zur Verfügung. Die Verpflichtung zur Wahrung des Datengeheimnisses besteht nach Beendigung der Tätigkeit fort. (§ 5 BDSG)

5. Datenschutzkonzept erstellen
Um die Art und den Umfang der erhobenen, verarbeiteten oder genutzten personenbezogenen Daten zu dokumentieren, sollten Sie ein Datenschutzkonzept erstellen, aus dem die im Unternehmen umgesetzten technischen und organisatorischen Maßnahmen zum Datenschutz nach § 9 BDSG hervorgehen. Die Darstellung dient auch als Grundlage für datenschutzrechtliche Prüfungen. Ein Muster stellt Ihnen die Unternehmensberatung activeMind zur Verfügung.

6. IT-Sicherheitskonzept
Vor dem Hintergrund des Wandels zum vernetzten Unternehmen mit global ausgelagerten Daten gewinnt IT-Sicherheit immer stärker an Bedeutung. Entsprechend wichtig ist es, ein IT-Sicherheitskonzept zu entwerfen. Die Forderung nach technischen Maßnahmen zum Datenschutz ist in § 9 BDSG verankert:

Diese Maßnahmen sind wichtig für Ihre IT-Sicherheit

  • Zutrittskontrolle: Sie müssen sicherstellen, dass Unbefugte keinen Zutritt zu Ihren Datenverarbeitungsanlagen erhalten.
  • Zugangskontrolle: Sie müssen gewährleisten, dass Unbefugte Ihre Datenverarbeitungssysteme nicht nutzen können.
  • Zugriffskontrolle: Sie müssen dafür sorgen, dass die zur Benutzung Ihres Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung oder Nutzung und nach der Speicherung nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden können.
  • Weitergabekontrolle: Sie müssen sicherstellen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Eingabekontrolle: Sie müssen gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Ihre Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
  • Auftragskontrolle: Sie müssen garantieren, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
  • Verfügbarkeitskontrolle: Sie müssen dafür sorgen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und dass die Daten nach ihrer Entsorgung nicht wiederherstellbar und somit durch Unbefugte einsehbar sind.
  • Trennungsgebot: Sie müssen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Unternehmen sollten den Datenschutzbeauftragten in die Erstellung und Umsetzung eines IT-Sicherheitskonzepts einbinden und dieses regelmäßig auf mögliche Schwachstellen überprüfen lassen.

7. Datenpannen und Sicherheitslücken
Für den Fall, dass sich Sicherheitslücken ergeben, sollten Unternehmen einen klaren Prozess vorbereiten und die möglichen „Datenpannen“ zeitnah melden.

Wie viel Datenschutz Ihr Unternehmen braucht, ist in erster Linie eine Entscheidung der Unternehmensführung. Der Datenschutz muss zu Ihrer Unternehmenskultur passen und die Erwartungen Ihrer Kunden und Mitarbeiter erfüllen. Hier ergibt sich in aller Regel bereits Gesprächsbedarf mit den Datenschutzexperten.

5. Datenschutz als Wettbewerbsvorteil

Bemühungen um Datensicherheit dienen nicht allein dazu, Konflikte mit dem Gesetz zu verhindern. Datenschutz kann auch ein wichtiges Thema sein, wenn es um die „Vermarktung“ Ihres Unternehmens geht. Laut der bereits erwähnten Studie von Kienbaum und Bitkom Consult betrachten 56 Prozent der Befragten einen funktionierenden Datenschutz als zentralen Erfolgsfaktor für das Unternehmen.

Um Kunden, Investoren und auch die eigenen Mitarbeiter zu überzeugen und langfristig zu binden, sollten Sie Ihre Anstrengungen im Bereich Datenschutz in Ihre Marketingaktivitäten integrieren und das Alleinstellungsmerkmal „Datenschutz und Datensicherheit“ herausarbeiten.

Für die Vermarktung der Datenschutzbemühungen eignen sich auch formalisierte Verfahren wie ein Datenschutz-Gütesiegel oder eine datenschutzrechtliche und datensicherheitstechnische Begleitung durch unabhängige Datenschutzexperten.

6. Stellen Sie Einhaltung der Datenschutz-Richtlinien im gesamten Unternehmen sicher

Es reicht bei Weitem nicht aus, wenn sich nur einzelne Personen um den formalen Datenschutz im Unternehmen bemühen. Stattdessen muss jedem einzelnen Mitarbeiter bewusst gemacht werden, dass bei der Verarbeitung personenbezogener Daten rechtliche und kulturelle Rahmenbedingungen zu berücksichtigen sind. Dies kann nur dann der Fall sein, wenn die Mitarbeiter regelmäßig zu dem Thema sensibilisiert werden. Hierfür eignen sich interne Kommunikationskanäle wie Newsletter, Intranet oder ein Jour fixe.

Angesichts der rasanten technologischen Entwicklung wird von Personalmanagern und Mitarbeitern vermehrt der Wunsch nach einer umfassenden Weiterbildung in Datenschutzfragen geäußert: Die Studie von Kienbaum und Bitkom Consult ergab, dass 72 Prozent der befragten Personalmanager ihre Kenntnisse im Bereich Datenschutz auf dem neuesten Stand halten möchten.

Beurteilung des Weiterbildungsbedarfs im Datenschutz

7. E-Learning schlägt Präsenztraining

Um Ihre Mitarbeiter so in das Thema Datenschutz einzuweisen, dass eine Enthaftung für das Unternehmen gewährleistet ist, benötigen Sie ein nachhaltiges und nachweisbares Schulungskonzept. Dieses können Sie entweder selbst erstellen oder sich einen Dienstleister suchen, der entsprechende Trainings anbietet. Einweisungen für die Belegschaft können in diesen Formaten erfolgen:

  • Sie schicken Ihre Mitarbeiter zu externen Schulungen.
  • Sie halten In-House Schulungen ab – mit oder ohne externen Dienstleister.
  • Sie etablieren E-Learning Lösungen für Compliance-Schulungen. Entweder als reine E-Learning Lösung oder als Blended Learning Konzept kombiniert mit In-House Schulungen.

Da Compliance-Training aus einer rechtlichen Verpflichtung heraus entsteht und zu einem hohen Anteil aus Frontal-Belehrungen besteht, ist der Mehrwert in einem Präsenzseminar beschränkt. Daher bleibt es fraglich, ob man mit externen Schulungen Reisestress und Abwesenheitszeiten rechtfertigen möchte. Selbst In-House erzeugt es oft enorme Opportunitätskosten, die gesamte Belegschaft in Präsenzveranstaltungen zu versammeln, besonders wenn sie auf verschiedene Standorte verteilt ist.

Daher haben E-Learning Lösungen klare Vorteile bei Compliance-Schulungen. Neben den wegfallenden Kosten für Reisen und Versammlungen bietet E-Learning maximale Flexibilität und Wiederholbarkeit ohne jeglichen Aufwand. Video-Trainings bieten hierbei eine einfache und optisch ansprechende Form des E-Learnings dar.

Kursvorschau: Datenschutz-Training

Hier sehen Sie einen Ausschnitt aus einem einstündigen Basis-Compliance-Training für Mitarbeiter.

8. Online-Compliance-Training für Ihr Unternehmen

Lecturio bietet Compliance Schulungen mit hochqualitativen und praxisnahen Online-Video-Trainings. Sie erhalten Ihre eigene Online-Akademie und können Ihre Mitarbeiter und Führungskräfte schnell und kosteneffizient in alle relevanten Compliance- und Sicherheitsregeln einweisen. Für weniger als 10 € pro Mitarbeiter pro Jahr können Sie sich und Ihr Unternehmen enthaften und vor Compliance-Schäden bewahren.

 

Quellen

Fünf Fakten zum Datenschutz im Personalmanagement via Bitkom Akademie

IT und Internet schaden Datenschutz im Personalmanagement via haufe.de/personal

IT-Sicherheit: Verändertes Prüfverhalten der Datenschutz-Aufsichtsbehörden via Institut für IT-Recht

Personenbezogene Daten via Wolfram Becker Datenschutzberater

Verfahrensverzeichnis – was ist das? via Datenschutzbeauftragter Info

Verfahrensverzeichnis – nur eine lästige Verpflichtung? via Datenschutzbeauftragter Info

Der Schutz des Rechts auf informationelle Selbstbestimmung via Bundesministerium des Innern

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *