Die Verarbeitung von Mitarbeiterdaten ist durch das Gesetz regelmäßig unzureichend geregelt.
In der Folge bewegen sich die damit betrauten Mitarbeiter und Arbeitgeber in einem rechtlich höchst unsicheren Gebiet, was im Zuge zunehmender Einführung von Videoüberwachung (§ 6b BDSG) und GPS zu Verunsicherungen und Belastungen durch das Gefühl überwacht zu werden, von Beschäftigten führen kann.
Die Rechtmäßigkeit und Zulässigkeit von Datenerhebungen anhand von §§ 4, 32 Bundesdatenschutzgesetz (BDSG) muss zuvor geprüft worden sein.
Eine rechtssichere Lösung bietet hier z. B. der Abschluss von Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat. Aber auch ohne die Mitwirkung des Betriebsrats ist die Datennutzung in bestimmten Grenzen möglich. Eine gewisse gesetzliche Verpflichtung dazu ergibt sich aus der Anlage zu § 9 Satz 1 BDSG. Die Umsetzung erfolgt i.d.R. durch ein unternehmensweit geltendes übergeordnetes Regelwerk in Form eines betrieblichen Datenschutzkonzepts oder einer Datenschutzrichtlinie.
Die Nutzung von Mitarbeiterdaten kann jedoch nur gelingen, wenn alle Beteiligten die rechtlichen Rahmenbedingungen kennen und frühzeitig eingebunden werden, wenn es darum geht, welche Daten zu welchem Zweck erhoben werden können und in welcher Weise damit umgegangen wird.
Zu folgenden Punkten unterstützen datenschutzrechtliche Bestimmungen den Bereich der Verwendung von Mitarbeiterdaten
- die Einsicht in die Mails des kranken Kollegen
- die Urlaubsvertretung
- Führen der Pflichtvorsorgekartei
- Kontrollen von Mitarbeitern - Taschen-/Spindkontrolle
- Einsatz von GPS oder Videoüberwachung (z.B. Baustellen, Betriebsstätten, Arbeitsbereiche)
- Nutzung und Kontrolle von Kommunikationsmitteln (E-Mail, Internet etc.), Telefon, Smartphones, Tablets, Laptops und PCs , GPS, Internetnutzung, Videoüberwachung, Arbeitszeiterfassung
- Betriebliches Eingliederungsmanagement
- Veröffentlichung von Mitarbeiterfotos
- Einsichtnahme in Social Networks
Aus dem Bundesdatenschutzgesetz (BDSG) ergibt sich, dass Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen angehalten sind, die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
Im Rahmen der Unternehmensleitlinien sollte zunächst eine Strategie für den Umgang mit personenbezogenen Daten ermittelt und begründet werden. Es muss sich darauf verständigt werden, welchen Stellenwert der Datenschutz im Unternehmen genießen soll. An den Zielen dieser Strategie orientieren sich sodann die Anforderungen an das Datenschutzkonzept.
Folgende Punkte sollten in jedem Falle in dem Datenschutzkonzepts eines Unternehmens erwähnt und geregelt werden:
Geltungsbereich
Hier sollten alle Personengruppen definiert werden, für die das Datenschutzkonzept gelten soll. In erster Linie richtet es sich an die Beschäftigten des Unternehmens. Erfasst werden können hier aber auch die von der Datenverarbeitung betroffenen Personengruppen, wie Kunden oder Lieferanten.
Grundsätze des Datenschutzes und Begriffsdefinitionen
Es bietet sich an, die von dem Unternehmen gelebten Grundsätze des Datenschutzes, etwa das Transparenzgebot oder das Prinzip der Datensparsamkeit/-vermeidung, vorzustellen und einschlägige Begriffe zu erläutern.
Gemäß § 3 Abs. 1 BDSG „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ zählen Kundendaten ebenso zu den personenbezogenen Daten wie Daten von Beschäftigten. Der Name eines Ansprechpartners lässt genauso einen Rückschluss auf eine natürliche Person zu, wie etwa seine E-Mail-Adresse.
Der/die betriebliche Datenschutzbeauftragte
Wenn ein betrieblicher Datenschutzbeauftragter bestellt ist, sollte er in dem Datenschutzkonzept mit Kontaktmöglichkeit benannt und seine Aufgaben beschrieben werden.
Erheben, Verarbeiten und Nutzen personenbezogener Daten
Darüber hinaus sollte geregelt werden, welche Grundsätze für das Erheben, Verarbeiten und Nutzen personenbezogener Daten im Unternehmen gelten und wie diese Tätigkeiten auszugestalten sind, um rechtlich zulässig zu sein. Dabei sollte auch die Länge der Speicherdauer zweckentsprechend kritisch bewertet werden (grundsätzlich nach 48 Stunden löschen, am besten automatisch).
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Es empfiehlt sich auch eine verbindliche Anweisung, nach der jeder Mitarbeiter, der Umgang mit personenbezogenen Daten hat, bei der Aufnahme seiner Tätigkeit schriftlich auf das Datengeheimnis (gem. § 5 BDSG) und die Einhaltung dieser Richtlinie zu verpflichten ist.
Verfahrensverzeichnis
Interne Verfahrensübersichten und ein öffentliches Verfahrensverzeichnis stellen ein hervorragendes Mittel zur Schaffung von Transparenz innerhalb des Unternehmens aber auch gegenüber Betroffenen dar. Auch der betriebliche Datenschutzbeauftragte profitiert in seiner Tätigkeit von solchen Übersichten. Insbesondere kann er nach Einführung entsprechender Prozesse sehr gut beurteilen, ob geplante Verfahren besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen und damit der Vorabkontrolle unterliegen.
Beschaffung von Hard- und Software
Auch Regelungen zur Beschaffung und dem Umgang mit Hard- und Software im Unternehmen bieten sich innerhalb der Datenschutzkonzeption an. Hier kann z.B. festgelegt werden, wer für die Beschaffung zuständig ist, ob eine Nutzung privater Hard- und Software gestattet ist oder wie im Verlustfalle zu verfahren ist.
Je nach Bedarf können verschiedene weitere Regelungen zur Schaffung einer unternehmensweit einheitlichen Datenschutzorganisation aufgenommen werden, wie z. B.
- Passwortrichtlinien
- Technische und organisatorische Maßnahmen
- Rechte von Betroffenen
- Verfahren bei Störungen
- Herausgabe von Daten an Dritte
- Archivierung von Daten
Erstellung und Umsetzung
Bei der Erstellung und Umsetzung einer Datenschutzorganisation sollte der betriebliche Datenschutzbeauftragte unterstützend einbezogen werden. Sie dient nicht nur dazu, die gesetzlichen Vorgaben zu erfüllen oder für eventuelle Prüfungen der Aufsichtsbehörden gerüstet zu sein.
Eine gute und transparente Datenschutzorganisation kann darüber hinaus auch zu einem hohen Grad an Compliance führen, zu einem Image- und Vertrauensgewinn beitragen und sich wirtschaftlich nutzen lassen. Bei Unsicherheiten kann auch der jeweilige Landesdatenschutzbeauftragte Auskunft erteilen.
Quelle: www.sifa-nesw.de
Autor: Stefan Johannsen, Dipl.-Biologe
