Datenschutz am Arbeitsplatz
Spätestens seit der Einführung der DS-GVO ist das Datenschutzrecht im Alltag sehr präsent.
Das gilt selbstverständlich auch für den Arbeitsplatz. Da hier oftmals personenbezogene Daten, wie z. B. Name, Anschrift und Kontodaten erhoben, verarbeitet und übermittelt werden, besteht ein hohes Risiko für die Wahrung der Datensicherheit.
Um diese personenbezogenen Daten zu schützen, haben Arbeitgeber umfangreiche Vor-kehrungen zu schaffen, umzusetzen und in regelmäßigen Abständen zu überprüfen.
Damit der Schutz der Daten so gut wie möglich gewährleistet ist, sind auch Arbeitnehmer zur Mitwirkung verpflichtet.
In diesem Artikel sind, neben dem besonderem Umgang mit personenbezogenen Daten am Arbeitsplatz, hilfreiche Tipps und Maßnahmen für den Datenschutz aufgeführt, die auch den Arbeitnehmer betreffen und von diesem vorgenommen werden sollten.
Das Wichtigste auf einen Blick
1. Datenschutz am Arbeitsplatz
Am Arbeitsplatz werden neben Mitarbeiterdaten auch Kundendaten verarbeitet. Alle Arten von personenbezogenen Daten sind unbedingt zu schützen, unter anderem um Geschäfts-beziehungen nicht zu gefährden und um datenschutzrechtliche Strafen zu vermeiden.
Es sollten Einwilligungen eingeholt und Datenschutzgrundsätze eingehalten werden.
Außerdem ist die gesonderte Behandlung von besonderen Kategorien personenbezogener Daten und von Daten, die zur Aufklärung von Straftaten am Arbeitsplatz erforderlich sind, zu beachten:
1.1 Einholung einer Einwilligung
Im Datenschutzrecht gilt die allgemeine Regelung, dass personenbezogene Daten nur erhoben und verarbeitet werden dürfen, wenn eine Rechtsgrundlage vorliegt oder die betroffene Person in die Datennutzung eingewilligt hat.
Die Einwilligung des Arbeitnehmers oder des Kunden ist nur rechtlich wirksam, wenn sie auf transparenter, freiwilliger Basis abgegeben wurde. Hierbei empfiehlt sich aus Gründen der Beweiserleichterung die Schriftform.
Gerade im Arbeitsverhältnis ist die Freiwilligkeit durch die Ausgestaltung eines Unter- und Überordnungsverhältnis eine wichtige und ausschlaggebende Voraussetzung für eine DS-GVO-konforme Einwilligung.
Zur Sicherheit und zur Erleichterung der Beweisführung ist es ratsam, vor jeder Erhebung, Verarbeitung oder Speicherung von personenbezogenen Daten von der betroffenen Person eine Einwilligungserklärung einzuholen. Diese kann vom Betroffenen widerrufen werden.
1.2 Einhaltung der Datenschutzgrundsätze
In der DS-GVO gibt es verschiedene Grundsätze, die auch im Umgang mit personen-bezogenen Daten am Arbeitsplatz beachtet werden müssen:
Zum einen muss der Grundsatz der Zweckgebundenheit nach Art. 5 Abs. 1 b) DS-GVO eingehalten werden.
Nach Art. 5 Abs. 1 b) DS-GVO ist die Erhebung, Nutzung und Verarbeitung personen-bezogener Daten nur erlaubt, wenn diese zweckgebunden erfolgt.
Zweckgebunden ist eine Verarbeitung im Bereich des Arbeitsrechts, wenn die Daten für das Zustandekommen und das Fortbestehen des Arbeits- oder des Vertragsverhältnisses notwendig sind.
In der Regel sind das Personen- und Adressdaten, Kontoverbindungen und Steuerangaben. Der Betroffene ist über den Zweck und den Umfang der Datenverarbeitung zu informieren.
Daneben findet auch am Arbeitsplatz der Speicherbegrenzungsgrundsatz des Art. 5 Abs. 1e) DS-GVO Anwendung: Daten dürfen nur so lange gespeichert werden, wie es erforderlich ist.
Hinsichtlich der Speicherbegrenzung ist festzulegen, zu welchem Zeitpunkt Daten gelöscht werden müssen. Die Durchführung der Löschung und die Einhaltung der Löschfristen sind in regelmäßigen Abständen zu kontrollieren.
Zusammen mit dem Speicherbegrenzungsgrundsatz ist nach Art. 5 Abs. 1c) DS-GVO der Datenminimierungsgrundsatz zu beachten.
Die Datenerhebung darf nur in dem Rahmen erfolgen, wie sie für den vorgesehenen Zweck benötigt wird.
Entfällt dieser Zweck und werden die personenbezogenen Daten nicht weiter benötigt, so sind sie unverzüglich zu löschen.
Zum Beispiel hat der Verantwortliche mit Austritt des Mitarbeiters oder bei der Beendigung der Kundenbeziehung die Daten zu vernichten, solange keine handels- oder steuerrechtlichen Aufbewahrungspflichten hiervon berührt sind.
Außerdem sind die Vorschriften des Richtigkeitsprinzips bei der Datenverarbeitung relevant. Diese sind in Art. 5 Abs. 1d) DS-GVO geregelt.
Personenbezogene Daten müssen nach dem Richtigkeitsprinzip sachlich richtig und auf dem neusten Stand sein. Unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen.
Nach dem Prinzip der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz gemäß Art. 5 Abs. 1a) DS-GVO hat die Erhebung, Verarbeitung oder Speicherung personenbezogener Daten aufgrund einer Rechtsgrundlage, verhältnismäßig und transparent zu erfolgen. Sie muss für den Betroffenen ferner nachvollziehbar sein.
Zuletzt ist nach Art. 5 Abs. 1f) DS-GVO die Vertraulichkeit und Integrität der Daten sicherzustellen.
Die Datenschutzgrundsätze bilden die Grundlage für eine vorschriftsmäßige Datenver-arbeitung und sind beim Umgang mit personenbezogenen Daten immer zu beachten. Eine regelmäßige Überprüfung der Einhaltung ist daher unbedingt zu empfehlen.
1.3 Umfangreicher Schutz von besonderen Kategorien personenbezogener Daten
Besondere Kategorien personenbezogener Daten dürfen nur verarbeitet werden, wenn der Betroffene dem zugestimmt hat,
seine lebenswichtigen Interessen geschützt werden, die Daten bereits bewusst von ihm selbst veröffentlicht worden sind oder die Angaben für die Durchsetzung von Ansprüchen benötigt werden.
Da es sich bei den besonderen Kategorien personenbezogener Daten um sensible Daten handelt, sind diese ausdrücklich umfangreich zu schützen.
1.4 Aufklärung von Straftaten am Arbeitsplatz
Daten, die zur Aufklärung einer Straftat am Arbeitsplatz benötigt werden, dürfen nach § 26 Abs. 1 S. 2 BDSG nur beim Vorliegen eines begründeten Verdachtes erhoben werden.
Generalkontrollen ohne Zustimmung oder ein etwaiges berechtigtes Interesse des Arbeitgebers bilden somit keine ausreichende rechtliche Grundlage.
Ein Beispiel ist die sehr umstrittene Videoüberwachung am Arbeitsplatz.
2. Vorkehrungen zum Datenschutz am Arbeitsplatz
Um personenbezogene Daten zu schützen, müssen einige Vorkehrungen getroffen werden.
Der Arbeitgeber hat als Verantwortlicher ein angemessenes Schutzniveau bereitzustellen. Die Höhe und die Erforderlichkeit des Schutzniveau sind abhängig von der Anzahl der Mitarbeiter, der Komplexität der Datenverarbeitung und der Sensibilität der Daten.
Auch Sie als Mitarbeiter können einiges zum Datenschutz am Arbeitsplatz beitragen.
Es folgen einige Beispiele:
Sperren Sie bei Verlassen des Raumes den PC.
Erstellen Sie starke Passwörter für ihr System und halten Sie diese geheim, indem Sie sie nirgendwo hinschreiben.
Bewahren Sie Schlüssel und Unterlagen sicher und für andere unzugänglich auf.
Verzichten Sie auf die Beschriftung der Schlüssel.
Löschen Sie regelmäßig Daten, die Sie nicht mehr benötigen und leeren Sie den Papierkorb Ihres PCs oder Ihres E-Mail-Postfaches.
Sorgen Sie dafür, dass sich Besucherinnen und Besucher niemals alleine in Büroräumen aufhalten.
Papiere mit personenbezogenen Daten sind zu schreddern, nicht in den Papierkorb zu werfen.
Computerbildschirme sind so auszurichten, dass unbefugte Personen diese nicht einfach einsehen können (Achtung an Fenstern oder Türen).
Lassen Sie niemanden unter Ihrem Nutzernamen und Passwort arbeiten.
Installieren Sie keine private Software und nutzen Sie keine eigenen Datenträger.
Versenden Sie niemals unverschlüsselte personenbezogene Daten per E-Mail.
Verwenden Sie auf Ihrem Diensthandy keine Messenger wie WhatsApp oder nutzen Sie hierfür eine Container-App.
Kommt es trotz der Vorkehrungen zu einer Datenpanne, so melden Sie diese umgehend Ihrem Vorgesetzten oder, wenn vorhanden, dem Datenschutzbeauftragten.
Fehler passieren. Wichtig ist, dass sie behoben und in Zukunft vermieden werden können.
3. Verstöße gegen die DS-GVO
Kommt es zu Verstößen gegen die DS-GVO, so drohen hohe Strafen. Nach Art. 83 Abs. 5 DS-GVO können Bußgelder von bis zu € 20.000,00 oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.
Wie sein Name schon sagt, hat der Verantwortliche die Durchsetzung von technischen organisatorischen Maßnahmen und den angemessenen Schutz von personenbezogenen Daten zu verantworten. In der Regel nimmt diese Rolle der Arbeitgeber ein.
Handelt ein Mitarbeiter jedoch vorsätzlich oder grob fahrlässig und verstößt er dabei gegen die Anweisungen des Arbeitgebers, so hat er sich (ebenfalls) aufgrund des Verstoßes haftbar gemacht.
Der Umgang mit personenbezogenen Daten ist daher jederzeit gewissenhaft und unter Beachtung der Vorschriften der DS-GVO vorzunehmen.
4. Fazit
Ein Arbeitsplatz schafft als ein Ort des Austausches und der Verarbeitung von per-sonenbezogenen Daten große Gefahren für die Datensicherheit.
Aus diesem Grund sind vom Verantwortlichen Schutzmaßnahmen bereitzustellen. Der Mitarbeiter soll diese Maßnahmen nicht nur in dem für ihn möglichen Rahmen umsetzen, sondern hat auch selbst für Vorkehrungen zu sorgen, um Daten zu schützen.
Es sollten allgemeine Vorschriften eingehalten und diese individuell und bestmöglich auf den Arbeitsplatz angepasst werden.
Der Verantwortliche ist hierbei nicht nur Ansprechpartner und für die Umsetzung zuständig. Er sollte auch unbedingt regelmäßige Überprüfungen vornehmen.
Ähnliche spannende Beiträge
Datenschutz als Einzelunternehmer
Datenschutz für Einzelunternehmer: Diese Bereiche sind relevant für Sie. Jetzt informieren und Haftungsfallen vermeiden.
Rechtliche Zulässigkeit von Emailmarketing, Telefonwerbung und Briefkastenwerbung
Sind Emailwerbung, Telefonwerbung und Briefkastenwerbung eigentlich rechtlich zulässig? In diesem Artikel erfahren Sie alle wichtigen Informationen.
DSGVO, TTDSG & Cookies
Informieren Sie sich über die Rechtssicherheit, die das neue Gesetz in Bezug auf Cookies sowohl für Unternehmen als auch für Verbraucher bringt.
Bußgeld veraltete Software
Löschung durch Anonymisierung: Alles zu den Voraussetzungen und Anforderungen. Datenschutzexperten informieren.
Scalable Capital zu DSGVO-Schadensersatz verurteilt
Die Gerichte stützen sich regelmäßig auf Urteile, die bereits von anderen nationalen Gerichten erlassen wurden, da immer mehr betroffene Personen vor Gericht Schadenersatz wegen der Verletzung ihrer Rechte nach der DSGVO geltend machen.
LG Stuttgart: Kein DSGVO-Schadensersatz bei personalisierter Briefwerbung
Urteil des Landgerichts Stuttgart zur personalisierten Direktwerbung. Das Gericht befasste sich mit der Frage, ob personenbezogene Daten zur Durchsetzung von Werbewidersprüchen datenschutzkonform in eine so genannte schwarze Liste aufgenommen werden können.