.st0{fill:#FFFFFF;}

Datenschutz am Arbeitsplatz 

 September 22, 2020

By  Thomas Kolb

Datenschutz am Arbeitsplatz  

Spätestens seit der Einführung der DS-GVO ist das Datenschutzrecht im Alltag sehr präsent.  

Das gilt selbstverständlich auch für den ArbeitsplatzDa hier oftmals personenbezogene Daten, wie z. B. Name, Anschrift und Kontodaten erhoben, verarbeitet und übermittelt werden, besteht ein hohes Risiko für die Wahrung der Datensicherheit.  

Um diese personenbezogenen Daten zu schützen, haben Arbeitgeber umfangreiche Vor-kehrungen zu schaffenumzusetzen und in regelmäßigen Abständen zu überprüfen. 

Damit der Schutz der Daten so gut wie möglich gewährleistet ist, sind auch Arbeitnehmer zur Mitwirkung verpflichtet.  

In diesem Artikel sind, neben dem besonderem Umgang mit personenbezogenen Daten am Arbeitsplatz, hilfreiche Tipps und Maßnahmen für den Datenschutz aufgeführt, die auch den Arbeitnehmer betreffen und von diesem vorgenommen werden sollten.  

 

Das Wichtigste auf einen Blick

  • Am Arbeitsplatz sind umfassende Maßnahmen einzuleiten, um personenbezogene Daten jeglicher Art zu schützen.  

  • Mit Austritt des Mitarbeiters oder Wegfall des Kunden sind die personenbezogenen Daten schnellstmöglich zu löschen, solange keine steuer- oder handelsrechtlichen Vorschriften dagegensprechen.

  • Der Arbeitgeber ist für den Schutz von personenbezogenen Daten am Arbeitsplatz maßgeblich verantwortlich, doch auch der Arbeitnehmer hat Maßnahmen im Bereich des Datenschutzes umzusetzen und bestimmte Regelungen einzuhalten. 
  • Datenpannen sind umgehend den verantwortlichen Personen zu melden. 
  • Bei vorsätzlicher oder grob fahrlässiger Verletzung des Datenschutzes kann nicht nur der Arbeitgeber, sondern in bestimmten Fällen auch der Arbeitnehmer belangt werden. 
  • Verstöße gegen die DS-GVO können zu hohen Geldbußen führen.

    1. Datenschutz am Arbeitsplatz  

    Am Arbeitsplatz werden neben Mitarbeiterdaten auch Kundendaten verarbeitet. Alle Arten von personenbezogenen Daten sind unbedingt zu schützen, unter anderem um Geschäfts-beziehungen nicht zu gefährdeund um datenschutzrechtliche Strafen zu vermeiden.  

    Es sollten Einwilligungen eingeholt und Datenschutzgrundsätze eingehalten werden. 

    Außerdem ist die gesonderte Behandlung von besonderen Kategorien personenbezogener Daten und von Daten, die zur Aufklärung von Straftaten am Arbeitsplatz erforderlich sind, zu beachten:  

     

    1.1 Einholung einer Einwilligung  

    Im Datenschutzrecht gilt die allgemeine Regelung, dass personenbezogene Daten nur erho-ben und verarbeitet werden dürfen, wenn eine Rechtsgrundlage vorliegt oder die betroffene Person in die Datennutzung eingewilligt hat.  

    Die Einwilligung des Arbeitnehmers oder des Kunden ist nur rechtlich wirksam, wenn sie auf transparenter, freiwilliger Basis abgegeben wurde. Hierbei empfiehlt sich aus Gründen der Beweiserleichterung die Schriftform.  

    Gerade im Arbeitsverhältnis ist die Freiwilligkeit durch die Ausgestaltung eines Unter- und Überordnungsverhältnis eine wichtige und ausschlaggebende Voraussetzung für eine DS-GVO-konforme Einwilligung. 

    Zur Sicherheit und zur Erleichterung der Beweisführung ist es ratsam, vor jeder Erhebung, Verarbeitung oder Speicherung von personenbezogenen Daten von der betroffenen Person eine Einwilligungserklärung einzuholen. Diese kann vom Betroffenen widerrufen werden.  

    1.2 Einhaltung der Datenschutzgrundsätze  

    In der DS-GVO gibt es verschiedene Grundsätze, die auch im Umgang mit personen-bezogenen Daten am Arbeitsplatz beachtet werden müssen:  

    Zum einen muss der Grundsatz der Zweckgebundenheit nach Art. 5 Abs. 1 b) DS-GVO eingehalten werden.  

    Nach Art. 5 Abs. 1 b) DS-GVO ist die Erhebung, Nutzung und Verarbeitung personen-bezogener Daten nur erlaubt, wenn diese zweckgebunden erfolgt.  

    Zweckgebunden ist eine Verarbeitung im Bereich des Arbeitsrechts, wenn die Daten für das Zustandekommen und das Fortbestehen des Arbeits- oder des Vertragsverhältnisses notwendig sind.  

    In der Regel sind das Personen- und Adressdaten, Kontoverbindungen und Steuerangaben. Der Betroffene ist über den Zweck und den Umfang der Datenverarbeitung zu informieren.  

    Daneben findet auch am Arbeitsplatz der Speicherbegrenzungsgrundsatz des Art. 5 Abs. 1e) DS-GVO Anwendung: Daten dürfen nur so lange gespeichert werden, wie es erforderlich ist. 

    Hinsichtlich der Speicherbegrenzung ist festzulegen, zu welchem Zeitpunkt Daten gelöscht werden müssenDie Durchführung der Löschung und die Einhaltung der Löschfristen sind in regelmäßigen Abständen zu kontrollieren.  

    Zusammen mit dem Speicherbegrenzungsgrundsatz ist nach Art. 5 Abs. 1c) DS-GVO der Datenminimierungsgrundsatz zu beachten. 

    Die Datenerhebung darf nur in dem Rahmen erfolgen, wie sie für den vorgesehenen Zweck benötigt wird.  

    Entfällt dieser Zweck und werden die personenbezogenen Daten nicht weiter benötigt, so sind sie unverzüglich zu löschen.  

    Zum Beispiel hat der Verantwortliche mit Austritt des Mitarbeiters oder bei der Beendigung der Kundenbeziehung die Daten zu vernichten, solange keine handels- oder steuerrechtlichen Aufbewahrungspflichten hiervon berührt sind.  

    Außerdem sind die Vorschriften des Richtigkeitsprinzips bei der Datenverarbeitung relevant. Diese sind in Art. 5 Abs. 1d) DS-GVO geregelt.  

    Personenbezogene Daten müssen nach dem Richtigkeitsprinzip sachlich richtig und auf dem neusten Stand sein. Unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen. 

    Nach dem Prinzip der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz gemäß Art. 5 Abs. 1a) DS-GVO hat die Erhebung, Verarbeitung oder Speicherung personenbezogener Daten aufgrund einer Rechtsgrundlage, verhältnismäßig und transparent zu erfolgen. Sie muss für den Betroffenen ferner nachvollziehbar sein. 

    Zuletzt ist nach Art. 5 Abs. 1f) DS-GVO die Vertraulichkeit und Integrität der Daten sicherzustellen. 

    Die Datenschutzgrundsätze bilden die Grundlage für eine vorschriftsmäßige Datenver-arbeitung und sind beim Umgang mit personenbezogenen Daten immer zu beachten. Eine regelmäßige Überprüfung der Einhaltung ist daher unbedingt zu empfehlen.  

    1.3 Umfangreicher Schutz von besonderen Kategorien personenbezogener Daten  

    Besondere Kategorien personenbezogener Daten dürfen nur verarbeitet werden, wenn der Betroffene dem zugestimmt hat, seine lebenswichtigen Interessen geschützt werden, die Daten bereits bewusst von ihm selbst veröffentlicht worden sind oder die Angaben für die Durchsetzung von Ansprüchen benötigt werden. 

    Da es sich bei den besonderen Kategorien personenbezogener Daten um sensible Daten handelt, sind diese ausdrücklich umfangreich zu schützen.  

    1.4 Aufklärung von Straftaten am Arbeitsplatz 

    Daten, die zur Aufklärung einer Straftat am Arbeitsplatz benötigt werden, dürfen nach § 26 Abs. 1 S. 2 BDSG nur beim Vorliegen eines begründeten Verdachtes erhoben werden.  

    Generalkontrollen ohne Zustimmung oder ein etwaiges berechtigtes Interesse des Arbeitgebers bilden somit keine ausreichende rechtliche Grundlage. 

    Ein Beispiel ist die sehr umstrittene Videoüberwachung am Arbeitsplatz 

    Allgemeine Informationen hierzu erhalten Sie unter:  

    https://kolbcom.de/dsgvo-videoueberwachung  


    2. Vorkehrungen zum Datenschutz am Arbeitsplatz  

    Um personenbezogene Daten zu schützen, müssen einige Vorkehrungen getroffen werden.  

    Der Arbeitgeber hat als Verantwortlicher ein angemessenes Schutzniveau bereitzustellen. Die Höhe und die Erforderlichkeit des Schutzniveau sind abhängig von der Anzahl der Mitarbeiter, der Komplexität der Datenverarbeitung und der Sensibilität der Daten.  

    Auch Sie als Mitarbeiter können einiges zum Datenschutz am Arbeitsplatz beitragen. 

    Es folgen einige Beispiele:  

     

    • Sperren Sie bei Verlassen des Raumes den PC. 

    • Erstellen Sie starke Passwörter für ihr System und halten Sie diese geheim, indem Sie sie nirgendwo hinschreiben. 

    • Bewahren Sie Schlüssel und Unterlagen sicher und für andere unzugänglich auf. 

    • Verzichten Sie auf die Beschriftung der Schlüssel. 

    • Löschen Sie regelmäßig Daten, die Sie nicht mehr benötigen und leeren Sie den Papierkorb Ihres PCs oder Ihres E-Mail-Postfaches. 

    • Sorgen Sie dafür, dass sich Besucherinnen und Besucher niemals alleine in Büroräumen aufhalten. 

    • Papiere mit personenbezogenen Daten sind zu schreddern, nicht in den Papierkorb zu werfen. 

    • Computerbildschirme sind so auszurichten, dass unbefugte Personen diese nicht einfach einsehen können (Achtung an Fenstern oder Türen). 

    • Lassen Sie niemanden unter Ihrem Nutzernamen und Passwort arbeiten. 

    • Installieren Sie keine private Software und nutzen Sie keine eigenen Datenträger. 

    • Versenden Sie niemals unverschlüsselte personenbezogene Daten per E-Mail. 

    • Verwenden Sie auf Ihrem Diensthandy keine Messenger wie WhatsApp oder nutzen Sie hierfür eine Container-App. 

    Kommt es trotz der Vorkehrungen zu einer Datenpanne, so melden Sie diese umgehend Ihrem Vorgesetzten oder, wenn vorhanden, dem Datenschutzbeauftragten.  

    Fehler passieren. Wichtig ist, dass sie behoben und in Zukunft vermieden werden können. 

    3Verstöße gegen die DS-GVO  

    Kommt es zu Verstößen gegen die DS-GVO, so drohen hohe Strafen. Nach Art. 83 Abs. 5 DS-GVO können Bußgelder von bis zu € 20.000,00 oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.  

    Wie sein Name schon sagt, hat der Verantwortliche die Durchsetzung von technischen organisatorischen Maßnahmen und den angemessenen Schutz von personenbezogenen Daten zu verantworten. In der Regel nimmt diese Rolle der Arbeitgeber ein. 

    Handelt ein Mitarbeiter jedoch vorsätzlich oder grob fahrlässig und verstößt er dabei gegen die Anweisungen des Arbeitgebers, so hat er sich (ebenfalls) aufgrund des Verstoßes haftbar gemacht. 

    Der Umgang mit personenbezogenen Daten ist daher jederzeit gewissenhaft und unter Beachtung der Vorschriften der DS-GVO vorzunehmen.  

    4. Fazit

    Ein Arbeitsplatz schafft als ein Ort des Austausches und der Verarbeitung von per-sonenbezogenen Daten große Gefahren für die Datensicherheit.  

    Aus diesem Grund sind vom Verantwortlichen Schutzmaßnahmen bereitzustellen. Der Mitarbeiter soll diese Maßnahmen nicht nur in dem für ihn möglichen Rahmen umsetzen, sondern hat auch selbst für Vorkehrungen zu sorgen, um Daten zu schützen.  

    Es sollten allgemeine Vorschriften eingehalten und diese individuell und bestmöglich auf den Arbeitsplatz angepasst werden.  

    Der Verantwortliche ist hierbei nicht nur Ansprechpartner und für die Umsetzung zuständig. Er sollte auch unbedingt regelmäßige Überprüfungen vornehmen.  

     

      

    Subscribe to our newsletter now!