Datenschutz-Grundverordnung – was ist jetzt notwendig?

Kanzlei HSK informierte aus Arbeitgeber-Perspektive

Das Thema ist heiß: Die 6. Strategie-Runde der Augsburger Kanzlei HSK zur EU-Datenschutz-Grundverordnung (DSGVO) war so schnell ausgebucht, dass die auf Arbeitsrecht spezialisierte Kanzlei kurzerhand einen zweiten Termin anberaumte. An zwei Abenden informierten sich über 100 Unternehmer und Personalverantwortliche zu den neuen Bestimmungen und den jetzt notwendigen Schritten in rechtlicher und technischer Hinsicht.

Wenn die DSGVO am 25. Mai 2018 in Kraft tritt, ist das Thema zwar nicht komplett neu, aber doch eine Zäsur. „Mit Einführung der DSGVO wird Datenschutz eine Daueraufgabe, die dokumentiert werden muss“, so Rechtsanwalt Daniel Iven. Auch das Bundesdatenschutzgesetz (BDSG), das es schon seit 1977 gibt, wird zu diesem Zeitpunkt umfassend reformiert. Im Prinzip ist nach dem neuen Gesetz stets zu prüfen: Gibt es für jede Datenverarbeitung im Unternehmen eine Rechtsgrundlage?

Beschäftigtendatenschutz – jetzt neu in § 26 BDSG
Daniel Iven erläuterte, was Arbeitgeber künftig in rechtlicher Hinsicht beachten müssen. Die Besonderheiten des Beschäftigtendatenschutzes sind künftig neu in § 26 BDSG geregelt. Vieles davon galt schon im alten BDSG, war dort aber an anderer Stelle zu finden.

Daten, die für die Durchführung des Arbeitsverhältnisses erforderlich sind, dürfen weiterhin ohne Einwilligung des Arbeitnehmers gesammelt und verarbeitet werden, so auch besonders sensible Daten wie Religionszugehörigkeit, Schwangerschaft oder Schwerbehinderung. Aber z.B. für die Aufnahme in eine Geburtstagsliste, für Bildaufnahmen zu Werbezwecken oder für Einsicht in auch privat genutzte Diensthandys oder Computer ist die schriftliche Einwilligung des Beschäftigten notwendig; und sie muss freiwillig sein – in einem abhängigen Arbeitsverhältnis nicht immer leicht feststellbar. Rechtliche oder wirtschaftliche Vorteile einer Einwilligung, die für die Freiwilligkeit sprechen, oder eine entsprechende Regelung in der Betriebsvereinbarung sind deshalb zu empfehlen. Letzteres, bisher nur in der Rechtsprechung anerkannt, ist nun ausdrücklich im Gesetz geregelt.

Betriebsrat ist mit verantwortlich
Strenge Datenschutz-Auflagen gelten auch bei der Auftragsverarbeitung. Wenn z.B. Agenturen oder IT-Dienstleister personenbezogene Daten im Auftrag verarbeiten, muss der Verantwortliche die Einhaltung der Vorschriften zuvor beim Auftragnehmer prüfen und es muss ein Auftragsverarbeitungsvertrag unterzeichnet werden. Ausgenommen sind Berufsgeheimnisträger wie Rechtsanwälte, Ärzte oder Steuerberater. Bei Datenschutzverstößen des Auftragsverarbeiters haftet auch der Verantwortliche. Eine Sonderstellung nimmt der Betriebsrat ein: Nach herrschender Meinung führt dieser keine Auftragsverarbeitung durch, sondern ist gemeinsam mit dem Arbeitgeber verantwortlich. „Schulen Sie Ihren Betriebsrat“, rät Daniel Iven, „denn wenn etwas schief geht, fällt dies meist auf den Arbeitgeber zurück.“

Umsetzung in acht Schritten
Verstöße gegen DSGVO und BDSG werden künftig geahndet und können sehr teuer werden. „Arbeitgeber sollten spätestens jetzt damit anfangen, um nachweisen zu können, dass sie den Datenschutz ernst nehmen“, so Daniel Iven. Acht Schritte seien jetzt zu unternehmen: 1. Ermittlung der Verarbeitungen im Betrieb mit Anlegen von Verfahrensverzeichnissen; 2. Prüfung der Rechtmäßigkeit der einzelnen Verarbeitungen; 3. Risikoermittlung; 4. Aktualisierung von Texten wie Datenschutzerklärung etc.; 5. Implementierung von Prozessen; 6. ggfs. Bestellung eines Datenschutzbeauftragten; 7. Schulung der Mitarbeiter; 8. Dokumentation.

WhatsApp- und Skype-Nutzung verstößt gegen Datenschutz
Auf die technischen Erfordernisse ging IT-Experte Alexander Durstin von Avamboo ein: von mehrschichtigen Backup-Konzepten über Verschlüsselung und Zugriffsschutz bis zu Software-Erfordernissen gilt es auch hier einiges zu beachten bzw. umzustellen. Auch die Kommunikation ist zu überdenken. Die dienstliche Nutzung von WhatsApp etwa stellt künftig grundsätzlich einen Datenschutz-Verstoß dar, da das gesamte Telefonbuch an die Herstellerfirma in den USA übermittelt wird. Und in der E-Mail-Kommunikation schützt nur Verschlüsselung vor dem Ausspähen. Unterschiedliche Systeme machen es nicht einfacher. „Am besten funktioniert hier der Versand als verschlüsseltes PDF.“

Zu ihrer „Strategie-Runde für Arbeitgeber“ lädt die auf Arbeitsrecht spezialisierte Kanzlei HSK gemeinsam mit dem Bund der Steuerzahler Bayern ein. Die Fachanwälte für Arbeitsrecht geben praxisnahe Tipps und beantworten Fragen. Im September geht es weiter mit der monatlichen Veranstaltungsreihe. Über Themen und Termine können sich Interessierte auf der Website unter www.hsk-arbeitsrecht.de informieren und anmelden.

Keywords:Arbeitsrecht, DSGVO, Datenschutz-Grundverordnung, Wirtschaftsrecht, Arbeitgeber, Personalverantwortliche, Human Resources

adresse

Powered by WPeMatico