Die Datenschutzgrundverordnung sorgte wegen hoher Strafandrohung zuerst für Panik in den Unternehmen – doch die Welt dreht sich noch, obwohl seit dem 25. Mai die Schonfrist abgelaufen ist. Die Übergangsfrist zur europäischen Datenschutzgrundverordnung (DSGVO) ist abgelaufen. Viele Unternehmen fühlen sich von der Politik im Stich gelassen. Doch wenn man ein paar einfache Grundregeln beachtet, können Unternehmen Fehler vermeiden.

„Die Datenschutzbehörde in Ansbach hat einen bayerischen Weg angekündigt“, erklärt der externe Datenschutzbeauftragte Markus Dinzl. „Das heißt, sie wollen Unternehmen und Vereinen so weit es geht entgegenkommen.“ Noch immer herrscht viel Unklarheit, trotzdem warten alle ab. Der Rahmen ist gesteckt, doch zum Teil sind die Verordnungen unklar formuliert oder widersprechen sich sogar. Erst Gerichtsurteile werden die strittigen Fälle eindeutig klären. Mit der neuen Richtlinie sollten vor allem die Verbraucher besser geschützt werden, Datenschützer feiern sie deshalb als Meilenstein, doch Unternehmer hemmt diese Richtlinie in der Ansprache von Kunden, zum Beispiel bei elektronischen Newslettern. Wem darf ich einen Newsletter zusenden und wem nicht? Aus Angst vor den angedrohten Strafen, verhalten sich viele abwartend oder starten skurrile Datenabfragen. So gingen viele Unternehmen von einem Umsatzrückgang aufgrund der DSGVO aus, meldet beispielsweise Springer professional. Grund sei der erhöhte Aufwand. In diversen Umfragen gaben fast die Hälfte der Befragten an, ihre digitalen Geschäftsaktivitäten zurückgefahren zu haben. Rund ein Drittel rechnen sogar mit Abmahnungen. Einziger Vorteil der unklaren Rechtslage: Die ganz große, befürchtete Abmahnwelle blieb bisher offensichtlich aus, auch wenn vereinzelt Anwälte versucht haben, gerade kleinere Unternehmen abzumahnen. Die Politik diskutiert gerade, wer überhaupt eine Abmahnung aussprechen darf, es könnte auch zum Bumerang für Abmahnanwälte kommen.

Einfache Grundregeln beachten
Die Datenschutzexperten Christian Grund und Markus Dinzl sind als externe Dienstleister für viele Unternehmen tätig und unterstützen bei der Umsetzung der neuen Verordnung. In ihrer täglichen Arbeit sind sie dabei immer wieder mit großen Problemen konfrontiert. „Wichtig ist für Unternehmen, dass ihre Mitarbeiter die Verordnung richtig umsetzen“, erinnert Christian Grund. „Das bedeutet, die Mitarbeiter sollten sensibilisiert und geschult werden. Nicht jedem ist die Tragweite bei seiner täglichen Arbeit bewusst. Aus versehen ist schnell einmal eine falsche Adresse im E-Mail-Programm angeklickt.“ Noch diffiziler wird es bei der Personalverwaltung, hier gibt es Daten, die als „normal“ und solche, die als „sensibel“ eingestuft werden – beide müssen unterschiedlich behandelt werden. Es empfiehlt sich, möglichst nur die Daten zu erheben, die wirklich notwendig sind. Das betrifft die interne Datenverwaltung, aber auch ein Bewerbungsmanagement. Bewerber haben schließlich ein Recht auf Datenlöschung. Auch mit externen Mitarbeitern oder  Dienstleistern sollte der datenschutz in sogenannten Auftragsverarbeitungsverträgen (AV-Verträge) geregelt werden. Kommt es doch einmal zu einer Datenpanne, muss diese innerhalb von 72 Stunden bei der Aufsichtsbehörde gemeldet werden. Wichtig ist es im Vorfeld ein Konzept zu erarbeiten, in dem alle Richtlinien, Notfallpläne und Prozesse fixiert sind.

Empfehlung der Experten

• Technische Voraussetzungen von IT, WLAN und Cloudlösungen schaffen sowie verschlüsselte Datenübermittlung einführen
• Eigene Homepage überprüfen: Datenschutzunterseite, Impressum und SSL-Verschlüsselung müssen vorhanden sein
• Mitarbeiter sensibilisieren und schulen
• Vereinbarungen mit den eigenen Mitarbeitern treffen, z. B. für Veröffentlichungen auf der Firmenhomepage
• Personalverantwortliche speziell auf die neue Verordnung schulen, eventuell Einstufung in „normale“ und „sensible“ Daten
• AV-Verträge mit externen Dienstleistern abschließen
• Aufbau von Richtlinien, Notfallplänen und Sicherheitskonzepten
• Konzept erstellen, was bei einer Datenpanne zu machen ist

Bildnachweis: BLMAG, IPEXX, Field Engineer (Pexels)

Quelle: Business Lounge Magazin

Source link

Die EU-Datenschutzverordnung – Jetzt wird es ernst: Seit 25. Mai gilt die neue EU-Datenschutzverordnung (DS-GVO). Diese Verordnung enthält zwar keine unmittelbaren Regelungen zum Beschäftigtendatenschutz, jedoch eine Öffnungsklausel für den nationalen Gesetzgeber, von der Deutschland Gebrauch gemacht hat. Der Beschäftigtendatenschutz ist somit unmittelbar im Bundesdatenschutzgesetz (BDSG) geregelt. Grundsätzlich gilt: Schon vor dem Abspeichern sollte man überlegen, welche Daten man überhaupt benötigt.

Der deutsche Arbeitgeber muss sowohl die europäische Richtlinie als auch das Bundesdatenschutzgesetz (BDSG) beachten. Beim Datenschutz geht es um den Respekt im Hinblick auf das informationelle Selbstbestimmungsrecht des Mitarbeiters, der sich in den Grundsätzen der Rechtmäßigkeit, der Transparenz, der Zweckbindung, der Datenminimierung etc. niederschlägt. Dazu kann der Arbeitgeber Daten des Arbeitnehmers in zwei Konstellationen erheben, speichern und verarbeiten:

1. Erforderliche Informationen zur Durchführung des Arbeitsvertrags (auch Anbahnung des Vertrags) wie Name, Geburtsdatum, Anschrift; für die Lohnabrechnung Konfession, Familienstand etc.
2. Besonders sensible Daten wie Gesundheitsdaten des Arbeitnehmers. Diese Kategorie von Informationen kann nur verarbeitet werden, wenn eine schriftliche Einwilligung des Arbeitnehmers vorliegt. Diese Einwilligung muss freiwillig sein, was sehr problematisch im Subordinationsverhältnis des Arbeitsvertrags ist. Darüber hinaus muss der Arbeitgeber den Arbeitnehmer darüber aufklären, zu welchem Zweck diese Daten erhoben und wie sie verarbeitet werden. Der Arbeitnehmer muss über sein jederzeitiges Widerrufsrecht der Einwilligung informiert werden und diese Aufklärung muss wieder vorgenommen werden, wenn sich der Zweck ändert.

Den Arbeitgeber treffen umfangreiche Informations- und Auskunftspflichten. Eine der wichtigsten Änderungen des neuen Datenschutzrechtes ist die Beweislastumkehr: Der Arbeitgeber muss beweisen, dass er die Vorschriften eingehalten hat, wenn beispielsweise der Arbeitnehmer nur behauptet, dass Datenschutzvorschriften verletzt wurden. Bei Verletzung einer solchen Vorschrift sieht das Gesetz einen Schadensersatzanspruch für immaterielle Schäden (Verletzung des Persönlichkeitsrechts) vor. Die Motivation zur Umsetzung der Datenschutzvorschriften soll durch sehr hohe Bußgelder erreicht werden; bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens, maximal jedoch 20 Millionen Euro.

„Das Problem ist die Umsetzung in der Praxis“, erklärt Rechtsanwältin Anne-Marie Hermann. „Der Gesetzgeber hat lediglich Grundsätze aufgestellt und den Unternehmen völlige Freiheit bei der Umsetzung gelassen.“ Erste Empfehlungen der Expertin Strukturen etablieren, die jederzeit die Ansprüche des Arbeitnehmers erfüllen (Auskunfts-, Berichtigungs- und Löschungsanspruch) Erhobene Daten kategorisieren (allgemeine Daten  zum Arbeitsvertrags und sensible Daten)
Die Prozesse müssen dokumentiert werden, um sich im Falle eines Rechtsstreits verteidigen zu können.

NETZWERKKONTAKT

Bildnachweis: LHP

Quelle: Business Lounge Magazin

Source link