Nachfolgend wird das Thema Datenschutzrecht für „kleinere“ Betriebe behandelt:
Zu beachten:
- Passwort-Schutz und Firewall auf dem Rechner
- Aufbewahrung von Mitarbeiter-Daten in einem abschließbaren Schrank
- Auftragsverarbeitungs-Verträge mit externen Dienstleistern (Lohnbüro, IT-Betreuer…)
- Verarbeitungsverzeichnis
- Vorsicht bei Werbemaßnahmen per E-Mail („Mailing-Aktionen“)
Den ausführlichen Leitfaden des ZDH finden Sie unter
Dort gehen Sie bitte auch auf die Rubrik „Praxis Datenschutz“ und weiter auf „Dokumentationspflicht“ – hier finden Sie praktische Hinweise und Muster für die Umsetzung.
Datenschutzerklärung für die Firmen-Internetseite
Eine gute Vorlage für eine Datenschutzerklärung für die Firmen-Internetseite (das entsprechend individualisiert werden muss) finden Sie z. B. beim Deutschen Anwaltverein:
https://anwaltverein.de/de/praxis/datenschutz
Der „Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg“ ist zu finden unter:
www.baden-wuerttemberg.datenschutz.de
Dort finden Sie auch noch weitergehende Informationen „aus erster Hand“ (beispielsweise „Kurzpapier Nr. 1 bis Kurzpapier Nr. …“ ).
www.baden-wuerttemberg.datenschutz.de/ds-gvo/
Schauen Sie sich einmal die „Kurzpapiere“ zur „Datenschutz-Folgenabschätzung“ und zum „Datenschutzbeauftragten“ an.
Nachfolgend finden Sie Fragen, die im betrieblichen Alltag zum Thema Datenschutz immer wieder auftreten.
Wir haben auch die Antworten dazu.
Grundsätzlich gilt, dass laut Datenschutzrecht jede Verarbeitung “personenbezogener Daten” verboten ist, es sei denn, sie ist ausdrücklich erlaubt.
- Der Grundsatz ist also das Verbot der Verarbeitung “personenbezogener Daten”.
- Die Ausnahme ist die Erlaubnis der Verarbeitung “personenbezogener Daten”.
- “Verarbeitung” bedeutet: Erhebung / Speicherung / Nutzung personenbezogener Daten.
Daraus resultiert zum Beispiel auch der weitere Grundsatz, dass “so wenig wie möglich bzw. nötig” Daten zu “sammeln” sind. Das Gebot lautet also: “Datenminimierung” – keine “Datensammelwut”.
Das kann z. B. die “Einwilligung” sein (wenn ein Unternehmer z. B. auf seiner Internetseite Fotos von seinen Mitarbeitern veröffentlichen will – benötigt er dazu eine Einwilligung jedes einzelnen betroffenen Mitarbeiters). Eine Einwilligung sollte in “Schriftform” erfolgen – aus Beweisgründen (eine mündliche Einwilligung wäre zwar ausreichend, lässt sich aber “im Streitfall” schlecht beweisen).
Weiter kann eine sog. “Erforderlichkeit” gegeben sein. Das ist z. B. bei solchen Daten der Fall, die zur Erfüllung eines Vertrages notwendig sind (z. B. Kundendaten zur Erstellung eines Angebots, eines Bauvertrags, zum Schreiben einer Rechnung und während der Gewährleistungsphase bzw. Mitarbeiterdaten während des Bestehens des Arbeitsverhältnisses – und jeweils noch Jahre später, da es ja auch wiederum “gesetzliche Aufbewahrungsfristen” gibt – in denen man bestimmte Daten gar nicht löschen darf).
Nicht notwendig wäre es aber beispielsweise, wenn der Unternehmer E-Mail-Adressen von Kunden für Mailing-Aktionen (Werbung) nutzt, ohne dass der Kunde ausdrücklich zugestimmt hat. Grundsätzlich ist die “Verarbeitung” der E-Mail-Adresse eines Kunden zulässig und rechtmäßig – aber nur zu dem Zweck, für den die Adresse gespeichert wurde (Kommunikation mit dem Kunden vor, während und nach der Durchführung des Auftrags über Inhalte, die mit dem Auftrag direkt zusammen hängen. Dieses Beispiel zeigt gut auf, wie “rechtmäßig” gespeicherte Daten schnell “unrechtmäßig” verwendet werden können – und somit ein Verstoß gegen das Datenschutzrecht vorliegt.
Es findet eine “Beweislastumkehr” statt. Das heißt, dass der Unternehmer jederzeit in der Lage sein muss nachzuweisen, dass mit personenbezogenen Daten ordnungsgemäß umgegangen wird und die Einhaltung des Datenschutzes im Unternehmen kontrolliert wird. Hierbei ist eine “Dokumentation” sehr wichtig (siehe separate Frage / Antwort).
Die Rechte von “Betroffenen” werden gestärkt. Das bedeutet z. B., dass betroffene Personen ein Recht auf sofortige Information über die Erhebung und Verarbeitung eigener personenbezogener Daten haben und darüber, ob diese Daten an Dritte weitergegeben wurden. Wenn ein “Betroffener” Informationen verlangt, muss der Unternehmer entsprechend Auskunft erteilen.
Der Unternehmer ist verpflichtet, ein sog. “Verzeichnis der Verarbeitungstätigkeiten” in seinem Unternehmen zu erstellen und zu führen. Dies muss schriftlich geschehen, d. h. der Unternehmer muss dokumentieren, was er “datenschutzrechtlich” in seinem Unternehmen umsetzt.
- Name, Adresse, Telefonnummer
- E-Mail-Adresse, Mitarbeiternummer, Kundennummer
- Vita von Mitarbeitern auf der Homepage des Unternehmens (mit / ohne Foto)
- Online-Kennungen (IP-Adresse, Cookie-Kennung)
- Informationen zum Gerät oder zu Software-Anwendungen der Person
- Gesundheitsdaten, Krankheitstage
- Lohnunterlagen, Kontodaten
“Anlasslose Kontrollen” von Datenschutz-Aufsichtsbehörden (Landesdatenschutzbeauftragter) werden sicher auch zukünftig sehr selten sein. Wenn, dann ist davon auszugehen, dass sich z. B. unzufriedene Mitarbeiter, Kunden oder Lieferanten bei der Aufsichtsbehörde beschweren und so eine Kontrolle auslösen.
Aber nun zurück zur Dokumentation:
Jedes Unternehmen muss im Grund über ein sog. “Datenschutz-Management-System” verfügen. Klingt kompliziert – ist es aber gar nicht, wenn man nur einmal anfängt, sich damit zu beschäftigen und wenn man diese Aufgabe in einige “Unter-Aufgaben” aufgliedert.
Ein Unternehmer muss sich diesem Thema stellen. Er muss einige Maßnahmen festlegen, dafür sorgen, dass diese umgesetzt werden, die Umsetzung – ganz wichtig ( !!! ) – dokumentieren und die Einhaltung der festgelegten Maßnahmen in regelmäßigen Abständen kontrollieren.
ANMERKUNG:
Das Thema “Datenschutz-Management-System” ist ähnlich anzugehen und umzusetzen wie das Thema “Gefährdungsbeurteilung”. Auch hier muss sich der Unternehmer Gedanken machen über mögliche Gefahren, er muss Maßnahmen festlegen, die der Vermeidung von erkannten möglichen Gefahren dienen, er muss diese umsetzen (z. B. durch Unterweisung von Mitarbeitern) und er muss diese Umsetzung – ganz wichtig ( !!! ) – dokumentieren.
Der erste – und somit ganz wichtige – Schritt ist, dass der Unternehmer damit beginnt, ein schriftliches “Verzeichnis der Verarbeitungstätigkeiten” zu führen.
Das bedeutet, dass man sich – schriftlich – darüber Gedanken macht, welche Daten im Unternehmen erhoben werden (welche Art von Daten / von welchen Personengruppen / …) und zu welchem Zweck diese Daten erhoben, gespeichert, verarbeitet werden. Diese schriftliche Zusammenfassung des Unternehmens aus “datenverarbeitender Sicht” ist die Grundlage für alle weiteren Überlegungen und Schritte.
Die nächsten darauf aufbauenden Schritte sind, dass sich der Unternehmer – schriftlich – darüber klar wird, wer die “Betroffenen” sind (von denen Daten verarbeitet werden), dass er sich – schriftlich – darüber Gedanken macht, auf welche Art und Weise diese “personenbezogenen Daten” gespeichert und verarbeitet werden.
Daraus abgeleitet macht sich der Unternehmer – schriftlich – darüber Gedanken, welche Personen (Mitarbeiter/innen seines Unternehmens) Zugriff auf diese – unterschiedlichen – Daten haben. Also Gedanken hinsichtlich der Zugriffsberechtigungen von Mitarbeiter/innen in der Buchhaltung, in der Personalabteilung, im Marketing, im Vertrieb, bei der Baustellenabwicklung.
Weiter muss sich der Unternehmer – schriftlich – überlegen, welche Daten in welchem Umfang zu schützen sind (es gibt weniger sensible Daten (z.B. eine Adresse oder eine Telefonnummer) und sensiblere Daten (z.B. eine Kontoverbindung oder Gesundheitsdaten).
Schlussendlich muss es im Unternehmeen – schriftlich – ein Konzept zur Löschung von Daten geben, also Speicherfristen bzw. Fristen zur Löschung von Daten (Entwicklung von Löschregeln sowie von Maßnahmen, die sicherstellen, dass Daten zuverlässig gelöscht werden). Grundsätzlich sind Daten in der Regel dann zu löschen, wenn sie für die Erfüllung des Zwecks, zu dem sie gespeichert wurden, nicht mehr erforderlich sind.
Im Zuge der konkreten “Umsetzung” von Maßnahmen, die sich aus den ganzen vorstehenden Schritten ableiten, ist es ganz wichtig, dass der Unternehmer regelmäßig dafür sorgt, dass seine Mitarbeiter entsprechend geschult werden – und diese Schulungen ebenfalls dokumentiert werden.
Der Arbeitgeber darf bei dienstlicher Telefon- / Handynutzung die Verbindungsdaten einschließlich der Empfänger- und Adressatendaten prüfen und auswerten. Bei privater Telefon- / Handynutzung darf allenfalls die Zahl und die Dauer der abgehenden reinen Privatgespräche erfasst werden, nicht aber die Telefonnummer des Gesprächspartners (dies nur dann, wenn der Arbeitnehmer ausdrücklich zustimmt.
Die Überwachungsbefugnisse hinsichtlich dienstlicher E-Mails gehen sehr weit. Da der Arbeitnehmer im dienstlichen Rahmen tätig wird, darf der Arbeitgeber grundsätzlich auch die Inhalte dienstlicher E-Mails einsehen. Diese unterliegen nicht dem Fernmeldegeheimnis. Anders verhält es sich bei den Inhalten privater E-Mails. Die Kontrolle von deren Inhalt ist regelmäßig unzulässig und stellt einen rechtswidrigen Eingriff in die Persönlichkeitssphäre des Arbeitnehmers dar.
Ist ausschließlich eine dienstliche Internetnutzung erlaubt, so darf der Arbeitgeber zumindest stichprobenartig mit dem Standard-Web-Browser nachvollziehen, welche Internetadressen der Arbeitnehmer zu welchem Zeitpunkt besucht hat. Hieran besteht ein berechtigtes betriebliches Interesse. Ist dagegen auch die private Internetnutzung am Arbeitsplatz erlaubt, schränkt das die zulässigen Kontrollmöglichkeiten ganz erheblich ein (allein schon die Erkennbarkeit bzw. Unterscheidung, ob eine Internetnutzung dienstlicher oder privater Natur ist, kann nur schwer getroffen werden).
Eine offene Videoüberwachung im nicht-öffentlichen Raum (z.B. Büro) darf keinesfalls zu einem generellen Überwachungsdruck der Arbeitnehmer führen. Sie ist auch nur dann zulässig, wenn die schutzwürdigen Interessen des Arbeitgebers nur auf diese Weise gewahrt werden können und keine andere Möglichkeit der Überwachung des Arbeitsprozesses besteht. Die Erforderlichkeit einer solchen Maßnahme ist vom Arbeitgeber ausreichend zu dokumentieren. Der Arbeitgeber sollte zusätzlich durch ein entsprechendes Hinweisschild auf die offene Videoüberwachung hinweisen. Eine verdeckte, für die Betroffenen nicht erkennbare Videoüberwachung eines nicht-öffentlichen Raumes ist grundsätzlich unzulässig (Ausnahme: bei konkretem Verdacht auf eine Straftat).
Führen eines Verarbeitungsverzeichnisses
Legen Sie für einen Leitz-Ordner 3 Kapitel an: Mitarbeiter/Kunden/Lieferanten und bearbeiten Sie jeweils entsprechend das Verarbeitungsverzeichnis.
Jeder Betrieb trifft zukünftig eine Dokumentationspflicht über die von ihm ausgeführten Verarbeitungstätigkeiten. Das sogenannte Verarbeitungsverzeichnis enthält in Kurzform eine Übersicht aller Verarbeitungstätigkeiten, z. B. den Zweck der Verarbeitung, die Beschreibung der Kategorien betroffener Personen und die Beschreibung der Kategorien personenbezogener Daten, Fristen für die Löschung der Daten, etc. Das Verzeichnis muss entweder schriftlich oder in einem elektronischen Format geführt werden. Ein Muster eines Verarbeitungsverzeichnisses finden Sie im Anhang (siehe Download). Dieses Muster benennt die in das Verzeichnis aufzunehmenden Angaben und kann als Grundlage für die Erstellung des eigenen Verarbeitungsverzeichnisses herangezogen werden. Es ist geplant, ein weiteres Muster zu erarbeiten, welches für typische Verarbeitungsvorgänge bereits vorausgefüllt ist. Das Bayerische Landesamt für Datenschutzaufsicht hat beispielhaft für einen Handwerksbetrieb ein kurzes Musterverzeichnis eines Verarbeitungsverzeichnisses erstellt, welches den Einstieg in die Thematik erleichtern soll – siehe Download.
Unabhängig von den Mustern muss aber jeder Betrieb überprüfen, ob im eigenen Geschäftsalltag noch andere Daten erhoben bzw. anderweitig verarbeitet oder weitergegeben werden und muss dies entsprechend im Verarbeitungsverzeichnis vermerken. Das Verarbeitungsverzeichnis muss einmalig erstellt, danach stets aktualisiert werden, falls sich Verarbeitungsvorgänge verändern.
Download: Muster / Handwerksbetrieb – Verzeichnis von Verarbeitungstätigkeiten
Download: Verzeichnis von Verarbeitungstätigkeiten und weitere Informationen
Nachfolgend noch ergänzend ein beispielhaft vorausgefülltes Muster eines „Verzeichnisses der Verarbeitungstätigkeiten“ (nach Art. 30 DS-GVO) für einen Baubetrieb.
Download: Als pdf zur Gesamtansicht
Download: Als Excel zur individuellen Bearbeitung
Die letzte Spalte verweist auf die „technischen und organisatorischen Maßnahmen“ (kurz „ToM“). Für jede einzelne Art der „Verarbeitungstätigkeit, also für jede Zeile, sind in einer allgemeinen, separaten Beschreibung die „ToM“ festzuhalten, die konkret im Betrieb zum Schutz der jeweiligen personenbezogenen Daten durchgeführt und umgesetzt werden.
- Wie ist die innerbetriebliche Organisation gestaltet?
- Maßnahmen zur Sicherstellung der Vertraulichkeit (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Trennungsgebot, Eingabekontrolle…)
- Maßnahmen zur Sicherstellung der Verfügbarkeit der Daten (Verfügbarkeitskontrolle, Sicherstellung der raschen Wiederherstellbarkeit…)
- Maßnahmen zur Auftragskontrolle (Auftragsverarbeitungsvertrag…)
Das heißt – konkret – für jede Zeile bzw. Datengruppe aufschreiben, wo und wie die entsprechenden personenbezogenen Daten gespeichert werden, wer darauf Zugriff hat, wie die Daten gesichert sind, wie sichergestellt ist, dass sie auch dauerhaft (solange erforderlich / zulässig) sicher gespeichert sind und bleiben und – bei Verarbeitung der Daten durch einen anderen Auftragnehmer (z.B. Lohnbüro, Steuerberater, IT-Dienstleister etc.) – welcher „Auftragsverarbeitungsvertrag“ geschlossen ist.