Skip to main content

Datenschutz im Unternehmen (Teil 2)

Ab dem 25.05.2018 gilt europaweit die EU-Datenschutz-Grundverordnung (DS-GVO). In unserem 1. Teil konnten Sie lesen, wie eine Bestandsaufnahme in Ihrem Unternehmen erfolgen kann. Heute gibt Ihnen unser Arbeitsrechtsexperte RA Dirk Stapel einen Überblick über die notwendigen Umsetzungsmaßnahmen.

Am 14.03.2018 habe ich Ihnen im ersten Teil dargestellt, wie eine Bestandsaufnahme erfolgen kann. Im nun folgenden zweiten Teil möchte ich einen Überblick über die notwendigen Umsetzungsmaßnahmen geben. Gestatten Sie mir hierzu vorab zwei Hinweise:

Es kann sich bei der hier vorgenommen Darstellung nur um einen groben Überblick handeln. Eine detaillierte Darstellung aller notwendigen Schritte an dieser Stelle ist schlicht und einfach nicht möglich. Sie werden für Ihr Unternehmen individuell die entsprechenden Maßnahmen erarbeiten und umsetzen müssen. Entsprechende externe Unterstützung sollten Sie dabei gegebenenfalls in Anspruch nehmen.

In vielen Fällen werden Sie feststellen, dass Sie es nicht schaffen werden, alles, was von Ihnen verlangt wird, bis zum 25.05.2018 umzusetzen. Dies wird vielfach schon daran scheitern, dass externe Berater im Regelfall jedenfalls nicht sehr kurzfristig zur Verfügung stehen werden. Nicht nur Ihr Unternehmen muss entsprechende Maßnahmen ergreifen, sondern sämtliche Unternehmen in ganz Europa! Sie sollten daher aus meiner Sicht zwei Dinge tun:

Setzen Sie sich zum einen selbst Termine, zu denen Sie die entsprechenden Maßnahmen umgesetzt haben möchten. Stellen Sie zum anderen den Ist-Zustand möglichst zeitnah und möglichst detailliert fest, damit dann, wenn Sie externe Hilfe benötigen, der externe Berater bereits eine Grundlage hat, auf der er mit Ihnen zusammenarbeiten kann.

 

Überblick der Umsetzung

Nachdem Sie die aktuellen Rahmenbedingungen in Ihrem Hause dahingehend überprüft haben, wo überall im Unternehmen personenbezogene Daten verarbeitet werden und bei welchen Prozessen dies erfolgt, bestimmen Sie eine Person, die das Verzeichnis von Verarbeitungstätigkeiten führt und regelmäßig aktualisiert (Artikel 30 DS-GVO). Im Wesentlichen sind hier die Verarbeitung von Kundendaten und die Verarbeitung von Beschäftigtendaten aufzunehmen. Eine vollständige Darstellung eines derartigen Verzeichnisses würde hier den Rahmen sprengen. Beispielhaft möchte ich hier für den Bereich der Arbeitszeiterfassung darstellen, wie das Verzeichnis aussehen könnte. Aufgenommen werden müssten im Bereich der Arbeitszeiterfassung folgende Daten:

  1. Name der Datenverarbeitung: Arbeitszeiterfassung
  2. Zweck der Datenverarbeitung: Erfassung der Arbeitszeiten der einzelnen Mitarbeiter zur Erfüllung der Nachweispflicht nach § 7 Abs. 7 ArbZG
  3. Rechtsgrundlage: Artikel 6 Abs. 1 c DS-GVO, § 7 Abs. 7 ArbZG
  4. Verarbeitung besonderer Arten personenbezogener Daten im Sinne des Artikels 9 Abs. 1 DS-GVO: Nein
  5. Betroffene/betroffene Personengruppen: Mitarbeiter
  6. personenbezogene Daten/Datenkategorien: Name, Arbeitszeiten
  7. Empfänger/Empfängerkategorien: Mitarbeiter der Personalabteilung
  8. Drittstaatentransfer: Nein
  9. Zugriffsberechtigte: Mitarbeiter der Personalabteilung
  10. Regelfristen für die Löschung: Artikel 17 Abs. 1 a DS-GVO: unverzüglich nach Auswertung des Zeitkontos, wenn keine Überschreitung der werktäglichen Arbeitszeit nach § 3 ArbZG existiert
  11. beachtende Sonderregelung: § 16 Abs. 2 ArbZG
  12. Vorhandensein einer Einwilligung zwei Jahre, danach entweder Löschung oder erneute Abfrage der Einwilligung
  13. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Eintrag erfolgt, sobald die TOMs DSGV-konform sind (TOM: technische und/oder organisatorische Maßnahmen).

Das Verzeichnis bezieht sich natürlich nicht nur auf die Personalabteilung, sondern auf alle Bereiche Ihres Unternehmens, in denen personenbezogene Daten verarbeitet werden, beispielsweise also auch auf die Bereiche Buchhaltung, Werbung und Sonstige.

 

Einwilligungserklärungen einholen

Im ersten Schritt haben Sie bereits festgestellt, ob und welche Rechtsgrundlagen für die Datenverarbeitung vorhanden sind. Dokumentieren Sie nunmehr diese Rechtsgrundlagen und holen Sie dort, wo noch nicht vorhanden, notwendige Einwilligungserklärungen ein. Dies gilt insbesondere für Kunden und Interessenten. Bitte denken Sie daran, dass insoweit nunmehr erweiterte Informationspflichten bestehen. Insbesondere muss die Person, deren Daten gespeichert werden, auf die Möglichkeit des jederzeitigen Widerrufs der Einwilligung hingewiesen werden.

 

über personenbezogene Daten informieren

Sämtliche Betroffenen sind über die Verarbeitung ihrer Daten zu informieren. Dies hat in einer transparenten, leicht zugänglichen Form sowie in einer klaren und einfachen Sprache zu erfolgen (Artikel 12 DS-GVO). In diesem Zusammenhang müssen die betroffenen Personen über Zweck und Rechtsgrundlage für die Verarbeitung personenbezogener Daten informiert werden, die Dauer der Speicherung, ggf. Kriterien für die Feststellung der Speicherdauer, Hinweis auf ihre Betroffenenrechte, Hinweis auf das Recht zum Widerruf der Einwilligung, das Recht auf Beschwerde bei der Aufsichtsbehörde und die Herkunft der Daten.

Stellen Sie weiter sicher, dass die Betroffenenrechte, die in Artikel 15-22 DS-GVO geregelt sind, sichergestellt sind. Dies sind

  • das Recht auf Auskunft
  • das Recht auf Berichtigung
  • das Recht auf fristgemäße Löschung der verarbeiteten Daten
  • das Recht auf Einschränkung der Verarbeitung und
  • das Recht auf Datenübertragbarkeit

 

Datenschutz-Folgenabschätzung prüfen

Prüfen Sie, ob Sie eine Datenschutz-Folgenabschätzung für Ihr Unternehmen einführen müssen. Hierzu kann noch keine konkrete Empfehlung gegeben werden. Die Datenschutzaufsichtsbehörden beabsichtigen, eine (nicht abschließende) Liste mit Verarbeitungstätigkeiten, bei denen eine Datenschutz-Folgenabschätzung durchzuführen ist, zu veröffentlichen. Aus meiner Sicht kann dies zunächst einmal abgewartet werden. Sobald allerdings diese Liste veröffentlicht ist, sollte man seine Datenverarbeitung hierauf überprüfen.

 

Datenschutzbeauftragter

Installierten Sie in Ihrem Unternehmen einen Prozess zur Meldung von Datenschutzverstößen an die Aufsichtsbehörde, Artikel 33 DS-GVO. Bennen Sie hierzu eine Person, die in Ihrem Unternehmen für die Meldung zuständig ist. Die zuständige Person hat darauf zu achten, dass die Meldefrist von 72 Stunden im Falle von Datenschutzverstößen eingehalten wird.

Falls Sie einen Datenschutzbeauftragten bestellt haben, denken Sie an die Meldung seiner/ihrer Kontaktdaten an die Aufsichtsbehörde.

Der letzte, nunmehr folgende Punkt, ist möglicherweise der wichtigste:

 

Bußgelder und Schadensersatzansprüche

Stellen Sie sicher, dass Sie die Einhaltung aller vorstehend genannten Pflichten und Anforderungen schriftlich nachweisen können. Stellen Sie weiter sicher, dass diese Dokumentation immer auf dem neuesten Stand ist. Denken Sie dabei daran, dass nicht nur durch die Androhung von Bußgeldern finanzielle Nachteile drohen. Im internationalen Vergleich sind die Bußgelder in Deutschland bislang eher niedrig. Neben den Bußgeldern drohen allerdings auch Schadenersatzansprüche der betroffenen Personen, wenn deren Datenschutz nicht gewährleistet wird. Wenn auch in der Vergangenheit derartige Verfahren eher selten vorkamen und auch die ausgeurteilten Schadenersatzbeträge eher niedrig waren, besteht jedoch ein relativ hohes Risiko, dass sich dies ändern könnte. Zum einen werden sich die Schadenersatzbeträge vermutlich erhöhen, da sich die deutschen Gerichte insoweit “internationalen Standards“ anpassen müssen. Zum anderen ist zu befürchten, dass interessierte Kreise die Möglichkeit der Geltendmachung von Schadenersatzansprüchen als lukrative Einnahmequelle für einerseits die Betroffenen, andererseits aber vor allem für sich selbst ansehen werden.

Die Ihnen nunmehr vorliegende Darstellung kann, wie eingangs ausgeführt, nur eine Übersicht sein. Es sind viele Details zu beachten, viele Einzelfragen zu klären und es werden viele Punkte noch auf absehbare Zeit auch unklar bleiben.

Nehmen Sie den Datenschutz ernst, aber verzweifeln Sie nicht an ihm!

Dirk Stapel
Rechtsanwalt
Fachanwalt für Arbeitsrecht

d.stapel@rae-schoenbeck-stapel.de


von Maximilian Karg

Zur Hessenwahl: „Der Käs iss no net gesse!“

Von den Medien bereits vielfach als Schicksalswahl bezeichnet und von der Politik genauso oft widersprochen, steht in Hessen diesen Sonntag die letzte Landtagswahl im Jahr 2018 an.

Weiterlesen

von Sebastian Schultz

TR.5: Wie erkläre ich's dem Gast?

Praxistipps zu TR.5

Neue Geräte, neue Spiele und jede Menge Fragen. Nicht nur die Betreiber, Techniker und das Servicepersonal müssen sich im Zuge der TR.5-Umstellung auf zahlreiche Veränderungen einstellen, sondern auch die Spielgäste. Dem Servicepersonal kommt dabei ein wichtige Rolle zu. Mit unseren TR.5-Praxistipps zeigen wir Ihnen, wie Sie Ihre Mitarbeiter dafür fit machen können.

Weiterlesen

von Maximilian H. Karg - Referent Politik

Bundestagsabgeordneter Benjamin Strasser zu Besuch bei Kling Automaten

Im Rahmen des Programms „Praxis für Politik“ des Bundesverbands der Dienstleistungswirtschaft (BDWi) und des FORUM der Automatenunternehmer e.V. besuchte der Bundestagsabgeordnete Benjamin Strasser (FDP) die Geschäftsstelle des Mitgliedsunternehmens Kling Automaten GmbH sowie einen Spielhallenstandort in seinem Wahlkreis Ravensburg.

Weiterlesen

Das OVG NRW hat jetzt im Rahmen eines Eilverfahrens in II. Instanz entschieden, dass ein Spielhallenbetreiber, dessen Antrag auf Erteilung einer glückspielrechtlichen Erlaubnis nur deshalb abgelehnt wurde, weil innerhalb des Mindestabstandes ein Mitbewerber zum Zuge kam, den Betrieb zunächst einmal geöffnet halten darf, bis die Auswahlentscheidung der Behörde gerichtlich überprüft wurde.

Weiterlesen

von Sebastian Schultz

Wirksamer Spieler- und Jugendschutz an Autobahnen

Anfang dieses Jahres hat der Dachverband Die Deutsche Automatenwirtschaft die Initiative ergriffen, um den Jugend- und Spielerschutz beim gewerblichen Betrieb von Geldspielgeräten in allen Autobahnraststätten und Autohöfen konsequent zu verbessern. Der beschlossene Maßnahmenkatalog soll bis zum 10. November 2018 umgesetzt sein.

Weiterlesen