Skip to main content

Datenschutz im Unternehmen (Teil 2)

Ab dem 25.05.2018 gilt europaweit die EU-Datenschutz-Grundverordnung (DS-GVO). In unserem 1. Teil konnten Sie lesen, wie eine Bestandsaufnahme in Ihrem Unternehmen erfolgen kann. Heute gibt Ihnen unser Arbeitsrechtsexperte RA Dirk Stapel einen Überblick über die notwendigen Umsetzungsmaßnahmen.

Am 14.03.2018 habe ich Ihnen im ersten Teil dargestellt, wie eine Bestandsaufnahme erfolgen kann. Im nun folgenden zweiten Teil möchte ich einen Überblick über die notwendigen Umsetzungsmaßnahmen geben. Gestatten Sie mir hierzu vorab zwei Hinweise:

Es kann sich bei der hier vorgenommen Darstellung nur um einen groben Überblick handeln. Eine detaillierte Darstellung aller notwendigen Schritte an dieser Stelle ist schlicht und einfach nicht möglich. Sie werden für Ihr Unternehmen individuell die entsprechenden Maßnahmen erarbeiten und umsetzen müssen. Entsprechende externe Unterstützung sollten Sie dabei gegebenenfalls in Anspruch nehmen.

In vielen Fällen werden Sie feststellen, dass Sie es nicht schaffen werden, alles, was von Ihnen verlangt wird, bis zum 25.05.2018 umzusetzen. Dies wird vielfach schon daran scheitern, dass externe Berater im Regelfall jedenfalls nicht sehr kurzfristig zur Verfügung stehen werden. Nicht nur Ihr Unternehmen muss entsprechende Maßnahmen ergreifen, sondern sämtliche Unternehmen in ganz Europa! Sie sollten daher aus meiner Sicht zwei Dinge tun:

Setzen Sie sich zum einen selbst Termine, zu denen Sie die entsprechenden Maßnahmen umgesetzt haben möchten. Stellen Sie zum anderen den Ist-Zustand möglichst zeitnah und möglichst detailliert fest, damit dann, wenn Sie externe Hilfe benötigen, der externe Berater bereits eine Grundlage hat, auf der er mit Ihnen zusammenarbeiten kann.

 

Überblick der Umsetzung

Nachdem Sie die aktuellen Rahmenbedingungen in Ihrem Hause dahingehend überprüft haben, wo überall im Unternehmen personenbezogene Daten verarbeitet werden und bei welchen Prozessen dies erfolgt, bestimmen Sie eine Person, die das Verzeichnis von Verarbeitungstätigkeiten führt und regelmäßig aktualisiert (Artikel 30 DS-GVO). Im Wesentlichen sind hier die Verarbeitung von Kundendaten und die Verarbeitung von Beschäftigtendaten aufzunehmen. Eine vollständige Darstellung eines derartigen Verzeichnisses würde hier den Rahmen sprengen. Beispielhaft möchte ich hier für den Bereich der Arbeitszeiterfassung darstellen, wie das Verzeichnis aussehen könnte. Aufgenommen werden müssten im Bereich der Arbeitszeiterfassung folgende Daten:

  1. Name der Datenverarbeitung: Arbeitszeiterfassung
  2. Zweck der Datenverarbeitung: Erfassung der Arbeitszeiten der einzelnen Mitarbeiter zur Erfüllung der Nachweispflicht nach § 7 Abs. 7 ArbZG
  3. Rechtsgrundlage: Artikel 6 Abs. 1 c DS-GVO, § 7 Abs. 7 ArbZG
  4. Verarbeitung besonderer Arten personenbezogener Daten im Sinne des Artikels 9 Abs. 1 DS-GVO: Nein
  5. Betroffene/betroffene Personengruppen: Mitarbeiter
  6. personenbezogene Daten/Datenkategorien: Name, Arbeitszeiten
  7. Empfänger/Empfängerkategorien: Mitarbeiter der Personalabteilung
  8. Drittstaatentransfer: Nein
  9. Zugriffsberechtigte: Mitarbeiter der Personalabteilung
  10. Regelfristen für die Löschung: Artikel 17 Abs. 1 a DS-GVO: unverzüglich nach Auswertung des Zeitkontos, wenn keine Überschreitung der werktäglichen Arbeitszeit nach § 3 ArbZG existiert
  11. beachtende Sonderregelung: § 16 Abs. 2 ArbZG
  12. Vorhandensein einer Einwilligung zwei Jahre, danach entweder Löschung oder erneute Abfrage der Einwilligung
  13. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Eintrag erfolgt, sobald die TOMs DSGV-konform sind (TOM: technische und/oder organisatorische Maßnahmen).

Das Verzeichnis bezieht sich natürlich nicht nur auf die Personalabteilung, sondern auf alle Bereiche Ihres Unternehmens, in denen personenbezogene Daten verarbeitet werden, beispielsweise also auch auf die Bereiche Buchhaltung, Werbung und Sonstige.

 

Einwilligungserklärungen einholen

Im ersten Schritt haben Sie bereits festgestellt, ob und welche Rechtsgrundlagen für die Datenverarbeitung vorhanden sind. Dokumentieren Sie nunmehr diese Rechtsgrundlagen und holen Sie dort, wo noch nicht vorhanden, notwendige Einwilligungserklärungen ein. Dies gilt insbesondere für Kunden und Interessenten. Bitte denken Sie daran, dass insoweit nunmehr erweiterte Informationspflichten bestehen. Insbesondere muss die Person, deren Daten gespeichert werden, auf die Möglichkeit des jederzeitigen Widerrufs der Einwilligung hingewiesen werden.

 

über personenbezogene Daten informieren

Sämtliche Betroffenen sind über die Verarbeitung ihrer Daten zu informieren. Dies hat in einer transparenten, leicht zugänglichen Form sowie in einer klaren und einfachen Sprache zu erfolgen (Artikel 12 DS-GVO). In diesem Zusammenhang müssen die betroffenen Personen über Zweck und Rechtsgrundlage für die Verarbeitung personenbezogener Daten informiert werden, die Dauer der Speicherung, ggf. Kriterien für die Feststellung der Speicherdauer, Hinweis auf ihre Betroffenenrechte, Hinweis auf das Recht zum Widerruf der Einwilligung, das Recht auf Beschwerde bei der Aufsichtsbehörde und die Herkunft der Daten.

Stellen Sie weiter sicher, dass die Betroffenenrechte, die in Artikel 15-22 DS-GVO geregelt sind, sichergestellt sind. Dies sind

  • das Recht auf Auskunft
  • das Recht auf Berichtigung
  • das Recht auf fristgemäße Löschung der verarbeiteten Daten
  • das Recht auf Einschränkung der Verarbeitung und
  • das Recht auf Datenübertragbarkeit

 

Datenschutz-Folgenabschätzung prüfen

Prüfen Sie, ob Sie eine Datenschutz-Folgenabschätzung für Ihr Unternehmen einführen müssen. Hierzu kann noch keine konkrete Empfehlung gegeben werden. Die Datenschutzaufsichtsbehörden beabsichtigen, eine (nicht abschließende) Liste mit Verarbeitungstätigkeiten, bei denen eine Datenschutz-Folgenabschätzung durchzuführen ist, zu veröffentlichen. Aus meiner Sicht kann dies zunächst einmal abgewartet werden. Sobald allerdings diese Liste veröffentlicht ist, sollte man seine Datenverarbeitung hierauf überprüfen.

 

Datenschutzbeauftragter

Installierten Sie in Ihrem Unternehmen einen Prozess zur Meldung von Datenschutzverstößen an die Aufsichtsbehörde, Artikel 33 DS-GVO. Bennen Sie hierzu eine Person, die in Ihrem Unternehmen für die Meldung zuständig ist. Die zuständige Person hat darauf zu achten, dass die Meldefrist von 72 Stunden im Falle von Datenschutzverstößen eingehalten wird.

Falls Sie einen Datenschutzbeauftragten bestellt haben, denken Sie an die Meldung seiner/ihrer Kontaktdaten an die Aufsichtsbehörde.

Der letzte, nunmehr folgende Punkt, ist möglicherweise der wichtigste:

 

Bußgelder und Schadensersatzansprüche

Stellen Sie sicher, dass Sie die Einhaltung aller vorstehend genannten Pflichten und Anforderungen schriftlich nachweisen können. Stellen Sie weiter sicher, dass diese Dokumentation immer auf dem neuesten Stand ist. Denken Sie dabei daran, dass nicht nur durch die Androhung von Bußgeldern finanzielle Nachteile drohen. Im internationalen Vergleich sind die Bußgelder in Deutschland bislang eher niedrig. Neben den Bußgeldern drohen allerdings auch Schadenersatzansprüche der betroffenen Personen, wenn deren Datenschutz nicht gewährleistet wird. Wenn auch in der Vergangenheit derartige Verfahren eher selten vorkamen und auch die ausgeurteilten Schadenersatzbeträge eher niedrig waren, besteht jedoch ein relativ hohes Risiko, dass sich dies ändern könnte. Zum einen werden sich die Schadenersatzbeträge vermutlich erhöhen, da sich die deutschen Gerichte insoweit “internationalen Standards“ anpassen müssen. Zum anderen ist zu befürchten, dass interessierte Kreise die Möglichkeit der Geltendmachung von Schadenersatzansprüchen als lukrative Einnahmequelle für einerseits die Betroffenen, andererseits aber vor allem für sich selbst ansehen werden.

Die Ihnen nunmehr vorliegende Darstellung kann, wie eingangs ausgeführt, nur eine Übersicht sein. Es sind viele Details zu beachten, viele Einzelfragen zu klären und es werden viele Punkte noch auf absehbare Zeit auch unklar bleiben.

Nehmen Sie den Datenschutz ernst, aber verzweifeln Sie nicht an ihm!

Dirk Stapel
Rechtsanwalt
Fachanwalt für Arbeitsrecht

d.stapel@rae-schoenbeck-stapel.de


Mitgliedertreffen von Sebastian Schultz, Martin Kujawa

Die Zukunft gestalten: durch Dialog, mit Qualität und Weitblick

Am 14. November kamen wieder zahlreiche Mitglieder zur Herbstversammlung des FORUM nach Berlin. Diese stand ganz unter dem Motto, wie wir eine verlässliche Zukunft gestalten können. In einem kurzen Bericht blicken wir auf einen spannenden Tag zurück und fassen die Highlights zusammen.

Weiterlesen
Sommersitzung der Impulsschmiede

Ein äußerst produktives und zugleich hoch unterhaltsames Arbeitstreffen liegt hinter der Impulsschmiede. An der Ostsee diskutieren die Teilnehmer über zwei Tage hinweg zentrale Themen des Verbandes. Dabei ging es um die Mitgliederbeiträge im FORUM und in den anderen Verbänden und um die Außengestaltung von Spielhallen. Insbesondere die Arbeitsergebnisse zur Außengestaltung sollen nun bald auch in Branchenprojekte einfließen.

Weiterlesen

In Zeiten, in denen sich global zentrale Debatten rund um das Thema Klimawandel und Klimaschutz bewegen, können auch Sie wertvolle Beiträge zum Schutz unseres Planeten leisten und dabei Kosten in Ihrer Spielhalle einsparen. Wir geben Ihnen fünf Tipps, wie Sie Energie und Kosten einsparen und Ihr Unternehmen ökologischer gestalten.

Weiterlesen
Mitarbeitersuche für Spielhallen

Geeignete Mitarbeiter für seine Spielhalle zu finden, ist gar nicht so leicht. Vor allem für mittelständische Automatenunternehmen, die weder über die Bekanntheit noch die Recruiting-Kapazitäten oder das Budget großer Firmen verfügen, ist die Mitarbeitersuche nicht selten eine Herausforderung. Hier sind 5 Ideen, wie Sie mit einem überschaubaren finanziellen Einsatz gute Mitarbeiter für Ihre Spielhalle finden.

Weiterlesen

Wir im FORUM wissen, dass Qualität und vorausschauendes Management entscheidend sind für den unternehmerischen Erfolg. Ohne den gegenseitigen Austausch von Wissen, Erfahrungen und Ideen geht es dabei nicht. Die Mitgliederversammlungen des FORUM sind dafür die perfekte Plattform. Mitglieder dürfen sich schon heute auf den nächsten Termin am 16. Mai freuen. Anmeldungen sind ab sofort möglich.

Weiterlesen