Skip to main content

Datenschutz im Unternehmen (Teil 2)

Ab dem 25.05.2018 gilt europaweit die EU-Datenschutz-Grundverordnung (DS-GVO). In unserem 1. Teil konnten Sie lesen, wie eine Bestandsaufnahme in Ihrem Unternehmen erfolgen kann. Heute gibt Ihnen unser Arbeitsrechtsexperte RA Dirk Stapel einen Überblick über die notwendigen Umsetzungsmaßnahmen.

Am 14.03.2018 habe ich Ihnen im ersten Teil dargestellt, wie eine Bestandsaufnahme erfolgen kann. Im nun folgenden zweiten Teil möchte ich einen Überblick über die notwendigen Umsetzungsmaßnahmen geben. Gestatten Sie mir hierzu vorab zwei Hinweise:

Es kann sich bei der hier vorgenommen Darstellung nur um einen groben Überblick handeln. Eine detaillierte Darstellung aller notwendigen Schritte an dieser Stelle ist schlicht und einfach nicht möglich. Sie werden für Ihr Unternehmen individuell die entsprechenden Maßnahmen erarbeiten und umsetzen müssen. Entsprechende externe Unterstützung sollten Sie dabei gegebenenfalls in Anspruch nehmen.

In vielen Fällen werden Sie feststellen, dass Sie es nicht schaffen werden, alles, was von Ihnen verlangt wird, bis zum 25.05.2018 umzusetzen. Dies wird vielfach schon daran scheitern, dass externe Berater im Regelfall jedenfalls nicht sehr kurzfristig zur Verfügung stehen werden. Nicht nur Ihr Unternehmen muss entsprechende Maßnahmen ergreifen, sondern sämtliche Unternehmen in ganz Europa! Sie sollten daher aus meiner Sicht zwei Dinge tun:

Setzen Sie sich zum einen selbst Termine, zu denen Sie die entsprechenden Maßnahmen umgesetzt haben möchten. Stellen Sie zum anderen den Ist-Zustand möglichst zeitnah und möglichst detailliert fest, damit dann, wenn Sie externe Hilfe benötigen, der externe Berater bereits eine Grundlage hat, auf der er mit Ihnen zusammenarbeiten kann.

 

Überblick der Umsetzung

Nachdem Sie die aktuellen Rahmenbedingungen in Ihrem Hause dahingehend überprüft haben, wo überall im Unternehmen personenbezogene Daten verarbeitet werden und bei welchen Prozessen dies erfolgt, bestimmen Sie eine Person, die das Verzeichnis von Verarbeitungstätigkeiten führt und regelmäßig aktualisiert (Artikel 30 DS-GVO). Im Wesentlichen sind hier die Verarbeitung von Kundendaten und die Verarbeitung von Beschäftigtendaten aufzunehmen. Eine vollständige Darstellung eines derartigen Verzeichnisses würde hier den Rahmen sprengen. Beispielhaft möchte ich hier für den Bereich der Arbeitszeiterfassung darstellen, wie das Verzeichnis aussehen könnte. Aufgenommen werden müssten im Bereich der Arbeitszeiterfassung folgende Daten:

  1. Name der Datenverarbeitung: Arbeitszeiterfassung
  2. Zweck der Datenverarbeitung: Erfassung der Arbeitszeiten der einzelnen Mitarbeiter zur Erfüllung der Nachweispflicht nach § 7 Abs. 7 ArbZG
  3. Rechtsgrundlage: Artikel 6 Abs. 1 c DS-GVO, § 7 Abs. 7 ArbZG
  4. Verarbeitung besonderer Arten personenbezogener Daten im Sinne des Artikels 9 Abs. 1 DS-GVO: Nein
  5. Betroffene/betroffene Personengruppen: Mitarbeiter
  6. personenbezogene Daten/Datenkategorien: Name, Arbeitszeiten
  7. Empfänger/Empfängerkategorien: Mitarbeiter der Personalabteilung
  8. Drittstaatentransfer: Nein
  9. Zugriffsberechtigte: Mitarbeiter der Personalabteilung
  10. Regelfristen für die Löschung: Artikel 17 Abs. 1 a DS-GVO: unverzüglich nach Auswertung des Zeitkontos, wenn keine Überschreitung der werktäglichen Arbeitszeit nach § 3 ArbZG existiert
  11. beachtende Sonderregelung: § 16 Abs. 2 ArbZG
  12. Vorhandensein einer Einwilligung zwei Jahre, danach entweder Löschung oder erneute Abfrage der Einwilligung
  13. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen: Eintrag erfolgt, sobald die TOMs DSGV-konform sind (TOM: technische und/oder organisatorische Maßnahmen).

Das Verzeichnis bezieht sich natürlich nicht nur auf die Personalabteilung, sondern auf alle Bereiche Ihres Unternehmens, in denen personenbezogene Daten verarbeitet werden, beispielsweise also auch auf die Bereiche Buchhaltung, Werbung und Sonstige.

 

Einwilligungserklärungen einholen

Im ersten Schritt haben Sie bereits festgestellt, ob und welche Rechtsgrundlagen für die Datenverarbeitung vorhanden sind. Dokumentieren Sie nunmehr diese Rechtsgrundlagen und holen Sie dort, wo noch nicht vorhanden, notwendige Einwilligungserklärungen ein. Dies gilt insbesondere für Kunden und Interessenten. Bitte denken Sie daran, dass insoweit nunmehr erweiterte Informationspflichten bestehen. Insbesondere muss die Person, deren Daten gespeichert werden, auf die Möglichkeit des jederzeitigen Widerrufs der Einwilligung hingewiesen werden.

 

über personenbezogene Daten informieren

Sämtliche Betroffenen sind über die Verarbeitung ihrer Daten zu informieren. Dies hat in einer transparenten, leicht zugänglichen Form sowie in einer klaren und einfachen Sprache zu erfolgen (Artikel 12 DS-GVO). In diesem Zusammenhang müssen die betroffenen Personen über Zweck und Rechtsgrundlage für die Verarbeitung personenbezogener Daten informiert werden, die Dauer der Speicherung, ggf. Kriterien für die Feststellung der Speicherdauer, Hinweis auf ihre Betroffenenrechte, Hinweis auf das Recht zum Widerruf der Einwilligung, das Recht auf Beschwerde bei der Aufsichtsbehörde und die Herkunft der Daten.

Stellen Sie weiter sicher, dass die Betroffenenrechte, die in Artikel 15-22 DS-GVO geregelt sind, sichergestellt sind. Dies sind

  • das Recht auf Auskunft
  • das Recht auf Berichtigung
  • das Recht auf fristgemäße Löschung der verarbeiteten Daten
  • das Recht auf Einschränkung der Verarbeitung und
  • das Recht auf Datenübertragbarkeit

 

Datenschutz-Folgenabschätzung prüfen

Prüfen Sie, ob Sie eine Datenschutz-Folgenabschätzung für Ihr Unternehmen einführen müssen. Hierzu kann noch keine konkrete Empfehlung gegeben werden. Die Datenschutzaufsichtsbehörden beabsichtigen, eine (nicht abschließende) Liste mit Verarbeitungstätigkeiten, bei denen eine Datenschutz-Folgenabschätzung durchzuführen ist, zu veröffentlichen. Aus meiner Sicht kann dies zunächst einmal abgewartet werden. Sobald allerdings diese Liste veröffentlicht ist, sollte man seine Datenverarbeitung hierauf überprüfen.

 

Datenschutzbeauftragter

Installierten Sie in Ihrem Unternehmen einen Prozess zur Meldung von Datenschutzverstößen an die Aufsichtsbehörde, Artikel 33 DS-GVO. Bennen Sie hierzu eine Person, die in Ihrem Unternehmen für die Meldung zuständig ist. Die zuständige Person hat darauf zu achten, dass die Meldefrist von 72 Stunden im Falle von Datenschutzverstößen eingehalten wird.

Falls Sie einen Datenschutzbeauftragten bestellt haben, denken Sie an die Meldung seiner/ihrer Kontaktdaten an die Aufsichtsbehörde.

Der letzte, nunmehr folgende Punkt, ist möglicherweise der wichtigste:

 

Bußgelder und Schadensersatzansprüche

Stellen Sie sicher, dass Sie die Einhaltung aller vorstehend genannten Pflichten und Anforderungen schriftlich nachweisen können. Stellen Sie weiter sicher, dass diese Dokumentation immer auf dem neuesten Stand ist. Denken Sie dabei daran, dass nicht nur durch die Androhung von Bußgeldern finanzielle Nachteile drohen. Im internationalen Vergleich sind die Bußgelder in Deutschland bislang eher niedrig. Neben den Bußgeldern drohen allerdings auch Schadenersatzansprüche der betroffenen Personen, wenn deren Datenschutz nicht gewährleistet wird. Wenn auch in der Vergangenheit derartige Verfahren eher selten vorkamen und auch die ausgeurteilten Schadenersatzbeträge eher niedrig waren, besteht jedoch ein relativ hohes Risiko, dass sich dies ändern könnte. Zum einen werden sich die Schadenersatzbeträge vermutlich erhöhen, da sich die deutschen Gerichte insoweit “internationalen Standards“ anpassen müssen. Zum anderen ist zu befürchten, dass interessierte Kreise die Möglichkeit der Geltendmachung von Schadenersatzansprüchen als lukrative Einnahmequelle für einerseits die Betroffenen, andererseits aber vor allem für sich selbst ansehen werden.

Die Ihnen nunmehr vorliegende Darstellung kann, wie eingangs ausgeführt, nur eine Übersicht sein. Es sind viele Details zu beachten, viele Einzelfragen zu klären und es werden viele Punkte noch auf absehbare Zeit auch unklar bleiben.

Nehmen Sie den Datenschutz ernst, aber verzweifeln Sie nicht an ihm!

Dirk Stapel
Rechtsanwalt
Fachanwalt für Arbeitsrecht

d.stapel@rae-schoenbeck-stapel.de


von Aude Masserann

Gastbeitrag: „Wer will, soll können!“

Personalmanagement und Ausbildung in der Automatenwirtschaft

Als Servicegesellschaft der Spitzenverbände bietet die AWI Automaten-Wirtschaftsverbände-Info GmbH (AWI) verschiedene Dienstleistungen für die Mitgliedsunternehmen zu den Themen Personal, Aus, Fort- und Weiterbildung an, aber auch Prävention oder Sozialkonzept. Doch was heißt das konkret? Und auf welche Ressourcen können Sie als FORUM-Mitglied zurückgreifen?

Weiterlesen
5 Strategien für eine erfolgreiche Personalführung

Eine gute und moderne Mitarbeiterführung ist heutzutage ein entscheidender Faktor für den Erfolg eines Unternehmens. Wir zeigen Ihnen, wie Sie mit 5 simple Strategien für motivierte und zufriedene Mitarbeiter in Ihrem Betrieb sorgen können.

Weiterlesen

Schon durch kleine Änderungen und Maßnahmen lassen sich Kosteneinsparungen in der Spielhalle erreichen. Als Unternehmer können Sie z.B. durch den intelligenten Einsatz von neuen Technologien und effizientem Management bis zu 30 Prozent an Kosten einsparen. Wir geben Ihnen 5 praktische Tipps, die Ihnen dabei helfen, potentielle Einsparmöglichkeiten in Ihrem Betrieb zu erkennen.

Weiterlesen

von Rechtsanwalt Dirk Stapel

Die offene Videoüberwachung in Spielhallen

Videoüberwachung in Spielhallen

Die Videoüberwachung in Spielhallen ist nicht nur vorgeschrieben, sondern dient im Wesentlichen auch der Aufklärung und Verhinderung von Straftaten. Die DSGVO enthält zwar keine spezifische Regelung zur Videoüberwachung, dennoch sind eine Reihe von datenschutzrechtlichen Anforderungen zu beachten.

Weiterlesen
Sicherheit in Spielhallen

Zwar ist in Deutschland die Zahl der Raubüberfälle auf Spielhallen in den letzten Jahren gesunken, doch stellen Raubdelikte nach wie vor ein ernstzunehmendes Problem für die Branche dar. Wir zeigen Ihnen, wie Sie dafür sorgen, dass es gar nicht erst zu einem Überfall kommt.

Weiterlesen