Woran sich Mitarbeiter im Unternehmen halten sollten
Der Datenschutz ist für uns alle relevant, denn in irgendeinem Bereich unseres Lebens sind wir Betroffene – unsere Daten werden verarbeitet. Damit unsere Daten geschützt sind, definieren Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) die gesetzlichen Vorgaben für den Datenschutz. Doch dieser kann nur funktionieren, wenn auch jeder einzelne sich zum Schutz der Daten anderer Betroffener, an diese Regeln hält.
In unserem Blog soll es auf Datenschutzberater.NRW diesmal daher um den richtigen Umgang der Mitarbeiter mit dem Thema Datenschutz gehen. Wir erklären Ihnen, welche Pflichten jeder im Unternehmen hat und wie diese schnell umgesetzt werden können.
Einstieg in den Datenschutz – gut vorbereitet im Unternehmensalltag
Für die meisten Mitarbeiter sind Datenschutz und EU-DSGVO meist nur graue Theorie. Wenn wir uns in den Büros umhören und umsehen, so bekommt man mitunter den Eindruck, dass der Datenschutz beim Datenschutzbeauftragten (wenn vorhanden) aufhört. Den meisten Menschen ist nur wenig oder kaum bewusst, dass Datenschutz nicht nur für die Personalabteilung eine wichtige Rolle spielt.
Der Datenschutz ist für alle Unternehmen in allen Branchen, Vereine, Kanzleien, Praxen – egal wie groß –aber auch Vermieter verpflichtend. Das heißt aber auch, dass alle Mitarbeiter entsprechende Unterweisungen zu dessen Einhaltung erhalten sollten. Sie müssen also wissen, worauf in ihrem Zuständigkeitsbereich geachtet werden muss. Mitarbeiterschulungen sind zwar nicht verpflichtend, der Arbeitgeber muss den Mitarbeiter aber auf die Einhaltung der DS-GVO hinweisen und zu deren Einhaltung verpflichten. Der Datenschutz ist nur so gut wie die Mitarbeiter ihn umsetzen können – dazu gehört eine gute Informationspolitik (Mehr zum Thema Mitarbeiterschulungen finden Sie hier).
Neben den IT-Sicherheitsvorkehrungen, die in Systemen getroffen werden (Passwörter, automatisches Sperren des Bildschirms, Firewall usw.), muss der Datenschutz auch ganz analog eingehalten werden. Die zu schützenden personenbezogenen Daten sollten nicht für jeden frei zugänglich, Schränke und Räume abschließbar sein usw.
Die meisten Arbeitgeber lassen die Mitarbeiter seit Einführung der DSGVO auch Datenschutzbelehrungen oder Datenschutzverpflichtungen unterschreiben. Wenn Sie als Mitarbeiter dies abzeichnen, dann sollten Sie auch sensibel mit dem Thema umgehen. Immerhin bestätigen Sie mit Ihrer Unterschrift, dass Sie sich zur Einhaltung verpflichten. Lesen Sie sich genau durch, auf was Sie zu achten haben und bestehen Sie auch darauf, dass man Sie regelmäßig zu diesem Thema auf dem Laufenden hält, denn nur so kann der Datenschutz umgesetzt werden.
Betroffenenrechte im Alltag richtig umsetzen
Dreh- und Angelpunkt der DSGVO sind im Grunde die Betroffenenrechte. Zu diesen zählen zum Beispiel die Informationspflicht bei der Datenerhebung, das Auskunftsrecht und Recht auf Löschung, aber auch viele weitere. Im Alltag als Mitarbeiter, werden Sie wohl auf die genannten drei Rechte am ehesten stoßen. In der Regel kommen die Anfragen zu diesen Rechten nämlich zuerst beim Mitarbeiter an, der mit dem Betroffenen Kontakt hat.
Die Informationspflicht bei der Datenerhebung sollte durch das Unternehmen festgelegt und mit entsprechenden Dokumenten belegt sein. Trotzdem muss der Mitarbeiter darauf hingewiesen werden, wie und wann er diese aushändigen muss. Wann immer die Daten verarbeitet werden, muss der Betroffene darüber informiert werden und ggf. sein Einverständnis zur Verarbeitung geben – bei Vertragsabschluss genauso wie beim Newsletterversand oder bei einer Kundenumfrage. Schon hier kann es zu Verletzungen im Datenschutz kommen, die neben der Nichtigkeit des Vertrags auch Strafen für das Unternehmen mit sich bringen können.
Wenn ein Kunde vom Auskunftsrecht oder dem Recht auf Löschung Gebrauch machen möchte, stellt er in der Regel eine Anfrage an den Datenschutzbeauftragten oder an einen Mitarbeiter. Im Fall der Löschung sollte von einem Fachmann im Unternehmen geprüft werden, ob die Daten gelöscht werden können. Hierbei gelten die gesetzlichen Löschfristen. Natürlich sollten die Daten nach Ablauf der Aufbewahrungspflicht automatisch gelöscht werden und ein entsprechendes Löschkonzept vorliegen (Recht auf Vergessenwerden).
Beim Auskunftsrecht sollte ebenfalls ein Fachmann damit betraut werden, die Daten, die gesammelt wurden an den Betroffenen zu geben. Wichtig hierbei: stellen Sie vor der Abgabe von Daten immer sicher, dass es sich auch wirklich um den Betroffenen handelt – allzu leicht können Betrüger Daten Fremder abrufen und verwenden. Besonders wichtig bei den Betroffenenanfragen ist die Einhaltung der Fristen, bis wann eine Auskunft erteilt werden muss. In der DSGVO finden wir dazu folgende, klare Definition:
Artikel 15 bis 22 definieren die Betroffenenrechte. Unter gewissen Voraussetzungen kann diese Frist auch verlängert werden, das muss aber gründlich belegt werden. Das bedeutet in der Praxis haben Unternehmen einen Monat Zeit, um auf die Anfragen von den Betroffenen zu reagieren – ein Mitarbeiter sollte eine solche dann auch direkt bearbeiten oder weiterleiten, um keine unnötige Zeit verstreichen zu lassen.
Datenpannen melden
Datenschutz und die Einhaltung der Betroffenenrechte beziehen sich übrigens nicht nur auf digital gesammelte Daten. Alles was, auch handschriftlich, über eine Person erfasst wurde, muss dabei berücksichtig werden. Ein entsprechendes Datenschutzmanagmentsystem auf Grundlage von gut geführten Verarbeitungsverzeichnissen (VVT) und technisch-organisatorischen Maßnahmen (TOMs) sollte daher in jedem Unternehmen geführt werden.
Trotz aller Vorsorge: Im Arbeitsalltag kommt es auch vor, dass Mitarbeitern Datenpannen unterlaufen. Schnell ist eine E-Mail oder ein Brief an die falsche Adresse verschickt worden. Solche Verletzungen im Datenschutz müssen ggf. an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden (siehe dazu auch unser Blog). Wenn einem Mitarbeiter also auffällt, dass eine Datenschutzpanne vorliegt, muss er den Verantwortlichen oder den (externen) Datenschutzbeauftragten darüber informieren.
Wichtig sollte dabei sein, dem Mitarbeiter die Angst vor dieser Meldung zu nehmen. Eine Meldung einer Datenpanne ist meist mit einer entsprechenden Vorgehensweise straffrei. Ihnen als Mitarbeiter sollte aber auch klar sein, dass eine Datenpanne, die nicht durch den Verantwortlichen des Unternehmens gemeldet wurde, sondern dann durch einen Betroffenen gemeldet wird, meist Konsequenzen und Sanktionen mit sich bringt. Es macht also Sinn, lieber einmal mehr eine vermeintliche Datenpanne an den Verantwortlichen weiter zu geben.
Dabei sollte man wissen, dass Datenschutz Chefsache ist. Der Verantwortliche der Firma trägt die Verantwortung für die Einhaltung des Datenschutzes und hat die Aufgabe alle Maßnahmen dazu in die Wege zu leiten und zu beaufsichtigen. Auch wenn der Mitarbeiter gegenüber der Aufsichtsbehörde nicht in der Verantwortung steht: vor möglichen arbeitsrechtlichen Folgen bei der Nicht-Einhaltung der Datenschutzgrundverordnung, vor allem wenn er ausreichend darüber informiert wurde, ist der Mitarbeiter dabei natürlich nicht geschützt.
TOP 10 im Datenschutz
Als Mitarbeiter gibt es wichtige Regeln, die Sie im Büro bei der Einhaltung des Datenschutzes (neben den betrieblichen Vorgaben) einhalten sollten. Wir haben für Sie unsere Datenschutz TOP-TEN zusammengefasst:
- Lassen Sie keine Unterlagen mit personenbezogenen Daten auf dem Schreibtisch, im Drucker oder Kopierer liegen.
- Vernichten Sie alle Papierdokumente und Datenträger mit personenbezogenen Daten im Schredder (nach DIN 66399 – siehe auch unser Blog: Datenvernichten aber richtig).
- Sperren Sie PC oder Notebook immer, wenn Sie den Schreibtisch verlassen.
- Sichere Passwörter bestehen aus mind. 12 Stellen, Klein- und Großbuchstaben, Ziffern und Satzzeichen. Geben Sie Ihre Passwörter niemals weiter, auch nicht an Kollegen.
- Veröffentlichen Sie ungefragt keine Fotos von Freunden oder Kollegen auch nicht in den sozialen Netzwerken.
- Vorsicht bei E-Mails mit Links oder Anhängen, diese können Viren oder Schadsoftware enthalten.
- Wählen Sie für personenbezogene Daten möglichst gemeinsame Speicherorte, auf die nur Kollegen Zugriff haben.
- Sprechen Sie in der Öffentlichkeit nicht über Geschäftsgeheimnisse oder personenbezogene Daten.
- Jede Datenschutzpanne (z.B. Verlust des USB-Sticks, falsch verschickte E-Mail) und jeden ungewöhnlichen Vorgang sollten Sie Ihrem Datenschutzbeauftragten melden.
- Informationspflicht gegenüber Betroffenen: Leiten Sie Anfragen zu personenbezogenen Daten immer sofort an den entsprechenden Ansprechpartner weiter.
Datenschutzpflichten – mit dem Datenschutzbeauftragten zusammenarbeiten
Um den Datenschutz in einem Unternehmen sicher aufzubauen und einzuhalten, sollte ein Fahrplan erstellt werden. Das schon erwähnte Datenschutzmanagementsystem kann dabei Ziel und Hilfsmaßnahme gleichzeitig sein, genauso wie der Mitarbeiter unverzichtbares Element im Datenschutz ist. Mitarbeiter sollten eine gemeinsame Plattform haben, auf denen Sie auf die Datenschutzvorgaben und deren Maßnahmen zur Umsetzung zugreifen können. Fragen Sie als Mitarbeiter nach diesen Vorgaben.
Der Datenschutzbeauftragte – egal ob intern oder extern – sollte vom Mitarbeiter als Ansprechpartner angesehen werden. Wenden Sie sich bei Fragen an den Zuständigen und arbeiten Sie aktiv mit ihm zusammen. Nur so können Datenpannen und Schäden für das Unternehmen vorgebeugt werden.
Ein Datenschutzberater kann in verschiedenen Funktionen helfen, den Datenschutz im Unternehmen, gemeinsam mit den Mitarbeitern umzusetzen. Datenschutzberater.NRW bietet für eine erste Aufnahme die Datenschutz-Erstberatung oder längerfristig und regelmäßig ein Datenschutz-Audit an. Als externer Datenschutzbeauftragter können wir schnell und praxisnah für Ihr Unternehmen im Datenschutz reagieren oder den internen Datenschutzbeauftragten mit unserer Arbeit unterstützen. Wir bieten auch das richtige Konzept für Mitarbeiterschulungen an.
Zusätzlich bietet unser Team aus dem Bereich Datenschutz, IT-Sicherheit und Buchhaltung ein umfassendes, praxisnahes und aufeinander abgestimmtes Konzept für unsere Mandanten in Köln, Bonn, Düsseldorf und ganz NRW an – auch in den Bereichen GoBD-Beratung und IT-Sicherheit.
Fordern Sie gerne direkt ein Angebot an.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.