Wenn ein Unternehmen neue Mitarbeitende einstellt, bedeutet das nicht nur eine Vergrößerung des Teams sowie neue Chancen und Ressourcen für das Unternehmen. Es bedeutet auch eine Menge Arbeit unmittelbar vor und nach dem Unterschreiben des Arbeitsvertrages. Denn sowohl Arbeitnehmende und Arbeitgebende haben bestimmte Datenschutzvorgaben zu erfüllen.
Ein Mitarbeiter hat an seinem Arbeitsplatz in der Regel auch mit personenbezogenen Daten zu arbeiten. Deswegen muss der Mitarbeiter auch über den DSGVO-konformen Umgang mit diesen Daten informiert und geschult werden. Wie das geht zeigt unser Blog.
Neue Mitarbeitende auf Vertraulichkeit verpflichten
Wenn neue Mitarbeitende in das Unternehmen eintreten, muss das Unternehmen sie darauf verpflichten, nicht nur mit den internen Informationen über das Unternehmen oder der Firma vertraulich umzugehen. Die DSGVO verlangt außerdem vom Arbeitgeber, dass er die Arbeitnehmenden auf Vertraulichkeit beim Umgang mit personenbezogenen Daten verpflichtet.
Diese Verpflichtung sollte schriftlich erfolgen und, weil sie eine gesetzliche Vorgabe ist, nicht Teil des Arbeitsvertrages sein. Stattdessen sollte der Arbeitnehmer mit einem entsprechenden Formular über die Pflichten bezüglich des Datenschutz‘ informiert werden. Wenn dieses von den Arbeitnehmenden unterzeichnet worden ist, wird das Dokument in der Personalakte hinterlegt.
Mitarbeitende über die Nutzung personenbezogener Daten informieren
Genauso wie ein entsprechendes Formular die Nutzer einer jeden Webseite über die Nutzung personenbezogener Daten informiert, oder gegenwärtig ein entsprechender Hinweis auf jedem Tisch eines Restaurants ausliegt, müssen Arbeitgeber auch ihre Beschäftigten darüber informieren, wie sie ihre personenbezogenen Daten nutzen oder weitergeben.
Die DSGVO verlangt sehr weitreichende Informationspflichten von allen, die personenbezogene Daten verarbeiten. Deswegen passt der Hinweis über die Datenverarbeitung in keinen Arbeitsvertrag. Auch hier sollte das Unternehmen neue Mitarbeitende in einem separaten Dokument über die Nutzung ihrer Daten wie Kontakt- und Kontodaten informieren. Das ist vor allem dann wichtig, wenn die Auszahlung der Gehälter über eine dritte Stelle erfolgt.
Anders als bei der Verpflichtung aus Vertraulichkeit müssen Mitarbeiter die Information zwar nicht unterschreiben, aber eine entsprechende Gegenzeichnung schadet auch nicht.
Nutzt das Unternehmen Fotos der Mitarbeitenden?
Wenn beispielsweise auf einer Firmenfeier Fotos von den Mitarbeitenden gemacht werden und jemand diese auch nur intern verbreitet, sollten sich Arbeitgeber im Vorfeld die Zustimmung ihrer Arbeitnehmenden einholen. Das gilt insbesondere für den Fall, wenn ein Unternehmen einen aktiven Social Media Auftritt pflegt und hier regelmäßig Fotos von seinen Mitarbeitenden präsentiert.
Diese Einwilligung sollte schriftlich erfolgen, damit diese, wenn nötig, auch dokumentiert werden kann.
Datenschutz in der IT-Infrastruktur
Besonders wichtig ist der sorgsame Umgang mit personenbezogenen Daten in der IT-Infrastruktur des Unternehmens. Wenn ein unbefugter Zutritt zu einem Firmencomputer nimmt, könnte er schlimmstenfalls hunderte Kundendaten abgreifen. Daher sollte ein Unternehmen seine Mitarbeitenden nicht nur über den richtigen Umgang mit den Geräten informieren, sondern auch dahingehend schulen.
Wichtig ist, dass das Unternehmen die Mitarbeitenden über klare Regeln mit personenbezogenen Daten am Arbeitsplatz (Daten auf Papier und mobilen Datenträgern einschließen), den sicheren Umgang mit Passwörtern und über den Arbeitsablauf im Home Office informiert.
Dies kann bestenfalls zusammen mit einer Schulung zur Internetnutzung am Arbeitsplatz geschehen.
Wenn die IT-Abteilung Zugriffsrechte für die neuen Mitarbeitenden einrichtet, muss sie darauf achten, dass diese nur auf die Daten zugreifen können, die sie auch für ihre Arbeit nutzen müssen. Außerdem muss anschließend immer wieder überprüft werden, ob dieses Need-to-Know-Prinzip auch eingehalten wird. Rechte, die für die Arbeit nicht mehr benötigt werden, muss die IT-Abteilung den Mitarbeitenden dann entziehen und ggf. zu einem späteren Zeitpunkt wieder erteilen.
Regelmäßig Schulung der Mitarbeitenden über den Datenschutz
Der Gesetzgeber verpflichtet Arbeitgeber dazu, seine Mitarbeitenden regelmäßig hinsichtlich des Datenschutz‘ zu schulen. Diese Schulung übernimmt im Normalfall der Datenschutzbeauftragten des Unternehmens. Er legt auch die Inhalte der Schulung fest – denn die DSGVO schweigt sich hinsichtlich der Inhalte dieser Schulungen aus. Wichtig ist, dass alle Mitarbeitenden einen soliden Überblick über die Grundregeln des Datenschutz‘ erhalten und verstehen, warum dieser so wichtig ist.
Sie sollten erfahren, wann personenbezogene Daten verarbeitet werden dürfen, von wem, und wie personenbezogene Daten geschützt werden. Außerdem sollten sie darüber informiert werden, welche Daten besonders schützenswert sind. Dazu kommen Schulungen über die richtige IT-Sicherheit.
Die Schulung sollte das erste Mal unmittelbar nicht Arbeitsantritt stattfinden und anschließend regelmäßig, also alle ein bis zwei Jahre, wiederholt werden.
