Die rechtliche Lage zur Verarbeitung personenbezogener Daten
Seit der Veröffentlichung der Datenschutzgrundverordnung 2016 hat die EU die Regelungen zur Verarbeitung persönlicher Daten vereinheitlicht. Der Gesetzgeber stärkte damit den Schutz dieser Daten sowie deren Betroffener.
Jedoch nicht in allen Unternehmen herrscht ausreichendes Bewusstsein darüber, wie weit der Schutz geht und welche Pflichten bestehen. Aufgrund der Vielschichtigkeit der Thematik ist die Einbindung externer Berater oder Datenschutzbeauftragter ratsam, um Fehler zu vermeiden. Datenschutzverstöße können Unternehmen teuer zu stehen kommen. Die Behörden nehmen Datenschutz besonders ernst und verhängen bei Pflichtverletzungen empfindliche Strafen. Auch wenn ein externer Berater oder Datenschutzbeauftragter eingesetzt wird, sollten Verantwortliche sich sorgfältig mit dem Thema auseinandersetzen, um deren Arbeit zu verstehen und Verbesserungsmöglichkeiten im eigenen Unternehmen zu identifizieren.
Zunächst müssen Verantwortliche dafür den Begriff der personenbezogenen Daten verstehen. Darunter versteht der Gesetzgeber Informationen, die eindeutig einer Person zugeordnet werden können und damit Rückschlüsse auf sie zulassen. Beispiele hierfür sind Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Kreditkartennummer, IP-Adressen. Neben den allgemeinen persönlichen Daten gibt es darüber hinaus besonders schützenswerte Aspekte wie Gesundheitsdaten, sexuelle Orientierung, Gewerkschaftszugehörigkeit und andere Meinungen.
Wann dürfen Sie personenbezogene Daten verarbeiten?
Unter die Verarbeitung personenbezogener Daten fallen sowohl das Erheben, Nutzen, Verändern, Übermitteln und Speichern als auch deren Löschung. All diese Aktivitäten dürfen nur durchgeführt werden, wenn diese durch ein Gesetz erlaubt sind oder wenn die betroffene Person dazu eingewilligt hat. Grundsätzlich ist daher alles verboten, was nicht ausdrücklich erlaubt ist. Dies nennt man in der Fachsprache Verbot mit Erlaubnisvorbehalt. Einwilligungen Betroffener müssen freiwillig und informiert erfolgen. Neben der Einholung der Zustimmung sind Verantwortliche verpflichtet, über den möglichen Widerruf unmissverständlich zu informieren. Von Gesetzeswegen ist die Verarbeitung personenbezogener Daten dann erlaubt, wenn vertragliche Verpflichtungen wie zum Beispiel Lieferbeziehungen zwischen den Parteien bestehen. Außerdem ist eine Verarbeitung dann zulässig, wenn übergeordnete öffentliche oder lebenswichtige Interessen im Vordergrund stehen. Eine Datenschutzberatung hilft Verantwortlichen dabei, die Einhaltung gesetzlicher Vorgaben sicherzustellen.
Der Gesetzgeber stellt an die Verarbeitung personenbezogener Daten eine Reihe von Voraussetzungen. Der Grundsatz der Zweckbindung gibt vor, dass Daten nur für den Verarbeitungszweck genutzt werden dürfen, für den sie erhoben wurden. Unternehmen sollen darüber hinaus so wenige Daten wie notwendig für die Zweckerfüllung erfassen.
Vorgaben nicht eindeutig, nur gewisse Ausnahmen zulässig
Als Arbeitgeber dürfen Unternehmen die für die Begründung, Durchführung sowie Beendigung des Beschäftigungsverhältnisses notwendigen personenbezogenen Mitarbeiterdaten verarbeiten. Was zunächst eindeutig klingt, bringt jedoch eine gewisse Rechtsunsicherheit mit sich. Die gesetzlichen Erlaubnistatbestände sind nämlich recht weich formuliert. Aufgrund des Abhängigkeitsverhältnisses zwischen Arbeitgeber und Arbeitnehmer ist auch das Einholen einer Einwilligung des Arbeitsnehmers keine endgültige Rechtssicherheit bringende Maßnahme. Im Grundsatz dürfen nur so wenige Daten der Mitarbeiter wie notwendig verarbeitet werden. Nicht zulässig sind heimliche Überwachung am Arbeitsplatz, personenbezogene Telefongespräche aufzeichnen oder Videoüberwachung.
Ausnahmen davon sind nur erlaubt, wenn die Maßnahmen der Wahrung übergeordneter berechtigter Interessen dienen oder ein konkreter Verdacht gegen den Mitarbeiter vorliegt. Ein Beispiel kann der Schutz des Hausrechts in öffentlich zugänglichen Gebäudeteilen durch Videoüberwachung sein. Unter bestimmten Voraussetzungen können beispielsweise stichprobenartige Mitschnitte von Telefongesprächen zu Schulungszwecken und Qualitätssicherung zulässig sein. Auch Krankendaten dürfen nur im Rahmen des berechtigten Interesses, zum Beispiel für die Lohnfortzahlung im Krankheitsfall, verarbeitet werden. Unternehmen benötigen außerdem Löschkonzepte für die personenbezogenen Daten beendeter Arbeitsverhältnisse. Die Datenlöschung kann nur erfolgen, wenn die Zweckbindung entfällt und keine Aufbewahrungsfristen bestehen. In Zeiten mobilen Arbeitens müssen sich Verantwortliche außerdem über Datenschutz im Homeoffice informieren.
Ein Fall für den Datenschutzbeauftragten
Die Einhaltung der Datenschutzgrundverordnung ist für Unternehmen sowohl in Bezug auf Kunden- als auch auf Mitarbeiterdaten ein komplexes Feld. Es wird klar, dass die Bewertung unterschiedlicher Tatbestände zur Verarbeitung personenbezogener Daten Expertensache ist und keine pauschalen Antworten kennt. Durch das Einbinden professioneller, externer Datenschutzbeauftragter sichern sich Unternehmen gegen mögliche Risiken und empfindliche Strafen ab.
Wir haben außerdem zwei Beiträge zum Bundesdatenschutzgesetz, die in dem Zusammenhang interessant sein könnten. Hier geht es zu: Bundesdatenschutzgrundgesetz Teil 1 und Bundesdatenschutzgrundgesetz Teil 2
Bild: AdobeStock_201706189, jirsak