Datenauskunft als Datenpanne? 

Die Umsetzung der EU-DSGVO bereitet gerade bei den Betroffenenrechten weiterhin Probleme. So haben Unternehmen oftmals noch keinen richtigen Prozess, um Auskunftsersuchen datenschutzgerecht nachzukommen. 

Auskunftsersuchen als richtigen Prozess im Unternehmen

Beschäftigtendatenschutz Teil 1 - "Der Bewerbungsprozess"

Ein einheitliches Arbeitsrecht existiert nicht. Die Regelungen sind verstreut über das Einkommensteuergesetz, das vierte Sozialgesetzbuch und letztlich auch über die EU-DSGVO und BDSG-neu. Hier folgen einige Tipps für Arbeitgeber aus dem Datenschutzrecht. Teil 1 dieser Serie beschäftigt sich mit dem Fragerecht im Bewerbungsprozess.

Beschäftigte nach § 26 Abs. 8 BDSG-neu

Das neuen Bundesdatenschutzgesetz hat den Begriff Beschäftigte in § 26 Abs. 8 sehr weit gefasst und gewährleistet somit einen umfassenden Schutz - auch für alle Bewerberinnen und Bewerber.

Der Bewerbungsprozess steckt voller Tücken.

Was muss der Arbeitgeber beachten?

Im Bewerbungsprozess treffen Bewerber und der neue potentielle Arbeitgeber zum ersten Mal aufeinander. Der Bewerber versucht sich mit den Bewerbungsunterlagen von der besten Seite zu zeigen und der Arbeitgeber strebt an, möglichst viele Informationen zu bekommen. Doch bereits hier gibt es einiges zu beachten...

Datenschutz-Praxis: Ausgeschiedene Mitarbeiter als Adressaten von E-Mails – was tun mit den Mails?

Hier mal wieder ein typischer Fall aus unserer Datenschutz-Praxis: Datenschutz im "Offboarding-Prozess". Ein Mitarbeiter scheidet also aus dem Unternehmen aus. Kann der Arbeitgeber den E-Mail-Account dieses Mitarbeiters einfach schließen? Können die E-Mails an einen Kollegen weitergeleitet werden? Wie ist mit E-Mails umzugehen, die ausdrücklich an ihn gerichtet sind? Das Bayerische Landesamt für Datenschutzaufsicht bietet in seinem Tätigkeitsbericht für 2015/2016 einige Orientierungshilfen für diese Fragen.

Existieren schon Regelungen zum Offboarding?

Vorab sei auf Folgendes hingewiesen: Falls zu diesem Thema eine Betriebsvereinbarung / Verfahrensanweisung / Arbeitsanweisung existiert, ist alles klar. Es gelten die darin getroffenen Regelungen. Manchmal treffen das Unternehmen und der ausscheidende Mitarbeiter auch eine ausdrückliche Vereinbarung bezüglich der E-Mail-Accounts und der nach dem Ausscheiden eingehenden E-Mails, etwa in einem Aufhebungsvertrag. Schön für alle Beteiligten! Denn das schafft Klarheit.

Eingehende E-Mails für ausgeschiedene Mitarbeiter - ein Datenschutz-Problem

Und wenn nicht?

Aber was ist, wenn es an Beidem fehlt? Vielleicht lässt sich noch über eine einvernehmliche Regelung reden. Aber manchmal erscheint das kaum vorstellbar, etwa nach einer fristlosen Kündigung. In solchen Fällen hilft die Meinung der Datenschutzaufsicht weiter.

Einwilligung von Kunden in mangelhafte Datensicherheit möglich?

Datenschutz macht Arbeit. Das gilt besonders für Maßnahmen der Datensicherheit, wie etwa die Verschlüsselung von E-Mails. Kann man sich solche Mühen sparen, wenn ein Kunde damit ausdrücklich einverstanden ist?

Datensicherheit verlangt Differenzierung

Gleich zu Beginn eine Klarstellung: Nein, es steht nirgends in der EU-Datenschutzgrundverordnung (EU-DSGVO), dass E-Mails immer verschlüsselt werden müssten. Aber die EU-DSGVO verlangt, dass man sich Gedanken darüber macht, wann dies nötig ist. Wir sprechen hier von einer "risikobasierten Vorgehensweise". Die sehr umfangreiche Regelung über die Sicherheit der Verarbeitung in Art. 32 EU-DSGVO zwingt Unternehmen dazu, sich zu entscheiden. Ist das Risiko für den Datenschutz so hoch, dass eine Verschlüsselung notwendig ist?Oder ist das nicht der Fall?

Einwilligung von Kunden in mangelhafte Datensicherheit möglich?

Der Zwang zur Entscheidung gilt auch für viele andere Fragen rund um die Sicherheit der Verarbeitung. So ist etwa eine Entscheidung nötig, wie intensiv eine Zugangskontrolle sein muss. In einem großen Rechenzentrum wird sie sicher anders aussehen als in einer Werbeagentur mit einigen wenigen Kundenlisten. Oder nehmen Sie nur ein Krankenhaus als Beispiel...

E-Mail-Verschlüsselung - Was fordert die EU-DSGVO?

Die EU-Datenschutzgrundverordnung (EU-DSGVO) nennt Verschlüsselung als Maßnahme für die Sicherheit der Verarbeitung personenbezogener Daten. Müssen deshalb alle E-Mails von nun an verschlüsselt werden?

Werbung übertreibt gern

Wenn Sie eine Computer-Zeitschrift zur Hand nehmen, begegnen Ihnen in der letzten Zeit viele Werbeanzeigen, die aussagen, mit der EU-DSGVO sei nun die Zeit gekommen, dass alle E-Mails komplett verschlüsselt werden müssen, vom Absender bis zum Empfänger (Ende-zu-Ende-Verschlüsselung).

Fordert die EU-DSGVO die E-Mail-Verschlüsselung?

So wichtig eine Verschlüsselung im Internet auch ist: So mancher Anbieter von Verschlüsselungslösungen übertreibt und verkürzt die Forderungen der EU-DSGVO derart, dass man den Eindruck bekommen kann, unverschlüsselte E-Mails zu verschicken, wäre grundsätzlich eine Datenschutzverletzung. Das stimmt so nicht!