Die wichtigsten Dos and Don’ts für Führungskräfte im Datenschutz

Datenschutz ist nicht nur ein Thema für IT-Abteilungen oder Datenschutzbeauftragte – auch Führungskräfte tragen eine entscheidende Verantwortung. Wer in leitender Position arbeitet, muss sicherstellen, dass datenschutzrechtliche Vorgaben eingehalten werden und die Mitarbeitenden entsprechend sensibilisiert sind. In diesem Beitrag zeigen wir die wichtigsten Dos and Don’ts für Führungskräfte im Datenschutz.

Dos: Diese Maßnahmen sollten Führungskräfte ergreifen

Datenschutz als Führungsaufgabe anerkennen

Datenschutz managen bedeutet ein Auge auf die Einhaltung der Datenschutzgrundsätze in allen Arbeitsbereichen zu haben und die Prozessvorgaben aus dem Managementsystem umzusetzen. Dies alles dient der Rechenschaftspflicht des Unternehmens, die verlangt, dass das Unternehmen nachweisen kann, wie die Datenschutzgrundsätze eingehalten werden.

Den „Plan-Do-Check-Act-Zyklus“ auf Datenverarbeitungen angewendet, sollte jede Datenverarbeitung vor Ausführung genau beschrieben und am Maßstab der Datenschutzgrundsätze geprüft werden. Bei neuen Datenverarbeitungen sollte der Datenschutzbeauftragte eingebunden werden, ob die geplante Datenverarbeitung den Datenschutzgrundsätzen standhält.

Datenverarbeitung nur mit Rechtsgrundlage

Jede Datenverarbeitung braucht eine Rechtsgrundlage. Eine Einwilligung ist als Rechtsgrundlage im Beschäftigungskontext schwer abzubilden. Nur für wenige Bereiche, in welchen Mitarbeitende tatsächlich keine Nachteile zu erwarten haben und es eine annehmbare Alternative gibt, ist die Einwilligungslösung ratsam. So zum Beispiel, wenn das Geburtsdatum für die persönliche Gratulation und Bekanntgabe im Team genutzt werden soll.

Transparenz gewährleisten

Mitarbeitende, Kunden und Geschäftspartner haben das Recht zu wissen, wie ihre Daten verarbeitet werden. Jederzeit sollte sichergestellt werden, dass die betroffenen Personen klar und in einfacher Sprache zum Zeitpunkt der Datenerhebung über die einzelnen Verarbeitungszwecke in den Datenschutzhinweisen informiert werden.

Werden beispielsweise Videoüberwachungskameras installiert, so werden Filmaufnahmen von Beschäftigten und Dritten erstellt. Ein neuer Zweck zur Datenverarbeitung ist damit gegeben und muss in den Datenschutzinformationen ergänzt werden. Zudem müssen alle Personen über die Videoüberwachung informiert werden, bevor sie in den Aufnahmewinkel eintreten.

Dateminimierung und Zweckbindung

Eine Datenverarbeitung muss auf den Umfang reduziert sein, den der Zweck erfordert. Vor Freigabe von Formularen ist zu prüfen, ob alle Eingabefelder für das gewünschte Ergebnis notwendig sind. Das gilt nicht nur für Formulare, sondern auch intern zum Beispiel für Anfragen an die Personalabteilung, bestimmte Informationen von Beschäfigten zu erhalten. Listen mit Geburtstagen, Personalnummern, privaten Anschriften und Entgeltangaben sind oftmals Einfallstore für Datenschutzvorfälle. Auch wenn eine Führungskraft diese Daten kennen darf, sollten daraus nur die für die konkrete Aufgabenstellung erforderlichen Angaben herangezogen werden. Die Angaben sollten auf das Notwendige reduziert werden.

Die Einhaltung der Zweckbindung ist auch bei besten Absichten wichtig. Eine personenbezogene Auswertung von Krankheitstagen verbunden mit Lob an die gesunden Beschäftigten stellt eine unzulässige Zweckänderung von besonderen personenbezogenen Daten dar und kann zu Bußgeldern führen.

Professionelle Einbindung von Dienstleistungsunternehmen

Sofern Dienstleistungsunternehmen personenbezogene Daten erhalten, ist in den meisten Fällen eine Datenschutzvereinbarung mit dem Unternehmen erforderlich. Das Datenschutzteam sollte frühestmöglich eingebunden werden, um den Vertrag und die grundlegende Zulässigkeit der Einbindung des Unternehmens sicherzustellen.

Leiten Führungskräfte selbst Teams, wo sie von Kunden personenbezogenen Daten zur Verarbeitung bereitgestellt werden, ist die Einhaltung der Vorgaben des Art. 28 DSGVO erforderlich. Weisungen des Kunden sind zu prüfen und zu dokumentieren, es ist sicherzustellen, dass die bereitgestellten Daten getrennt und vor allem nicht für eigene Zwecke verarbeitet werden.

Datenschutzvorfälle professionell managen

Tritt eine Datenpanne auf, sollte diese sofort gemeldet und dokumentiert werden. Umgehend sollten die IT, falls vorhanden die Informationssicherheitsabteilung und der Datenschutzbeauftragte hinzugezogen werden. Ob eine Meldung an die Aufsichtsbehörde erforderlich ist oder nicht, hängt vom Umfang und von der Auswertung vorliegender Informationen ab. Daher ist eine sofortige koordinierte Aufklärung von Vorfällen erforderlich. Die 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde muss eingehalten werden, falls eine Meldepflicht besteht – über die Meldung entscheidet in der Regel die Geschäftsführung.

Don’ts: Diese Fehler sollten vermieden werden

Unstrukturierte Datenspeicherung und unbefugte Zugriffe

Personenbezogene Daten sollten nicht unstrukturiert und ohne klare Zugriffsbeschränkungen abgelegt werden. Alte, nicht mehr benötigte Daten müssen regelmäßig gelöscht werden.

Interne Ermittlungen ohne Klärung der Rechtsgrundlage

Sofern der Verdacht besteht, dass Beschäftigte sich nicht an die internen Vorschriften halten oder gar Arbeitszeitbetrug begehen, sollte niemals auf eigene Faust gehandelt werden. Zunächst sind die rechtlichen Voraussetzungen für die Durchführung von internen Ermittlungen zu klären und dann möglichst gerichtsfest die Daten zu erheben. Die Personalabteilung, die Rechtsabteilung, der Datenschutzbeauftragte und – falls vorhanden – der Betriebsrat sollten eingebunden werden.

Bewerberdaten im E-Mailpostfach

Organisationen ohne professionelle Bewerbermanagementsysteme stehen vor der Herausforderung, Führungskräfte so einzubinden, dass diese Zugriff auf alle Bewerbungsunterlagen erhalten und diese gleichzeitig nach Ablehnung gelöscht werden. Sofern Bewerberdaten per E-Mail übermittelt werden, sollten diese nicht archiviert und gespeichert werden. Eine gute Lösung ist ein Zugriff auf einen Unterordner des Bereichs im Bewerberpostfach oder ein entsprechend freigegebener Dateiordner.

Ungeordnete Speicherung von Informationen zu Beurteilung von Beschäftigten

Leistungsbeurteilungen sind Teil der Aufgaben einer Führungskraft. Die Erstellung einer Übersicht mit einer ungeordneten Sammlung von Informationen über die Beschäftigten, etwaig mit Bemerkungen zur Arbeitsmoral, wer gerne freitags krank ist aber samstags tolle Bilder auf Social Media postet, wer sich öffentlich radikal äußert oder Psychotherapie in Anspruch nimmt, würde gegen alle Datenschutzgrundsätze verstoßen.

Für den Zweck der Durchführung des Arbeitsverhältnisses und Verbesserung der Arbeitsabläufe ist die Notiz von Fähigkeiten von Beschäftigten erforderlich und zulässig. Zusätzliche Informationen, wie das Rauchen oder private Informationen aus Social Media greifen in die persönliche Sphäre von Beschäftigten ein und dürfen nicht zur Leistungsbeurteilung herangezogen werden.

Die Vorgabe einer zentral von der Personalabteilung festgelegten, einheitlichen Bewertungsstruktur für alle Beschäftigten mit entsprechenden Zugriffsberechtigungen hat sich in der Praxis bewährt.

Fazit: Datenschutz als integraler Bestandteil der Führungskultur

Führungskräfte spielen eine zentrale Rolle bei der Umsetzung des Datenschutzes im Unternehmen. Wer Datenschutz als kontinuierlichen Prozess versteht und aktiv fördert, schützt nicht nur sensible Daten, sondern auch das Vertrauen von Kunden, Mitarbeitenden und Partnern. Indem Führungskräfte die Dos befolgen und die Don’ts vermeiden, tragen sie maßgeblich zur Datenschutz-Compliance und zur Stärkung der Unternehmenskultur bei.

EU-U.S. Data Privacy Framework seit dem 10. Juli 2023

Das EU-U.S. Data Privacy Framework Zulässigkeit von Datenübermittlungen in die USA Seit dem 10. Juli 2023 liegt das neu EU-U.S. Data Privacy Framework vor. Es sorgt für eine rechtliche Grundlage, personenbezogene Daten in zulässiger Weise an US-amerikanische Unternehmen zu übermitteln, sofern diese Unternehmen dem EU-U.S. Data Privacy Framework beigetreten sind.

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) Am 01.12.2021 tritt das neue Telekommunikation-Telemedien-Datenschutz-Gesetz, kurz TTDSG in Kraft und enthält Neuerungen für Unternehmen, Websitebetreiber und Agenturen, die Telekommunikationsdienste oder Telemedien benutzen. Das TTDSG muss bei der Nutzung von Over-the-top Kommunikationsdiensten beachtet werden sowie bei dem Setzten von Cookies.

Neue EU-Standardvertragsklauseln

Neue EU-Standardvertragsklauseln Datenaustausch mit Unternehmen im Drittland durch neue Standardvertragsklauseln bis 27. Dezember 2022 absichern Die EU-Standardvertragsklauseln (SCC) geben datenschutzrechtliche Bedingungen für die Übermittlung von personenbezogenen Daten in Drittländer außerhalb der Europäischen Union wieder. Seit dem 16. Juli 2020 sind die SCC durch den Europäischen Gerichtshof als gültiges Instrument für die Bestätigung eines angemessenen Schutzniveaus […]

Übermittlung personenbezogener Daten in die USA

Übermittlung personenbezogener Daten in die USA Was tun ohne Privacy Shield? Zusätzliche Garantien als „Must Have“! Seitdem der Europäische Gerichtshof in seinem Urteil C-311/18 vom 16.07.2020 („Schrems II“) die Ungültigkeit des EU-U.S. Privacy Shield Abkommens erklärt hat, gibt es keinen klaren Fahrplan für die Zulässigkeit von Datenübermittlungen aus der EU in die USA. Wir möchten […]

Löschfristen und Nachweis der Löschung

Löschfristen und Nachweis der Löschung Elektronischer Speicherplatz verursacht heutzutage nahezu keine Kosten mehr. Daher geht die Unternehmenspraxis zumeist den Weg, jegliche Daten einfach aufzubewahren. Das erleichtert, zukünftig Datenanalysen durchzuführen und den unterschiedlichen gesetzlichen Aufbewahrungspflichten nachzukommen. Für viele Daten ist das auch kein Problem und datenschutzrechtlich zulässig.

Update Brexit und Datenschutz: DSGVO nicht mehr anwendbar?

Update Brexit und Datenschutz: DSGVO nicht mehr anwendbar? Bis zum Austritt Großbritanniens aus der Gemeinschaft der Europäischen Union fußten Datenübermittlungen in das Vereinigte Königreich auf dessen Eigenschaft als Mitgliedstaat der EU. Mit dem Brexit wären nunmehr die Regelungen der Datenschutz-Grundverordnung für Datenübermittlungen in Drittstaaten anzuwenden. Eine neue Rechtsgrundlage müsse gewährleisten, dass weiterhin ein angemessenes Schutzniveau […]

Privacy Shield gekippt – Was nun zu tun ist!

Heute hat der EuGH im Verfahren Schrems gegen Facebook (Rechtssache C-311/18) das EU-US-Privacy-Shield ab sofort für ungültig erklärt. Dies hat erhebliche Folgen für den Datentransfer in die USA. Es besteht Handlungsbedarf!!!
Ein Datentransfer in die USA ist somit derzeit nur möglich, wenn zwischen den Vertragsparteien ein spezieller Vertrag zum Datentransfer, der die von der EU-Kommission genehmigten Standardvertragsklauseln (SCC) enthält, abgeschlossen ist oder wenn der Vertragspartner in den USA von einer europäischen Aufsichtsbehörde genehmigte verbindliche interne Datenschutzvorschriften (BCR) umgesetzt hat.
Prüfen Sie, ob Sie Daten in die USA transferieren, z. B. weil ein Dienstleister oder ein verbundenes Unternehmen dort ihren Sitz haben. Wenn Sie Daten transferieren, dann ist im nächsten Schritt zu prüfen, ob die SCC bereits mit dem Unternehmen in den USA geschlossen worden ist. Sofern keine SCC vorliegen, sollten diese schnellstmöglich abgeschlossen werden. Bis zum Abschluss der SCC sollten Sie den Datentransfer in die USA aussetzen. Im Urteil des EuGH sind weitere Anforderungen hinsichtlich der Gestaltung des Prozesses der Datenübermittlungen enthalten, unter anderem Überprüfungspflichten und die Vereinbarung von Informationspflichten des Dienstleisters.
Auch Ihre Dienstleister könnten Ihre Daten in die USA transferieren. Dies ist der Fall, wenn Unterauftragnehmer Ihres Dienstleisters oder mit diesem verbundene Unternehmen in den USA eingesetzt werden. Ihre Auftragnehmer sind durch die Auftragsverarbeitungsvereinbarung verpflichtet, nur Daten in die USA zu transferieren, wenn hierfür eine gültige Rechtsgrundlage, z. B. der Abschluss von SCC, nachgewiesen werden kann. Empfehlung von uns: Gehen Sie auf Ihre Dienstleister zu und fragen Sie nach einem Nachweis darüber, ob SCC mit den Unterauftragnehmern, die in den USA sitzen geschlossen wurden. Bis dieser Nachweis vorliegt, sollten Sie im Rahmen Ihres Weisungsrechts den Datentransfer in die USA untersagen.
Sofern Sie Daten in die USA ohne gültige Rechtsgrundlage übermitteln, droht gem. Art. 83 Abs. 5 lit. c DSGVO ein Bußgeld von bis zu 20 Mio. € oder 4% des Jahresumsatzes, je nachdem welcher Betrag höher ist. Wir gehen davon aus, dass die Aufsichtsbehörden dies in Zukunft verstärkt kontrollieren werden – ähnlich wie beim letzten Urteil, als Safe Habour, der Vorgänger von Privacy Shield, gekippt wurde. Insbesondere wird eine Anpassung der Datenschutzerklärungen notwendig sein. Hier werden wir gerne für Sie tätig.
Sofern Sie eine Facebook-Fanpage betreiben oder Google Analytics verwenden, ist Ihr Vertragspartner die europäische Niederlassung von Facebook oder Google. Die Verantwortung für den Datentransfer in die USA liegt vollständig bei Facebook bzw. Google. Der Betrieb einer Facebook-Fanpage oder der Einsatz von Google Analytics ist also weiterhin möglich.
In den Nutzungsbedingungen für Microsoft-Produkte sind die Standardvertragsklauseln bereits enthalten. Sie können also auch weiterhin Software- oder Cloud-Lösungen von Microsoft einsetzen.
Die Pressemitteilung zum Urteil finden Sie unter:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
Das Urteil finden Sie im Volltext unter:
http://curia.europa.eu/juris/documents.jsf?num=C-311/18

Kontakt

Datenschutzberatung Moers GmbH
Geschäftsführer: Stephan Moers, Anne Borell
Neue Straße 22
34369 Hofgeismar

T: 05671 74 92 5-0
e: info [at] dsb-moers.de

Datenschutzhinweise Besucher Website

© 2024 Datenschutzberatung Moers GmbH