Die wichtigsten Dos and Don’ts für Führungskräfte im Datenschutz

Datenschutz ist nicht nur ein Thema für IT-Abteilungen oder Datenschutzbeauftragte – auch Führungskräfte tragen eine entscheidende Verantwortung. Wer in leitender Position arbeitet, muss sicherstellen, dass datenschutzrechtliche Vorgaben eingehalten werden und die Mitarbeitenden entsprechend sensibilisiert sind. In diesem Beitrag zeigen wir die wichtigsten Dos and Don’ts für Führungskräfte im Datenschutz.

Dos: Diese Maßnahmen sollten Führungskräfte ergreifen

Datenschutz als Führungsaufgabe anerkennen

Datenschutz managen bedeutet ein Auge auf die Einhaltung der Datenschutzgrundsätze in allen Arbeitsbereichen zu haben und die Prozessvorgaben aus dem Managementsystem umzusetzen. Dies alles dient der Rechenschaftspflicht des Unternehmens, die verlangt, dass das Unternehmen nachweisen kann, wie die Datenschutzgrundsätze eingehalten werden.

Den „Plan-Do-Check-Act-Zyklus“ auf Datenverarbeitungen angewendet, sollte jede Datenverarbeitung vor Ausführung genau beschrieben und am Maßstab der Datenschutzgrundsätze geprüft werden. Bei neuen Datenverarbeitungen sollte der Datenschutzbeauftragte eingebunden werden, ob die geplante Datenverarbeitung den Datenschutzgrundsätzen standhält.

Datenverarbeitung nur mit Rechtsgrundlage

Jede Datenverarbeitung braucht eine Rechtsgrundlage. Eine Einwilligung ist als Rechtsgrundlage im Beschäftigungskontext schwer abzubilden. Nur für wenige Bereiche, in welchen Mitarbeitende tatsächlich keine Nachteile zu erwarten haben und es eine annehmbare Alternative gibt, ist die Einwilligungslösung ratsam. So zum Beispiel, wenn das Geburtsdatum für die persönliche Gratulation und Bekanntgabe im Team genutzt werden soll.

Transparenz gewährleisten

Mitarbeitende, Kunden und Geschäftspartner haben das Recht zu wissen, wie ihre Daten verarbeitet werden. Jederzeit sollte sichergestellt werden, dass die betroffenen Personen klar und in einfacher Sprache zum Zeitpunkt der Datenerhebung über die einzelnen Verarbeitungszwecke in den Datenschutzhinweisen informiert werden.

Werden beispielsweise Videoüberwachungskameras installiert, so werden Filmaufnahmen von Beschäftigten und Dritten erstellt. Ein neuer Zweck zur Datenverarbeitung ist damit gegeben und muss in den Datenschutzinformationen ergänzt werden. Zudem müssen alle Personen über die Videoüberwachung informiert werden, bevor sie in den Aufnahmewinkel eintreten.

Dateminimierung und Zweckbindung

Eine Datenverarbeitung muss auf den Umfang reduziert sein, den der Zweck erfordert. Vor Freigabe von Formularen ist zu prüfen, ob alle Eingabefelder für das gewünschte Ergebnis notwendig sind. Das gilt nicht nur für Formulare, sondern auch intern zum Beispiel für Anfragen an die Personalabteilung, bestimmte Informationen von Beschäfigten zu erhalten. Listen mit Geburtstagen, Personalnummern, privaten Anschriften und Entgeltangaben sind oftmals Einfallstore für Datenschutzvorfälle. Auch wenn eine Führungskraft diese Daten kennen darf, sollten daraus nur die für die konkrete Aufgabenstellung erforderlichen Angaben herangezogen werden. Die Angaben sollten auf das Notwendige reduziert werden.

Die Einhaltung der Zweckbindung ist auch bei besten Absichten wichtig. Eine personenbezogene Auswertung von Krankheitstagen verbunden mit Lob an die gesunden Beschäftigten stellt eine unzulässige Zweckänderung von besonderen personenbezogenen Daten dar und kann zu Bußgeldern führen.

Professionelle Einbindung von Dienstleistungsunternehmen

Sofern Dienstleistungsunternehmen personenbezogene Daten erhalten, ist in den meisten Fällen eine Datenschutzvereinbarung mit dem Unternehmen erforderlich. Das Datenschutzteam sollte frühestmöglich eingebunden werden, um den Vertrag und die grundlegende Zulässigkeit der Einbindung des Unternehmens sicherzustellen.

Leiten Führungskräfte selbst Teams, wo sie von Kunden personenbezogenen Daten zur Verarbeitung bereitgestellt werden, ist die Einhaltung der Vorgaben des Art. 28 DSGVO erforderlich. Weisungen des Kunden sind zu prüfen und zu dokumentieren, es ist sicherzustellen, dass die bereitgestellten Daten getrennt und vor allem nicht für eigene Zwecke verarbeitet werden.

Datenschutzvorfälle professionell managen

Tritt eine Datenpanne auf, sollte diese sofort gemeldet und dokumentiert werden. Umgehend sollten die IT, falls vorhanden die Informationssicherheitsabteilung und der Datenschutzbeauftragte hinzugezogen werden. Ob eine Meldung an die Aufsichtsbehörde erforderlich ist oder nicht, hängt vom Umfang und von der Auswertung vorliegender Informationen ab. Daher ist eine sofortige koordinierte Aufklärung von Vorfällen erforderlich. Die 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde muss eingehalten werden, falls eine Meldepflicht besteht – über die Meldung entscheidet in der Regel die Geschäftsführung.

Don’ts: Diese Fehler sollten vermieden werden

Unstrukturierte Datenspeicherung und unbefugte Zugriffe

Personenbezogene Daten sollten nicht unstrukturiert und ohne klare Zugriffsbeschränkungen abgelegt werden. Alte, nicht mehr benötigte Daten müssen regelmäßig gelöscht werden.

Interne Ermittlungen ohne Klärung der Rechtsgrundlage

Sofern der Verdacht besteht, dass Beschäftigte sich nicht an die internen Vorschriften halten oder gar Arbeitszeitbetrug begehen, sollte niemals auf eigene Faust gehandelt werden. Zunächst sind die rechtlichen Voraussetzungen für die Durchführung von internen Ermittlungen zu klären und dann möglichst gerichtsfest die Daten zu erheben. Die Personalabteilung, die Rechtsabteilung, der Datenschutzbeauftragte und – falls vorhanden – der Betriebsrat sollten eingebunden werden.

Bewerberdaten im E-Mailpostfach

Organisationen ohne professionelle Bewerbermanagementsysteme stehen vor der Herausforderung, Führungskräfte so einzubinden, dass diese Zugriff auf alle Bewerbungsunterlagen erhalten und diese gleichzeitig nach Ablehnung gelöscht werden. Sofern Bewerberdaten per E-Mail übermittelt werden, sollten diese nicht archiviert und gespeichert werden. Eine gute Lösung ist ein Zugriff auf einen Unterordner des Bereichs im Bewerberpostfach oder ein entsprechend freigegebener Dateiordner.

Ungeordnete Speicherung von Informationen zu Beurteilung von Beschäftigten

Leistungsbeurteilungen sind Teil der Aufgaben einer Führungskraft. Die Erstellung einer Übersicht mit einer ungeordneten Sammlung von Informationen über die Beschäftigten, etwaig mit Bemerkungen zur Arbeitsmoral, wer gerne freitags krank ist aber samstags tolle Bilder auf Social Media postet, wer sich öffentlich radikal äußert oder Psychotherapie in Anspruch nimmt, würde gegen alle Datenschutzgrundsätze verstoßen.

Für den Zweck der Durchführung des Arbeitsverhältnisses und Verbesserung der Arbeitsabläufe ist die Notiz von Fähigkeiten von Beschäftigten erforderlich und zulässig. Zusätzliche Informationen, wie das Rauchen oder private Informationen aus Social Media greifen in die persönliche Sphäre von Beschäftigten ein und dürfen nicht zur Leistungsbeurteilung herangezogen werden.

Die Vorgabe einer zentral von der Personalabteilung festgelegten, einheitlichen Bewertungsstruktur für alle Beschäftigten mit entsprechenden Zugriffsberechtigungen hat sich in der Praxis bewährt.

Fazit: Datenschutz als integraler Bestandteil der Führungskultur

Führungskräfte spielen eine zentrale Rolle bei der Umsetzung des Datenschutzes im Unternehmen. Wer Datenschutz als kontinuierlichen Prozess versteht und aktiv fördert, schützt nicht nur sensible Daten, sondern auch das Vertrauen von Kunden, Mitarbeitenden und Partnern. Indem Führungskräfte die Dos befolgen und die Don’ts vermeiden, tragen sie maßgeblich zur Datenschutz-Compliance und zur Stärkung der Unternehmenskultur bei.

Link zu: Mitgliedschaften und Partner
 

Kontakt

Datenschutzberatung Moers GmbH
Geschäftsführer: Stephan Moers, Anne Borell
Neue Straße 22
34369 Hofgeismar

T: 05671 74 92 5-0
e: info [at] dsb-moers.de

Datenschutzhinweise Besucher Website

© 2024 Datenschutzberatung Moers GmbH

Über uns

Das DSB Moers Team
Leistungen
Mitgliedschaften und Partner
Qualitätsmanagement
Ihr Weg zu uns
Impressum

EU-U.S. Data Privacy Framework seit dem 10. Juli 2023