Auch innerhalb eines Unternehmens ist der Datenschutz von großer Relevanz. Aufgrund von Rekordgeldbußen die bei einem Datenschutzverstoß anfallen können, kann sich heute kein Unternehmer mehr leisten den Datenschutz zu unterschätzen oder gar zu missachten. Demnach sollte dem Unternehmer möglichst daran gelegen sein, vorgeschriebene Maßnahmen gegen künftige datenschutzrechtliche Verstöße zu treffen und den Datenschutz intern zu etablieren. Dies gilt insbesondere für die Einrichtung elektronischer Informationsdatenbanken.
Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten
Die weitaus wichtigste Pflicht für größere Unternehmen, ist die Bestellung eines betrieblichen Datenschutzbeauftragten. Diese besteht, wenn das Unternehmen zehn oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Eine solche Pflicht besteht auch dann, wenn Unternehmen einer Vorabkontrolle unterliegen oder geschäftsmäßig personenbezogene Daten zu Zwecken der Übermittlung oder der Markt-und Meinungsforschung automatisiert verarbeiten.
Weitere Einzelheiten zum Datenschutzbeauftragen...
Grundsätze der Datenverarbeitung im Beschäftigungsverhältnis
Besonders sensibel ist der Umgang mit Daten im Rahmen des Beschäftigungsverhältnisses zwischen Arbeitgeber und Arbeitnehmer zu behandeln. Zentrale Erlaubnisnorm für die Begründung, Durchführung oder Beendigung eines Arbeitverhältnisses ist auch hier § 4 BDSG, welche eine Datennutzung nur erlaubt, wenn das BDSG oder eine andere Rechtsvorschrift dies ausdrücklich erlaubt oder anordnet. Darüber hinaus ist die Verwendung von Daten im Arbeitsverhältnis erlaubt, wenn der Arbeitnehmer der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten zugestimmt hat. Dementsprechend empfielt es sich für den Unternehmer vor einer Datenerhebung auch eine entsprechende Einwilligung des Betroffenen einzuholen. Andernfalls kommen die Erlaubnistatbeständer der § 28 BDSG und § 32 BDSG in Betracht.
Weitere Informationen zur Datenverarbeitung im Beschäftigungsverhältnis...
Datensammlung im Intranet
Die meisten Unternehmen legen personenbezogene Daten, wie Name, Adresse, Geburtsjahr, Telefonnummer oder das Eintrittsjahr im Intranet an. Grundsätzlich gilt auch bei dieser Art von Datenverwaltung der Zustimmungsvorbehalt des jeweiligen Betroffenen, es sei denn es besteht ein geschäftsbezogener Zweck. Zum Beispiel ist hinsichtlich der Altersangaben Vorsicht walten zu lassen. Auch wenn die Anlegung von Geburtstagslisten geschäftsbezogen ist, weil man den Geburtstag mit einem entsprechendem Geschenk würdigen will, ist diese Angabe als sensibel zu bewerten und der Unternehmer sollte vorsichtshalber eine entsprechende Einwilligung des Betroffenen einholen.
Skill-Datenbänke
Viele Unternehmen besitzen für die Verwaltung ihrer Personaldaten bestimmte Systeme, sogenannte Skill-Datenbänke in denen vielzählige Informationen über die Beschäftigten festgehalten werden. Aus Sicht des Unternehmers sind diese besonders vorteilhaft, da so beispielsweise vereinfacht und mit wenig finanziellem Aufwand ein Mitarbeiter mit speziellen Kenntnissen in ein entsprechendes Projektteam eingegliedert werden kann. Insbesondere ist dies vorteilhaft, wenn ein solches System konzernweit ausgedehnt wird. Dennoch sind diese personenbezogenen Informationen äußerst sensibel zu behandeln, da sie einen tiefen Einblick in die Persönlichkeitsspähre der Betroffenen gewähren. Auch hier ist es deshalb ratsam vor Erhebung solcher Daten eine entsprechende Einwilligung des Betroffenen einzuholen. Je sensibler die Daten sind, desto eher ist an die Durchfürhung einer sogenannten Vorabkontrolle zu denken.
Auslagerung der Personalverwaltung
Auch die Auslagerung der Personalverwaltung auf externe Betriebe kann aus der Sichtweise des Unternehmers, insbesondere aufgrund von Kostenersparnissen, vorteilhaft sein. Diese sind auch nicht grundsätzlich unzulässig. Soweit der Unternehmer eine solche Verwaltung im Wege der Auftragsdatenverarbeitung vornimmt, besteht in diesem Vorgehen keine Übertragung an Dritte, sondern der Unternehmer bleibt alleine für die Verwendung und Verarbeitung der Daten verantwortlich. Bei einer Übertragung ins Ausland sind jedoch besondere Vorschriften zu beachten. So darf der datenschutzrechtliche Standard im Ausland nicht schlechter als der im innerstaatlichen sein.
Mehr zur Auftragsdatenverarbeitung...
Betriebliche Kommunikationsmittel
Immer mehr Unternehmen gestatten ihren Mitarbeitern die Privatnutzung der betrieblichen Kommunikationsinfrastruktur. Dies kann aber zu erheblichen datenschutzrechtlichen Interessenkonflikten führen, der Unternehmer wird im Verhälntnis zu seiner Belegschaft als Telekommunikationsanbieter qualifiziert und hat dementspechend das Telekommunikationsgeheimnis zu respektieren. Dies wirkt sich empfindlich auf die Kontrollmöglichkeiten des Unternehmers aus.
Datensicherheit
Ein umfassender Datenschutz ist nur möglich, wenn die technischen und organisatorischen Rahmenbedingungen stimmen. Daher begründet § 9 BDSG die Pflicht, solche Maßnahmen zu treffen, die erforderlich sind, um die Ausführungen der Vorschriften des Bundesdatenschutzgesetzes zu gewährleisten. Insbesondere sind dabei die 8 Regeln der Datensicherheit aus der Anlage zu § 9 BDSG zu berücksichtigen.
