Die Datenschutz-Policy im Unternehmen - Jonas Breyer
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz im Fokus
Jonas Breyer
Die Datenschutz-Policy im Unternehmen
Seit dem 25.5.2018 wird das Datenschutzrecht für die meisten Unternehmen durch die DSGVO reguliert. Doch wie
kann eine Umsetzung dieser Rechte und Pflichten in Unternehmen organisatorisch gelingen, in denen Experten
verschiedenster Gebiete arbeiten und beinahe alle personenbezogene Daten verarbeiten? Ein wichtiger Baustein
hierzu ist das Erstellen und das korrekte Anordnen einer Datenschutz-Policy im Unternehmen, die selbstverständlich
auch Richtlinie, Leitlinie oder ähnlich genannt werden kann.
Rechtliche Grundlage der Datenschutz-Policy se begründet werden kann (EuGH, Urt. v. 5.6.2018 –
Der Verantwortliche, zumeist also das Unternehmen, ist C 210/16, Rn. 31). Zugleich ist zu regeln, wer im Innenver-
nach Art. 24 DSGVO verpflichtet, durch geeignete organi- hältnis Verpflichteter ist und die Einhaltung der daten-
satorische Maßnahmen sicherzustellen und nachzuwei- schutzrechtlichen Vorgaben in seiner Organisationseinheit
sen, dass die Verarbeitung personenbezogener Daten ge- überwacht (etwa der Leiter der geschäftsprozessverant-
mäß den Bestimmungen der DSGVO erfolgt. Nach Art. 29 wortlichen Organisationseinheit).
D SGVO muss der Verantwortliche ferner sicherstellen,
dass ihm unterstellte Personen personenbezogene Daten Zentrale Pflichten
ausschließlich auf Grundlage seiner Weisungen verarbei- Es ist nicht praktikabel, in der Datenschutz-Policy alle Re-
ten. Die Datenschutz-Policy kann sowohl eine solche orga- gelungen der D SGVO wiederzugeben. Es empfiehlt sich
nisatorische Maßnahme als auch eine Weisung an die Be- aber, zumindest die zentralen Verarbeitungsgrundsätze
schäftigten sein. nach Art. 5 DSGVO zur Orientierung als „allgemeinen Teil“
wiederzugeben. Aus diesen lassen sich die meisten übrigen
Zwar sind, insbesondere in größeren Unternehmen, daten- materiellen Pflichten ableiten. Als weitere zentrale Rechte
schutzrechtliche Verstöße fast nie hundertprozentig ver- und Pflichten sollten die Informationspflichten (Art. 12
meidbar. Mit einer wohlüberlegten Datenschutz-Policy DSGVO, Art. 13 DSGVO und Art. 14 DSGVO), die Datensi-
kann aber ein strukturelles Fundament gelegt werden, um cherheit (Art. 32 D SGVO), die Melde- und Benachrichti-
ihre Zahl und damit die Risiken für alle Beteiligten wesent- gungspflichten (Art. 33 DSGVO und Art. 34 D SGVO) und
lich zu reduzieren. die Datenschutz-Folgenabschätzung (Art. 35 D SGVO) er-
wähnt werden.
Formale Inhalte
Die Datenschutz-Policy sollte klar strukturiert sein. Sie Datenschutzbeauftragter
sollte den Anordnenden (etwa die Geschäftsleitung) und Ist der Verantwortliche zur Benennung eines Datenschutz-
den Adressatenkreis (etwa die Beschäftigten und die Ge- beauftragten verpflichtet (siehe Art. 38 D SGVO, § 38
schäftsleitung) klar benennen und generell konkrete, BDSG), sollte dies in der Richtlinie aufgeführt sein und es
durchdachte und realistische Handlungsanweisungen ent- sollten seine Kontaktdaten genannt werden. Eine Funkti-
halten. Vage Gesinnungen und allgemeine Formulierungen onsadresse genügt. Es sollte normiert werden, dass der
helfen nicht weiter und werden in etwaigen Streitfällen Datenschutzbeauftragte weisungsfrei ist, über die erfor-
wenig zur Klärung beitragen. Beim Aufführen des Ver- derlichen Ressourcen verfügen muss und frühzeitig in Fra-
pflichtetenkreises ist zu bedenken, dass freie Mitarbeiter gen der Verarbeitung personenbezogener Daten einzubin-
nicht vom Beschäftigtenbegriff des § 26 Abs. 8 BDSG er- den ist. Es sollte ggf. auch geregelt werden, dass dem Da-
fasst werden, aber trotzdem häufig personenbezogene Da- tenschutzbeauftragten ein Budget bereitgestellt wird, das
ten verarbeiten; ähnliches gilt für Mitglieder der Geschäfts- er eigenverantwortlich etwa für Fachliteratur und Fortbil-
leitung, vor denen die DSGVO ebenfalls keinen Halt macht. dungen einsetzen kann. Weitere lesenswerte Merkmale
des Datenschutzbeauftragten, die aufgenommen werden
Die Datenschutz-Policy sollte den gesetzlichen Rechtsrah- können, ergeben sich aus den Leitlinien in Bezug auf Da-
men (typischerweise DSGVO und BDSG) benennen und tenschutzbeauftragte der Art.-29-Gruppe (WP 243).
bekanntgeben, wer im Außenverhältnis Verantwortlicher
ist, was gerade bei größeren Unternehmen oder in Kon- In der Datenschutz-Policy sollten kurz seine Aufgaben auf-
zernstrukturen nicht immer offensichtlich ist. In Betracht geführt werden (Art. 39 DSGVO), insbesondere im Hinblick
kommt auch eine gemeinsame Verantwortlichkeit (Art. 4 auf die Beratung, Schulungen der Beschäftigten und die
Nr. 7 DSGVO, Art. 26 DSGVO), etwa in Gemeinschaftsbe- Zusammenarbeit mit der Aufsichtsbehörde. Es sollte er-
trieben, wobei nach der Rechtsprechung des EuGH eine wähnt werden, dass der Datenschutzbeauftragte zur Ver-
Verantwortlichenstellung auch durch faktische Verhältnis- schwiegenheit verpflichtet ist (§ 38 Abs. 2 BDSG), welche
18 www.datenschutz-berater.de | Nr. 01/2022 | DATENSCHUTZ-BERATER
Datenschutz im Fokus
Vertretungsregelung besteht und inwieweit er durch be- ähnlichen branchen- oder unternehmenstypischen Daten-
auftragte Beschäftigte handeln kann. Geregelt werden soll- schutzirrtümern empfehlen. Es ist zu regeln, wen die
te auch, inwieweit der Datenschutzbeauftragte Tätigkeits- Pflicht zur Einbindung des Datenschutzbeauftragten trifft,
berichte zu erstellen hat und inwieweit diese auszugsweise etwa den Leiter der geschäftsprozessverantwortlichen Or-
etwa dem Betriebsrat zur Verfügung gestellt werden. Zwar ganisationseinheit, den Projektleiter oder bei agilen Struk-
ist der Datenschutzbeauftragte unabhängig vom Betriebs- turen den „Service Owner“ oder „Product Owner“.
rat; zumindest auf der Ebene des Beschäftigtendaten-
schutzes sind die Interessen aber oft ähnlich (etwa §§ 75 Da in der Praxis eilige Vorhaben nicht ausbleiben, sollte
Abs. 2, 80 Abs. 1 Nr. 1, 87 Abs. 1 Nr. 6, 88 BetrVG) und es hat klargestellt werden, dass die Einbindung des Datenschutz-
sich zur Vermeidung von Doppelarbeit daher eine gewisse beauftragten rechtzeitig zu erfolgen hat (er muss noch Ein-
Kooperation bewährt. Dafür spricht auch der neue § 79a fluss nehmen können) und inhaltliche Mindestangaben zu
BetrVG (hierzu Brink/Joos, NZA 2021, 1440). machen sind, namentlich zum Zweck, zur Kategorien der
Betroffenen, zu Datenarten, Empfängern, Löschfristen,
Erlaubnistatbestände Drittlandübermittlungen, individuellen Maßnahmen zur
Es sollten zumindest die allgemeinen Erlaubnistatbestän- Datensicherheit, zugriffsberechtigten Personen und ge-
de des Art. 6 Abs. 1 DSGVO wiedergegeben werden. Denn planten Auswertungen. Es kann geregelt werden, dass die-
wegen des Verbots mit Erlaubnisvorbehalts sind sie von se Informationen zugleich einem etwaigen Betriebsrat mit-
zentraler Bedeutung und sind nach wie vor nicht zwingend zuteilen sind. Der Praktikabilität wegen sollte geregelt
Allgemeinwissen. werden, dass der Datenschutzbeauftragte bei einer aus
seiner Sicht nötigen Datenschutz-Folgenabschätzung die
Verpflichtung zur Vertraulichkeit dafür zuständige Abteilung darüber informiert und in
Es sollte klargestellt werden, dass alle Beschäftigten von sonstigen Fällen seine Einschätzung rückmeldet. Es ist
der Personalabteilung zur Vertraulichkeit zu verpflichten wichtig klarzustellen, dass die Entscheidung, ob eine Ver-
sind. Zwar existiert das frühere Datengeheimnis des § 5 arbeitung gegen den Rat des Datenschutzbeauftragten
BDSG a. F. nicht mehr. Aus Art. 24 D SGVO und 32 Abs. 1 durchgeführt wird, beim Anfragenden liegt.
lit. b DSGVO folgt aber Ähnliches. Nach diesen Vorschrif-
ten muss der Verantwortliche durch geeignete organisato- Datenschutz-Folgenabschätzung
rische Maßnahmen die Vertraulichkeit personenbezogener Je nach Geschäftstätigkeit des Unternehmens können Da-
Daten sicherstellen. tenschutz-Folgenabschätzungen erforderlich werden,
wenn eine Verarbeitung voraussichtlich ein hohes Risiko
Schulungen für die Rechte und Freiheiten natürlicher Personen zur
Die Datenschutz-Policy sollte regeln, innerhalb welcher Folge hat. Dies kann beispielsweise bei Software US-ame-
Frist nach ihrer Einstellung neue Beschäftigte vom Daten- rikanischer Herkunft auch namhafter Hersteller der Fall
schutzbeauftragten geschult werden. Auch sollten die üb- sein sein (vgl. Jungkind/Raspé/Schramm, NZG 2020, 1056,
rigen Beschäftigten in einem bestimmten Turnus (etwa alle 1057). Für die Durchführung der Datenschutz-Folgenab-
zwei Jahre) geschult werden. Dies kann mittels einer inter- schätzung ist nicht der Datenschutzbeauftragte zuständig,
aktiven Software durchgeführt werden. Dafür werden bei sodass eine zuständige Einheit im Unternehmen benannt
einer persönlichen Schulung, gegebenenfalls per Videokon- werden sollte. Dem Datenschutzbeauftragten kommt aber
ferenz, oft interessante Rückfragen gestellt und es besteht eine beratende Rolle zu (Art. 35 Abs. 2 DSGVO). Zudem
so die Chance, häufige Fehlvorstellungen auszuräumen. kann ihm die interne Zuständigkeit für eine Konsultation
nach Art. 36 DSGVO übertragen werden.
Verarbeitungsvorhaben
Zur Sicherstellung der DSGVO-Compliance sollte geregelt Betroffenenrechte
werden, dass neue Vorhaben zur Verarbeitung personen- Die Datenschutz-Policy sollte regeln, dass der Verantwort-
bezogener Daten (etwa die Inbetriebnahme einer neuen liche die Datenschutzinformationen nach Art. 13 D SGVO
CRM-Software oder Mailingaktionen) oder deren Ände- und Art. 14 DSGVO erfüllt und der Datenschutzbeauftrag-
rung einer vorherigen Freigabe durch den Datenschutzbe- te ihn bei der Formulierung unterstützt. Hierbei ist zu be-
auftragten bedürfen. Dies umfasst auch Test- und Pilotver- denken, dass Datenschutzinformationen nicht nur in Be-
arbeitungen. Da häufig pseudonymisierte und anonymi- zug auf Kunden erstellt werden müssen, sondern auch
sierte Daten verwechselt werden und die Fehlvorstellung Beschäftigte und Vertragspartner über Datenverarbeitun-
weit verbreitet ist, dass Unternehmerdaten von der gen informiert werden müssen. Entsprechendes gilt für
DSGVO ausgenommen wären (wie etwa im kalifornischen Anfragen nach Art. 15 ff. DSGVO und Widersprüche nach
CCPA vorgesehen), werden Verarbeitungsvorhaben ggf. Art. 21 DSGVO. Da der Datenschutzbeauftragte meist kei-
erst gar nicht dem Datenschutzbeauftragten gemeldet. nen regelmäßigen Zugriff auf sämtliche personenbezoge-
Deswegen kann sich eine kurze Information hierzu und zu nen Daten innehat und auch nicht benötigt, ist zu regeln,
DATENSCHUTZ-BERATER | Nr. 01/2022 | www.datenschutz-berater.de 19
Datenschutz im Fokus
dass ihm die zur Bearbeitung erforderlichen Informatio- tragten obliegt und er außerdem die etwaige Complian-
nen vollständig zur Verfügung zu stellen sind. Die Bearbei- ce-Funktion und die Revision, möglicherweise auch die
tung der vorgenannten Betroffenenanfragen kann die Da- Geschäftsleitung darüber informiert.
tenschutz-Policy für bestimmte Teilbereiche der größeren
Sachnähe wegen auch einer anderen Organisationseinheit Die Erfahrung zeigt, dass viele Verdachtsmeldungen nicht
übertragen, um den Datenschutzbeauftragten zu entlas- meldepflichtig sind, etwa wenn es zu einzelnen Post-Irr-
ten. Eine solche „Auslagerung“ kann außerdem mittelbar läufern mit harmlosen Daten gekommen ist. Die Beurtei-
bewirken, dass das Datenschutzbewusstsein der entspre- lung hängt jedoch vom konkreten Einzelfall ab und das
chenden Einheit steigt und sie Prozesse aktiv so gestaltet, Artikulieren allgemeingültiger Kriterien gestaltet sich
dass es zu weniger Betroffenenanfragen kommt. Jedenfalls schwierig. Wenn schon eine allgemeingültige Erheblich-
sollte ein effizientes Verfahren etabliert werden, zumal die keitsschwelle für interne Meldungen an den Datenschutz-
verspätete Bearbeitung von Betroffenenanfragen Scha- beauftragten geregelt wird, kann ein solches Vorgehen die-
densersatzforderungen auslösen kann (ArbG Neumünster, sen einerseits entlasten, andererseits aber auch ein Com-
Urt. v. 11.8.2020 – 1 Ca 247 c/20). pliance-Risiko für den Verantwortlichen darstellen.
Verarbeitungsverzeichnis Zugriff auf Daten durch den Arbeitgeber
Die Datenschutz-Policy sollte vorsehen, dass der Verant- Es ist ein immer wiederkehrendes Problem, dass der Arbeit-
wortliche das Verarbeitungsverzeichnis nach Art. 30 geber ein berechtigtes Interesse daran hat, etwa bei Krank-
DSGVO führt und welche Datenkategorien einzupflegen heit, Urlaub oder Kündigung auf (geschäftliche) Daten eines
sind, auch soweit der Verantwortliche als Auftragnehmer Beschäftigten zuzugreifen. Die Datenschutz-Policy kann
tätig wird. Es bedarf aus den vorgenannten Gründen einer hier ein Prozedere anordnen, dass dies erst nach Prüfung
klaren Regelung, wer die dazu erforderlichen Informatio- und im Beisein des Datenschutzbeauftragten erfolgt, um
nen dem Datenschutzbeauftragten zukommen lässt, etwa Missbrauch zu verhindern. Können sich unter den eingese-
der Leiter der geschäftsprozessverantwortlichen Organisa- henen Daten berechtigterweise auch Privatdaten des Be-
tionseinheit. schäftigten befinden, muss der Arbeitgeber für deren Ein-
sicht zuvor eine Rechtsgrundlage geschaffen haben. Dies ist
Auftragsverarbeitung etwa im Wege einer Einwilligung des Beschäftigte denkbar,
Auftragsverarbeitungen sind gerade in größeren Unterneh- ohne die eine Privatnutzung nicht zugelassen wird. Wurde
men ein Dauerthema. Es sollte daher festgelegt werden, der Beschäftigte zuvor auf mögliche Zugriffe des Arbeitge-
dass im Fall von Auftragsverarbeitungen die Vorgaben des bers schon nicht hingewiesen, etwa im Wege einer Daten-
Art. 28 D
SGVO einzuhalten sind, insbesondere die dort ge- schutzerklärung, kann dies sogar gegen Art. 8 EMRK versto-
nannten Mindestinhalte schriftlich zu vereinbaren und zu ßen (EGMR, Urt. v. 5.9.2017 – 61496/08 – Bărbulescu).
dokumentieren sind.
Die Policy kann auch vorsehen, dass der Zugriff zusätzlich
Meldungen von Verletzungen im Beisein eines Betriebsratsmitglieds erfolgen muss, ins-
Zur Einhaltung der Melde- und Benachrichtigungspflich- besondere, wenn die betroffene Person selbst ein Mitglied
ten nach Art. 33 DSGVO und Art. 34 DSGVO ist zu normie- des Betriebsrats oder der Schwerbehindertenvertretung ist.
ren, dass bei Verdacht des Diebstahls von Hard- oder Soft-
ware, des unbefugten Zugriffs auf personenbezogene Da- Anordnung der Datenschutz-Policy
ten, Sabotage oder vergleichbaren Unregelmäßigkeiten der Es obliegt dem Verantwortlichen, die Datenschutz-Policy
Datenschutzbeauftragte unverzüglich unter Angabe be- im Unternehmen rechtlich korrekt zu verankern. Sie sollte
stimmter Informationen zu informieren ist. Der Daten- nicht zum Bestandteil des Arbeitsvertrags gemacht wer-
schutzbeauftragte sollte insbesondere über im Zusammen- den, da dieser unter Umständen später nicht mehr einsei-
hang mit der Verletzung stehende Fakten, Auswirkungen tig geändert werden kann oder dies zumindest aufwändig
und bereits getroffene Abhilfemaßnahmen informiert wer- wäre. Auch ist der Beschäftigte nicht verpflichtet, einer
den. Der Eilbedürftigkeit halber sollten nochmals dessen Vertragsänderung zuzustimmen.
Kontaktdaten angegeben werden. An dieser Stelle kommt
auch die oben erwähnte Vertretungsregelung zum Tragen. Empfehlenswerter ist es, sie im Wege des Direktionsrechts
Optional kann eine zusätzliche Meldung an sonstige Funk- nach § 106 GewO anzuweisen. Dazu muss die Daten-
tionen wie den Compliance Officer, die Revision und den schutz-Policy allen betroffenen Beschäftigten und etwa
IT-Sicherheitsbeauftragten vorgesehen werden. Der Daten- auch freien Mitarbeitern zugehen. Dies kann theoretisch
schutzbeauftragte sollte die Vorgänge dokumentieren. per Intranet erfolgen, wo die Policy gegebenenfalls auch
dauerhaft abrufbar sein sollte. Jedoch lässt sich so der ein-
Die Datenschutz-Policy sollte festlegen, dass eine etwaige zelne Zugang im Streitfall kaum nachweisen. Auch die
Meldung an die Aufsichtsbehörde dem Datenschutzbeauf- rechtliche Aussagekraft von auf zweifelhafter Rechts-
20 www.datenschutz-berater.de | Nr. 01/2022 | DATENSCHUTZ-BERATER
Datenschutz im Fokus
grundlage vorratsgespeicherten Server-Logfiles des Abruf- tragnehmer agiert. Denn in der Datenschutz-Policy liegt
vorgangs dürfte im Streitfall problematisch sein. In einem zugleich eine der – üblicherweise vom Auftragnehmer dar-
Rechtsstreit um Online-Einwilligungen in Telefonwerbung zulegenden – organisatorischen Maßnahmen zur Datensi-
hat der Bundesgerichtshof IP-Adressen und ähnliche Log- cherheit gemäß Art. 28 Abs. 3 lit. c DSGVO. Entsprechendes
daten insoweit jedenfalls keinen Beweiswert beigemessen gilt für eine mögliche IT-Sicherheitsrichtlinie.
(BGH, Urt. v. 10.2.2011 – I ZR 164/09).
Fazit
Stattdessen sollte der Beschäftigte den Erhalt der Policy In Zeiten einer immer stärkeren datenschutzrechtlichen
aktiv quittieren (§ 368 BGB), sodass der Arbeitgeber nach- Regulierung leistet die Datenschutz-Policy im Unterneh-
weisen kann, ihn vollständig informiert zu haben. Unwirk- men einen wichtigen Beitrag zur strukturellen
sam ist hingegen die sinngemäße vorformulierte Bestäti- DSGVO-Compliance, zur Rechtssicherheit sowie zur Ent-
gung, die Datenschutz-Policy „gelesen zu haben und damit haftung des Verantwortlichen. Ihre Erstellung bietet die
einverstanden zu sein“. Zum einen kann ein solches Einver- Chance, die Interessen aller Beteiligten in einen Ausgleich
ständnis wiederum zu einer unerwünschten Änderung des zu bringen, Kooperationen zu begründen und maßge-
Arbeitsvertrags führen (siehe oben); zum anderen ist eine schneiderte innerbetriebliche Verfahren zur Einhaltung
Klausel zum Gelesenhaben wegen Verstoßes gegen § 309 des Datenschutzrechts zu gestalten.
Nr. 12 b BGB (Bestätigung von Tatsachen) – insgesamt –
unwirksam und damit wertlos. Die vorgenannten Grund-
Autor: Jonas Breyer ist Rechtsanwalt in eige-
sätze gelten auch für ähnliche Richtlinien wie die IT-Si- ner Kanzlei in Wiesbaden und spezia-
cherheitsrichtlinie. lisiert auf Datenschutz- und IT-Recht.
Eine öffentliche Bekanntgabe der Datenschutz-Policy ist
nicht erforderlich. Allerdings kann es hilfreich sein, eine
ggf. „abgespeckte“ Fassung für Auftragsverarbeitungsver-
träge vorzuhalten, in denen der Verantwortliche als Auf-
IT-Sicherheitsgesetz 2.0 – rundum beleuchtet
§ Einführung der Regelungen zur IT-Sicher- § Übersichtliche Zusammenstellung der
heit aus dem IT-Sicherheitsgesetz 1.0 und umfangreichen Materialien zum
dem Gesetz zur Umsetzung der Richtlinie Gesetzgebungsverfahren
(EU) 2016/1148
§ Autoren sind seit vielen Jahren im
§ Praxisnahe Kommentierung der neuen IT-Recht tätig
Regelungen des IT-Sicherheitsgesetzes 2.0
§ Schnelle Übersicht der Änderungen durch
eine Synopse der geänderten Regelungen In Bezug auf die Online-Inhalte gelten die AGB
aus den jeweiligen Fachgesetzen von juris, abrufbar unter www.juris.de
Steve Ritter (Hrsg.)
Inklusive Die Weiterentwicklung des IT-Sicherheitsgesetzes
Online-Inhalte 2022 | Kommentar | 544 Seiten | Broschur | € 139,-
der jurisAllianz ISBN: 978-3-8005-1777-0 utraler
ne
Dr
a
Klim
uck
Weitere Informationen
shop.ruw.de/17770
nd
in
De
utschla
www.shop.ruw.de | Deutscher Fachverlag GmbH | Frankfurt am Main
Tel 08581 9605-0 | Fax 08581 754 | E-Mail info@suedost-service.de
Ritter_180x127_DSB_4c.indd 1 27.10.21 17:13
DATENSCHUTZ-BERATER | Nr. 01/2022 | www.datenschutz-berater.de 21
Sie können auch lesen
