#1 Betreffen die neuen Datenschutzregeln nur meinen Arbeitgeber oder kann ich bei Verstößen auch als Arbeitnehmer belangt werden?
Der Arbeitgeber muss dafür Sorge tragen, dass die neuen Regeln der europäischen Datenschutzgrundverordnung umgesetzt werden. Als „Verantwortlicher“ entscheidet der Arbeitgeber, welche personenbezogenen Daten auf welche Weise und für welche Zwecke verarbeitet werden. Und er muss die technischen und organisatorischen Maßnahmen treffen, die gewährleisten, dass mit den Daten gesetzeskonform umgegangen wird und sie nicht verloren gehen. Bei Verstößen haftet zunächst der Arbeitgeber. Trotzdem können sich die Mitarbeiter nicht beruhigt zurücklehnen: Bei vorsätzlichen und grob fahrlässigen Verstößen gegen die Anweisungen des Arbeitgebers können auch sie haftbar gemacht werden.
#2 Ich bekomme eine Bewerbung per Mail – was muss ich bei den Daten aus dem Lebenslauf beachten?
Die persönlichen Daten aus dem Lebenslauf einer Bewerberin oder eines Bewerbers sind selbstverständlich „personenbezogene Daten“ im Sinne der DSGVO. Nach Abschluss des Einstellungsverfahrens müssen die Informationen über abgelehnte Bewerberinnen und Bewerber gelöscht werden. „Wird ein Bewerber nicht eingestellt, sollten die Daten gesperrt und nach sechs Monaten gelöscht werden, wenn klar ist, dass der Bewerber keine Diskriminierungsklage erhoben hat“, sagt Rechtsanwalt Hanno Timner, Partner der Kanzlei Morrison & Foerster LLP.
#3 Muss ich personenbezogene Daten, die auf meinem Dienstrechner gespeichert sind, künftig besser schützen?
Der Arbeitgeber muss für ein „angemessenes Schutzniveau“ personenbezogener Daten sorgen. Aber was ist angemessen? Ein besonders hohes Schutzniveau ist erforderlich, wenn ein Unternehmen beispielsweise sensible Daten wie Kreditkarteninformationen speichert. Relevant ist auch, wie viele Mitarbeiter mit der Datenverarbeitung beschäftigt und in welchem Ausmaß personenbezogene Daten mit Dritten ausgetauscht werden. Das sieht bei einem Online-Einzelhändler anders aus als bei einer hochspezialisierten Firma mit nur wenigen Kunden.
In jedem Fall muss der Arbeitgeber technische und organisatorische Vorkehrungen treffen, um die Datensicherheit zu gewährleisten. Für die Mitarbeiter kann der Arbeitgeber Richtlinien zum Umgang mit personenbezogenen Daten aufstellen. „Für das Unternehmen entscheidend ist, dass die Mitarbeiter die Unternehmensrichtlinien auch tatsächlich zur Kenntnis nehmen und in der Praxis umsetzen. Häufig macht es Sinn, wenn der Arbeitgeber die Mitarbeiter hierzu schult“, sagt Rechtsanwalt Timner.
In den Richtlinien lässt sich festschreiben, dass personenbezogene Daten nur von Kolleginnen und Kollegen angesehen werden dürfen, für die das auch tatsächlich notwendig ist. Also kein offenes unternehmensinternes System, bei dem alle Mitarbeiter auf alle Daten zugreifen können. Außerdem kann man Regeln für sichere Passwörter aufstellen und verfügen, dass Passwörter nicht weitergegeben werden. Leicht umzusetzen ist auch eine automatische Bildschirmsperre, wenn ein Mitarbeiter seinen Rechner eine Zeitlang nicht benutzt.
#4 Was muss ich bei meinen Outlook-Kontakten künftig beachten? Und was ist mit Signaturen aus E-Mails?
Das E-Mail-Programm auf Ihrem Computer ist eine der Hauptsammelstellen für personenbezogene Daten. Viele Mails werden mit Signatur verschickt und vom Empfänger werden die Kontaktdaten dann gespeichert. Das ist nach den neuen Datenschutzregeln im Geschäftsverkehr weiterhin erlaubt. Das gilt auch für Kontaktinfos über Mitarbeiter, die Ihnen von einem Geschäftspartner übermittelt werden und die wichtig sind, weil sie beispielsweise einen Vertrag miteinander abschließen oder ein Angebot übermitteln wollen.
Auch bei der Nutzung von Outlook oder anderen E-Mail-Programmen gilt, dass die Daten geschützt sein müssen. Das kann durch die Verschlüsselung der E-Mail-Kommunikation oder die Passwort-Verschlüsselung von Outlook geschehen. Ferner müssen die Daten auf dem neuesten Stand gehalten werden. „Arbeitgeber sollten daher dafür sorgen, dass die Outlook-Kontakte in angemessenen Zeitabständen, beispielsweise einmal jährlich, daraufhin überprüft werden, ob sie noch zutreffen, oder korrigiert beziehungsweise gelöscht werden müssen“, sagt Timner.
#5 Was ist mit Daten von Visitenkarten? Darf ich sie elektronisch speichern und an Kollegen weitergeben?
Für Visitenkarten gelten ähnliche Regeln wie für Ihre E-Mail-Kontakte. Die Daten dürfen grundsätzlich auf dem Rechner gespeichert werden. Es spricht auch nichts dagegen, diese Kontaktinfos über einen Geschäftspartner an Kollegen weiterzugeben, wenn das für die Anbahnung einer Geschäftsbeziehung notwendig ist.
#6 Wie kann ich sicherstellen, dass personenbezogene Daten, die gelöscht werden müssen, auch wirklich komplett verschwinden?
Das ist Aufgabe des Arbeitgebers, der seinen Mitarbeiterinnen und Mitarbeitern eine solche Funktion zur Verfügung stellen muss. Er kann zum Beispiel ein Löschprogramm auf den Firmencomputern installieren, das ein sicheres Löschen der Daten von der Festplatte oder anderen Datenträgern gewährleistet.
#7 Ich habe Messenger-Apps auf meinem Diensthandy – gibt es damit ein Problem?
Messenger-Dienste sind datenschutzrechtlich schwierig. „Problematisch kann es etwa sein, wenn Messenger-Dienste das gesamte Adressbuch auslesen und die Daten auf ausländische Server übertragen“, sagt Rechtsanwalt Timner. Denn damit erhielten Unternehmen außerhalb der EU Zugriff auf persönliche Daten von Personen, die den Messenger-Dienst gar nicht nutzen. Eigentlich müssten alle betroffenen Geschäftspartner und alle Mitarbeiter in die Nutzung einwilligen. Dass das praktisch kaum möglich ist, liegt auf der Hand.
Anders liegt der Fall, wenn ein Messenger-Dienst rein privat auf dem Diensthandy genutzt wird. Das setzt aber voraus, dass berufliche und private Daten strikt getrennt werden. Der Messenger darf also auf keinen Fall Zugriff auf berufliche Kontaktdaten haben.
#8 Darf mein Arbeitgeber Daten und Bilder von mir im Internet veröffentlichen?
Er darf, wenn es „zur Erfüllung der Arbeitspflicht“ oder aufgrund gesetzlicher Bestimmungen erforderlich. Bei einem Kundenberater kann es beispielsweise notwendig sein, Kontaktinformationen zu veröffentlichen. In anderen Fällen, wo das nicht unbedingt notwendig ist, muss die Mitarbeiterin oder der Mitarbeiter einer Veröffentlichung zustimmen. Das gilt in jedem Fall, wenn auch ein Bild publiziert werden soll.
