Archiv

DatenschutzWas für Kunden und Mitarbeiter zu beachten ist

Die Missachtung des Datenschutzes kann Unternehmen teuer zu stehen kommen. Sie sind verpflichtet, mit Kundendaten sorgsam umzugehen. Und auch von Mitarbeitern dürfen Daten nicht beliebig gesammelt werden.
erschienen: 16.07.2010
(1 Bewertung)

Seit den großen Datenschutzskandalen vor zwei Jahren bei der Bahn AG, der Telekom und bei Lidl ist der betriebliche Datenschutz ein zentrales Thema geworden. Die Vorgänge haben deutlich gemacht, dass Missachtung ein Unternehmen teuer zu stehen kommen kann. Bußgeldbescheide in Millionenhöhe und Imageverluste der betroffenen Firmen haben in den erwähnten Fällen dazu geführt, dass dem Datenschutz heute ein sehr viel höherer Stellenwert beigemessen wird. Die Einrichtung von Arbeitsplätzen zur Sicherung des betrieblichen Datenschutzes ist für viele Unternehmen zu einer Selbstverständlichkeit geworden. Früher häufig als notwendiges Übel geduldet, ist der interne oder externe Datenschutzbeauftragte nun eine gefragte Person.

Welches sind die wichtigsten Regeln, die ein betrieblicher Datenschutzbeauftragter beachten muss?

Datenschutz gegenüber dem Kunden

Zunehmend sensibel reagieren Kunden darauf, wie Unternehmen mit ihren Daten umgehen. Deshalb sei jedem Unternehmer geraten, auf der Homepage neben Impressum und AGB eine eigene Datenschutzerklärung zu platzieren. Diese sollte folgendes, je nach Unternehmen variierend, enthalten:

  • Erhobene und gespeicherte Daten werden streng nach den Regeln des Bundesdatenschutzgesetzes (BDSG) und anderer datenschutzrechtlicher Vorschriften verarbeitet.
  • Wichtig sind Angaben über deren Verwendung und wann sie gelöscht werden.
  • Versicherung, dass keine Weitergabe zu Werbezwecken anderer Unternehmen erfolgt beziehungsweise unter welchen Bedingungen man aus gesetzlichen Gründen zur Weitergabe an andere Institutionen verpflichtet ist.
  • Was mit Informationen geschieht, die in ein Internet-Gästebuch in einem Forum oder in den Kommentarfunktionen auf der Webseite des Unternehmens eingegeben worden sind.
  • Welche Informationen automatisch beim Besuch einer Homepage gespeichert und wie ausgewertet werden.
  • Ob und welche Arten von Cookies erhoben werden und wie der Besucher einer Homepage dies verhindern kann.
  • Wie mit den Daten von Kindern und Jugendlichen verfahren wird.
  • Welche Sicherheitsmaßnahmen das Unternehmen anwendet, um einen Missbrauch von Daten zu verhindern.
  • Welche Rechte der Kunde im Umgang mit den Angaben zu seiner Person hat und wie er sie wahrnehmen kann.
  • Festzustellen ist, dass der Kunde jederzeit der Verwendung seiner Daten widersprechen kann.
  • Was geschieht, wenn das Unternehmen seine Datenschutzbestimmungen ändert.
  • Welche Haftungsregeln beim Verwenden von Links gelten, die von der Homepage auf andere Websites verweisen.
  • Zu empfehlen ist auch zu erklären, dass das Unternehmen an Fragen, Anregungen und Beschwerden, den Datenschutz betreffend, interessiert ist.

Mit der folgenden Checkliste können Sie noch einmal prüfen, ob Sie den wichtigen Datenschutzbestimmungen Ihren Kunden gegenüber nachkommen. Überprüfen Sie Ihre Webseite und weitere Informationen und passen Sie diese gegebenenfalls mit Unterstützung eines Rechtsanwalts an.

Datenschutz gegenüber den Mitarbeitern

Nicht weniger sensibel sind Datenschutzfragen, die sich auf die Mitarbeiter des Unternehmens beziehen. Noch gibt es außer einem einzigen Paragrafen keine gesetzliche Regelung zum Schutz von Arbeitnehmerdaten. Allerdings hat jetzt der Bundesinnenminister einen Gesetzentwurf zum Beschäftigtendatenschutz vorgelegt, der noch in diesem Jahr von den parlamentarischen Gremien verabschiedet werden soll.

Die zukünftigen Regeln dürften sich durch einen definitiven gesetzlichen Schutz von Arbeitnehmerdaten auszeichnen; und zwar mit folgenden Detailregelungen:

  • Welche Daten eines Arbeitnehmers dürfen vor, während und nach einem Beschäftigungsverhältnis erhoben, verarbeitet und genutzt werden? Das Gesetz wird sich im Wesentlichen an der bisherigen Rechtsprechung des Bundesarbeitsgerichts (BAG) orientieren, wonach – vereinfacht gesprochen – nur solche Daten erhoben, verarbeitet und genutzt werden dürfen, die in Zusammenhang mit dem beabsichtigten oder vereinbarten Beschäftigungsverhältnis stehen.
  • Welche Maßnahmen darf der Arbeitgeber ergreifen, um Vertragsverletzungen, Ordnungswidrigkeiten und Straftaten im Beschäftigungsverhältnis zu verhindern und aufzudecken? Maßstab für eine Datenerhebung und Speicherung sind die Grundsätze des Bundesdatenschutzgesetzes: Erforderlichkeit für die Verhinderung und Aufdeckung einer Straftat sowie Verhältnismäßigkeit der Maßnahme. Darüber hinaus müssen zu dokumentierende tatsächliche Anhaltspunkte einen entsprechenden Verdacht begründen.  
  • Unter welchen Bedingungen darf ein Arbeitgeber einen Arbeitnehmer oder Gruppen von Arbeitnehmern mit einer Videoanlage, einem Ortungssystem (GPS) oder biometrischen Verfahren (Fingerabdruck, Iriserkennung) überwachen? Auch diese Frage wird im Gesetz unter Anlehnung an die Grundsätze des Bundesdatenschutzgesetzes beantwortet. Überwachungsmaßnahmen müssen sich an der betrieblichen Erforderlichkeit messen lassen.
  • Welche Formen der Überwachung und Kontrolle der Internet- und E-Mail-Nutzung durch Arbeitnehmer sind zulässig? In diesem Bereich besteht großer Regulierungsbedarf, weil viele Betriebe keine Regeln dazu vereinbart haben und bei der Verletzung von Straftatbeständen per Telefon, Fax, Internet oder E-Mail große Unsicherheit darüber herrscht, was zulässig ist.

Das Gesetz wird zwei Formen der Internet- und E-Mail-Kommunikation unterscheiden:

  • Erlaubnis für eine partielle private Nutzung der beiden Medien oder
  • vollständiges Verbot der Privatnutzung.

Rechtlich einfacher zu handhaben ist die Situation ohne Erlaubnis für die Privatnutzung. In diesem Fall kann der Arbeitgeber die genannten Medien – mit kleinen Unterschieden – dann überwachen, sofern dies zu Wahrung seiner betrieblichen Interessen erforderlich ist und der Arbeitnehmer vorher eingewilligt hat. Wenn eine Privatnutzung gestattet ist, gestaltet sich die rechtliche Situation komplizierter. Der Arbeitgeber muss dann seine Interessen mit den schutzwürdigen Interessen des Arbeitnehmers abwägen.

 

  • Welche Unterrichtungspflichten muss der Arbeitgeber beachten, wenn er feststellt, dass bei ihm gespeicherte Beschäftigtendaten an Dritte unrechtmäßig übermittelt worden sind? Das Gesetz wird voraussichtlich eine unverzügliche Unterrichtungspflicht des Arbeitgebers an den Betroffenen vorsehen.
  • Welche Rechte hat der Arbeitnehmer, wenn der Arbeitgeber Daten von ihm erhoben, verarbeitet oder genutzt hat? Der Arbeitnehmer wird die klassischen Rechte des Betroffenen im Datenschutz erhalten: Auskunft, Benachrichtigung, Berichtigung, Löschung und Sperrung.

Ausblick

Die gesetzlichen Regelungen für die skizzierten Bereiche sind in den vergangenen Jahren ständig verändert worden. Das hat dazu geführt, dass eine juristisch durchschnittlich gebildete Person die komplizierten Vorschriften kaum mehr verstehen kann. Der Ruf nach einem gänzlich neu gestalteten Datenschutzrecht ist deshalb immer wieder zu hören. Ob es dazu kommt und wenn ja wann, kann momentan niemand sagen.

Deshalb sei jedem Unternehmen, das Wert darauf legt, dem Datenschutz einen zentralen Stellenwert in seiner Firmenpolitik einzuräumen, geraten, sich rechtliche Unterstützung bei einem Datenschutz-Rechtsexperten zu suchen. Wer keinen eigenständigen betrieblichen Datenschutzbeauftragten beschäftigen möchte, kann auch die Dienste von Kanzleien in Anspruch nehmen.

Denn – darauf sei ausdrücklich nochmals hingewiesen: Öffentlich bekannt gewordene Verstöße gegen datenschutzrechtliche Regelungen können  Imageschäden für ein Unternehmen zur Folge haben, die sich meist erst nach vielen Jahren wieder bereinigen lassen!

[Redaktion in Zusammenarbeit mit W&W Publishers, Hanau;
Bild: Fineas - Fotolia.com]

(1 Bewertung)  Artikel bewerten

Über den Autor
Prof. Dr. Rainer Erd

Prof. Dr. Rainer Erd ist Rechtsanwalt bei Schmalz Rechtsanwälte in Frankfurt am Main. Davor war er jahrelang Professor für Informationsrecht und Datenschutzbeauftragter einer großen Hochschule.

AnschriftProf. Dr. Rainer Erd
Schmalz Rechtsanwälte
Hansaallee 30-32
60322 Frankfurt
E-Mailr.erd@schmalzlegal.com
Webhttp://www.schmalzlegal.com