Digitalisierung und Beschäftigtendatenschutz
Die Digitalisierung hat nicht zuletzt durch die Corona-Krise einen erheblichen Vorschub erfahren. Digitalisierung in den Betrieben funktioniert gleichzeitig nur unter Verwendung der personenbezogenen Daten der Beschäftigten. Diese wiederum unterliegen seit Mai 2018 den strengen Regelungen der EU-Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Vor dem Hintergrund der Digitalisierung wachsen die Ansprüche gleichermaßen mit den Unsicherheiten. Ein guter Grund für den Arbeitgeberverband Chemie Rheinland-Pfalz, die Mitgliedsunternehmen durch ein Experten-Seminar zu unterstützen. Referent war Rechtsanwalt Armin Fladung vom CAD-Institut für Compliance, Arbeitsrecht und Datenschutz.
Der Corona-Lockdown hat die Digitalisierung in zahlreichen Bereichen der Betriebe vorangetrieben. Seminare, Meetings und Projektabsprachen – vieles fand online statt. Doch Digitalisierung bedeutet mehr und ist geprägt durch Entwicklungen wie „Sharing Economy“, „Internet der Dinge“ und „virtuelle Realität“. Und auch wenn Covid-19 diese Entwicklung beschleunigt hat, ist der gesetzliche Rahmen nicht überall fest definiert. Neuland also? Die häufige Lesart ist, dass Digitalisierung das Umwandeln von analogen Inhalten in digitale Formate bezeichnet. In der chemischen Industrie werden in diesem Zusammenhang häufig Begriffe wie „Big Data“, „Industrie4.0“ sowie „Arbeit4.0“ verwendet. Letztlich geht es um veränderte Arbeitsprozesse und Betriebsabläufe.
Und hier sind die Entscheider gefordert, die geltenden Regeln für ein rechtssicheres Business einzuhalten. Und das klingt einfacher, als es ist. Denn die Unternehmen sind auch abhängig von äußeren Rahmenbedingungen, die sie nicht oder nur schwer beeinflussen können. Meist handelt es sich um vorkonfektionierte Software, deren Standards nicht zwingend den Vorgaben der DS-GVO entsprechen. Fragen bei den Seminarteilnehmern gab es zudem zu Datenerfassung und -verarbeitung im Außendienst (Stichwort: Arbeitszeiterfassung) und Home Office sowie der Umgang mit der elektronischen Personalakte.
Beschäftigtendatenschutz
Das Ziel der DS-GVO ist eine datenschutzrechtliche Vollharmonisierung innerhalb der Europäischen Union – und viele Betriebe sind noch auf dem weg dahin. Ein Teilbereich betrifft den Beschäftigtendatenschutz, der in Deutschland durch eine Neufassung des gleichnamigen Gesetzes festgeschrieben ist und mit § 26 BDSG eine für den betrieblichen Anwendungsbereich wichtige Vorschrift erhalten hat. Diese Vorschrift erlaubt ausdrücklich die Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses. Dabei ist insbesondere die aus Artikel 5 DS-GVO gebotene Datensparsamkeit zu beachten. Zudem muss der Arbeitgeber seine Beschäftigten über die Verarbeitung informieren (sog. Betroffeneninformation). Eine Pflicht, sich dies schriftlich bestätigen lassen, besteht nicht; empfiehlt sich aber evtl. zu Dokumentationszwecken. Die Verarbeitung und der Umgang mit den Daten obliegt dabei ausschließlich den Mitarbeitern mit Personalkompetenz und konkreter Zuständigkeit.
Diese wesentlichen Regeln müssen Entscheider kennen
IDENTIFIZIERBARKEIT
Es gilt die DS-GVO, wenn personenbezogene Daten von Beschäftigten erfasst und verarbeitet werden. Personenbezogene Daten liegen vor, wenn Informationen geeignet sind mit einer hohen Wahrscheinlichkeit auf eine bestimmte Person zu schließen. Die betrifft nicht nur Angaben in Personalunterlagen, sondern beispielsweise auch Reports von IT-Systemen.
MARKTORTPRINZIP
Es gilt die DS-GVO auch für Unternehmen, die nicht in der EU niedergelassen sind, wenn sie im Rahmen ihrer relevanten Geschäftsaktivitäten Daten von Personen verarbeiten, die sich in der EU befinden. In Konzernen mit Sitz außerhalb der EU sind Beschäftigtendaten aus der EU in der gesamten Organisation nach der DSGVO zu behandeln.
ONE-STOP-PRINZIP
Die zuständige Behörde richtet sich für das gesamte Unternehmen nach dessen Hauptsitz.
Wer kann die Einhaltung der DS-GVO kontrollieren?
Bei Verstößen drohen hohe Bußgelder - dies zeigen bereits die ersten Fälle in der Praxis. Andererseits bewegen sich viele Unternehmen im Rahmen der Digitalisierung auf unbekanntem Terrain. Viele fragen sich daher, wer sie kontrollieren darf und in welchem Umfang. „In erster Linie sind die Datenschutzbehörden vor Ort berechtigt, die Einhaltung der Regeln zu überwachen“, erläutert Armin Fladung. Doch der Datenschutz-Experte betont auch, dass der Kreis der “Kontrolleure“ weiter zu fassen ist. Neben den Datenschutzbehörden rufen unzufriedene Mitarbeiter, negative Presseberichte und nicht zuletzt die Konkurrenz die Behörden auf den Plan. „Das kann ein scharfes Schwert unter Wettbewerbern werden“, so Fladung. Auf was die Behörden besonderen Wert legen, erläutert Rechtsanwalt Fladung in seinem Seminar. Er spricht zudem praxisorientierte Empfehlungen aus, was die Unternehmen unbedingt beachten sollten.
Sicherheit der Datenverarbeitung
Durch den Corona-Lockdown wurden Videokonferenzen und Online-Seminare in den Unternehmen verstärkt genutzt. Das nicht jeder Anbieter geeignet ist, zeigte die Diskussion um Zoom. Die aus den USA stammende Software für Videokonferenzen war schnell verfügbar, kostenlos und daher gern eingesetzt. Doch gab es auch sehr viele Kritiken an deren Datenschutz. Um kostenintensive und langwierige Rechtsstreitigkeiten bei der Einführung neuer Technologien zu vermeiden, empfiehlt Fladung die Anwendung einer Prüfliste, die er im Seminar vorstellte.
Weiterhin sollten allen Maßnahmen, die Unternehmen ergreifen, neben dem Datenschutz auch die Praxistauglichkeit und die Implementierungskosten berücksichtigen. Für den Datenschutzexperten Fladung ist es wichtig, in Fähigkeiten zu denken und die Software danach auszusuchen. „Es gibt auch einfache Lösungen, die KMU umsetzen können“, so Fladung.
Datenschutz im Home Office
War es in den letzten Jahren in der Industrie eher ein Incentive oder dem Außendienst vorbehalten, so ist das Home Office zu der Lösung in der Lockdown-Zeit geworden. Hier gilt es, Fallstricke zu vermeiden und für Rechtssicherheit zu sorgen. Dies betrifft nicht nur die Ausgestaltung des Arbeitsplatzes. Besonders im Umgang mit Daten gibt es ein paar Herausforderungen zu meistern. Zunächst können viele Abläufe durch eine Betriebsvereinbarung vereinfacht werden. Dabei ist zu beachten, dass es kein Konzernprivileg gibt und andere Standorte als Dritte zu betrachten sind. Wichtig ist Armin Fladung zudem, dass die Betriebe für das Home Office eine Datenschutzfolgeabschätzung durchführen und diese dokumentieren.
In der Betriebsvereinbarung sollten unter anderem folgende Punkte geregelt sein:
- Teilnahmevoraussetzungen
- Sicherer Remote-Zugriff
- Zugriffsbeschränkung (z. B. durch Zwei-Faktoren-Authentifizierung)
- Verschlüsselung
- Privatnutzung
- Meldung von Datenschutzvorfällen
Besonders hohe Ansprüche gibt es, wenn Mitarbeiter-/innen aus den Personalabteilungen die Beschäftigtendaten vom heimischen Büro aus bearbeiten. Auf eine Verschlüsselung der E-Mails mindestens aber der sensiblen Anhänge auch im internen Mailverkehr ist zu achten. In der Kommunikation über die IT-Hilfsmittel sollten zudem weitere Punkte wie Chat, Audio- und Videofunktion sowie mögliche Mitschnitte von Meetings und Konferenzen geregelt werden. Besonders wenn sich Personalabteilungen intern durch einen Chat austauschen, sollte darauf geachtet werden, wer alles Mitlesen kann.
Eng verbunden mit dem Home Office ist auch die Frage nach der Überwachung der IT-Nutzung. Hier ist anzumerken, dass eine lückenlose technische Überwachung weiterhin ausgeschlossen bleibt. Zudem sollte die Frage der Privatnutzung eindeutig geregelt sein. Erlaubt oder duldet der Arbeitgeber die Nutzung der betrieblichen Kommunikationsmittel, gilt er regelmäßig als Anbieter von Telekommunikationsdiensten und unterliegt damit dem Telekommunikationsgeheimnis.
Die Liste an Beispielen ließen sich weiter fortsetzen. Mit Blick auf die bisherigen Sanktionen bei Verstößen gegen die Datenschutzgrundverordnung empfiehlt der Arbeitgeberverband Chemie Rheinland-Pfalz, die weitere Entwicklung im Blick zu behalten, sich in den angebotenen Seminaren regelmäßig auf den aktuellen Stand bringen zu lassen und sich zu den Risikobereichen mit entsprechenden Datenschutzspezialisten auszutauschen.