Datenschutz im Betrieb

Vertieft beschäftigen sich zwar nur die Unternehmensleitung, die Rechtsabteilung, der Datenschutzbeauftragte und die Personalabteilung mit dem Datenschutz, jedoch hat jeder Beschäftigte gesetzliche Vorgaben zu beachten. Der Beschäftigte hat die Pflicht vertrauliche Firmeninformationen vor unerlaubter Weitergabe, Kenntnisnahme und Verfälschung zu schützen. Wenn gegen einer dieser Pflichten verstoßen wird drohen Sanktionen und nachteilige Folgen. Der Datenschutzbeauftragte muss die Beschäftigten die mit personenbezogenen Daten arbeiten über die Vorschriften des Datenschutzes informieren. Wenn ein Datenverlust festgestellt wird muss der Arbeitnehmer dies den zuständigen Stellen des Unternehmens sofort melden und das Unternehmen die zuständige Aufsichtsbehörde informieren.

1. Personenbezogene Daten

Das Unternehmen geht mit sehr vielen Informationen um, die durch Datenschutzvorschriften geschützt sind, die sogenannten personenbezogenen Daten. Darunter gehören zunächst die Stammdaten einer Person wie Name, Adresse, Geburtsdatum und Telefonnummer, E-Mailadressen sowie Bankdaten. Hierunter können ferner auch sonstige Informationen zu einem Kunden fallen, wie etwa das Einkaufsverhalten. Der Gesetzgeber nimmt diesen Schutz sehr ernst und verlangt daher, dass für jeden Umgang mit solchen Informationen ein Erlaubnistatbestand vorhanden ist. Der Betroffene muss zudem darüber informiert werden zu welchem Zweck seine Daten verarbeitet werden.
Das Datenschutzrecht soll nicht die Daten als solche schützen, sondern die Persönlichkeit die hinter diesen Daten steht. Denn jeder Mensch sollte selbst darüber entscheiden können, wem wann welche seiner persönlichen Daten zustehen sollen. Fehler beim Datenumgang verletzen nicht nur die persönlichen Rechte anderer Menschen, sondern können auch infolge von Vertrauensverlusten wirtschaftliche Einbußen nach sich ziehen. So dürfen Dokumente mit personenbezogenen Daten nicht in den normalen Müll, sondern müssen entweder mit dem Aktenvernichter vernichtet oder in vorgesehene Datenabfallbehälter gegeben werden. Das Datengeheimnis besteht auch nach der Beendigung einer Tätigkeit fort.

2. Bewerbungsunterlagen

Die Personalabteilung ist befugt Lebensläufe und Zeugnisse für Zwecke der Einstellung und Personalverwaltung zu nutzen. Es dürfen jedoch keine Daten aus rein privaten sozialen Netzwerken zu den Bewerbungsdaten gespeichert werden. Dokumente abgelehnter Bewerber sind zu löschen oder müssen an die Bewerber zurückgesandt werden. Dies sollte dann erfolgen, wenn keine Ansprüche des Bewerbers, etwa aufgrund einer Diskriminierung entgegen des AGG, mehr geltend gemacht werden können und damit kein nachvollziehbarer Grund für eine weitere Verwendung der Unterlagen besteht.

3. Verpflichtung

Bei Aufnahme einer Tätigkeit muss eine Verpflichtungserklärung unterschrieben werden. Die IT-Abteilung ist berechtigt, Inhalte des Datenverkehrs zu filtern und zu prüfen zum Schutz von Viren, Spam usw. Für die Personalabteilung, Vorgesetzte und Betriebsratsmitglieder gelten strengere Geheimhaltungspflichten, gerade gegenüber Kollegen.
Viele Verarbeitungsvorgänge im Umgang mit Informationen von Kollegen, Kunden usw. sind im Unternehmen etwa durch Dienstanweisungen fest geregelt. Aber auch sonst sind alle Beschäftigten dazu verpflichtet die allgemeinen Datenschutzregeln zu kennen und einzuhalten. Das Unternehmen wie auch der Beschäftigte muss dafür sorgen, dass personenbezogene Daten nicht von Unbefugten eingesehen oder verändert werden und nicht abhandenkommen können. Aus diesem Grund ist darauf zu achten, dass der Rechner beim Verlassen gesperrt ist und nur mit Passwort reaktiviert werden kann. Außerdem muss darauf geachtet werden, dass Unbefugte keine Telefongespräche mitverfolgen können.

4. Haftung

In erster Linie muss nach außen das Unternehmen für einen Fehler des Beschäftigten einstehen. Bei leichten Fehlern in der Datenverarbeitung haftet der Beschäftigte dem Arbeitgeber gegenüber finanziell nicht, außer der Beschäftigte hat nachlässig oder absichtlich gehandelt. Da der Beschäftigte aber an den Datenverarbeitungen des Unternehmens beteiligt ist, wird ihm ein Teil der Fehler zugeordnet.
Der Beschäftigte muss nur dann für den Schaden voll einstehen, wenn er mit vorsätzlichem Handeln einen Datenschutzverstoß begangen hat. Frei von Schadensersatzpflichten ist man, wenn einem ein Fehler passiert, der auch jedem anderen Kollegen hätte passieren können. Passiert einem jedoch ein Fehler der einem Kollegen im Zweifel nicht passiert wäre, dann kann man für diese mittlere Fahrlässigkeit mit mehreren Monatsgehältern haften. Bei grober Fahrlässigkeit muss teilweise Schadensersatz geleistet werden.
Wenn ein Beschäftigter die Datenschutzvorschriften verletzt kann ihm vom Arbeitgeber zunächst eine Ermahnung, dann eine Abmahnung drohen. In schwerwiegenden Fällen kann es sogar zu einer Kündigung oder zu einer außerordentlichen Kündigung kommen.
Bei Datenschutzverletzungen aus denen der Verantwortliche einen wirtschaftlichen Vorteil gezogen hat, kann der Verstoß mit einer Geldbuße bis zu 300.000 Euro geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil den dieser daraus gezogen hat übersteigen. Wenn eine Datenschutzverletzung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder jemand anderen zu schädigen begangen wird kann der Verantwortliche auch mit einer Freiheitsstrafe bis zu zwei Jahren bestraft werden.

5. Vereinbarungen mit Geschäftspartnern

Ein Unternehmen arbeitet heute selten noch alleine, sondern arbeitet mit anderen zusammen z. B. Zulieferer, Schreibbüros, Aktenvernichtungsunternehmen usw. Aus diesem Grund muss das Unternehmen dafür sorgen, dass in einem schriftlichen Vertrag festgehalten wird, dass jeder dieser Dienstleister die gesetzlichen Datenschutzregeln einhält.

Stand: Januar 2017
Dieses Merkblatt soll - als Service Ihrer IHK Limburg - nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl es mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.