Das Bundesdatenschutzgesetz (BDSG) enthält eine Reihe von Vorgaben für den Aufbau einer datenschutzgerechten Organisation innerhalb eines Unternehmens. Besondere Bedeutung kommt dabei der Verpflichtung eines Unternehmens zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Datensicherheit und zum Datenschutz zu.
Vertrauliche Daten innerhalb des Unternehmens
In diesem Zusammenhang sind kürzlich die Berliner Verkehrsbetriebe (BVG) ins Scheinwerferlicht negativer Publicity geraten. Führungskräfte der BVG hatten offenbar über einen Zeitraum von zwei Wochen unbefugten Zugriff auf sensible Daten von Mitarbeitern. Aus dem Grundsatz der Vertraulichkeit bei der Personalaktenführung ergibt sich jedoch, dass die zur Personalakte gehörenden Daten nicht nur gegenüber außenstehenden Dritten, sondern auch innerhalb des Unternehmens vertraulich zu behandeln sind. Daher ist der mit der Personalaktenführung betraute Personenkreis immer möglichst klein zu halten.
Grundsätzlich sollten nur der Arbeitgeber selbst und die für ihn in diesen Angelegenheiten handelnden Personen Einsicht in die Personalakte nehmen dürfen. Dazu zählen im Rahmen ihrer Zuständigkeit die jeweiligen Mitarbeiter der Personalabteilung und – jedoch nur in gewissen Grenzen – die jeweiligen Vorgesetzten.
Aufsichtsbehörde ermittelte
Ans Licht der Öffentlichkeit gelangten die Vorwürfe gegen die BVG durch die Gewerkschaft Ver.di. Bei einer daraufhin veranlassten Betriebsprüfung der Berliner Datenschutzbeauftragten kam heraus, dass die betreffende Führungskraft nicht nur Zugriff auf die Daten hatte, sondern auch mindestens ein Dokument geöffnet und sogar ausgedruckt hat. Aufgrund mangelnder Protokollierung konnte nicht nachvollzogen werden, ob und wenn ja, welche anderen Angestellten auch Zugriff auf die sensiblen Daten hatten.
Die Datenschutzbeauftragte stellte im Rahmen ihrer Prüfung fest, dass es sich „nicht um ein bloßes Mitarbeiterversehen“ gehandelt hat. Vielmehr wurden in der Datenschutzorganisation des Unternehmens erhebliche Missstände aufgedeckt:
– Wichtige Daten wurden nicht auf unterschiedlichen Laufwerken getrennt abgelegt,
– die erfolgten Zugriffe auf personenbezogene Daten waren mangels ausreichender Protokollierung nicht kontrollierbar und
– die Prozesse, nach denen die Zugriffsrechte auf Verzeichnisse vergeben werden, sind veraltet, ungeeignet und nicht überprüfbar.
Auch im Umgang mit dem dann entdeckten Verstoß seien Mängel festgestellt worden. Gremien der Beschäftigtenvertretung sowie der Datenschutzbeauftragte des Unternehmens seien nicht oder erst Monate nach Bekanntwerden des Vorfalls informiert worden. Auch die Berliner Datenschutzbeauftragte sei nicht in Kenntnis gesetzt worden.
Datenschutz-Managementsystem verhindert Verstoß
Der Vorfall zeigt, dass es innerhalb von Unternehmen nach wie vor Nachholbedarf bei der Schaffung von Datenschutz-Managementsystemen gibt. Die Gründe dafür sind so unterschiedlich wie die Verstöße selbst:
– Mangelndes Interesse am Datenschutz,
– zu schnell gewachsene Unternehmen, mit denen die interne Organisation nicht Schritt halten kann oder
– mangelhafte Strukturen, die nicht kritisch hinterfragt werden, getreu dem Motto „Das haben wir immer schon so gemacht!“.
Bußgelder für Unternehmen
Verstöße werden streng geahndet. Neben Ansprüchen auf zivilrechtlichen Schadensersatz und strafrechtlicher Verfolgung sind Bußgelder von bis zu 300.000 Euro zu erwarten. Nach der ab Mai 2018 gültigen EU-Datenschutzgrundverordnung kommt es noch dicker: Die Bußgelder steigen empfindlich und können im Ernstfall bis zu 20 Mio. Euro oder auch vier Prozent des gesamten weltweit erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Unsere erfahrenen Anwälte unterstützen Unternehmen bei der Ausarbeitung interner Datenschutzkonzepte. Gerne beantworten wir auch Ihre Fragen.
Weiterlesen:
Datenschutzgrundverordnung – höchste Zeit zu handeln!
Erstellung eines Datenschutzkonzepts für Ihr Unternehmen