info@winheller.com+49 (0)69 76 75 77 80 Mo. - Fr. von 8 bis 20 Uhr, Sa. von 8 bis 17 Uhr
Persönliche Termine nach Vereinbarung

Datenschutz im Unternehmen nicht vernachlässigen!

Das Bundesdatenschutzgesetz (BDSG) enthält eine Reihe von Vorgaben für den Aufbau einer datenschutzgerechten Organisation innerhalb eines Unternehmens. Besondere Bedeutung kommt dabei der Verpflichtung eines Unternehmens zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Datensicherheit und zum Datenschutz zu.

Vertrauliche Daten innerhalb des Unternehmens

In diesem Zusammenhang sind kürzlich die Berliner Verkehrsbetriebe (BVG) ins Scheinwerferlicht negativer Publicity geraten. Führungskräfte der BVG hatten offenbar über einen Zeitraum von zwei Wochen unbefugten Zugriff auf sensible Daten von Mitarbeitern. Aus dem Grundsatz der Vertraulichkeit bei der Personalaktenführung ergibt sich jedoch, dass die zur Personalakte gehörenden Daten nicht nur gegenüber außenstehenden Dritten, sondern auch innerhalb des Unternehmens vertraulich zu behandeln sind. Daher ist der mit der Personalaktenführung betraute Personenkreis immer möglichst klein zu halten.

Grundsätzlich sollten nur der Arbeitgeber selbst und die für ihn in diesen Angelegenheiten handelnden Personen Einsicht in die Personalakte nehmen dürfen. Dazu zählen im Rahmen ihrer Zuständigkeit die jeweiligen Mitarbeiter der Personalabteilung und – jedoch nur in gewissen Grenzen – die jeweiligen Vorgesetzten.

Aufsichtsbehörde ermittelte

Ans Licht der Öffentlichkeit gelangten die Vorwürfe gegen die BVG durch die Gewerkschaft Ver.di. Bei einer daraufhin veranlassten Betriebsprüfung der Berliner Datenschutzbeauftragten kam heraus, dass die betreffende Führungskraft nicht nur Zugriff auf die Daten hatte, sondern auch mindestens ein Dokument geöffnet und sogar ausgedruckt hat. Aufgrund mangelnder Protokollierung konnte nicht nachvollzogen werden, ob und wenn ja, welche anderen Angestellten auch Zugriff auf die sensiblen Daten hatten.

Die Datenschutzbeauftragte stellte im Rahmen ihrer Prüfung fest, dass es sich „nicht um ein bloßes Mitarbeiterversehen“ gehandelt hat. Vielmehr wurden in der Datenschutzorganisation des Unternehmens erhebliche Missstände aufgedeckt:

– Wichtige Daten wurden nicht auf unterschiedlichen Laufwerken getrennt abgelegt,
– die erfolgten Zugriffe auf personenbezogene Daten waren mangels ausreichender Protokollierung nicht kontrollierbar und
– die Prozesse, nach denen die Zugriffsrechte auf Verzeichnisse vergeben werden, sind veraltet, ungeeignet und nicht überprüfbar.

Auch im Umgang mit dem dann entdeckten Verstoß seien Mängel festgestellt worden. Gremien der Beschäftigtenvertretung sowie der Datenschutzbeauftragte des Unternehmens seien nicht oder erst Monate nach Bekanntwerden des Vorfalls informiert worden. Auch die Berliner Datenschutzbeauftragte sei nicht in Kenntnis gesetzt worden.

Datenschutz-Managementsystem verhindert Verstoß

Der Vorfall zeigt, dass es innerhalb von Unternehmen nach wie vor Nachholbedarf bei der Schaffung von Datenschutz-Managementsystemen gibt. Die Gründe dafür sind so unterschiedlich wie die Verstöße selbst:

– Mangelndes Interesse am Datenschutz,
– zu schnell gewachsene Unternehmen, mit denen die interne Organisation nicht Schritt halten kann oder
– mangelhafte Strukturen, die nicht kritisch hinterfragt werden, getreu dem Motto „Das haben wir immer schon so gemacht!“.

Bußgelder für Unternehmen

Verstöße werden streng geahndet. Neben Ansprüchen auf zivilrechtlichen Schadensersatz und strafrechtlicher Verfolgung sind Bußgelder von bis zu 300.000 Euro zu erwarten. Nach der ab Mai 2018 gültigen EU-Datenschutzgrundverordnung kommt es noch dicker: Die Bußgelder steigen empfindlich und können im Ernstfall bis zu 20 Mio. Euro oder auch vier Prozent des gesamten weltweit erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Unsere erfahrenen Anwälte unterstützen Unternehmen bei der Ausarbeitung interner Datenschutzkonzepte. Gerne beantworten wir auch Ihre Fragen.

Weiterlesen:
Datenschutzgrundverordnung – höchste Zeit zu handeln!
Erstellung eines Datenschutzkonzepts für Ihr Unternehmen

Olga Stepanova

Olga Stepanova

Rechtsanwältin Olga Stepanova ist für WINHELLER in den Bereichen IT-Recht und Datenschutz tätig. Unsere gewerblichen Mandanten berät Sie zudem im Marken-, Urheber- und Wettbewerbsrecht.

>> Zum Profil

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

WINHELLER-Blog via Newsletter

Abonnieren Sie unsere kostenlosen Newsletter und erhalten Sie regelmäßig die wichtigsten Beiträge aus dem Wirtschafts- und/oder Gemeinnützigkeitsrecht bequem per E-Mail. Wählen Sie einfach Ihren Wunschnewsletter aus. (Pflichtfelder sind mit * markiert).

German Business Law News (4x jährlich)
Nonprofitrecht aktuell (1x im Monat)
Ich möchte den oder die ausgewählten Newsletter abonnieren und erteile zu diesem Zwecke meine Einwilligung in die Verarbeitung meiner oben angegebenen Daten durch WINHELLER. Die „Hinweise zur Datenverarbeitung im Rahmen des Newsletter-Abonnements“ habe ich gelesen.
Mir ist bekannt, dass ich meine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft durch Betätigung des Abmeldebuttons innerhalb des Newsletters widerrufen kann. *