Datenschutz in Zeiten digitaler Arbeitsplätze
Die COVID-19 Krise zwang viele Unternehmen unvorbereitet in die Digitalisierung des Arbeitsplatzes und somit auf ein meist vollkommen neues Terrain. Das erfordert eine korrekte Implementierung des Datenschutzes.
(Lesedauer: 5 Minuten)
Der Umstieg auf Homeoffice
Wo es möglich war – und noch immer ist – wurden Mitarbeiter ins Homeoffice geschickt, um diese vor einer potentiellen Infektion am Coronavirus zu schützen. Doch auch am heimischen Schreibtisch ist der Datenschutz zu beachten. Die Verarbeitung personenbezogener Daten muss daher natürlich auch im Home-Office den geltenden Datenschutzstandards entsprechen und somit durch geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO abgesichert sein. Hier wird inhaltlich streng geprüft, denn es ist vorzusehen, dass die digitalen Arbeitsplätze nach der Pandemie eine starke Präsenz zeigen werden – und Unzugänglichkeiten, die Unternehmen während der Krise akzeptierten, dürfen in Zukunft nicht „einzementiert“ werden.
Interne Datenschutzrichtlinie
Oft vergessen Unternehmen beim Thema Datenschutzrichtlinien das Homeoffice. Eine Regelung hierfür hat jedoch immense Bedeutung, da vor allem außerhalb des gewohnten Arbeitsplatzes schnell Datenpannen vorkommen können, die sich durch exakte Vorgaben und Verhaltensregeln vermeiden ließen. Ohne Datenschutzrichtlinie für das Homeoffice ist nicht dokumentiert, wie sich Mitarbeiter zu verhalten haben, womit das Unternehmen zweifelsfrei seinen datenschutzrechtlichen Verpflichtungen nicht nachkommen würde – und zwar selbst dann, wenn es an einem konkreten Datenschutzvorfall noch mangelt, denn bereits unzureichende Vorgaben stellen ein datenschutzwidriges Verhalten dar.
Organisatorische Maßnahmen
Im nächsten Schritt ist es wichtig, dass den Mitarbeitern klare organisatorische Maßnahmen vorgegeben werden, die stets einzuhalten sind. Hierbei sollte es sich um verständliche und praktisch umsetzbare datenschutzrechtliche Regelungen und Vorgaben handeln. Insbesondere für die folgenden Punkte sind organisatorische Maßnahmen festzulegen:
- Wie erfolgt der Transport von Daten zwischen Unternehmen und Homeoffice, sowie der allfällige Rücktransport?
- Welche Dokumente dürfen das Unternehmen verlassen?
- Wie wird der sichere Transport dieser Dokumente zwischen dem Unternehmen und dem privaten Arbeitsplatz in den heimischen vier Wänden gewährleistet?
- Wie ist der Arbeitsplatz im Homeoffice datenschutzkonform einzurichten, sodass ein Fremdzugriff ausgeschlossen ist?
- Wie haben die Mitarbeiter Dokumente bzw. Unterlagen datenschutzkonform zu verwahren und zu vernichten?
- Welche Maßnahmen sind im Falle eines Datenverlustes oder widerrechtlichen Fremdzugriffs zu ergreifen?
Technische Maßnahmen
Die technische Sicherheit im Homeoffice sollte hohe Priorität für Unternehmen haben. Die Umsetzung von technischen Maßnahmen zur datenschutzrechtlichen Absicherung des Homeoffice muss stets dem aktuellen Stand der Technik entsprechen. Vordergründig steht hier die Datenverarbeitung an technischen Geräten im Homeoffice sowie der (interne als auch externe) Datenversand. Insbesondere zu folgenden Punkten sind in jedem Fall ausreichende technische Maßnahmen zu ergreifen:
- Stellt das Unternehmen den Mitarbeitern die IT-Ausstattung (Laptops, PCs, Handy etc.) zur Verfügung oder greifen diese auf ihre privaten IT-Geräte zurück?
- Bieten die IT-Geräte einen sicheren und verschlüsselten Datentransfer und erfüllen den einzuhaltenden technischen Sicherheitsstandard?
- Wo und wie sind die IT-Geräte zu nutzen?
- Welche Mindestanforderungen sind an WLAN- oder LAN-Verbindungen zu stellen?
- Ist im Unternehmen ein Virtual Private Network (VPN) installiert und sind die IT-Geräte der Mitarbeiter an dieses angeschlossen?
- Welche Video- bzw. Chat/Kommunikationstools sind für die interne wie externe Kommunikation zu nutzen?
- Wie sind Daten von privaten IT-Geräten der Mitarbeiter zu löschen?
Betriebsvereinbarung
Oft wird übersehen, dass bereits die automationsunterstützte Verarbeitung von Arbeitnehmerdaten (dies geschieht in der Praxis in jedem Unternehmen schon durch Anwendungen wie Microsoft Outlook oder eine VoIP-Telefonanlage) in Unternehmen mit Betriebsrat im Regelfall einer entsprechenden Betriebsvereinbarung bedarf. Darüber hinaus brachte die DSGVO im Arbeitnehmerdatenschutz neue Verpflichtungen mit sich, deren Einhaltung gerade in Zeiten der Digitalisierung von höchster Bedeutung sind. Hier sind nicht nur zahlreiche Informations- und Aufklärpflichten betroffen, sondern sie lösen auch einen Anpassungsbedarf bei den Betriebsvereinbarungen aus. In betriebsratspflichtigen Betrieben sind Betriebsvereinbarungen, welche die Verarbeitung von Beschäftigtendaten regeln oder voraussetzen, nun nach den allgemeinen Anforderungen der Transparenz und Nachvollziehbarkeit der DSGVO aufzusetzen. Wo solche Betriebsvereinbarungen fehlen, sollten diese ohne Verzug erstellt und abgeschlossen werden.
Daher wird empfohlen, eine konkrete Erhebung und Beschreibung der Datenverarbeitung (Datenkategorien Übermittlung, Zwecke und mögliche Zweckänderung, IT-Systeme, Speicherorte, usw.) vorzunehmen und die nötigen Maßnahmen zur Wahrung der Rechte der Betroffenen genau zu definieren. Des Weiteren sollten Zugriffsberechtigungskonzepte sowie Speicherfristen und Löschzeitpunkte festgelegt werden, denn viele der in Europa bislang ausgesprochenen Geldstrafen erfolgten vor dem Hintergrund zu langer (und somit widerrechtlich) aufbewahrter Daten.
Datenschutzrechtlich sachgerecht gestaltete Betriebsvereinbarungen können in der Praxis auch unter der Geltung der DSGVO ein ausgesprochen sinnvolles Mittel sein, um Kontrollinteressen des Arbeitgebers und die Datenschutzrechte der Arbeitnehmer zu einem angemessenen Ausgleich zu bringen. So kann ein hohes Maß an Rechtssicherheit bei der Datenverarbeitung am Arbeitsplatz geschaffen werden.
Die Implementierung des Datenschutzes im gesamten Unternehmen
Gerade wenn eine digitalisierte Welt auf eine solche Krise stößt, die wohl auch zukünftig präsent sein wird, dürfen Unternehmen die Wichtigkeit des Datenschutzes nicht unterschätzen. Der richtige Umgang mit den datenschutzrechtlichen Vorgaben (der DSGVO und des DSG) muss nicht nur im Homeoffice, sondern im gesamten Unternehmen gewährleistet sein. Ist der Datenschutz in Unternehmen vollständig implementiert, sind Herausforderungen, wie wir sie jetzt erleben, in Zukunft leichter, effizienter und rascher zu meistern. In weiterer Folge werden Aspekte dargestellt, die Unternehmen zweifelsfrei vor Herausforderungen stellen, jedoch vor möglichen Verstößen und drohenden Strafen der Datenschutzbehörde bewahren können (und werden).
Digitaler Personalakt
Der digitale Personalakt ist für viele Unternehmen kein fernes Zukunftsmodell mehr, sondern bereits selbstverständliche Realität. Die Vorteile des digitalen Personalakts sind unzählig: Alle Dokumente sind digitalisiert und in einer zentralen Ablage gespeichert, der Dokumentenzugriff erfolgt rasch und einfach. Nur mit einem digitalen Personalakt kann ein Unternehmen in praktischer Hinsicht die Vorgaben des Datenschutzes umfassend und effizient erfüllen. Doch der digitale Personalakt birgt bei nicht korrekter Implementierung auch gehörige Gefahren. Welche Daten/Dokumente dürfen überhaupt gespeichert werden und wie lang? Und wer darf Zugriff auf welche Daten/Dokumente haben? So notwendig, wie der digitale Personalakt selbst ist, so notwendig ist auch seine (datenschutz-)rechtlich korrekte Implementierung sowie sein (datenschutz-)rechtskonformer Betrieb.
Datenbankanalyse sowie Datenbankbereinigung
Nicht nur, aber auch im Rahmen der Einrichtung eines digitalen Personalakts werden sämtliche vorhandenen Daten oft unüberlegt und voreilig digitalisiert. Viele Unternehmen besitzen und verarbeiten daher (ob nun ein digitaler Personalakt vorhanden ist oder nicht) noch immer, trotz strikter Vorgaben der DSGVO, Unmengen an Daten, darunter auch hoch sensible Daten, für deren Verarbeitung jedoch eine Rechtsgrundlage fehlt. Hier blickt man der Gefahr hoher Strafen durch die Datenschutzbehörde unmittelbar ins Auge. Wir empfehlen daher, so rasch wie möglich eine Datenbankbereinigung vornehmen zu lassen, um ein nicht notwendiges aber real vorhandenes Gefahrenpotenzial zu beseitigen.
Erstellung eines Löschkonzepts
Viele Unternehmen verfügen über eine immense Anzahl an personenbezogenen Daten, deren Verarbeitung/Speicherung jedoch nicht (mehr) notwendig und somit verboten ist. Denken Sie an E-Mail Accounts und sonstige Daten längst ausgeschiedener Mitarbeiter, für die mittlerweile jeglicher Verarbeitungsgrund fehlt. Die DSGVO sieht hier eine strikte Bindung der Verarbeitung an einen Zweck vor. Verarbeitet (speichert) man Daten über diesen Zweck hinaus weiter, stellt dies einen Verstoß gegen die datenschutzrechtlichen Vorgaben dar. Umgekehrt sollte man allerdings, schon aus unternehmerischem Eigeninteresse, Daten auch nicht zu früh löschen und dabei womöglich gegen Aufbewahrungspflichten verstoßen oder sich selbst wichtiger Daten und Informationen (etwa zur Abwehr von Rechtsansprüchen oder Verteidigung vor Gericht) begeben.
Auch hier wird nahegelegt ein präzises Löschkonzept festlegen zu lassen, welches für jegliche Datenverarbeitung eine bestimmte Aufbewahrungsdauer sowie einen bestimmten Löschzeitpunkt festlegt. Dies alles natürlich unter dem Aspekt der Einhaltung sämtlicher (datenschutz-)rechtlicher Vorgaben und Pflichten.
Gewappnet für die Herausforderungen von morgen
Ein vollständiges, rechtlich abgesichertes und praktisch funktionierendes Datenschutzkonzept hilft natürlich auch beim Umgang mit neuen Herausforderungen. Änderungen der vorhandenen IT-Infrastruktur, die Aufnahme neuer Geschäftsfelder und Tätigkeitsbereiche oder die Implementierung neuer Tools und Prozesse – all dies bringt datenschutzrechtliche Pflichten mit sich. Funktioniert das Datenschutzkonzept im Unternehmen heute, sind auch Einführungen neuer oder Änderungen bestehender Maßnahmen morgen problemlos machbar. Je mehr man hierbei auf digitale Lösungen setzt, desto mehr reduzieren sich der organisatorische und finanzielle Aufwand sowie rechtliche Risiken.
Bereits nächstes Jahr wird etwa die Whistleblowing-Richtlinie in österreichisches Recht umzusetzen sein. Für alle Unternehmen mit 50 Mitarbeitern oder mehr sowie für Unternehmen aus bestimmten Bereichen sowie dem öffentlichen Sektor losgelöst von der Mitarbeiteranzahl wird es dann Pflicht sein, ein Meldesystem zum Schutz von Hinweisgebern zu führen, die Betrugsfälle melden. Dass dies einer datenschutzkonforme Implementierung bedarf, liegt auf der Hand. Ebenso liegt auf der Hand, dass dies in einem sicheren, digitalen Umfeld leichter fällt.
Fazit
Es ist jedem bewusst, dass in solch ungewissen Krisenzeiten viele Unternehmen unter Hochspannung stehen und weiterhin funktionieren müssen. Man sollte gerade diese Zeiten, die Unternehmen (manchmal früher als von diesen gewollt) in die Digitalisierung zwingen, jedoch auch als Chance verstehen. Als Chance, jetzt mit den richtigen Tools ein digitales Umfeld aufzubauen und sogleich ein vollständiges Datenschutzkonzept zu erstellen und umzusetzen. Dies auch vor dem Hintergrund der aktuell hohen Sensibilisierung der Datenschutzbehörde. Wer jetzt die ersten oder weiteren Schritte in die Digitalisierung setzt und dabei sowohl auf technischer wie auch auf rechtlicher Ebene alle notwendigen Maßnahmen ergreift, ist für die Zukunft gut gewappnet.
Janina Zaminer, übernommen von Sascha Jung