Datenschutz am Arbeitsplatz

Sicherheit für Unternehmen und Mitarbeiter. Wir zeigen Ihnen mit einfachen Regeln worauf Sie achten sollten.

Datenschutz am Arbeitsplatz ist ein zentrales Thema, das Unternehmen und Mitarbeiter gleichermaßen betrifft.

Damit der Datenschutz und auch die Datensicherheit im Unternehmen so gut wie möglich gewährleistet werden kann, sind auch Mitarbeiter zur Mitwirkung verpflichtet. Die folgenden einfachen Regeln helfen Ihnen im korrekten Umgang mit und beim Schutz personenbezogener Daten Ihrer Kunden, Mitarbeiter, Kollegen und Kooperationspartner.

Das Poster im Druckformat A1 erhalten Sie über uns. Kontaktieren Sie uns dazu gerne unter info@ituso.de oder das Kontaktformular.

Grundwissen personenbezogene Daten

Personenbezogene Daten sind Angaben, die zu einer bestimmten oder bestimmbaren Person (Betroffener) gehören. Sie erlauben Rückschlüsse auf deren persönliches Umfeld, Vorlieben und Präferenzen. Der Umgang mit diesen Daten unterliegt gemäß der DSGVO spezifischen Regeln. Bei der Verarbeitung besonders sensibler Daten (bspw. Gesundheitsdaten oder biometrische Daten) gelten darüber hinaus noch restriktivere Vorgaben.

Merksatz: Die Erhebung und weitere Verarbeitung ist grundsätzlich verboten - es sei denn, man hat die Erlaubnis der betroffenen Person, oder eine andere Rechtsgrundlage der DSGVO gestattet es.

 

Wer ist verantwortlich? Wer ist zuständig?

Im Außenverhältnis ist stets die oberste Führungsebene (also die Geschäftsführung, der Vorstand etc.) für die Einhaltung der Vorgaben des Datenschutzes verantwortlich und rechenschaftspflichtig. Personenbezogene Daten werden jedoch an vielen Stellen verarbeitet, ein Mindestmaß an Sicherheit ist deshalb auch von jedem Einzelnen gefordert.

  • Jede / jeder Beschäftigte ist für die Einhaltung des Datenschutzes an seinem Arbeitsplatz und in seinem Aufgabengebiet zuständig
  • Jede / jeder Beschäftigte sollte dazu beitragen das Unternehmen vor Schäden (Bußgeldern, Imageschäden etc.) zu bewahren
  • Bei Änderung oder Einführung neuer Systeme und Verfahren ist am besten frühzeitig Rücksprache mit dem Datenschutzbeauftragten zu halten

 

Ziele des Datenschutzes

  • Vertraulichkeit: Die Systeme und Prozesse müssen so aufgebaut sein, dass Zugriffe auf Informationen nur für befugte Personen möglich sind.
  • Integrität: Daten und Informationen sind vor ungewollten und unerlaubten Veränderungen zu schützen. Änderungen müssen erkannt werden können.
  • Verfügbarkeit: Informationen und Daten müssen verfügbar sein, wenn sie benötigt werden und sind vor Verlust und zufälliger Zerstörung zu schützen.
  • Wirksamkeit und Stabilität: Das Datenschutzmanagement muss nachvollziehbar effektiv und über die Zeit hinweg zuverlässig wirksam funktionieren.

Grundsätze des Datenschutzes

Rechtmäßigkeit

Für die Datenverarbeitung muss eine Einwilligung des Betroffenen oder eine andere valide Rechtsgrundlage vorliegen. Eine mögliche Rechtsgrundlage besteht zum Beispiel darin, wenn die Daten des Betroffenen für die Abwicklung eines Vertrages oder vorvertraglicher Maßnahmen mit ihm verarbeitet werden müssen.

Zweckbindung
Werden Daten für einen bestimmten Zweck erhoben bzw. gespeichert, dann dürfen diese auch nur für diesen Zweck weiter verarbeitet werden.

Datenminimierung

Es dürfen nur die Daten verarbeitet werden, die für den angegebenen Zweck erforderlich sind. Zusätzliche Datenbestände mit „Nice-To-Have-Charakter“ sind tunlichst zu vermeiden bzw. im Normalfall sogar unzulässig.

Transparenz

Die betroffene Person darf jederzeit wissen, wer welche Daten über sie speichert. Daten dürfen nicht ohne weiteres weitergegeben werden. Über eine Weitergabe (bspw. an Dienstleister oder Behörden) ist die betroffene Person im Vorfeld der geplanten Verarbeitung zu unterrichten.

Rechte des Betroffenen

Die betroffene Person hat diverse Rechte bezogen auf ihre personenbezogenen Daten. Dazu gehört bspw. ein Auskunftsrecht über die verarbeiteten Daten ebenso wie etwa das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung.

Sicherheit in der Verarbeitung

Technische und organisatorische Maßnahmen (TOMs) sollen dabei helfen, die Sicherheit der Verarbeitung personenbezogener Daten sicherzustellen und ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

 

Achten Sie auf Zusatzvereinbarungen zum Datenschutz

Es gibt zahlreiche Gründe, warum ein Unternehmen Zusatzvereinbarungen mit seinen Mitarbeitern den Datenschutz betreffend eingehen sollte: Nutzung von Firmen-Smartphones, bei Homeoffice-Verträgen, bei Einbringung eigener Infrastruktur (auch „Bring Your Own Device“ genannt) – bei all diesen Prozessen sind datenschutzrechtliche Aspekte zu beachten und möglichst eindeutig zu regeln.

Auch in der Zusammenarbeit mit externen Dienstleistern können Datenschutzvereinbarungen zusätzlich zum Leistungsvertrag nötig sein: Je nach Tätigkeit können Auftragsverarbeitungsverträge, spezifische Geheimhaltungsverpflichtungen oder Sonderformen wie etwa sog. „Joint-Control-Agreements“ erforderlich werden. Ziehen Sie hier in jedem Fall den Datenschutzbeauftragten zur richtigen Einordnung zurate.

Wie verhalten Sie sich richtig?

Tipps zum Schutz personenbezogener Daten und der Unternehmensdaten

Am Telefon Im Umgang mit Besuchern Am Kopiergerät und Drucker
  • Kunden dürfen im Vertragsverhältnis Änderungen der Kontaktdaten telefonisch ändern.
  • „Heikle“ Informationen bevorzugt per verschlüsselter E-Mail oder in Briefform austauschen
  • Bevor Sie Informationen herausgeben, vergewissern Sie sich stets auf angemessene (!) Art und Weise (Legitimation), dass es sich auch tatsächlich um den Betroffenen handelt
  • Kein „Mithören mit Lautsprecher“ oder Aufzeichnung ohne nachweisbare Erlaubnis!
Besucher Ihres Unternehmens können Kunden, externe Dienstleister, Lieferanten etc. sein.

  • Vergewissern Sie sich, ob der Besuch - vor allem Servicetechniker (EDV) - tatsächlich beauftragt war
  •  Lassen Sie Gäste an „heiklen“ Orten nicht alleine
  • Vermeiden Sie allgemein einsehbare Besucherlisten sondern bevorzugen Sie einzelne Blätter. Beschränken Sie die Datenerfassung auf das Wesentliche und löschen Sie sie nach spätestens 4 Wochen. Das selbe gilt für eine elektronische Erfassung.
  • Zugriffskontrolle: stellen Sie sicher, dass bei der Nutzung nur berechtigte Personen Zugriff auf die Dokumente haben, insbesondere wenn Sie Dokumente mit personenbezogenen Daten kopieren oder drucken
  • Achten Sie darauf, dass Dokumente direkt aus dem Gerät entnommen werden
  • Achten Sie unbedingt darauf, dass Zwischenspeicher regelmäßig gelöscht werden

Datenpanne – was tun?

Wenn Informationen in falsche Hände geraten oder unbeabsichtigt verloren gehen, ist ein schneller und richtiger Umgang mit dem Vorfall wichtig. Vor allem sind die Unternehmensführung und der Datenschutzbeauftragte (wenn bestellt) frühzeitig zu unterrichten. Meldepflichtige Datenschutzvorfälle etwa sind der Datenschutzaufsichtsbehörde innerhalb von 72 Stunden nach Kenntnisnahme der Panne anzuzeigen!

Wir helfen Ihnen dabei den Vorfall korrekt einzuordnen und entsprechende Maßnahmen zu ergreifen. Ihre Nummer für den Notfall: 08142 42050 20. Weitere Tipps zur Datenpanne >>>.