Datenpanne oder Datenklau: Was Sie nach DSGVO sofort tun müssen (Anleitung)

Datenpannen oder Datendiebstähle passieren in Unternehmen jeden Tag. Doch was müssen Sie tun, wenn Sie z. B. erfahren, dass ein unverschlüsselter USB-Speicherstick mit sensiblen Daten verloren gegangen ist oder personenbezogene Daten durch einen Angriff auf Ihre IT abgeflossen sind? Unter der EU-Datenschutz-Grundverordnung (DSGVO) gelten für Datenpannen insbesondere verschärfte Meldepflichten gegenüber Aufsichtsbehörden bzw. Informationspflichten gegenüber Auftraggebern. Sie sollten deshalb schnell, aber auch achtsam und juristisch korrekt handeln. Unsere Anleitung für Datenpannen und Datenklau hilft Ihnen dabei.

1. Schritt: Datenschutzpannen umgehend bemerken

Wie schnell würde in Ihrem Unternehmen ein Datenklau oder Datenverlust auffallen? Ein möglicher Schaden lässt sich nur dann in Grenzen halten, wenn Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Ihre IT sollte daher für Auffälligkeiten sensibilisiert sein. Kontrollieren Sie, ob entsprechende technische Vorkehrungen der Informationssicherheit getroffen sind und ob ungewöhnliche Ereignisse von den Verantwortlichen genügend ernst genommen und überprüft werden.

  • Erfolgt eine Warnung bei fehlgeschlagenen Anmeldeversuchen und unerlaubten Zugriffen auf das Dateisystem? Wie werden solche Ereignisse behandelt?
  • Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
  • Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server?
  • Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt?
  • Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall?

2. Schritt: Der Situation Herr werden durch Implementation eines Incident-Response-Managements

Um angemessen auf einen Vorfall reagieren zu können, müssen Sie selbstverständlich zunächst erfassen, was passiert ist. Dafür sollten eindeutige Zuständigkeiten definiert sein. Wenn Sie etwa feststellen, dass Ihre Webseite gehackt wurde: Wen können Sie rund um die Uhr erreichen, der die Sicherheitslücke schließt und umgehend prüft, auf welche Daten zugegriffen wurde? Sind auch alle anderen Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?

Erstellen Sie für dieses Vorgehen mindestens eine Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. Ziel ist es, dadurch ein Incident-Response-Management aufzubauen, mit dem auf eine Störung (Incident) unmittelbar reagiert (Response) werden kann. Noch besser ist eine Richtlinie zur Erkennung von und zum Umgang mit Datenschutznotfällen. Unsere kostenlose Vorlage hilft Ihnen dabei.

3. Schritt: Gesetzliche Informationspflichten nach Art. 33 und Art 34 DSGVO beachten

Gemäß Art. 33 DSGVO muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Die Aufsichtsbehörden haben hierfür online umfangreiche Eingabemasken eingerichtet. Von einer Meldung kann nur dann abzusehen sein, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt.

Sofern Daten im Auftrag verarbeitet werden, muss der Auftragnehmer den Verantwortlichen (Auftraggeber) unverzüglich über die Datenpanne informieren und den Verantwortlichen bei der Meldung der Datenpanne unterstützen, indem er dem Verantwortlichen die ihm zur Verfügung stehenden Informationen bereitstellt (Art. 28 Abs. 3 lit. F DSGVO).

Zur Abschätzung des Risikos hat die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – DSK) in ihrem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht. Im Zweifel ist eine Meldung immer der sicherere Weg.

Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen zu benachrichtigen.

Doch der Umgang mit einer Datenpanne endet keinesfalls mit der Meldung bei der Aufsichtsbehörde und ggfs. der Wiederherstellung des Normalbetriebs. Bereits bei der Meldung wird abgefragt, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von Maßnahmen, die einen weiteren Datenschutznotfall dieser Art verhindern können.

Dieser aktualisierte Artikel wurde zuerst am 31. Dezember 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Umgang mit Anfragen von Betroffenen gemäß DSGVO (Anleitung)

Auskunftsrecht, Löschungsrecht, Einschränkungsrecht, Datenübertragbarkeitsrecht, Einwirkungsrecht: Die europäische Datenschutz-Grundverordnung (DSGVO) stattet Betroffene (im Rahmen sogenannter Betroffenenrechte) mit einem ganzen Bündel an Datenschutz-Werkzeugen aus. Unsere praktische Anleitung hilft Unternehmen in drei konkreten Schritten, datenschutzkonform auf Anfragen von Betroffenen zu reagieren.

Vorab: Wie wichtig ist die Reaktion auf Anfragen betroffener Personen?

Ein Kunde, der einen Datenschutzverstoß wittert, sich einen Überblick über die zu seiner Person gespeicherten Daten verschaffen möchte oder einfach nur nach einem Mittel sucht, einen Rabatt zu erzwingen, kann durch die Ausübung eines seiner aktiven Datenschutzrechte (Art. 15 ff. DSGVO) ein unvorbereitetes Unternehmen in Aufruhr versetzen: Schnell wird die Drohung, sich bei nicht fristgerechter bzw. nicht zufriedenstellender Rückmeldung an die Datenschutzbehörde zu wenden, zur echten Gefahr. Denn die Aufsichtsbehörde muss tätig werden, wenn ein Betroffener sich an sie wendet (Art. 57 Abs. 1 lit. f DSGVO).

Bei ernstzunehmenden Anliegen ist es dann nur noch eine Frage der Zeit, bis das Schreiben der Behörde eintrifft, in dem die anstehende Prüfung der Verarbeitungstätigkeiten bzw. der Datenschutzdokumente angekündigt wird. Wer dann immer noch unvorbereitet ist, riskiert hohe Bußgelder (Art. 83 DSGVO) und ggfs. eine negative Berichterstattung. Beides kann, je nach Branche und Größe des Unternehmens, bestandsgefährdend sein.

Damit es gar nicht erst zu einer Behördenprüfung kommt, empfiehlt es sich, mithilfe eines zuverlässigen Datenschutzmanagementsystems auf datenschutzrelevante Anfragen von Betroffenen im Vorhinein gut vorbereitet zu sein, um im Fall der Fälle schnell und professionell reagieren zu können. Insbesondere die folgenden drei Punkte sollten dabei beachtet werden:

1. Keine vorschnellen Reaktionen und Auskünfte – professionelle Prüfung ist gefragt

Anfragen datenschutzrechtlicher Natur sollten bestenfalls ausschließlich über eine zentrale Datenschutz-E-Mailadresse (z. B.: datenschutz@meinefirma.de) eingehen. Eine solche Adresse muss zwingend in den Datenschutzhinweisen auf der Website und an sämtlichen anderen Orten, an denen das Unternehmen seinen Informationspflichten (Art. 13, 14 DSGVO) nachkommt, leicht auffindbar sein. So, wie die Datenschutzadresse „irrtümlicherweise“ vom Kunden vielfach für Beschwerden, Produktbestellungen und sogar Arbeitsplatzbewerbungen „missbraucht“ wird, gehen umgekehrt auch zahlreiche echte Datenschutzanfragen direkt beim Kundenservice ein. Dieser sollte zum Umgang mit eingehenden Anfragen entsprechend sensibilisiert sein, z. B. über eine Vor-Ort- bzw. Online-Datenschutzschulung und / oder einen Workshop zur datenschutzkonformen Kundenbetreuung.

Es sollten auf keinen Fall „mal eben“ angefragte Auskünfte beantwortet und/ oder Daten gelöscht werden, um sich der Sache zu entledigen. Eingegangene Betroffenenanfragen sollten vielmehr zunächst vom Datenschutzbeauftragten bzw. Datenschutzkoordinator geprüft werden. Folgende Punkte gilt es insbesondere zu prüfen:

  • Welcher rechtliche Anspruch (Art. 15 ff. DSGVO) wurde konkret geltend gemacht? Werden mehrere Ansprüche zugleich geltend gemacht?
  • Hat sich der Betroffene an das richtige Unternehmen gewandt? Ggf. Weiterleitung der Anfrage an die verantwortliche Stelle.
  • Besteht hinsichtlich des geltend gemachten Rechts bereits ein definierter Prozess (Richtlinie) im Unternehmen, der nun befolgt werden kann?
  • Hat sich der Betroffene ausreichend identifiziert oder bedarf es einer (schonend auszugestaltenden) Identitätsüberprüfung? Abgleich der vom Betroffenen in seinem Schreiben gemachten Angaben mit denen, die in den Systemen zu finden sind.
  • Werden / wurden überhaupt Daten zum Betroffenen verarbeitet? – Rücksprache mit dem Kundenservice und / oder anderen Bereichen, in denen personenbezogene Daten verarbeitet werden. Wenn trotz erfolgter interner Rücksprache Unklarheit besteht: Rückfrage an den Betroffenen, welche Daten gemeint sind.
  • Ist der Anspruch berechtigt oder mangelt es ggf. an einer Begründung (insb. im Falle eines Berichtigungsanspruchs)?
  • Sind alle Wünsche der Person vom geltend gemachten Betroffenenrecht umfasst?
  • Würde die Beantwortung der Anfrage die Rechte anderer Betroffenen oder des Unternehmens (z. B. Geschäftsgeheimnisse) beeinträchtigen? Falls ja: Kann / muss dem Anliegen des Betroffenen trotzdem nachgekommen werden?
  • Stehen dem Anliegen des Betroffenen sonstige rechtliche Anforderungen (z. B. an die Speicherdauer der Daten) entgegen?
  • In welcher rechtlichen Frist muss das Anliegen des Betroffenen erfüllt werden?
  • Bestehen bereits Vorlagen (Dokumente), die für die Beantwortung des Anliegens genutzt werden können?

2. Keine unstrukturierte Bearbeitung – professionelle Koordination ist gefragt

Ist die Berechtigung des oder der geltend gemachten Rechte(s) einmal geklärt, geht es darum, eine zügige und rechtlich einwandfreie Beantwortung der Betroffenenanfrage sicherzustellen. Hierzu ist regelmäßig die Einbindung verschiedener Unternehmensbereiche erforderlich.

Hat der Betroffene z.B. einen berechtigten Anspruch auf Löschung bzw. Sperrung (mancher) seiner Daten, bedarf es u.U. der Einbindung der IT, um alle bzw. ausgewählte Datensätze zu löschen bzw. zu sperren. Macht der Betroffene von seinem Auskunftsrecht Gebrauch, sollte der Datenschutzkoordinator Rücksprache mit allen Abteilungen halten, in denen Daten zum Betroffenen verarbeitet werden (könnten). Folgende Vorkehrungen sollten für eine professionelle Koordination u. a. getroffen werden:

  • Auskunftsrecht, Löschungsrecht, Einschränkungsrecht, Berichtigungsrecht (Art. 16 bis 18 DSGVO): Leicht verständliche Hinweise (Anleitung in Schritten) für den Datenschutzkoordinator bzw. die einzelnen Abteilungen dazu, wie ein berechtigtes Anliegen des Betroffenen erfüllt werden muss.
  • Auskunftsrecht (Art. 15 DSGVO): Vorlage für das Beauskunften von Daten, Datenempfängern, Löschfristen, Verarbeitungszwecken etc.
  • Datenübertragbarkeitsrecht (Art. 20 DSGVO): Umsetzung technischer und organisatorischer Instrumente, die einen sicheren Datentransfer ermöglichen.
  • Einwirkungsrecht (Art. 22 Abs. 3 DSGVO): Prozess für die menschliche Überprüfung einer automatisierten Einzelentscheidung und des Betroffenenstandpunkts.
  • Mitteilungspflicht bei Berichtigung oder Löschung (Art. 19 DSGVO): Vorlage für die Information von Geschäftspartnern, Auftragnehmern und anderen, denen in der Vergangenheit personenbezogene Daten zum Betroffenen mitgeteilt wurden. Ggf. Vorlage für die Information des Betroffenen über die einzelnen Empfänger.
  • Widerspruchsrecht und Widerrufsrecht (Art. 21, Art. 7 Abs. 3 DSGVO): Führen einer Widerrufs- bzw. Widerspruchsliste in den Bereichen Marketing und ggf. Analytics, um zu verhindern, dass eine weitere Ansprache bzw. Analyse des Kunden erfolgt. Sicherstellen, dass sämtliche Widersprüche bzw. Widerrufe an die zuständige Stelle im Unternehmen weitergeleitet werden und nichts „unter den Tisch gekehrt“ wird.

3. Keine unkontrollierte Datenherausgabe – professionelle Kommunikation ist gefragt

Die Bearbeitung mancher Betroffenenrechte erfordert die Datenherausgabe an den Betroffenen und / oder an andere Stellen. Eine Herausgabe personenbezogener Daten ist stets „heiß“ und sollte niemals unbedacht erfolgen – auch dann nicht, wenn der erste und zweite Schritt dieser Anleitung erfolgreich durchgeführt wurden, also das Anliegen des Betroffenen juristisch geprüft und erforderliche Maßnahmen, wie z.B. Löschung, Berichtigung oder das Ausfüllen eines Auskunftsblatts erfolgten.

Jetzt gilt es sicherzustellen, dass die ggf. erforderliche Information des Betroffenen und / oder anderer Stellen in sicherer und nachweisbarer Weise (Art. 32 DSGVO, Art. 5 Abs. 2 DSGVO) erfolgt und dass auch nur genau die Daten kommuniziert werden, die kommuniziert werden dürfen. Folgende Punkte sind hierbei u. a. zu beachten:

  • Auskunftsrecht (1): Information per Telefon nur bei ausdrücklichem Wunsch des Betroffenen. Das Unternehmen sollte im Zweifel nachweisen können, dass es der Auskunft rechtskonform nachgekommen ist. Bei einer telefonischen Auskunft wäre zudem regelmäßig nicht sichergestellt, dass es sich beim Gesprächspartner auch wirklich um den Betroffenen handelt.
  • Auskunftsrecht (2): Einsatz einer sicheren Verschlüsselungstechnologie, wenn die Daten per E-Mail an den Betroffenen gesendet werden sollen. Sofern Containerpasswörter verwendet werden, sollte dem Betroffenen das Passwort telefonisch bzw. auf einem getrennten Kanal durchgegeben werden.
  • Löschungsrecht, Berichtigungsrecht, Einschränkungsrecht: Bestätigung der erfolgten Löschung, Berichtigung bzw. Einschränkung. Die Löschbestätigung sollte anschließend ebenfalls gelöscht werden. Sofern gar keine Daten zum Betroffenen vorlagen (vgl. Schritt 2): Versenden einer sogenannten „Negativauskunft“ – also die Information darüber, dass keine Daten gespeichert sind.

Fazit: Der gute Prozess macht bei den Betroffenenrechten den Unterschied.

Detaillierte Prozessbeschreibungen schaden oftmals mehr, als dass sie zu irgendetwas nützen. Bei den Betroffenenrechten ist das ausnahmsweise anders: Wer hier mittels Schulungen, Richtlinien, Powerpoint-Präsentationen und Vorlagen seine Belegschaft gut vorbereitet und Zuständigkeiten in Konzepten klar definiert, minimiert das Risiko einer späteren Eskalation in der Kommunikation mit dem Betroffenen.

Insbesondere in Unternehmen, in denen Datenschutzanfragen zur Tagesordnung gehören, sollten diese möglichst eigenständig von den internen Datenschutzkoordinatoren bearbeitet werden können, um ein schnelles Reagieren sicherzustellen. Der (externe) betriebliche Datenschutzbeauftragte sollte jedoch bei Unklarheiten stets hinzugezogen werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

So funktioniert die Datenschutzfolgenabschätzung (Anleitung)

Bei der Verarbeitung personenbezogener Daten muss das Datenschutzrecht beachtet werden – ganz gleich, ob es sich um vermeintlich „harmlose“ Daten handelt, wie etwa die berufliche E-Mailadresse eines Mitarbeiters, oder aber besonders „schützenswerte“, wie dessen sexuelle Vorlieben. Trotzdem ist nicht jedes Datum gleichermaßen schutzwürdig und nicht jede Datenverarbeitung greift gleichermaßen stark in das Persönlichkeitsrecht des Betroffenen ein. Mit der Datenschutz-Folgenabschätzung (DSFA) sollen Unternehmen die Risiken und Folgen evaluieren, die für Betroffene (z. B. Mitarbeiter) aus Datenverarbeitungen folgen können. Wird eine DSFA nicht oder nur unzureichend durchgeführt, drohen dem Unternehmen ein Bußgeld von bis zu 2 % des gesamten weltweiten Jahresumsatzes und / oder ein Verbot der Datenverarbeitung. Wann eine Datenschutz-Folgenabschätzung notwendig wird und was sie enthalten muss, lesen Sie in diesem Artikel.

Bei welchen Datenverarbeitungen muss eine DSFA durchgeführt werden?

Die Datenschutz-Folgenabschätzung wird in Art. 35 der EU-Datenschutz-Grundverordnung (DSGVO) definiert. Sie ist in folgenden Fällen stets erforderlich:

  1. Mit der Datenverarbeitung soll die Persönlichkeit des Betroffenen systematisch und automatisiert bewertet werden, so dass rechtliche oder andere intensive Eingriffe in die Persönlichkeit des Betroffenen möglich werden.
  2. Es sollen umfangreich besondere Kategorien personenbezogener Daten oder aber Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden. Zu den besonderen Kategorien personenbezogener Daten gehören gemäß Art. 9 DSGVO:
    1. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen;
    2. Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung des Betroffenen;
    3. genetische und biometrische Daten, sofern mit Ihnen eine einzelne Person identifiziert werden kann.
  3. Ein möglicher Anwendungsfall ist hier die Durchführung von unternehmensinternen Ermittlungen gegen Mitarbeiter – diese sollten erst nach einer DSFA eingeleitet werden.
  4. Es sollen öffentlich zugängliche Räume überwacht werden. Öffentlich zugänglich ist z. B. auch der Servicebereich eines Unternehmens, in dem Publikumsverkehr herrscht.

Eine DSFA kann auch dann erforderlich sein, wenn keiner der genannten Fälle einschlägig ist, die Datenverarbeitung aber dennoch ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Die deutschen Datenschutzaufsichtsbehörden haben sich bereits zum Risikobegriff positioniert (siehe das Kurzpapier Nr. 18 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK)). Bei Änderungen an einmal eingeführten Datenverarbeitungen muss geprüft werden, ob diese Auswirkungen auf das zuvor ermittelte Risiko haben (Artikel 35 Abs. 11 DSGVO). Ggf. bedarf es einer erneuten Datenschutz-Folgenabschätzung.

Die Datenschutzaufsichtsbehörden müssen gemäß Art. 35 Abs. 4 DSGVO eine Liste mit Datenverarbeitungen veröffentlichen, für die aus ihrer Sicht unbedingt eine DSFA erforderlich ist (siehe die DSFA-Blacklist der DSK). Eine Datenschutz-Folgenabschätzung wird jedoch auch dann erforderlich sein, wenn die Verarbeitung nicht in der Liste enthalten ist, aber unter einen der oben beschriebenen Fälle gefasst werden kann. Die Liste dient insofern nur der Orientierung.

Was muss Gegenstand der Datenschutz-Folgenabschätzung sein?

Eine rechtmäßige DSFA muss insbesondere folgende Fragen dokumentiert beantworten:

  1. Wie ist die Datenverarbeitung beschaffen, welchen Zwecken dient sie und welche berechtigten Interessen hat das Unternehmen an der Datenverarbeitung?
  2. Ist die Datenverarbeitung vor dem Hintergrund des Zwecks bzw. der Zwecke notwendig und verhältnismäßig?
  3. Wie groß und welcher Art sind die Risiken für die Rechte und Freiheiten der betroffenen Personen? Zu berücksichtigen sind hierbei insbesondere die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung.
  4. Mit welchen Garantien, Sicherheitsvorkehrungen und Verfahren werden die benannten Risiken so bewältigt, dass ein ausreichender Datenschutz im Sinne der Datenschutz-Grundverordnung sichergestellt ist?

Wie muss mit dem Ergebnis der DSFA umgegangen werden?

Ist Ergebnis der DSFA, dass die Datenverarbeitung auf einen gesetzlichen Erlaubnistatbestand oder eine Einwilligung gestützt werden kann (insbesondere Art. 6 DSGVO), muss sichergestellt werden, dass den analysierten Risiken durch Umsetzung entsprechender technischer und / oder organisatorischer Schutzmaßnahmen ausreichend begegnet wird. Das Gesetz verlangt insofern eine Eindämmung des Risikos. Diese Eindämmung ist umso wichtiger, je größer das Risiko für Betroffenen ist.

Können oder sollen keine Maßnahmen zur Risikoeindämmung getroffen werden, muss das Unternehmen gemäß Art. 36 DSGVO die Aufsichtsbehörde konsultieren. Folge dieser Konsultation ist zunächst einmal die erhebliche Verzögerung einer möglichen Einführung der Datenverarbeitung, da das Gesetz der Behörde einen Reaktionszeitraum von mindestens acht Wochen einräumt. Die Behörde darf auf den „Antrag auf Konsultation“ des Unternehmens sowohl mit „Empfehlungen“ als auch mit sämtlichen anderen in Art. 58 DSGVO festgelegten Befugnissen reagieren. Hierzu gehört u. a. die vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots. Auch kann die Behörde ein Bußgeld von bis zu 2 % des gesamten weltweiten Jahresumsatzes gegen das Unternehmen verhängen.

Es empfiehlt sich daher, Änderungen an der gewünschten Datenverarbeitung vorzunehmen, falls die Datenschutz-Folgenabschätzung zu keinem positiven Ergebnis kommt.

Wer ist für die Datenschutz-Folgenabschätzung zuständig?

Die Pflicht eine DSFA durchzuführen obliegt grundsätzlich dem Unternehmen (Art. 35 Abs. 1 DSGVO). Die Geschäftsführung eines Unternehmens muss somit (wie auch in anderen Risikomanagement-Bereichen) sicherstellen, dass die Erforderlichkeit einer DSFA geprüft und diese dann ggf. durchgeführt wird. Hierzu hat die Geschäftsführung gemäß Art. 35 Abs. 2 DSGVO den Datenschutzbeauftragten zu konsultieren, sofern ein solcher bestellt wurde.

Zuständig für die Datenschutz-Folgenabschätzung ist somit im Ergebnis der Datenschutzbeauftragte, was in Artikel 39 Abs. 1 lit. c DSGVO nochmals klargestellt wird. Der Datenschutzbeauftragte sollte daher stets rechtzeitig über neue Datenverarbeitungsvorhaben informiert werden.

Ist das Unternehmen weder nach Art. 37 DSGVO noch nach § 38 BDSG verpflichtet, einen Datenschutzbeauftragten zu bestellen, muss es gleichwohl das Erfordernis einer DSFA prüfen – und als Konsequenz ggf. einen Datenschutzbeauftragten bestellen.

Fazit: DSFA ist wichtiger Teil des unternehmerischen Risikomanagements

In anderen unternehmerischen Bereichen, wie etwa der Korruptionsbekämpfung oder aber der Steuerbetrugsprävention, ist ein ausgefeiltes Risikomanagement zumindest auf dem gesetzlichen Papier seit Langem etabliert. Dies gilt mit der Datenschutz-Folgenabschätzung nun auch für den Schutz personenbezogener Daten. Angesichts hoher Bußgeldoptionen und Eingriffsbefugnisse der Datenschutzbehörden sollten Unternehmen ihren Datenschutzbeauftragten stets rechtzeitig über neue Datenverarbeitungen oder Änderungen an bestehenden Datenverarbeitungen unterrichten. So kann der Beauftragte rechtzeitig prüfen, ob eine DSFA erforderlich ist und eine solche dann ggf. durchführen.

Hinweis: Dieser aktualisierte Artikel erschien zuerst am 1. November 2016.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Rechtsgrundlagen für die Datenverarbeitung: Einwilligung, Vertrag oder doch Interessenabwägung?

Die EU-Datenschutz-Grundverordnung (DSGVO) hält verschiedene Rechtsgrundlagen bereit, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann. Da sich die Anwendungsbereiche der Grundlagen oftmals überschneiden, kommt es in der Praxis ganz entscheidend darauf an, die geeignetste und nachhaltigste Rechtsgrundlage zu finden. Der folgende Leitfaden soll hierbei Orientierung bieten.

Welche Rechtsgrundlage ist die Richtige?

In der Unternehmenspraxis sind vor allem die drei folgenden Legitimationsgründe bedeutsam:

  1. Einwilligung des Betroffenen ( 6 Abs. 1 lit. a DSGVO)
  2. Erforderlichkeit für die Abwicklung eines Vertragsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO bzw. § 26 Abs. 1 S. 1 BDSG)
  3. Abwägung zwischen berechtigten Unternehmensinteressen und evtl. schutzwürdigen Interessen des Betroffenen (Art. 6 Abs. 1 lit. f DSGVO).

Die Gründe stehen rechtlich in keinem Hierarchie-Verhältnis zueinander. So ist z.B. die Einwilligung keine „bessere“ Rechtsgrundlage als die Interessensabwägung. Die Rechtsgrundlagen sind vielmehr gleichrangige Optionen, die – je nach Sachverhalt – eine gute, eine schlechte oder keine Lösung für die Verarbeitung personenbezogener Daten sind.

Man kann sich die Grundlagen wie Stromstecker vorstellen, die, je nach Aufenthaltsort, auf die vorhandene Steckdose (= unternehmerische Datenverarbeitung) passen, nur wacklig passen oder gar nicht passen. Die datenschutzrechtliche Herausforderung besteht darin, für einen unternehmerischen Sachverhalt den bestpassendsten Stecker, also die optimale Rechtsgrundlage zu finden.

Einwilligung als Rechtsgrundlage

Das Einholen einer Einwilligung wird vielerorts als Königsweg propagiert. Dabei bleibt oft unberücksichtigt, dass das Bitten um Zustimmung ein Weg mit vielen Tücken ist. So darf die Bereitstellung eines Services in einigen Konstellationen nicht an das „Ja“ des Betroffenen zu einer Datenverarbeitung gekoppelt werden. Die Einwilligung muss vielmehr auch verweigert werden können (sog. „Kopplungsverbot“). Zudem darf eine einmal erteilte Einwilligung jederzeit vom Betroffenen widerrufen werden, woraus eine erhebliche Unsicherheit hinsichtlich des Fortbestands einer Datenverarbeitung resultieren kann.

Der Hype um die Einwilligung ist aber vor allem deshalb irreführend, weil sie faktisch nur für relativ wenige Konstellationen als Legitimationsbasis benötigt wird, also, nach der obigen Metapher, der richtige bzw. der geeignete Stecker ist. Insbesondere für folgende Konstellationen kann die Einwilligung die richtige Lösung sein:

Werden Daten verarbeitet, aus denen Informationen zur rassischen bzw. ethnischen Herkunft, zu politischen Meinungen, religiösen bzw. weltanschaulichen Überzeugungen oder der Gewerkschaftszugehörigkeit einer Person abgeleitet werden können, bedarf die Verarbeitung in der Regel einer Einwilligung. Gleiches gilt, wenn Gesundheitsdaten, Daten zum Sexualleben bzw. zur sexuellen Orientierung oder genetische bzw. biometrische Daten verarbeitet werden sollen. Soweit die Daten zur Durchführung eines Vertrags mit dem Betroffenen (z.B. einem Versicherten) erforderlich sind, kann die Einwilligung ausnahmsweise an den Vertragsschluss gekoppelt werden. Ist die Verarbeitung hingegen bereits aufgrund nationaler (z.B. arbeitsrechtlicher) Vorschriften gesetzlich vorgeschrieben, bedarf es keiner Einwilligung mehr.

Ein starker Persönlichkeitseingriff ist etwa bei manchen Werbemaßnahmen zu bejahen, z.B. beim Telefonmarketing. Marketingmaßnahmen sind vor allem dann als sensitiv anzusehen, wenn auf umfassende Persönlichkeitsprofile zurückgegriffen wird, etwa beim Personal-Pricing. Letzteres kann ggf. auf sogenannten automatisierten Einzelentscheidungen beruhen, die den Persönlichkeitseingriff zusätzlich verstärken. Ein starker Persönlichkeitseingriff kann auch bei der Verarbeitung von Bildnissen (z.B. Mitarbeiterfotos) und Videoaufnahmen vorliegen.

Zahlreiche Verarbeitungen lassen sich vertraglich mit dem Betroffenen vereinbaren (siehe weiter unten). Begrenzt wird die Privatautonomie durch gesetzliche Verarbeitungsverbote. Solche Verbote dürfen Unternehmen nicht torpedieren, indem sie die verbotene Datenverarbeitung zum Vertragsgegenstand machen, also eine Zustimmung vom Betroffenen „abpressen“. Wird dem Betroffenen hingegen freigestellt, die Zustimmung – unabhängig vom Vertragsschluss – zu erteilen oder zu verweigern, kann auf die Einwilligung zurückgegriffen werden. Dies gilt allerdings nicht für Konstellationen, in denen aufgrund eines starken Abhängigkeitsverhältnisses zwischen Betroffenem und Unternehmen bereits die Möglichkeit der Freiwilligkeit fraglich ist, wie dies bei manchen Konstellationen im Dienstverhältnis der Fall sein kann.

Vertrag als Rechtsgrundlage

Datenverarbeitungen brauchen und sollten dann nicht auf die Einwilligung gestützt werden, wenn sie auch vertraglich vereinbart werden könnten. Überschneidet sich im Einzelfall der Anwendungsbereich der Einwilligung mit dem des Vertrags – kann also sowohl der Stecker „Einwilligung“ als auch der Stecker „Vertrag“ genutzt werden – empfiehlt es sich in der Regel, die Verarbeitung auf den Vertrag zu stützen. Der Vertrag ist in folgenden Fällen der richtige Stecker:

Der Vertrag setzt in diesen Fällen die Datenverarbeitung voraus – ohne sie wäre er nicht denkbar. So muss ein Onlineshop Adressdaten verarbeiten, um die bestellte Ware ausliefern zu können.

Ein Beispiel dafür ist die Verarbeitung von Daten für Marketingzwecke als Gegenleistung für einen Download oder die Teilnahme an einem sozialen Netzwerk. Ein solcher Vertrag ist jedoch nur zulässig, wenn er nach zivilrechtlichen Maßstäben vereinbart werden darf (gemäß dem sog. konkret-objektiven Maßstab, Engeler ZD 2018, 57f.). Das Zivilrecht hält Schutzbarrieren bereit, die ein Ausnutzen der (wirtschaftlichen) Unterlegenheit des Betroffenen durch das Unternehmen verhindern sollen, z.B. den Tatbestand der Sittenwidrigkeit (§ 138 BGB). Das Datenschutzrecht ergänzt diese Grenzen der Privatautonomie durch eigene Maßstäbe, etwa den Datenminimierungsgrundsatz (Art. 5 Abs. 1 lit. c DSGVO), den Speicherbegrenzungsgrundsatz (Art. 5 Abs. 1 lit. e DSGVO) und die Grundsätze von Privacy by Design und Privacy by Default (Art. 25 Abs. 1, 2 DSGVO). Diese Grundsätze dienen allesamt dazu, den Eingriff in das Persönlichkeitsrecht des Betroffenen abzumildern. Unverhältnismäßige Eingriffe dürfen auch vertraglich nicht vereinbart werden.

Der Arbeitnehmer muss solche Datenverarbeitungen tolerieren, ohne die eine Abwicklung seines Arbeitsverhältnisses nicht möglich wäre. Hierzu gehören zum einen Verarbeitungen, die die „Verwaltung“ des Mitarbeiters betreffen, allen voran das Führen einer Personalakte. Daneben lassen sich auch solche Verarbeitungen mit dem Arbeitsverhältnis des Mitarbeiters rechtfertigen, ohne die selbiges nicht oder nicht sinnvoll ausgeübt werden könnte. Hierzu gehört die Gesprächsaufzeichnung beim Telefonbanking oder das Lotsen von Lagerarbeitern mittels (schonend auszugestaltender) Ortung. Eine mögliche Folge der Verweigerung des Mitarbeiters kann hier die Auflösung des Arbeitsverhältnisses sein.

Interessenabwägung als Rechtsgrundlage

Kann der Vertag mit dem Betroffenen die Verarbeitung nicht ausreichend legitimieren, kann diese ggf. stattdessen auf die berechtigten Interessen des Unternehmens gestützt werden. In diesem Fall bildet eine Abwägung mit den schutzwürdigen Interessen des Betroffenen die Rechtsgrundlage. Die – zu Gunsten des Unternehmens ausgefallene – Interessenabwägung kann in folgenden Konstellationen die richtige Legitimationsbasis sein:

Beispiel: Ein Unternehmen vermietet an den Betroffenen hochpreisige oder gefährliche Unternehmensgüter und möchte sich mit einer (schonend auszugestaltenden) Überwachungsmaßnahme gegen einen Missbrauch absichern – etwa mithilfe einer zeitlich begrenzten Verarbeitung von Standortdaten im Falle des Angebots eines Mobilitätsdienstes. Ein erhöhtes Risiko kann auch in Räumen bestehen, in denen gefahranfällige Dienstleistungen angeboten (z.B. Bargeldausgabe) oder hochpreisige Güter (z.B. Gemälde) ausgestellt werden. In diesen Fällen kann ausnahmsweise sogar eine (partielle) Videoüberwachung von Mitarbeitern zulässig sein. Nicht zuletzt ist auch der Schutz vor betrügerischen Handlungen ein legitimes Interesse. So darf in einem Onlineshop unter bestimmten Voraussetzungen eine automatisierte Identitäts- und Bonitäts- bzw. Seriositätsprüfung erfolgen.

Bestimmte Mitarbeiterdatenverarbeitungen sind zwar nicht erforderlich, um das Beschäftigtenverhältnis durchführen zu können, jedoch angesichts der Tätigkeit des Mitarbeiters unternehmerisch geboten. So kann in sehr engen Grenzen und bei ausreichender Einbindung des Mitarbeiters eine Gesprächsaufzeichnung im Callcenter datenschutzrechtlich auch dann zulässig sein, wenn der Arbeitgeber diese für legitime Auswertungszwecke nutzen möchte. Auch die Auswertung anderer Arbeitsergebnisse (z.B. E-Mails) lässt sich im konkreten Fall u.U. auf eine Interessenabwägung stützen, wenn sie nicht bereits zur Durchführung des Vertragsverhältnisses erforderlich ist (s.o.).

Hier ist an postalische Werbung und E-Mailwerbung bei Bestandskunden zu denken. Auch ein pseudonymisiertes Tracken von Websitebesuchern kann regelmäßig auf überwiegende Unternehmensinteressen gestützt werden. Anders sehen dies neuerdings die Datenschutzaufsichtsbehörden, die das Einholen einer Einwilligung des Nutzers verlangen (activeMind berichtete). Diese (sehr fragliche) Auffassung haben die Behörden allerdings in einer neueren Stellungnahme bereits wieder etwas relativiert. Darin ist nur noch von einem Tracken „personenbezogener Daten“ die Rede. Gemeint sind hiermit wohl direkt identifizierende Daten wie z.B. die ungekürzte IP-Adresse des Nutzers.

Fazit: Die Suche nach der richtigen Rechtsgrundlage lohnt sich

Die datenschutzkonforme Verarbeitung wird oftmals sehr stark mit der Einwilligung des Betroffenen assoziiert. Neben bzw. statt der Einwilligung ermöglichen jedoch auch die Rechtsgrundlagen Vertrag und Interessenabwägung umfassende Datenverarbeitungen. Bei der Suche nach der richtigen Rechtsgrundlage hilft Ihnen Ihr Datenschutzbeauftragter. Die Rechtsgrundlagen werden auch für die Erstellung eines Verarbeitungsverzeichnisses und die Umsetzung der Informationspflichten benötigt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzrisiken in der Bilanz: Rückstellungen für potentielle Bußgelder

Mit der ab dem 25. Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO) soll der Datenschutz als personenbezogenes Grundrecht gestärkt werden. Weil sich dadurch der Pflichtenkatalog für Unternehmen maßgeblich erweitert, sollten Sie den Datenschutz zu einem zentralen Aspekt unternehmerischer Tätigkeit machen und ihm in der Risikobewertung eine höhere Bedeutung beimessen. Für etwaige Bußgelder bei Datenschutzverstößen können Sie sogar zu bilanziellen Rückstellungen verpflichtet sein. Dieser Artikel hilft Ihnen, die Risiken einzuschätzen.

Ausgangslage: Pflichten und Bußgelder unter der DSGVO

Unter der DSGVO wird es kaum ein Unternehmen geben, das nicht von (einigen) Datenschutzplichten betroffen ist, da im Regelfall jedes Unternehmen personenbezogene Daten – zumindest die von Mitarbeitern – verarbeitet. Als Folge dessen wird es kaum möglich sein, sich der Implementierung einzelner Schutzkonzepte – ggf. sogar der Implementierung eines Datenschutzmanagementsystems – zu entziehen.

Gleichzeitig werden die möglichen Bußgelder für Verstöße mit der DSGVO drastisch erhöht. Für geringfügigere Verstöße sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten (Konzern-)Umsatzes der verantwortlichen Stelle möglich. Bei schwerwiegenderen Verstößen erhöhen sich die jeweiligen Maximalstrafen auf 20 Millionen Euro bzw. 4 % des Umsatzes (siehe auch unser Artikel zu Bußgeldern unter der DSGVO).

Welche Risiken erzwingen bilanzielle Rückstellungen?

Die Erweiterung des Pflichtenumfangs und gleichzeitige Erhöhung der korrespondierenden Bußgelder werden weitreichende Auswirkung auf alle Bereiche unternehmerischer Tätigkeit haben. Daher sollte ihnen in der unternehmerischen Risikobewertung eine höhere Bedeutung beigemessen werden.

Es stellt sich insbesondere die Frage, unter welchen Voraussetzungen Datenschutzverstöße oder die Non-Compliance mit datenschutzrechtlichen Pflichten in Form von Rückstellungen gem. § 249 HGB (Handelsgesetzbuch) in der Bilanz zu berücksichtigen sind. An dieser Stelle sei vorsorglich darauf hingewiesen, dass es im Rahmen des Jahresabschlusses für Aktiengesellschaften weitergehende Pflichten geben kann, auf die hier nicht eingegangen wird.

Nach § 249 HGB – der für alle Kaufleute gilt (!) – sind Rückstellungen für ungewisse Verbindlichkeiten zu bilden. Eine ungewisse Verbindlichkeit im Sinne der Norm liegt dann vor, wenn der Bilanzierende ernsthaft mit der Inanspruchnahme wegen einer Verbindlichkeit, die wirtschaftlich in der Zeit vor dem Bilanzstichtag verursacht wurde, rechnen muss.

Bei ungewissen Verbindlichkeiten ist zwischen

  1. der Wahrscheinlichkeit des Bestehens der Verbindlichkeit und
  2. der Wahrscheinlichkeit der tatsächlichen Inanspruchnahme hieraus

zu unterscheiden. Konkret auf das Datenschutzrecht angewendet bedeutet dies: Ein Unternehmen hat im Rahmen des Jahresabschlusses zu entscheiden, ob wegen einer vermeintlichen Verletzung von Datenschutzrecht eine Rückstellung für ein Bußgeld der zuständigen Behörde zu bilden ist:

  1. Einerseits besteht die Unsicherheit, ob überhaupt eine rechtlich belangbare Verletzung von Datenschutzrechtes vorliegt.
  2. Anderseits besteht die Unsicherheit, ob die zuständige Behörde den Fall aufgreifen und ein Bußgeldverfahren einleiten wird.

Wie wahrscheinlich ist eine bußgeldbewehrte Rechtsverletzung?

Um eine mögliche Pflicht zur Rückstellung für Bußgelder aufgrund von Datenschutzverstößen ermitteln zu können, muss zunächst geprüft werden, wie wahrscheinlich letztere vorliegen. Hier sind im Wesentlichen zwei mögliche Szenarien zu unterscheiden:

  • Unternehmen, die bisher gar keine Risikoanalyse und keine Maßnahmen hinsichtlich datenschutzrechtlicher Verpflichtungen eingeleitet haben, und
  • Unternehmen, die eine Risikoanalyse durchgeführt und bereits (erste) Maßnahmen ergriffen haben.

In erstem Fall wird in Zukunft mit sehr großer Wahrscheinlichkeit von datenschutzrechtlichen Regelverstößen bzw. Non-Compliance mit der DSGVO in irgendeiner Art auszugehen sein. Wer seine Pflichten nicht kennt, wird sich in der Regel schwertun, diese (kurzfristig) zu erfüllen.

Unternehmen der zweiten Kategorie, die bereits aufgrund einer Risikoanalyse um ihre Verpflichtungen wissen, können entweder Verstöße oder Non-Compliance vermuten oder positive Kenntnis davon haben. Bei positiver Kenntnis eines Verstoßes entfällt der Wahrscheinlichkeitsmaßstab.

Wie wahrscheinlich ist eine Ahndung durch die Aufsichtsbehörde?

Es kann nicht seriös vorhergesagt werden, wie die Datenschutz-Aufsichtsbehörden in Zukunft ihren Kontrollauftrag ausgestalten. Es sprechen jedoch einige Umstände dafür, dass die Ahndungswahrscheinlichkeit im Vergleich zur Vergangenheit deutlich zunehmen wird.

So sind die jeweiligen Aufsichtsbehörden nach DSGVO verpflichtet, Meldungen nachzugehen und gegebenenfalls vorliegende Verstöße zu ahnden. Da etwa Verstöße gegen Meldepflichten bereits auf Webseiten ersichtlich sein können, tritt neben die Möglichkeit der Zufallskontrolle durch die Behörde auch die Meldung an letztere durch z. B. einen abgelehnten Bewerber oder konkurrierende Marktteilnehmer.

Zusätzlich greift mit der DSGVO eine grundsätzliche Meldepflicht bei Datenpannen innerhalb von 72 Stunden. Um unter diese Meldepflicht zu fallen, reicht es schon, eine E-Mail mit personenbezogenen Daten an einen falschen Adressaten versendet zu haben. Die Pflicht zur Meldung von Datenpannen erhöht demnach zusätzlich das Risiko, dass Verstöße durch die Aufsichtsbehörden aufgedeckt werden.

Fazit: Bilanzielle Rückstellung dürften für viele Unternehmen verpflichtend werden

Je nach datenschutzrechtlichem Risikobewusstsein und Umsetzungsstand von Maßnahmen in Unternehmen ist die Gefahr von Non-Compliance oder Regelverstößen unterschiedlich hoch. Für Unternehmen, die bisher nicht einmal eine Risikoanalyse durchgeführt und gar keine datenschutzrechtlichen Maßnahmen ergriffen haben, dürfte die Wahrscheinlichkeit einer Pflichtverletzung immens hoch sein. Für Unternehmen, die um Ihre Non-Compliance oder Verstöße wissen, ersetzt Kenntnis die Wahrscheinlichkeit.

Die Wahrscheinlichkeit der Ahndung von Verstößen durch die Aufsichtsbehörden ist derzeit eine unbekannte Größe und wird sich erst nach und nach durch die Praxis einordnen lassen. Vieles spricht dafür, dass u. a. aufgrund der Ahndungs- bzw. Verfolgungspflicht von Meldungen, die Wahrscheinlichkeit von Ahndungen hoch anzusiedeln ist.

Dies wiederum erhöht bei Kenntnis eines Verstoßes oder DSGVO-Non-Compliance oder bei bisheriger Tatenlosigkeit im Datenschutz die Wahrscheinlichkeit, zu Rückstellungen verpflichtet zu sein. Fest steht in jedem Fall eines: Wenn es eine Pflicht zu bilanziellen Rückstellungen für Verpflichtungen aus Bußgeldbescheiden wegen Datenschutzverletzungen gibt, dann in potentiell erheblicher Höhe.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Baldiges Aus für US-Daten-Dienstleister in der EU?

Wieder einmal wollen Behörden in den USA den vollen Zugriff auf Kundendaten von US-Unternehmen – auch wenn diese Daten in Rechenzentren in Europa gespeichert sind. Der oberste Gerichtshof der Vereinigten Staaten muss nun entscheiden, ob dies rechtens ist. Falls er den Zugriff auf die Daten für legitim erklärt, hätte dies katastrophale datenschutzrechtliche Auswirkungen.

Der Fall: Microsofts EU-Cloud

Das US-Justizministerium fordert auf Grundlage eines Durchsuchungsbeschlusses von Microsoft die Herausgabe von personenbezogenen Daten (in diesem Fall E-Mails), die in der sogenannten „EU-Cloud“ in Irland gespeichert sind. Microsoft ging gegen den Durchsuchungsbeschluss vor, verlor jedoch in einem ersten Gerichtsverfahren. Die Berufungsinstanz entschied hingegen mit drei zu null der Richterstimmen für Microsoft.

Der oberste Gerichtshof der Vereinigten Staaten (United States Supreme Court) muss nun grundsätzlich entscheiden, ob die US-Justizbehörden mit einem einfachen Durchsuchungsbefehl amerikanische Unternehmen anweisen dürfen, Daten preiszugeben, die sich in Europa befinden. Das für den 27. Februar 2018 festgelegte Revisionsverfahren hat also erhebliche Implikationen für den Datenschutz (No. 17-02 United States, Petitioner v. Microsoft Corporation, umgangssprachlich auch „Microsoft Ireland Case“).

Die Folgen: ein datenschutzrechtliches Dilemma

Sollte der Supreme Court den US-Justizbehörden Recht geben, wäre in letzter Konsequenz für in der EU ansässige Unternehmen eine Zusammenarbeit mit amerikanischen Dienstleistern kaum noch umsetzbar. Denn wenn Dienstleister im Auftrag Daten verarbeiten sollen, muss der Auftraggeber gewährleisten, dass der jeweilige Partner über ein adäquates Datenschutzniveau verfügt. Dies wäre nicht mehr gegeben, sollte US-amerikanischen Behörden nun ein direktes Zugriffsrecht auf Daten, die von amerikanischen Unternehmen physisch in Europa gespeichert werden, zugesprochen werden.

Entsprechendes gilt für europäische Unternehmen, die sowohl in der EU als auch in den USA operieren. Diese müssten sich in vergleichbaren Fällen in Zukunft entscheiden, entweder gegen EU-Datenschutzrecht oder US-Recht zu verstoßen. Auch dies müssten Auftraggeber im Rahmen der Datenverarbeitung in ihre Prüfung des Verarbeiters bzw. Dienstleisters berücksichtigen.

Das EU-U.S. Privacy Shield, ein Abkommen zwischen der EU und den USA hinsichtlich der Gewährleistung von Mindeststandards im Datenschutz von US-Unternehmen, könnte von diesem Urteil ebenfalls zu Fall gebracht werden.

Fazit: Schnelles Handeln und ggfs. Alternativen sind gefragt

Das mit Spannung erwartete Urteil hat also die Sprengkraft, wirtschaftliche und informationstechnische Verflechtungen zwischen der EU und den USA nachhaltig zu beschädigen. Unternehmen, die US-Dienstleister oder Dienstleister mit einem Sitz (bzw. einer Konzernmutter oder -tochter) in den USA bei der Auftragsverarbeitung einsetzen, müssen nach dem Urteil ggfs. schnell handeln. Es kann deswegen ratsam sein, sich jetzt schon nach Alternativen umzusehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Austausch der IT und ISO 27001-Zertifizierung im Bereich erneuerbare Energien für die Lampe Equity Management GmbH [Best Practice]

Unternehmen, die im Bereich der erneuerbaren Energien bzw. der Energie-Infrastruktur tätig sind, freuen sich seit Jahren über ein schnelles Wachstum. Da kann es schnell passieren, dass die Unternehmens-IT nicht mehr den höchsten Anforderungen entspricht. Wie man mit Hilfe eines externen Sicherheitsbeauftragten die gesamte IT austauscht und eine Sicherheitszertifizierung nach ISO 27001 meistert, zeigt das Best Practice der Lampe Equity Management GmbH.

Die Herausforderung bei der Kunden-IT

Zum Portfolio der Hamburger CEE Group gehören zahlreiche Photovoltaik- und Windparks in Deutschland. Und es werden immer mehr. Um die Prozesse der vielen Unternehmen der CEE Group zu optimieren, bündelte man die IT-Tätigkeiten der Gruppe in der Lampe Equity Management GmbH. Als dort nach einigen Jahren ein Informationssicherheits-Managementsystem (ISMS) eingeführt werden sollte, um die Zertifizierung nach ISO 27001 zu erreichen, wurde Handlungsbedarf sichtbar:

„Unsere IT-Infrastrukturen sind in großem Umfang und sehr organisch gewachsen. Doch dies ist nicht endlos skalierbar, dafür sind die Anforderungen unseres Unternehmens an Effizienz und Sicherheit zu hoch“, erläutert CEE Operations-Geschäftsführer Christian Bertsch-Engel, verantwortlich für die Umstrukturierung der IT-Landschaft der Lampe Equity Management.

Umsetzung 1: Austausch der gesamten IT

Um die Herausforderungen zu meistern, wurde ein Experte der activeMind AG als externer Sicherheitsbeauftragter bestellt. Zudem besetzte man die Position des technischen Leiters neu, um interne und externe Kompetenzen zu bündeln. In einem ersten Arbeitsschritt ging es dann darum, den vollständigen Austausch der vorhandenen Hardware zu realisieren. Christian Bertsch-Engel: „Im laufenden Geschäftsbetrieb die Unternehmens-IT zu ändern, davor scheut man sich ja eher. Für uns war es daher besonders angenehm, dass unser Team während des gesamten Prozesses durch die activeMind AG begleitet wurde.“

So übernahm der externe Sicherheitsbeauftragte die Ausschreibung des Hardware-Austauschs, die Erstellung des Anbieterkatalogs und den Entwurf des technischen Lösungsvorschlags. Auch die Angebotsprüfung und Auswahl des Anbieters wurde durch die activeMind AG durchgeführt. Parallel dazu konnte durch den neuen technischen Leiter ein internes Störungsmanagement entwickelt und implementiert werden.

„Wir setzen vorwiegend auf eigene IT und lagern nicht in Rechenzentren aus. Daher brauchten wir nicht nur neue Workstations, sondern auch Server bzw. die gesamte Storage-Struktur. Das Ergebnis sollte eine prozessorientierte und hochverfügbare Umgebung sein“, so Christian Bertsch-Engel. „Die juristischen, organisatorischen und IT-Kenntnisse der activeMind AG waren hierbei sehr wertvoll. Auch in die Vertragsverhandlungen und die Überprüfung des Anbieters nach § 11 Bundesdatenschutzgesetz (BDSG) hat sich unser externer Sicherheitsbeauftragter wertstiftend eingebracht.“ Insgesamt begleitete die activeMind AG die Lampe Equity Management GmbH bei der technischen Integration bis zur Abnahme.

Umsetzung 2: Vorbereitung zur ISO-Zertifizierung

Auf Basis der neuen Infrastruktur konnte nun die Zertifizierung nach ISO 27001 durch den TÜV angestrebt werden. Der Ausbau des notwendigen IT-Monitorings wurde intern verwirklicht. Der externe Sicherheitsbeauftragte unterstützte währenddessen bei der Risikoanalyse, der datenschutzrechtlichen Prüfung und bei der Erstellung der IT-Dokumentation. Interne Audits bereiteten optimal auf das Zertifizierungsaudit vor.

„In weniger als anderthalb Jahren seit der Erfassung des technischen Ist-Zustands erlangten wir gemeinsam mit der activeMind AG die erfolgreiche Zertifizierung nach ISO 27001 ohne Abweichungen“, freut sich Christian Bertsch-Engel. „Überzeugt hat uns dabei vor allem der Rundum-Service und die pragmatische Herangehensweise der Experten. Mit der activeMind AG an unserer Seite und mit unserer neuen IT sind wir sicherheitstechnisch und datenschutzrechtlich bestens für zukünftiges Wachstum gerüstet!“

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Terrorlistenscreening – vereinbar mit dem Datenschutz?

Mit den EU-Anti-Terrorverordnungen (2580/2001/EG, 881/2002/EG und 753/2011/EG) soll die Finanzierung terroristischer Handlungen verhindert werden. Steht ein Mitarbeiter auf einer der Verordnungslisten, darf ihm kein Gehalt ausgezahlt werden. Auch mit „terroristischen“ Kunden oder anderen Vertragspartnern darf kein Handel getrieben werden. Doch können Unternehmen die sogenannten Terrorlisten überhaupt datenschutzkonform auswerten? Und falls ja, wie muss das Terrorlistenscreening ausgestaltet sein?

Was schreiben die EU-Anti-Terrorverordnungen vor?

Ca. 230 als Terroristen geltende natürliche Personen und ca. 100 als terroristisch eingestufte juristische Personen, Gruppen und Organisationen sind derzeit im Anhang I der Verordnung 881/2002/EG zu finden. Die Liste wurde bereits 257 Mal geändert, zuletzt am 15. Dezember 2016. Die „Terroristenliste“ der Verordnung 753/2011/EG umfasst demgegenüber exakt 123 natürliche und juristische Personen, Gruppen, Unternehmen und Einrichtungen und wurde zuletzt am 29. September 2016 aktualisiert.

Gemäß Art. 3 Abs. 2 der Verordnung 753/2011/EG dürfen

„[d]en in Anhang I aufgeführten natürlichen oder juristischen Personen, Gruppen, Unternehmen und Einrichtungen […] weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden oder zugutekommen.“

Ein ähnlicher Wortlaut findet sich in Art. 2 Abs. 2 der Verordnung 881/2002/EG. Bei einem Verstoß gegen die Verordnungen sind erhebliche Sanktionen möglich, von einer Geldbuße und Untersagung der Gewerbefortführung bis zur Freiheitsstrafe.

Wer muss die Terrorlisten screenen?

Nach Art. 14 Verordnung 753/2011/EG (ähnlich Art. 11 Verordnung 881/2002/EG) gilt diese u.a.

„d) für die nach dem Recht eines Mitgliedstaats gegründeten oder eingetragenen juristischen Personen, Gruppen, Unternehmen und Einrichtungen;“

„e) für juristische Personen, Gruppen, Unternehmen und Einrichtungen in Bezug auf Geschäfte, die ganz oder teilweise in der Union getätigt werden.“

Somit sind im Prinzip alle Unternehmen, die Geschäfte in Europa tätigen und / oder hier gegründet oder eingetragen sind, verpflichtet, die Verordnungen einzuhalten.

Ein (fortwährendes) Screenen der Listen wird in den Verordnungen allerdings nicht verlangt. Auch Artikel 14 k der Zollkodex-Durchführungsverordnung (ZK-DVO), der „Sicherheitsüberprüfungen“ und „regelmäßige Hintergrundüberprüfungen“ zur Voraussetzung für die Erlangung des mit Zollvorteilen versehenen Status „Zugelassener Wirtschaftsbeteiligter – AEO“ macht, enthält keine explizite Screening-Pflicht. Gleichwohl verlangt der Zoll auf Grundlage der Leitlinien „Zugelassener Wirtschaftsbeteiligter“ von antragstellenden Unternehmen die Bestätigung, dass die Terrorlisten im Rahmen der Sicherheitsüberprüfungen herangezogen werden (vgl. Fragekatalog zur Selbstbewertung – AEO Punkt 6.11.3 und 6.12.1.).

Ist der Abgleich (von Mitarbeiterdaten) datenschutzkonform?

Zunächst ist festzustellen, dass die Verordnungen als solche das Datenschutzrecht nicht „überlagern“ bzw. „verdrängen“. Dies folgt u. a. aus dem Umstand, dass das Screening als solches in den Verordnungen nicht gefordert und somit auch nicht für zulässig erklärt wird.

Vor diesem Hintergrund hatten sich die Datenschutzbehörden in der Vergangenheit kritisch zu einem pauschalen und anlasslosen Screening von Mitarbeitern positioniert. Dieses könne weder als erforderlich angesehen werden, noch genüge es rechtsstaatlichen Prinzipien. Weniger bedenklich (allerdings uneinig) hatte sich der Datenschutzkreis gegenüber dem Screenen von Kundendaten gezeigt. Ausführlich und vergleichsweise differenziert hatte auch der (ehemalige) Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zum Thema Stellung bezogen.

Der Bundesfinanzhof (BFH) hat die durch die Datenschützer mitverursachte Rechtsunsicherheit mit seinem Urteil vom 19.06.2012 beseitigt. Der BFH hält die Vorgabe des Zolls, das Erlangen des AEO-Zertifikats vom Screenen der Anti-Terrorverordnungen abhängig zu machen, für datenschutzkonform. Das Screenen könne als erforderlich angesehen werden; schutzwürdige Interessen der Mitarbeiter würden bereits aufgrund der geringen Sensitivität der für den Abgleich erforderlichen Daten nicht überwiegen.

Was darf bzw. muss gescreent werden?

Hinsichtlich der Art der auszuwertenden Daten ist das Datensparsamkeitsgebot (Art. 5 Abs. 1 lit. c, Art. 25 Abs. 1 DSGVO) zu beachten. Danach dürfen nur Stammdaten gescreent werden, wozu der Name, die Anschrift, das Geburtsdatum und / oder der Geburtsort zählen. Auch eine Pseudonymisierung der Daten sollte vor dem Hintergrund des Datensparsamkeitsgrundsatzes geprüft werden.

Wann und wie oft muss gescreent werden?

Wohl auch angesichts der in den Verordnungen fehlenden Screening-Pflicht hat die Bundesregierung 2010 in einer Stellungnahme die Pflicht eines Unternehmens zu einem systematischen und anlassunabhängigen Abgleich seiner Kunden- und Mitarbeiterdateien verneint. Eine Screening-Pflicht bestehe „allenfalls nach Maßgabe von Sorgfaltspflichten“.

Angesichts der drohenden Sanktionen und der nunmehr (weitgehend) geklärten Datenschutzrechtslage sollten dennoch im Rahmen des betrieblichen Compliance-Managements, soweit praktisch sinnvoll und handhabbar, regelmäßige Abgleiche erfolgen.

Zur Ermittlung einer sinnvollen Prüffrequenz kann bei (kleinen) ressourcenschwachen Unternehmen auf die in den benannten Leitlinien aufgestellte Mindestprüfpflicht von einem Jahr abgestellt werden. Diese Mindestprüfpflicht greift jedoch – zumindest hinsichtlich AEO – nicht, wenn Güter aus einem sicherheitsrelevanten Bereich betroffen sind. In diesem Fall sollte eine höhere Prüffrequenz angesetzt werden.

Worauf muss bei der Einbindung eines Dienstleisters geachtet werden?

Eine fortwährende Überprüfung der Terrorlisten kann für ein Unternehmen sehr lästig sein, weshalb verschiedene Dienstleister den Abgleich anbieten (Beispiel 1, Beispiel 2). Die Beauftragung eines Dienstleisters ist grundsätzlich im Rahmen einer Auftragsverarbeitung (Art. 28, 29 DSGVO) datenschutzkonform möglich.

Erforderlich ist eine dokumentierte Prüfung der organisatorischen und technischen Maßnahmen des Dienstleisters. Es sollte insbesondere geprüft und dokumentiert werden, ob der Dienstleister aktuelle Terrorlisten verwendet und mit welchen konkreten Methoden das Screening erfolgt. Die Einbindung erfordert zudem den Abschluss eines Auftragsverarbeitungsvertrages.

Was muss beim Terrorlistenscreening noch beachtet werden?

Die datenschutzkonforme Einführung des Verfahrens erfordert eine  Datenschutzfolgenabschätzung (Art. 35 DSGVO) durch den  Verantwortlichen. Neben dem Datenschutzbeauftragten muss auch der Betriebsrat rechtzeitig informiert werden, dem beim Einsatz einer Screening-Software u. U. ein Mitbestimmungsrecht im Sinne von § 87 Abs. 1 Nr. 6 BetrVG zusteht.

Schließlich müssen sowohl die Mitarbeiter als auch die Kunden und sonstigen Vertragspartner über die Umstände des Screenings informiert werden.

Fazit: Terrorlistenscreening ist datenschutzkonform durchführbar

Auch wenn die Terrorismusverordnungen ein Screenen nicht ausdrücklich verlangen, kann dieses aus datenschutzrechtlicher Sicht als erforderlich angesehen werden. Der Abgleich kann im Wege der Auftragsverarbeitung auf einen Dienstleister übertragen werden. Neben dem Datenschutzbeauftragten muss auch der Betriebsrat eingebunden werden. Die vom Screening Betroffenen sind über die Umstände zu informieren.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Wann dürfen Arbeitgeber von Mitarbeitern ein Führungszeugnis verlangen?

Wer als Unternehmen neue Mitarbeiter sucht, hat ein berechtigtes Interesse daran, den Bewerbern ordentlich „auf den Zahn zu fühlen“. Schließlich gehen mit jedem Mitarbeiter nicht unerhebliche Kosten einher. Neben Ausbildung, Berufserfahrung und Soft-Skills könnten dabei auch das Legalverhalten eines Bewerbers bzw. im Umkehrschluss etwaige Straftaten interessieren. Die Anforderung eines Führungszeugnisses liegt da nahe. Doch in welchen Fällen erlaubt der Datenschutz dem Arbeitgeber überhaupt ein solches Führungszeugnis zu verlangen? Wann ist das Zeugnis sogar vorgeschrieben? Welche Version dieses Bundeszentralregisterauszuges ist die richtige? Und wie darf mit den darin enthaltenen Daten des Bewerbers umgegangen werden?

Was steht in einem Führungszeugnis?

Das Führungszeugnis, umgangssprachlich auch „polizeiliches Führungszeugnis“ genannt, ist ein Auszug aus dem Bundeszentralregister. Dort werden strafrechtliche Verurteilungen durch deutsche Gerichte, Vermerke über Schuldunfähigkeit, bestimmte Verwaltungsentscheidungen und weitere besondere gerichtliche Feststellungen eingetragen. Auch ausländische Verurteilungen gegen deutsche Staatsbürger sowie gegen in Deutschland geborene oder wohnhafte Personen werden dort eingetragen.

Jeder, der über 14 Jahre alt ist, kann einen Auszug aus dem Bundeszentralregister, also ein Führungszeugnis, beantragen. Das geht entweder persönlich beim Einwohnermeldeamt am Haupt- oder Nebenwohnsitz oder schriftlich, sofern die Identität des Beantragenden nachgewiesen ist, etwa durch eine amtliche Beglaubigung der Unterschrift.

Welche Arten und Zwecke von Führungszeugnissen gibt es?

Das Führungszeugnis kann entweder für private Zwecke oder zur Vorlage bei einer Behörde beantragt werden:

Das „Führungszeugnis für private Zwecke“ wird vom Bundesjustizministerium direkt an den Antragsteller geschickt, so dass dieser weiß, welche Angaben über ihn im Bundeszentralregister vermerkt sind. Dabei werden jedoch nur Verurteilungen aufgeführt, bei denen die Geldstrafe über 90 Tagessätze liegt bzw. eine Bewährungsstrafe von mehr als drei Monaten verhängt wurde, sofern keine weiteren Vorstrafen bestehen.

Das „Führungszeugnis für eine Behörde“ wird dagegen nach Beantragung durch den Betroffenen direkt an die Behörde geschickt, die das Führungszeugnis verlangt hat.  Es muss dazu auch angegeben werden, zu welchem Zweck die Behörde das Führungszeugnis benötigt. Im Führungszeugnis für eine Behörde sind deutlich mehr Informationen vermerkt, als im Führungszeugnis für private Zwecke, zum Beispiel auch der Widerruf eines Waffenscheines oder einer Gewerbeerlaubnis, die gerichtlich angeordnete Unterbringung in einer psychiatrischen Anstalt oder gerichtliche Entscheidungen über eine mögliche Schuldunfähigkeit. Jeder Betroffene hat aber die Möglichkeit, das Führungszeugnis für eine Behörde zunächst beim zuständigen Amtsgericht einzusehen. Dann kann immer noch entschieden werden, ob das Führungszeugnis an die Behörde weitergeleitet werden soll. Entscheidet sich der Betroffene dagegen, so wird das Führungszeugnis direkt vom Amtsgericht vernichtet.

Das „Europäische Führungszeugnis“ ist vor allem für Menschen wichtig, die die Staatsangehörigkeit eines anderen EU-Mitgliedsstaates besitzen. Denn auf diesem Wege wird zusätzlich zur Bundeszentralregisterauskunft auch ein Nachweis über Verurteilungen erbracht, die im Herkunftsland stattgefunden haben.

In aller Munde ist seit einigen Jahren auch das „Erweiterte Führungszeugnis“, für dessen Beantragung man ein zusätzliches Aufforderungsschreiben vorlegen muss. Das erweiterte Führungszeugnis ist deutlich umfangreicher als das „Führungszeugnis für private Zwecke“, denn dort werden zusätzlich noch Verurteilungen wegen Sexualstraftaten, weiterer Sexualdelikte und anderer für den Schutz von Kindern und Jugendlichen besonders relevanter Straftatbestände vermerkt, auch wenn diese Verurteilungen schon lange zurückliegen und die verhängten Strafen gering waren. Hintergrund ist, dass das erweiterte Führungszeugnis gemäß § 72a SGB VIII zur Prüfung der persönlichen Eignung von Menschen benötigt wird, die in ihrer beruflichen oder ehrenamtlichen Tätigkeit mit Minderjährigen in Kontakt kommen. Das betrifft etwa Erzieher, Lehrer, Nachhilfelehrer, Leiter von Jugendgruppen usw.

Wie kommt der Arbeitgeber an das Führungszeugnis?

Der Arbeitgeber hat nicht die Möglichkeit, das Führungszeugnis beim Bundesjustizministerium selbst anzufordern. Beantragen kann das Führungszeugnis nur der Betroffene selbst. Es wird daher in aller Regel eine Klausel in den Arbeitsvertrag aufgenommen werden, wonach der Arbeitnehmer die Vorlage eines Führungszeugnisses, in den Fällen des § 72a SGB VIII sogar eines erweiterten Führungszeugnisses, bis zu einem bestimmten Zeitpunkt schuldet.

In welchen Fällen darf der Arbeitgeber ein Führungszeugnis verlangen?

Artikel 32 Bundesdatenschutzgesetz (BDSG) stellt klar, dass vom Arbeitgeber nur solche personenbezogenen Daten erhoben, verarbeitet und genutzt werden dürfen, die notwendig sind, um zu entscheiden, ob jemand eingestellt wird bzw. die für die Durchführung und später die Beendigung des Arbeitsverhältnisses gebraucht werden.

Sofern

  • der Arbeitgeber als freier Träger der Jugendhilfe anerkannt oder ein gemeinnütziger Verein ist oder
  • der Arbeitnehmer durch seine Tätigkeit in Kontakt mit Minderjährigen kommen kann bzw. die Tätigkeit in vergleichbarer Weise geeignet ist, Kontakt mit zu Minderjährigen aufzunehmen,

ist die Vorlage eines erweiterten Führungszeugnisses durch das Gesetz vorgeschrieben bzw. erlaubt (§ 72a SGB VIII, § 30a BZRG). Also müssen die Träger der Jugendhilfe bzw. dürfen die übrigen Arbeitgeber aus diesem Bereich das erweiterte Führungszeugnis verlangen.

Erforderlich ist jedoch, dass die jeweiligen Berufsgruppen tatsächlich von ihrer Aufgabenstellung her Kontakt mit Kindern und Jugendlichen haben können, der zu einer besonderen Gefahrensituation führen kann. Nur die Tatsache, dass z. B. ein Bäckereifachverkäufer morgens auch belegte Brote an Schulkinder verkauft, reicht hier nicht aus. Das Landesarbeitsgericht Hamm hat dazu zwar entschieden, dass dem Arbeitgeber ein Beurteilungsspielraum bei der Frage zusteht, ob eine besondere Gefahrensituation entstehen kann. Die bloße Möglichkeit, dass ein Arbeitnehmer zukünftig mit minderjährigen Kunden, Praktikanten oder Auszubildenden in Kontakt treten könnte, rechtfertigt die Vorlage eines erweiterten Führungszeugnisses jedoch regelmäßig nicht (LAG Hamm, Urteil vom 4.7.2014, Az. 10 Sa 171/14).

In allen anderen Fällen sollte der Arbeitgeber abwägen:

  • Ist die Frage nach möglichen Vorstrafen für den angestrebten Arbeitsplatz und die Tätigkeit von Bedeutung?
  • Und wenn ja, wäre die Anforderung des Führungszeugnisses mit einem unverhältnismäßigen Eingriff in die Privatsphäre des Bewerbers bzw. des Arbeitnehmers verbunden?

Es steht also das Informationsinteresse des Arbeitgebers im Kontrast zu einem möglichen Resozialisierungsinteresse des Arbeitnehmers. Und genau hier liegt das Problem: Denn es gibt zwar bei fast jedem Arbeitsplatz mögliche Verurteilungen, an deren Mitteilung der Arbeitgeber ein berechtigtes Interesse hat. Andererseits enthält das Führungszeugnis gegebenenfalls auch Angaben zu Verurteilungen, die den Arbeitgeber im Rahmen der aktuellen Stellenausschreibung nichts angehen (z. B. Verurteilung wegen Steuerhinterziehung bei einem Bewerber um die Stelle, bei der der Arbeitnehmer keinen Zugriff auf die Kasse hat).

Aus diesem Grund ist es rechtlich höchst umstritten, ob ein Arbeitgeber generell ein Führungszeugnis von seinem Arbeitnehmer verlangen darf. Die herrschende Meinung verweist darauf, dass der Arbeitgeber seine Fragen im Vorstellungsgespräch klären kann. Die Rechtsprechung erlaubt ihm nämlich, nach Straftaten oder Vorstrafen zu fragen, die einen konkreten Bezug zum Arbeitsverhältnis aufweisen. Diese Fragen muss der Bewerber wahrheitsgemäß beantworten. Die zusätzliche Anforderung eines Führungszeugnisses wird daher von vielen Juristen als „unverhältnismäßig“ abgelehnt.

Eine Ausnahme besteht nur dann, wenn für die zu besetzende Stelle jegliches strafrechtliches Vorverhalten relevant ist. Das wird zum Beispiel bei Datenschutzbeauftragten, Compliance-Verantwortlichen oder Kundenberatern bei einer Bank angenommen.

Welche Angaben aus dem Führungszeugnis der Arbeitgeber verwenden?

Auch ein rechtmäßig angefordertes Führungszeugnis eines Arbeitnehmers kann Angaben enthalten, die den Arbeitgeber eigentlich nicht interessieren dürfen. Das betrifft insbesondere Verurteilungen aus Bereichen, die in keinem direkten Zusammenhang mit der ausgeübten Tätigkeit stehen (z. B. eine Verurteilung wegen Fahrens ohne Fahrerlaubnis bei einem Büromitarbeiter).

Von diesen Verurteilungen erhält der Arbeitnehmer durch die Vorlage des Führungszeugnisses Kenntnis, darf aber hiernach im Vorstellungsgespräch nicht fragen. Es ist daher erforderlich, den Kreis der Personen, die Zugriff auf das Führungszeugnis hat, auf das Notwendigste zu begrenzen. Gleichzeitig muss sichergestellt werden, dass diese „Zufallsfunde“ keine Auswirkungen auf das Arbeitsverhältnis haben. Sie dürfen insbesondere nicht als Grundlage für Abmahnungen oder Kündigungen herangezogen werden.

Praxistipp: Prinzipien von Datensparsamkeit und Datenschutz anwenden

In denjenigen Fällen, in denen ein Arbeitgeber zu Recht ein Führungszeugnis oder erweitertes Führungszeugnis anfordert, sollte dafür Sorge getragen werden, dass nur diejenigen Informationen beim Arbeitgeber verbleiben, auf die der Arbeitgeber einen Anspruch hat. Dazu kann zunächst für die im Unternehmen vorkommenden Berufsbilder definiert werden, über welche möglichen Verurteilungen der Arbeitgeber Bescheid wissen sollte.

Dann wird eine zur Verschwiegenheit auch gegenüber dem Arbeitgeber verpflichtete Person beauftragt, die eingehenden Führungszeugnisse dahingehend zu überprüfen, ob in diesen eine der vorher festgelegten Verurteilungen aufgeführt ist. Diese Person erstellt dann für die Personalakte eine Bestätigung, dass das Führungszeugnis vorlegt wurde und dass es entweder keine relevanten Eintragungen enthält oder dass es solche enthält.

Enthält es keine relevanten Einträge verbleibt das Führungszeugnis beim Arbeitnehmer und die Bestätigung wird in die Personalakte aufgenommen. Damit ist sichergestellt, dass niemand Kenntnis von möglichen, nicht-einschlägigen Verurteilungen Kenntnis erlangt.

Sollten dagegen im Führungszeugnis tatsächlich relevante Einträge enthalten sein, so geht diese Information an diejenigen Personen, die über die Einstellung entscheiden. Denn in diesem Fall gibt es ganz sicher Gesprächsbedarf mit dem Arbeitnehmer.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

ISO 27001 Zertifizierung für IT-Beratungsunternehmen Infosys Consulting [Best Practice]

Für IT-, Strategie-, Management- und Unternehmensberatungen spielen Datenschutz und Datensicherheit eine herausragende Rolle. Denn der Umgang mit Daten von Kunden und deren Kunden gehört in Zeiten von Cloud-Computing, Big-Data und Business-Intelligence zum Alltag. Ein gut implementiertes Informationssicherheits-Managementsystem (ISMS) hilft hierbei gleich zweifach: Zum einen stellt ein ISMS unternehmensintern sicher, dass IT-Sicherheitsvorkehrungen den gesetzlichen Mindestanforderungen genügen und stetig optimiert werden. Zum anderen zeigt ein ISMS – wenn es etwa nach der bekannten Norm ISO 27001 zertifiziert ist – gegenüber Kunden und Geschäftspartnern, welch hohen Stellenwert die Datensicherheit einnimmt. Zwei schlagende Argumente auch für die Infosys Consulting GmbH, wie Helena Saldanha, zuständig für Verträge und Compliance, im Best Practice Interview erklärt.

Ihr Unternehmen hat für das Office in den Highlight Towers ohne eine einzige Abweichung das ISO 27001 Zertifizierungs-Audit absolviert. Für die Vorbereitung haben Sie die activeMind AG als externen Dienstleister gesetzt. Warum?

Bei Infosys Consulting gab es intern nicht genügend Ressourcen, um die Voraussetzungen für eine Zertifizierung nach ISO 27001 in einem angemessenen Zeitrahmen zu erfüllen. Die activeMind AG kannten wir schon von Datenschutzschulungen bei der IHK München. Die Nachfrage bei einem anderen von der activeMind AG zur ISO 27001 geführten Unternehmen ergab zudem, dass man dort sehr zufrieden war.

Letztlich überzeugte uns, dass die Berater von activeMind selbst durch den TÜV Hessen berufene Auditoren für die Datensicherheitsnorm sind. Wer selbst prüft, sollte auch wissen, worauf bei der Vorbereitung zum Audit ein besonderes Augenmerk zu legen ist. Diese Annahme hat sich im Prozess definitiv bestätigt.

Wie gestaltete sich die Zusammenarbeit mit den Beratern von activeMind konkret?

Es gab regelmäßige Treffen mit den begleitenden Experten von activeMind, die sich trotz des Zeitdrucks durch Ruhe, Strukturiertheit und Zielorientierung auszeichneten. Dabei gab es für uns ganz konkrete Tipps, etwa wie Türknäufe die Zutrittssicherheit erhöhen oder wo eigene Racks im Rechenzentrum sinnvoll sind. Die technische Versiertheit der Berater löste so manche Herausforderung, die sich durch die Lokalität unserer Büroräume ergab. Hier zeigte sich, dass die Juristen von activeMind nicht nur die gesetzlichen Anforderungen kennen, sondern auch über sehr viel praktische Erfahrung verfügen.

Besonders hilfreich war das eigens für uns bereitgestellte Portal bei der activeMind AG. Hier fanden wir vorgefertigte Templates und Dokumente für die ISO 27001 Zertifizierung bzw. den Aufbau des ISMS, die wir nur noch anpassen mussten. Es gab praktische To-do-Listen, bis wann was erledigt sein musste. Dieses ISO-Portal brachte sofort Struktur und Planbarkeit in den Prozess bis zum Zertifizierungsaudit.

Warum spielt die IT-Sicherheit in Ihrem Unternehmen eine besonders große Rolle?

Infosys Consulting ist ein international tätiges Beratungsunternehmen für IT-Strategie- und Prozessoptimierung sowie IT-Transformationen. Unser Hauptgeschäft erfordert manchmal tiefgreifende Einblicke in Kundendaten und -software. Hier könnten wir uns keine Fehler in Sachen Datensicherheit erlauben.

Hinzukommt, dass in einigen Branchen IT-Sicherheits-Zertifizierungen vorausgesetzt bzw. vom Auftraggeber gefordert werden. Die Infosys Consulting GmbH wird von der ISO 27001 Zertifizierung also mit Sicherheit profitieren.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!