Datenschutz am Arbeitsplatz

Morgens E-Mail-Verkehr, mittags eine Videokonferenz und nachmittags Dokumente in der Cloud bearbeiten: Die Erhebung, Verarbeitung und Verwaltung von personenbezogenen Daten gehören heute zum beruflichen Alltag. Gleichzeitig stellen sie Betroffene auf Arbeitgeber- und Arbeitnehmerseite vor eine Herausforderung: Was ist in puncto Datenschutz am Arbeitsplatz zu berücksichtigen? Worauf müssen Arbeitnehmer*innen achten und welche Maßnahmen zur Einhaltung der Datenschutzrichtlinien müssen Arbeitgeber ergreifen?

Vorab: Bei Datenschutz am Arbeitsplatz ist in der Regel von Arbeitnehmerdatenschutz, sprich dem Schutz personenbezogener Daten, die Rede. Davon abzugrenzen ist übrigens die Datensicherheit. Letztere bezeichnet die technischen Aspekte, die den Schutz unterschiedlicher Datentypen gewährleisten. Konkret geht es bei der Datensicherheit um die Einhaltung von Vertraulichkeit, Integrität und Verfügbarkeit der Informationen.

Ein alleinstehendes Gesetz zum Datenschutz in Unternehmen gibt es nicht. Seit 1977 gelten die Bestimmungen im Bundesdatenschutzgesetz (BDSG) diese wurden am 25. Mai 2018 von der EU-Datenschutz-Grundverordnung ergänzt. Daraus ergeben sich für Arbeitgeber sowie für Arbeitnehmer*innen einige Regelungen zum Datenschutz in Unternehmen. Festgelegt ist dadurch beispielsweise, dass gespeicherte Informationen vor Datenmissbrauch und dem Zugriff Unbefugter zu schützen sind und eine Erhebung, Nutzung oder Speicherung persönlicher Daten der expliziten Zustimmung der Betroffenen bedarf. Dasselbe gilt übrigens bei der Nutzung der Informationen zu Marktforschungs- oder Werbezwecken.

Sind innerhalb eines Betriebs über längere Zeit mehr als neun Personen mit der Verarbeitung von Daten betraut, müssen Unternehmen darüber hinaus eine*n Datenschutzbeauftragte*n ernennen. Diese Person ist für die Kontrolle, Bewertung und Risikoanalyse des Datenschutzes verantwortlich.

Auch in Sachen Arbeitnehmerdatenschutz birgt die DSGVO einige wichtige Neuerungen – unter anderem ein Widerspruchsrecht, das Recht auf Vergessenwerden (Datenlöschung) und das Recht auf Berichtigung der Daten. Mitarbeiterdaten dürfen Betriebe nur in bestimmten Situationen erheben beziehungsweise verarbeiten – wenn die Informationen in der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses relevant sind, eine rechtliche Vorschrift dies eindeutig erlaubt oder eine Zustimmung der Betroffenen vorliegt. Eine pauschale (Video-)Überwachung der Mitarbeiter*innen ist demnach nicht erlaubt. Auch zur Aufdeckung einer Straftat dürfen Personendaten nur bei begründetem Verdacht gesammelt werden.

Unternehmen haben außerdem gewisse Pflichten gegenüber ihren Angestellten, deren personenbezogene Informationen sie erheben und verarbeiten. Nach der sogenannten Auskunftspflicht müssen Organisationen auf Wunsch der Betroffenen hin offenbaren, zu welchem Zweck welche Daten erhoben und an wen diese weitergeleitet wurden. Verjährte, veraltete oder falsche Informationen sind zu löschen, zugangssicher abzuspeichern oder zu berichtigen.

Nicht nur Unternehmen sind zur Einhaltung des Datenschutzes verpflichtet. Auch Arbeitnehmer müssen gewisse Hauptpflichten und Datenschutzrichtlinien erfüllen, die sich aus dem Arbeitsvertrag und dem Gesetz ergeben. Wer mit personenbezogenen Daten arbeitet, unterliegt nach § 5 BDSG dem Datengeheimnis und darf zu keiner Zeit Informationen mit Unbefugten teilen oder missbräuchlich verwenden.

Bei Verlassen des Schreibtischs sollten keine Unterlagen mit sensiblen Daten offenliegen. Sperren Sie sicherheitshalber auch immer den Bildschirm (auf Windows-über die Tastenkombination „Windows“ + „L“). Werden Unterlagen oder digitale Speichermedien mit personenbezogenen Daten nicht mehr benötigt, sind diese ordnungsgemäß zu entsorgen – etwa über den Aktenvernichter. Lassen Sie Ihren Schlüssel und Datenträger nicht an Unbefugte gelangen und schützen Sie Ihre Arbeitsgeräte wenn möglich mit Passwort.

Wie sieht es mit der Internetnutzung am Arbeitsplatz aus? Grundsätzlich gilt: Ist die Nutzung von Arbeitsgeräten und Internet nicht ausdrücklich für den privaten Gebrauch erlaubt, ist sie verboten. Ein Verstoß gegen das Verbot der privaten Internetnutzung stellt eine arbeitsrechtliche Pflichtverletzung dar und kann im schlimmsten Fall die Kündigung nach sich ziehen.

Was passiert, wenn Arbeitnehmer*innen gegen den Datenschutz verstoßen? Bei Verstößen wie einer regelwidrigen privaten Nutzung der PCs drohen arbeitsrechtliche Konsequenzen – je nach Ausmaß und Schwere von einer Abmahnung über hohe Geldbußen bis hin zur außerordentlichen Kündigung. Wenn das Unternehmen davon einen Schaden erleidet, kann es von den Verantwortlichen sogar Ersatz verlangen.

Stellen demgegenüber Mitarbeiter*innen einen Datenschutzverstoß vonseiten des Betriebes fest, wenden Sie sich damit am besten an den zuständigen Datenschutzbeauftragten. Dem Arbeitgeber drohen in diesem Fall Bußgelder und möglicherweise Schadensersatzzahlungen. Der Datenschutz greift übrigens schon im Bewerbungsstadium.

• bei Verlassen des Arbeitsplatzes ausloggen und Bildschirm sperren
• bei Verlassen des Schreibtischs sensible Unterlagen wegschließen
• Dritten keinen Zugang zum Arbeitsplatz gewähren, wenn Sie nicht dabei sind
• sichere und variierende Passwörter wählen (und nicht aufschreiben!)
• keine externen Datenträger nutzen
• bei einen PC-Virus oder Ähnlichem direkt an die zuständigen Kollegen wenden
• regelmäßiges Aussortieren von Dateien am PC und Leeren des Papierkorbs
• vorschriftsmäßiges Vernichten von Unterlagen und anderen Speichermedien
• kein privates Gerät in das Firmennetzwerk integrieren
• keine personenbezogenen Daten unverschlüsselt via E-Mail versenden
• Postfach regelmäßig aussortieren