Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv
 
Hilfsmiuttel für Datenschutzschulung für Unterrichtung und Verpflichtung für Mitarbeiter

Besteht eine Unterrichtung und Verpflichtung von Mitarbeitern nach der Datenschutzgrundverordnung?

Wie das bayerische Landesamt für Datenschutzaufsicht mitteilt, gilt die Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen als ein wichtiger Bestandteil der Maßnahmen, damit ein Verantwortlicher (siehe Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO) oder ein Auftragsverarbeiter (siehe Art. 28 Abs. 3 Satz 1 DS-GVO) die Einhaltung der Grundsätze der DS-GVO sicherstellen und nachweisen kann („Rechenschaftspflicht“). Diese Grundsätze der DS-GVO, festgelegt in Art. 5 Abs. 1 DS-GVO, beinhalten im Wesentlichen folgende Pflichten:

Wie müssen personenbezogene Daten verarbeitet werden?

a) auf rechtmäßige Weise und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden;
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden;
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;
Unterrichtung und Verpflichtung der Beschäftigten nach der DS-GVO
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor un-beabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Wer muss verpflichtet werden?

Der Kreis der zu verpflichtenden Personen (die DS-GVO spricht insoweit von „unterstellten natürlichen Personen“) ist aufgrund der Bedeutung dieser Regelung weit auszulegen. Insbesondere sind ergänzend zum regulären Mitarbeiterstamm auch Auszubildende, Praktikanten, Leiharbeiter und ehrenamtlich Tätige mit einzubeziehen.

Wann muss die datenschutzrechtliche Verpflichtung erfolgen?

Die Verpflichtung muss bei der Aufnahme der Tätigkeit erfolgen. Sie sollte daher möglichst (spätestens) am ersten Arbeitstag vorgenommen werden.

Wie muss eine Datenschutz-Verpflichtung erfolgen?

Zuständig für die Verpflichtung ist die Unternehmensleitung, der Inhaber einer Firma oder ein von diesen Beauftragter. Selbst wenn, wie oben ausgeführt, die DS-GVO keine bestimmte Form der Verpflichtung vorschreibt, sollte schon aus Nachweisgründen ein spezielles Formular verwendet werden, wobei die Verpflichtung schriftlich oder in einem elektronischen Format erfolgen kann.

Zur Verpflichtung gehört auch eine Belehrung über die sich ergebenden Pflichten. Die Beschäftigten müssen darüber informiert werden, was sie in datenschutzrechtlicher Hinsicht bei ihrer täglichen Arbeit beachten müssen, möglichst anhand typischer Fälle. Mit der Verpflichtung nach der DS-GVO können auch andere Geheimhaltungsvereinbarungen kombiniert werden, z. B. zum Betriebs-, Telekommunikations- oder Steuergeheimnis. Aus Nachweisgründen im Rahmen der Rechenschaftspflicht nach der DS-GVO ist es wichtig, die Verpflichtung ausreichend zu dokumentieren.

Reicht die einmalige datenschutzrechtliche Verpflichtung?

Zur laufenden Sensibilisierung der Beschäftigten für Fragen des Datenschutzes empfiehlt es sich, ab und zu im Rahmen von Schulungen oder in schriftlichen Hinweisen, z. B. in der Betriebszeitung, daran zu erinnern, dass die Beschäftigten verpflichtet worden sind und welche Bedeutung dieser Verpflichtung zukommt. Wenn ein Arbeitsplatzwechsel im Unternehmen erfolgt, der mit einem Aufgabenwechsel verbunden ist, sollte dies immer auch zum Anlass genommen werden, die Verpflichtung anzupassen bzw. zu erneuern.

Muster für eine schriftliche Verpflichtung

Quelle: Bayerisches Landesamt für Datenschutzaufsicht

Weitere Beiträge rund um die DSGVO

  • Musterfragebogen für die Erfassung von Kontaktdaten der Gäste in der Gastronomie

    Datenschutzgerechte Befragung von Gästen in Zeiten der Coronabeschränkungen In Bayern Gastronomiebetriebe seit dem 18.05.2020 wieder ihre Freischankflächen (z.B. Biergärten) und seit dem 25.05.2020 auch die Innenbereiche für Gäste öffnen. Trotz Öffnung haben Gaststätten und Biergärten in Zeiten von Corona aber so einiges wegzustecken, können diese doch nur einen Bruchteil der Plätze für Gäste vergeben und haben einige Restriktionen hinzunehmen, die sich auf die Einnahmen resp. den Umsatz eklatant auswirken. So hat jeder Gastwirt darauf zu achten, dass die Mitarbeiter Mundschutz tragen, nur zwei Haushalte an einem Tisch sitzen und beim verlassen des Sizplatzes alles desinifiziert wird.  Aus Gründen des Gesundheitsschutzes zur Nachverfolgung von Infektionswegen des neuartigen Coronaviruses SARS-CoV-2 müssen die Betreiber deshalb bestimmte personenbezogene Daten von Gästen erheben  und sie für die Dauer von einem Monat aufbewahren.
  • Vorsicht bei Verwendung von Corona Apps ist angesagt

    Bei hochsensiblen Daten gilt es zuerst die Datenschutzerklärung zu lesen Bekanntlich ist eine der meistverbreiteten Lügen die, "ich habe die AGBs und oder Datenschutzerklärung gelesen". Es ist einfach anstrengend, derartige Erklärungen bis ins Detail zu lesen. Doch es lohnt sich, da dort oftmals spannende und auch zum Nachteil des Anwenders enthaltene Textstellen zu finden sind. Wer heiratet schon jemanden, bei dem er nicht weiß, was für Schattenseiten grundsätzlich vorhanden sind. Wohl niemand und nicht anders verhält es sich mit der Datenschutzerklärung des jeweiligen Anbieters.
  • Quo vadis Datenschutz im Restaurant und Biergarten?

    Bringen die Coronabeschränkungen den Datenschutz ins Wanken? Die Corona-Pandemie hat in der Gesellschaft zu schwerwiegenden Einschränkungen geführt. Es ist verständlich, dass die Politik mit mehr oder weniger Sachverstand alles unternommen hat, um die Menschen zu schützen und das, wie die versch. Gerichtsurteile zeigten, auch unter Umgehung der bürgerlichen Rechte und Grundrechte. So darf mittlerweile demonstriert werden, wenn auch mit Sicherheitsabstand und Beschränkung der Teilnehmerzahl. Der Aufenthalt in einer Gaststätte ist allerdings ebenfalls reglementiert.
  • Corona-Auswirkungen: Privatheit im Homeoffice schützen

    Trotz Datensammelwut der Internetkonzerne ist auch im Homeoffice ein Schutz der Privatheit möglich Ganz klar: Die großen Internetkonzerne profitieren davon, dass sich seit der Einführung des Kontaktverbotes die Kommunikation zunehmend ins Internet verlagert. Doch dies ist nicht zwangsläufig mit einem ungewollten Verlust an Privatheit verbunden, wie viele befürchten. „Wir können einiges tun um unsere Privatheit zu schützen“, meint Prof. Dr. Sabine Trepte vom Lehrstuhl Medienpsychologie an der Universität Hohenheim in Stuttgart. Sie beschäftigt sich unter anderem damit, welchen Einfluss das Internet auf die Privatheit der Nutzer hat und wie diese bewahrt werden kann.
  • Fragen und Antworten zur DSGVO

    Fragen und Antworten rund um den Datenschutz-Grundverordnung Gerd Bruckner, TÜV zertifizierter externer Datenschutzbeauftragter in München informiert und gibt Antworten auf wiederkehrende Fragen.
  • DSGVO "Home-Office" Richtlinie erstellen

    Warum ist eine Home-Office Richtlinie des Unternehmen für Mitarbeiter wichtig? Um die Weiterverbreitung von „Covid-19“, allgemein als „Corona-Virus“ bezeichnet, einzudämmen haben zahlreiche Unternehmen Heimarbeit eingeführt bzw. angeordnet. Das klingt zuerst einmal ganz einfach, doch erfüllten die Heimarbeitsplätze auch die Vorgaben der DSGVO? Denn welches Unternehmen, insbesondere Kleinunternehmen, Vereine und der Mittelstand ist darauf vorbereitet, dass deren Mitarbeiter die Vorgaben der DSGVO einhalten? Denn eine Arbeit zuhause birgt Risiken für die Vertraulichkeit, Integrität, Datensicherheit und ggf. auch Verfügbarkeit von personenbezogenen Daten.Diese Risiken sind nach Art. 32 DSGVO, Art. 24 Abs. 1 DSGVO und Art. 5 Abs. 1 lit. f DSGVO zu „behandeln“, indem technische und organisatorische Maßnahmen (TOMs) getroffen werden, die diese Risiken ausschließen bzw. minimieren.
  • Was hat sich beim Datenschutzrecht ab Juli 2019 geändert?

    Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) Der Bundestag hat am 27. Juni 2019 zwei Datenschutzgesetze beschlossen. Zum einen ging es um den Entwurf der Bundesregierung für ein zweites Gesetz zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016 / 679 und zur Umsetzung der EU-Richtlinie 2016 / 680 ab (19/4674, 19/5647 Nr. 12), dem CDU/CSU und SPD zustimmten, während die Opposition ihn ablehnte.
  • Löschung personenbezogener Daten nach Artikel 17 DSGVO

    Recht auf Vergessenwerden Eine Person hat gemäß Artikel 17 der DSGVO das Recht auf Löschung der eigenen Daten bei Unternehmen und öffentlichen Institutionen