Warum Sensibilisieren
Datenschutzbelehrung für Mitarbeiter/innen nach der EU-Datenschutzgrundverordnung (DSGVO)
Die EU-Datenschutzgrundverordnung (DSGVO) ist seit dem 25. Mai 2018 verbindlich anzuwenden und lässt insoweit – trotz mittlerweile wieder aufkommender politischer Bestrebungen nach einer Schonfrist[1] – grundsätzlich keinen Raum mehr für ein längeres Abwarten oder sogar ein Nichtumsetzen der DSGVO durch die Aufsichtsbehörden. Die nachfolgenden Ausführungen sollen Ihnen eine erste Hilfestellung in Bezug auf die Datenschutzbelehrung des Arbeitgebers gegenüber seinen Mitarbeiter/innen, die selbst personenbezogene Daten beispielsweise der Kunden verarbeiten, geben und aufzeigen, welche Punkte im Rahmen einer solchen Belehrung insbesondere zu berücksichtigen sind.
Da wir wissen, dass Sie ohnehin bereits sehr stark eingebunden sind, haben wir für Sie jeweils eingerahmt eine Kurzfassung des Beitrages/der Antworten vorbereitet, die bei weiteren Fragen im Anschluss nochmals vertiefend aufgegriffen wird.
Übersicht
1. Ist die Datenschutzbelehrung zwingend vorgeschrieben?
2. Gibt es einen gesetzlich vorgeschriebenen Mindestinhalt für eine solche Datenschutzbelehrung?
3. Worüber muss jede/r Mitarbeiter/in datenschutzrechtlich belehrt werden?
4. Wie oft muss eine Datenschutzbelehrung vorgenommen werden?
5. Welche Methodik ist für die Datenschutzbelehrung der Mitarbeiter/innen vorgeschrieben?
6. Dokumentation einer Erstunterweisung Gem. §4 der Unfallverhüttungsvorschrift(BGV A1)
6.1. Dokumentation einer Wiederholungsunterweisung Gem. §4 der Unfallverhüttungsvorschrift(BGV A1)
1.
Ist die Datenschutzbelehrung zwingend vorgeschrieben?
Eine Datenschutzbelehrung der Mitarbeiter/innen ist erforderlich, da Sie als Verantwortlicher u.a. organisatorische Maßnahmen für hinreichende Datensicherheit und auch für die Sicherstellung und Nachweisbarkeit der datenschutzkonformen Datenverarbeitung in Ihrem Unternehmen erbringen müssen.
In unserer alltäglichen Praxis sowie im Rahmen unserer Unterstützungsangebote für KMUs werden wir in Bezug auf diese Thematik regelmäßig gefragt, ob eine solche Datenschutzbelehrung der Arbeitnehmer/innen – dazu sollten beispielsweise auch Praktikanten und ehrenamtlich Tätige gezählt werden – explizit vorgeschrieben und ausgestaltet ist. Die Antwort fällt insoweit zunächst leicht, da die DSGVO und auch das BDSG in seiner ab dem 25. Mai 2018 geltenden Fassung eine ausdrückliche Belehrungspflicht nicht vorsieht. Dies ist insoweit beachtlich, da insbesondere im alten § 5 S. 2 BDSG (alte Fassung) noch explizit vorgesehen war, dass Personen, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten sind. Ungeachtet dessen ist und bleibt es aber auch nach dem 25. Mai 2018 ebenso einfach, die Frage nach der vorgeschriebenen Datenschutzbelehrung zu bejahen und zwar aus folgenden Erwägungen:
Die DSGVO legt dem Verantwortlichen die Verpflichtung auf, für eine angemessene Datensicherheit zu sorgen, das heißt konkreter gesprochen, geeignete technische und organisatorische Maßnahmen zu treffen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO muss insbesondere ein Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung sichergestellt werden. Zugleich indirekt angesprochen wird als „organisatorische Maßnahme“ – bestenfalls im Rahmen eines ohnehin bestehenden Datenschutzmanagementsystems – damit die Datenschutzbelehrung des Arbeitgebers gegenüber seinen Mitarbeiter/innen, die selbst personenbezogene Daten beispielsweise der Kunden verarbeiten. Bestätigt und konkretisiert wird dieser Grundsatz der Sicherheit der Datenverarbeitung durch Art. 32 Abs. 4 DSGVO, der verlangt, dass u.a. der Verantwortliche Schritte unternehmen muss, um grundsätzlich sicherzustellen, dass die ihm unterstellten natürlichen Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.
In einem zweiten Schritt sollten Sie sich vor Augen halten, dass Sie als Verantwortlicher gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung der Datenverarbeitungsgrundsätze aus Art. 5 Abs. 1 DSGVO (u.a. Rechtmäßigkeit, Zweckbindung, Richtigkeit, Speicherbegrenzung etc.) nicht nur verantwortlich sind, sondern deren Einhaltung auch nachweisen können müssen. Dies wird ebenfalls wiederum gemäß Art. 24 Abs. 1 DSGVO durch die Aussage ergänzt, dass der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzt, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen sind zudem erforderlichenfalls zu überprüfen und zu aktualisieren. Das bedeutet also nichts anders, als dass Sie als Verantwortlicher nachweisen können müssen, dass Sie und Ihr Unternehmen datenschutzkonform Daten verarbeitet haben. Am Ende kann dies aber nur dann gelingen, wenn auch Ihre Mitarbeiter/innen einer Datenschutzbelehrung unterzogen wurden und wenn diese „Schulungsmaßnahme“ in hinreichendem Maße protokolliert worden und damit nachweisbar ist.
Im Rahmen der Auftragsverarbeitung findet dieses bereits gewonnene Ergebnis zugleich noch mehrere Stützen, u.a. in Art. 28 Abs. 3 S. 2 lit. b), 29 DSGVO. So muss im Auftragsverarbeitungsvertrag vorgesehen sein, dass der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Zudem sind die unterstellten Personen, die Zugang zu personenbezogenen Daten haben, verpflichtet, diese Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten. Auch diese Voraussetzungen können nur durch geeignete und dokumentierte Datenschutzbelehrungen umgesetzt werden, und dies unabhängig davon, ob es sich um eine Auftragsverarbeitung handelt oder Sie „nur“ als Verantwortlicher im eigentlichen Sinne betroffen sind, d.h. die Daten den ursprünglichen Verantwortungsbereich nicht durch die Einbindung von „Dritten“ verlassen.
2.
Gibt es einen gesetzlich vorgeschriebenen Mindestinhalt für eine solche Datenschutzbelehrung?
Die DSGVO und das BDSG schreiben keinen ausdrücklichen Mindestinhalt für eine Datenschutzbelehrung vor. In jedem Fall ist aber eine Grundsensibilisierung für alle Mitarbeiter/innen erforderlich, die tätigkeitsbezogen weiter ausgebaut und spezialisiert werden sollte.
Eine sich nahezu zwangsläufig anschließende Frage ist die nach einem gesetzlich vorgeschriebenen Mindestinhalt für eine solche Datenschutzbelehrung der Mitarbeiter/innen. Auch insoweit bleibt aber zunächst festzuhalten, dass die DSGVO und auch das BDSG diesbezüglich keine konkreten Vorgaben treffen, die Belehrung damit auf der anderen Seite aber auch praktischer schwieriger umsetzbar wird. Dies gilt vor allem, wenn Sie sich vor Augen halten, dass nicht jede/r Mitarbeiter/in in ihrem Unternehmen dieselben (personenbezogenen) Daten verarbeitet.
Werfen wir beispielsweise einen Blick in ein kleines metallverarbeitendes Unternehmen mit einer Inhaberin und drei Mitarbeitern. Datenverarbeitung in diesem Unternehmen bedeutet die Verarbeitung von Personaldaten und Kundendaten, zugleich aber auch die Verarbeitung von Maschinendaten oder Messdaten, die grundsätzlich keinen Personenbezug aufweisen. Es ist damit wenig zielführend jeden Mitarbeiter in derselben Art und Weise zu belehren, da möglicherweise der rein in der Produktion beschäftigte Mitarbeiter überhaupt nicht oder zumindest selten mit personenbezogenen Daten in Berührung kommt. Am Ende müssen Sie damit als Verantwortlicher die Datenschutzbelehrung in jedem Fall bereichsspezifisch durchführen, so dass beispielsweise Mitarbeiter, die Zugriff auf Ihr CRM-System (Customer-Relationship-Management = Kundenbeziehungsmanagement) haben, anders und vor allem spezieller zu belehren sind, als die zuerst genannten. Auch wenn klar sein muss, dass eine Grundsensibilisierung im Datenschutz für alle Mitarbeiter/innen erforderlich ist, sollten Sie daher in jedem konkreten Einzelfall prüfen, inwiefern die Grundsensibilisierung weiter ausgebaut werden muss, beispielsweise für mit Personaldaten Beschäftigte um den Beschäftigtendatenschutz oder für mit IT-Dienstleistungen betraute Mitarbeiter/innen um die Besonderheiten des Datenschutzes in der Telekommunikation.
3.
Worüber muss jede/r Mitarbeiter/in datenschutzrechtlich belehrt werden?
Gesetzlich vorgeschrieben ist kein Mindestinhalt einer allgemeinen Datenschutzbelehrung für die Mitarbeiter/innen. Ungeachtet dessen sollten für die Grundsensibilisierung insbesondere die unten aufgeführten Punkte Berücksichtigung finden.
Die soeben angesprochene Grundsensibilisierung im Datenschutz gilt für jede/n Mitarbeiter/in und hat zum Ziel, das Bewusstsein zu schaffen oder zu schärfen, was es heißt, mit personenbezogenen Daten umzugehen oder möglicherweise Zugriff auf diese zu haben. Punkte die im Rahmen dessen angesprochen werden sollten, sind u.a.:
Welche Bedeutung hat der Datenschutz (Grundrecht, Menschenrecht etc.)?
Was sind personenbezogene Daten (Identifikation bzw. Identifizierbarkeit)?
Was ist unter Datenverarbeitung zu verstehen?
Welche Kategorien von personenbezogenen Daten gibt es, u.a. besonders sensible Daten?
Welche Grundsätze sind für die Verarbeitung personenbezogener Daten zu beachten?
Wann ist die Verarbeitung personenbezogener Daten zulässig (Rechtmäßigkeit)?
Was ist im Hinblick auf die Datensicherheit zu beachten, u.a. Internetnutzung, Social Media?
Was droht bei einem Verstoß gegen das Datenschutzrecht?
An wen kann man sich intern/extern wenden, wenn Fragen zum Datenschutzrecht bestehen?Wie wurde die Datenschutzbelehrung dokumentiert, z.B. unterzeichnete Verschwiegenheits-, Vertraulichkeits- bzw. Datenschutzerklärung mit den relevanten Informationen?
4.
Wie oft muss eine Datenschutzbelehrung vorgenommen werden?
Eine Datenschutzbelehrung ist zumindest bei der Neueinstellung und bei wesentlichen Änderungen im Datenschutzrecht bzw. im Tätigkeitsbereich erforderlich, d.h. insbesondere im Zusammenhang mit der (neuen) DSGVO. Die Regelmäßigkeit einer erneuten Datenschutzbelehrung muss dagegen anhand der unternehmenseigenen Bedürfnisse von Ihnen selbst oder eines Dienstleisters mindestens einmal im Jahr umgesetzt werden.
Die Regelmäßigkeit einer Datenschutzbelehrung wird ebenso wenig durch die DSGVO oder das BDSG vorgegeben, wie der konkret zu belehrende Inhalt. Klar sollte aber in jedem Fall sein, dass eine Datenschutzbelehrung zumindest im Rahmen der Einstellung – noch vor dem ersten Datenverarbeitungsvorgang – sowie bei wesentlichen Änderungen im Datenschutzrecht zu erfolgen hat. Konkret bezogen auf die DSGVO heißt dies, dass eine erneute Datenschutzbelehrung für die eigenen Mitarbeiter/innen im Sinne der DSGVO vorgenommen werden sollte, um auch insoweit auf die Neuerungen ab dem 25. Mai 2018 hinzuweisen. Vergessen Sie in diesem Zusammenhang nicht, die (erneute) Datenschutzbelehrung zu dokumentieren. Darüber hinausgehend sollte die Datenschutzbelehrung auch in regelmäßigen Abständen wiederholt und eine erneute Datenschutzbelehrung unabhängig von Änderungen im Datenschutzrecht oder im Aufgabenbereich der Mitarbeiter/innen vorgenommen werden, um hinreichende Sicherheit bieten und dokumentieren zu können, dass die Datenverarbeitung im eigenen Unternehmen datenschutzkonform geschieht. Auch insoweit gibt es keine genauen Fristen, so dass Sie in Abhängigkeit der eigenen festgestellten Bedürfnisse im Unternehmen reagieren sollten und dies nicht zuletzt aufgrund von Art. 24 Abs. 1 S. 2 DSGVO, der bestimmt, dass die geeigneten technischen und organisatorischen Maßnahmen – d.h. auch die Datenschutzbelehrungen – erforderlichenfalls überprüft und aktualisiert werden müssen.
5.
Welche Methodik ist für die Datenschutzbelehrung der Mitarbeiter/innen vorgeschrieben?
Aufgrund der Nachweisbarkeit sollte die Datenschutzbelehrung schriftlich oder elektronisch dokumentiert werden, auch wenn insoweit keine gesetzlichen Vorgaben existieren.
Eine besondere Methodik ist für die Datenschutzbelehrung der Mitarbeiter/innen gesetzlich nicht vorgeschrieben. In Anbetracht der bereits mehrfach angesprochenen Nachweisbarkeit sollte aber zumindest eine elektronische Dokumentation der Belehrung erfolgen. Bei der Teilnahme an entsprechenden Schulungsveranstaltungen kann dies beispielweise auch über ein Teilnahmezertifikat geschehen, welches wiederum u.a. die genauen Inhalte der Schulung/Belehrung umfassen sollte. Sie sollten in diesem Zusammenhang nie vergessen, dass nur die letztlich hinreichende Dokumentation der Datenschutzbelehrung Ihrer Mitarbeiter/innen dazu führen kann, dass Sie sich im Falle eines Verstoßes entlasten können.
(C) 2021 activiert IT - Alle Rechte vorbehalten