© EyeEm - Freepik.com
Nachgelesen

Datenschutzbelehrung für Mitarbeitende nach der EU-Datenschutzgrundverordnung (DSGVO)Datenschutzbelehrung für Mitarbeitende nach der EU-Datenschutzgrundverordnung (DSGVO)

Erfahren Sie, wie Sie Ihre Mitarbeitenden richtig schulen und rechtliche Vorgaben erfüllen. Nutzen Sie diesen Leitfaden, um die Datensicherheit in Ihrem Unternehmen zu gewährleisten – mit Checklisten und praktischen Tipps.

Prof. Dr. Dagmar Gesmann-Nuissl & Dipl.-Jur. Univ. Gernot Kirchner

Die EU-Datenschutzgrundverordnung (DSGVO) ist seit dem 25. Mai 2018 verbindlich anzuwenden. Sie lässt insoweit grundsätzlich keinen Raum mehr für ein längeres Abwarten oder sogar ein Nichtumsetzen der DSGVO durch die Aufsichtsbehörden – auch, wenn hin und wieder von einer weiteren »Schonfrist« berichtet wird[1]. Die nachfolgenden Ausführungen sollen Ihnen eine erste Hilfestellung in Bezug auf die Datenschutzbelehrung des Arbeitgebers gegenüber seinen Mitarbeiter/innen geben, die selbst personenbezogene Daten beispielsweise der Kunden verarbeiten. Weiterhin soll aufgezeigt werden, welche Punkte im Rahmen einer solchen Belehrung insbesondere zu berücksichtigen sind.

Ist die Datenschutzbelehrung zwingend vorgeschrieben?

Eine Datenschutzbelehrung der Mitarbeiter/innen ist erforderlich, da Sie als Verantwortlicher u. a. organisatorische Maßnahmen für hinreichende Datensicherheit und auch für die Sicherstellung und Nachweisbarkeit der datenschutzkonformen Datenverarbeitung in Ihrem Unternehmen erbringen müssen.

Wir werden regelmäßig gefragt, ob eine solche Datenschutzbelehrung der Arbeitnehmer/innen – auch in Bezug auf Praktikanten und ehrenamtlich Tätige – explizit vorgeschrieben und ausgestaltet ist. Die Antwort fällt insoweit zunächst leicht, da die DSGVO und auch das BDSG in seiner ab dem 25. Mai 2018 geltenden Fassung eine ausdrückliche Belehrungspflicht nicht vorsieht. Dies ist beachtlich, da insbesondere im alten § 5 S. 2 BDSG (alte Fassung) noch explizit vorgesehen war, dass bei nicht-öffentlichen Stellen beschäftigte Personen, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten sind. Ungeachtet dessen ist und bleibt es aber auch nach dem 25. Mai 2018 ebenso einfach, die Frage nach der vorgeschriebenen Datenschutzbelehrung zu bejahen und zwar aus folgenden Erwägungen:

Die DSGVO verpflichtet den Verantwortlichen dazu, für eine angemessene Datensicherheit zu sorgen. Das heißt, geeignete technische und organisatorische Maßnahmen zu treffen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleisten. Gemäß Art. 5 Abs. 1 lit. f) DSGVO muss insbesondere ein Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung sichergestellt werden. Zugleich wird damit als »organisatorische Maßnahme« – bestenfalls im Rahmen eines ohnehin bestehenden Datenschutzmanagementsystems – indirekt die Datenschutzbelehrung des Arbeitgebers gegenüber seinen Mitarbeiter/innen, die selbst personenbezogene Daten beispielsweise der Kunden verarbeiten, angesprochen. Bestätigt und konkretisiert wird dieser Grundsatz der Sicherheit der Datenverarbeitung durch Art. 32 Abs. 4 DSGVO. Dieser verlangt, dass u. a. der Verantwortliche Schritte unternehmen muss, um grundsätzlich sicherzustellen, dass die ihm unterstellten natürlichen Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.

In einem zweiten Schritt sollten Sie sich vor Augen halten, dass Sie als Verantwortlicher gemäß Art. 5 Abs. 2 DSGVO für die Einhaltung der Datenverarbeitungsgrundsätze aus Art. 5 Abs. 1 DSGVO (u. a. Rechtmäßigkeit, Zweckbindung, Richtigkeit, Speicherbegrenzung etc.) nicht nur verantwortlich sind. Auch deren Einhaltung müssen Sie nachweisen können. Demnach müssen Sie für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Dies geschieht gemäß Art. 24 Abs. 1 DSGVO durch die ergänzende Aussage, dass der Verantwortliche die Maßnahmen umsetzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken. Diese Maßnahmen sind zudem, falls erforderlich, zu überprüfen und zu aktualisieren. Das bedeutet also nichts anderes, als dass Sie als Verantwortlicher nachweisen können müssen, dass Sie und Ihr Unternehmen datenschutzkonform Daten verarbeitet haben. Am Ende kann dies aber nur dann gelingen, wenn auch Ihre Mitarbeiter/innen einer Datenschutzbelehrung unterzogen wurden und wenn diese »Schulungsmaßnahme« in hinreichendem Maße protokolliert worden und damit nachweisbar ist.

||© Pixabay, Macedo_Media

Im Rahmen der Auftragsverarbeitung findet dieses bereits gewonnene Ergebnis zugleich noch mehrere Stützen, u. a. in Art. 28 Abs. 3 S. 2 lit. b), 29 DSGVO. So muss im Auftragsverarbeitungsvertrag vorgesehen sein, dass der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Zudem sind die unterstellten Personen, die Zugang zu personenbezogenen Daten haben, verpflichtet, diese Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten. Auch diese Voraussetzungen können nur durch geeignete und dokumentierte Datenschutzbelehrungen umgesetzt werden. Unabhängig davon, ob es sich um eine Auftragsverarbeitung handelt oder Sie »nur« als Verantwortlicher im eigentlichen Sinne betroffen sind, d. h. die Daten den ursprünglichen Verantwortungsbereich nicht durch die Einbindung von »Dritten« verlassen.

Gibt es einen gesetzlich vorgeschriebenen Mindestinhalt für eine solche Datenschutzbelehrung?

Die DSGVO und das BDSG schreiben keinen ausdrücklichen Mindestinhalt für eine Datenschutzbelehrung vor. In jedem Fall ist aber eine Grundsensibilisierung für alle Mitarbeiter/innen erforderlich, die tätigkeitsbezogen weiter ausgebaut und spezialisiert werden sollte.

Eine sich nahezu zwangsläufig anschließende Frage ist die nach einem gesetzlich vorgeschriebenen Mindestinhalt für eine solche Datenschutzbelehrung der Mitarbeiter/innen. Auch insoweit bleibt aber zunächst festzuhalten, dass die DSGVO und auch das BDSG diesbezüglich keine konkreten Vorgaben treffen, die Belehrung damit auf der anderen Seite aber auch praktisch schwieriger umsetzbar wird. Dies gilt vor allem, wenn Sie sich vor Augen halten, dass nicht jede/r Mitarbeiter/in in ihrem Unternehmen dieselben (personenbezogenen) Daten verarbeitet.

Werfen wir beispielsweise einen Blick in ein kleines metallverarbeitendes Unternehmen mit einer Inhaberin und drei Mitarbeitern. Datenverarbeitung in diesem Unternehmen bedeutet die Verarbeitung von Personaldaten und Kundendaten, zugleich aber auch die Verarbeitung von Maschinendaten oder Messdaten, die grundsätzlich keinen Personenbezug aufweisen. Es ist damit wenig zielführend, jeden Mitarbeiter in derselben Art und Weise zu belehren, da möglicherweise der rein in der Produktion beschäftigte Mitarbeiter überhaupt nicht oder zumindest selten mit personenbezogenen Daten in Berührung kommt. Am Ende müssen Sie damit als Verantwortlicher die Datenschutzbelehrung in jedem Fall bereichsspezifisch durchführen. Das bedeutet, dass beispielsweise Mitarbeiter, die Zugriff auf Ihr CRM-System (Customer- Relationship-Management = Kundenbeziehungsmanagement) haben, anders und vor allem spezieller zu belehren sind, als die zuerst genannten. Auch wenn klar sein muss, dass eine Grundsensibilisierung im Datenschutz für alle Mitarbeiter/innen erforderlich ist, sollten Sie daher in jedem konkreten Einzelfall prüfen, inwiefern die Grundsensibilisierung weiter ausgebaut werden muss (beispielsweise für mit Personaldaten Beschäftigte um den Beschäftigtendatenschutz oder für mit IT-Dienstleistungen betraute Mitarbeiter/innen um die Besonderheiten des Datenschutzes in der Telekommunikation).

Worüber muss jede/r Mitarbeiter/in datenschutzrechtlich belehrt werden?

Gesetzlich vorgeschrieben ist kein Mindestinhalt einer allgemeinen Datenschutzbelehrung für die Mitarbeiter/innen, aber für die Grundsensibilisierung sind folgende Punkte zu berücksichtigen:

Die soeben angesprochene Grundsensibilisierung im Datenschutz gilt für jede/n Mitarbeiter/in und möchte das Bewusstsein schaffen, was es heißt, mit personenbezogenen Daten umzugehen oder möglicherweise Zugriff auf diese zu haben. Punkte die im Rahmen dessen angesprochen werden sollten, sind unter anderem:

  • Welche Bedeutung hat der Datenschutz (Grundrecht, Menschenrecht etc.)?
  • Was sind personenbezogene Daten (Identifikation bzw. Identifizierbarkeit)?
  • Was ist unter Datenverarbeitung zu verstehen?
  • Welche Kategorien von personenbezogenen Daten gibt es, u. a. besonders sensible Daten?
  • Welche Grundsätze sind für die Verarbeitung personenbezogener Daten zu beachten?
  • Wann ist die Verarbeitung personenbezogener Daten zulässig (Rechtmäßigkeit)?
  • Was ist im Hinblick auf die Datensicherheit zu beachten, u. a. Internetnutzung, Social Media?
  • Was droht bei einem Verstoß gegen das Datenschutzrecht?
  • An wen kann man sich intern/extern wenden, wenn Fragen zum Datenschutzrecht bestehen?
  • Wie wurde die Datenschutzbelehrung dokumentiert, z. B. unterzeichnete Verschwiegenheits-, Vertraulichkeits- bzw. Datenschutzerklärung mit den relevanten Informationen?

||© Pixabay, geralt

Möchten Sie im Unternehmen auf Social Media-Dienste zurückgreifen, so empfiehlt es sich, regelmäßig die Datenschutzbelehrung um sogenannte Social-Media-Guidelines zu ergänzen, die jedoch ebenfalls keiner verbindlichen gesetzlichen Regelung unterworfen sind. Im Ergebnis sollen Sie den Mitarbeitern/innen aber eine Anleitung dafür bieten, was sie beim Umgang mit Social Media-Diensten im Interesse des Unternehmens zu beachtet haben. Im Rahmen dessen kann beispielsweise auf folgende Aspekte hingewiesen werden:

  • Grundsatz: private Nutzung der Sozialen Medien, aber auch zugunsten des Unternehmens (z. B. Unternehmensbeiträge liken)
  • Erkennbarkeit, aber nicht Handeln als Mitarbeiter/in, u. a. eigene Meinung
  • Erfahrungen, keine stellvertretenden Aussagen/Zusagen im Namen des Unternehmens
  • höflich, freundlich, schnell, nicht emotional, ironisch, sarkastisch
  • keine Beleidigungen, Beschimpfungen, Provokationen, grundsätzlich keine Kritik
  • zurückhaltende Aufstellung von Behauptungen (Beweisführung ist erforderlich)
  • Verschwiegenheitspflicht bezüglich Unternehmensinterna wahren
  • geistige Eigentumsrechte beachten, u. a. Wort, Bild etc.

Der Einsatz von Social-Media-Guidelines setzt voraus, dass Sie die Nutzung nicht mittels Betriebsvereinbarung beziehungsweise Individualabrede ohnehin untersagt haben.

Wie oft muss eine Datenschutzbelehrung vorgenommen werden?

Eine Datenschutzbelehrung ist zumindest bei der Neueinstellung und bei wesentlichen Änderungen im Datenschutzrecht bzw. im Tätigkeitsbereich erforderlich, d. h. insbesondere im Zusammenhang mit der (neuen) DSGVO. Die Regelmäßigkeit einer erneuten Datenschutzbelehrung muss dagegen anhand der unternehmenseigenen Bedürfnisse von Ihnen selbst festgestellt werden.

Die Regelmäßigkeit einer Datenschutzbelehrung wird ebenso wenig durch die DSGVO oder das BDSG vorgegeben, wie der konkret zu belehrende Inhalt. Klar sollte aber in jedem Fall sein, dass eine Datenschutzbelehrung zumindest im Rahmen der Einstellung – noch vor dem ersten Datenverarbeitungsvorgang – sowie bei wesentlichen Änderungen im Datenschutzrecht zu erfolgen hat. Konkret bezogen auf die DSGVO heißt dies, dass eine erneute Datenschutzbelehrung für die eigenen Mitarbeiter/innen im Sinne der DSGVO vorgenommen werden sollte, um auch insoweit auf die Neuerungen ab dem 25. Mai 2018 hinzuweisen. Vergessen Sie in diesem Zusammenhang nicht, die (erneute) Datenschutzbelehrung zu dokumentieren. Darüber hinausgehend sollte die Datenschutzbelehrung auch in regelmäßigen Abständen wiederholt und eine erneute Datenschutzbelehrung unabhängig von Änderungen im Datenschutzrecht oder im Aufgabenbereich der Mitarbeiter/ innen vorgenommen werden. Dies ist erforderlich, um hinreichende Sicherheit zu bieten und dokumentieren zu können, dass die Datenverarbeitung im eigenen Unternehmen datenschutzkonform geschieht. Auch insoweit gibt es keine genauen Fristen, so dass Sie in Abhängigkeit der eigenen festgestellten Bedürfnisse im Unternehmen reagieren sollten. Art. 24 Abs. 1 S. 2 DSGVO bestimmt, dass die geeigneten technischen und organisatorischen Maßnahmen – d. h. auch die Datenschutzbelehrungen – erforderlichenfalls überprüft und aktualisiert werden müssen.

Welche Methodik ist für die Datenschutzbelehrung der Mitarbeiter/innen vorgeschrieben?

Aufgrund der Nachweisbarkeit sollte die Datenschutzbelehrung schriftlich oder elektronisch dokumentiert werden, auch wenn insoweit keine gesetzlichen Vorgaben existieren.

Eine besondere Methodik ist für die Datenschutzbelehrung der Mitarbeiter/ innen gesetzlich nicht vorgeschrieben. In Anbetracht der bereits mehrfach angesprochenen Nachweisbarkeit sollte aber zumindest eine elektronische Dokumentation der Belehrung erfolgen. Bei der Teilnahme an entsprechenden Schulungsveranstaltungen kann dies beispielsweise auch über ein Teilnahmezertifikat geschehen, welches wiederum u. a. die genauen Inhalte der Schulung/Belehrung umfassen sollte. Sie sollten in diesem Zusammenhang nie vergessen, dass nur die letztlich hinreichende Dokumentation der Datenschutzbelehrung Ihrer Mitarbeiter/innen dazu führen kann, dass Sie sich im Falle eines Verstoßes entlasten können. Erste zu dokumentierende Schulungen können beispielsweise auch erfolgen oder sogar schon bei datenschutzrechtlichen Veranstaltungen des Mittelstand 4.0-Kompetenzzentrum Chemnitz erfolgt sein.

Gibt es Muster, die für die Datenschutzbelehrung der Mitarbeiter/innen verwendet werden können?

Rechtsverbindliche Muster für Datenschutzbelehrungen der Mitarbeiter/ innen können in der Regel nicht kostenfrei abgerufen oder zur Verfügung gestellt werden. Ungeachtet dessen bietet aber beispielsweise das Bayerische Landesamt für Datenschutzaufsicht[2] ein entsprechendes Muster an. Ebenso steht ein solches im Rahmen des Kurzpapiers Nr. 19 der unabhängigen Datenschutzbehörden des Bundes und der Länder[3] als erste Orientierungshilfe zur Verfügung. Auch insoweit soll aber wiederholt ausdrücklich hervorgehoben werden, dass Sie diese Mustervorlagen gegebenenfalls nochmals entsprechend Ihrer Bedürfnisse anpassen müssen, damit sie tatsächlich als Nachweis der datenschutzkonformen Datenverarbeitung in Ihrem Unternehmen eingesetzt werden können.

Quellen und weiterführende Literatur

  1. Seibel, Welt – Axel Springer SE, Politik will DSGVO-Abmahnungen schnell stoppen, 6. Juni 2018 – https://www.welt.de/wirtschaft/article177050396/DSGVO-Politik-will-DSGVO-Abmahnungen-schnell-stoppen.html(zuletzt abgerufen am 22. November 2019).
  2. Bayerisches Landesamt für Datenschutzaufsicht, Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO, Februar 2018 – https://www.lda.bayern.de/media/dsk_kpnr_19_verpflichtungBeschaeftigte.pdf (zuletzt abgerufen am 22. November 2019).
  3. DSK – Datenschutzkonferenz, Kurzpapier Nr. 19 Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO, 29. Mai 2018 – https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/DSK_KPNr_19_VerpflichtungBeschaeftigte.pdf (zuletzt abgerufen am 22. November 2019).

Verwandte Beiträge