Neuigkeiten & Fachwissen
20.08.2020 | DIGITALISIERUNG

IT-Sicherheit und Datenschutz haben im Arbeitsalltag höchste Priorität: So müssen z. B. auch Konferenz-Tools die Vorgaben der EU-Datenschutz-Grundverordnung (EU DS-GVO) gewährleisten. Daher Entscheider bei der Absicherung des geschäftlichen Alltags den Schutz personenbezogener Daten nicht vernachlässigen. Denn zum einen sind die Mitarbeitenden für die sichere Nutzung der Software zu sensibilisieren. Zum anderen sind die neuen Prozesse unter Umständen in einer entsprechenden Datenschutz-Folgenabschätzung zu berücksichtigen. Die Aufgaben der Datenschutzbeauftragten im Unternehmen werden also umfangreicher. Dies ist idealerweise auch der Fall bei der Auswahl der ergänzenden Software, wie etwa Collaboration Tools für die Remote-Arbeit. Wie wichtig dies ist, zeigt ein kurzer Blick auf den Datenschutz bei Office 365 oder auch WhatsApp im beruflichen Kontext.

Datenschutzbeauftragte Forum Verlag Herkert GmbH

(Bild: © Gorodenkoff – stock.adobe.com)

EU-Datenschutz-Grundverordnung: Für alle im Unternehmen relevant

Die EU-Datenschutz-Grundverordnung (EU DS-GVO) ist seit Mai 2018 in Kraft, weitere Datenschutz-Bestimmungen ergänzen diese auf Bundesebene. Die Bestimmungen beziehen sich auf den Schutz personenbezogener Daten – also Informationen, die sich realen Einzelpersonen zuordnen lassen.

Schutz personenbezogener Daten

Worum geht es eigentlich? Die Regelungen der EU DS-GVO sollen den Schutz personenbezogener Daten sicherstellen. Die Verarbeitung personenbezogener Daten gehören längst zum Alltag in vielen Arbeitsbereichen. Einige Beispiele sind:

  • Name
  • E-Mail-Adresse
  • Telefonnummer
  • Alter und Geburtsdatum
  • Standort
  • Wohnort
  • Einkommen
  • Gesundheitsdaten
  • Kennungen für Online-Dienste
  • Wirtschaftliche, kulturelle oder soziale Hintergrundinformationen

Die EU DS-GVO bezieht sich auf die Verarbeitung personenbezogener Daten allgemein, also das

  • Erheben
  • Erfassen
  • Speichern
  • Verwenden

dieser Daten, von Privatpersonen wie auch von Personen in ihrer Rolle als Angehörige eines Unternehmens. Wichtig: Dies schließt sowohl die eigenen Mitarbeitenden als auch jegliche Kontaktdaten zu Personen in anderen Unternehmen mit ein. Das Ziel ist eine Stärkung des Grundrechts auf informationelle Selbstbestimmung.

Für welche Aufgabenbereiche im Unternehmen ist die EU DS-GVO relevant?

Ob nun im Kundendienst, Vertrieb, Personalwesen, Marketing oder in der IT: Genau genommen ist jede/r von den Bestimmungen der DS-GVO betroffen, die/der automatisiert personenbezogene Daten verarbeitet. Dies ist auch bei einer Speicherung von Namen und E-Mail-Adressen der Fall. Es geht also um eine essenzielle Grundlage zur Zusammenarbeit in der modernen Arbeitswelt: Automatische Datenverarbeitungen sind gerade im Unternehmenskontext fester Bestandteil von nahezu jedem Tätigkeitsfeld.

Die Aufgaben von Datenschutzbeauftragten nach der EU DS-GVO

Die aktuelle Homeoffice-Situation verschärft die Herausforderungen der Firmen-IT zusätzlich. So gehört es zu den Aufgaben der Datenschutzbeauftragten, dafür zu sorgen, dass ein Verstoß gegen Datenschutz-Bestimmungen gar nicht erst entsteht. Dazu drei Beispiele für die Aufgaben von Datenschutzbeauftragten:

  • Beratung und Überwachung: Zwar haben Datenschutzbeauftragte selbst kein Weisungsrecht. Jedoch müssen sie zum einen die Personen in Entscheidungspositionen beraten, und zum anderen die Einhaltung der Datenschutzvorgaben überwachen.
  • Schulung der Mitarbeitenden: Datenschutzbeauftragte sind in der Pflicht, die Mitarbeitenden im Unternehmen zu IT-Sicherheit und Datenschutz zu sensibilisieren und Schulungen zu organisieren. 
  • Dokumentation: Auch die individuelle Datenschutz-Folgenabschätzung (DSFA) sowie das Dokumentieren der Bearbeitungsprozesse fallen in den Bereich der Aufgaben der Datenschutzbeauftragten.

Dies sind jedoch nur Beispiele. Rechtlich gesehen sind die Aufgaben von Datenschutzbeauftragten in Artikel 39 DS-GVO geregelt. Alle Unternehmen, in denen 20 oder mehr Personen automatisiert personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten benennen. Somit braucht nach dem Wortlaut der EU DS-GVO zwar nicht jedes Unternehmen eine/n Datenschutzbeauftragte/n, jedoch müssen auch diese Unternehmen die Einhaltung der Regelungen der DS-GVO gewährleisten.

Die Benennung einer/s Datenschutzbeauftragten ist der Ausgangspunkt für den zuverlässigen Schutz von personenbezogenen Daten und damit für eine rechtliche Absicherung des Unternehmens. Denn zum einen nimmt die automatisierte Verarbeitung personenbezogener Daten aufgrund von Digitalisierung und Globalisierung immer weiter zu. Zum anderen stellt die DS-GVO höhere Anforderungen an die technische Sicherheit der personenbezogenen Daten.

Für die Erfüllung ihrer Aufgaben brauchen Datenschutzbeauftragte daher auch technisches Know-how. Das heißt, sie müssen beispielsweise verstehen, wie die Datenverarbeitung im eigenen Unternehmen abläuft, um die richtigen Maßnahmen im Datenschutz treffen zu können.

Veranstaltungsempfehlung

Alle notwendigen Kenntnisse und Werkzeuge erhalten Sie im eintägigen Online-Seminar „IT-Wissen für Datenschutzbeauftragte und Entscheider“.

Collaboration Tools: Risiko für den Schutz personenbezogener Daten

Die Bestimmungen der EU DS-GVO betreffen also auch den konkreten Prozessablauf im Hinblick auf den Datenschutz: Personenbezogene Daten werden mithilfe intern genutzter Software verarbeitet. Idealerweise verwenden alle Mitarbeitenden für die jeweiligen Zwecke dieselben Programme, um bestehende Potenziale zur Prozessoptimierung bestmöglich auszuschöpfen. Gerade aufgrund der aktuellen Situation spielen hierbei Collaboration Tools eine besonders große Rolle. Im Folgenden geht es um eine exemplarische Analyse von zwei weit verbreiteten Tools, die in der Datenschutz-Folgenabschätzung unbedingt zu berücksichtigen sind.

Office 365: Datenschutz-Grundverordnung erfordert Nachbesserungen

Microsoft Office 365 (zukünftig Microsoft 365) enthält zahlreiche verschiedene Programme, die in Unternehmen wie auch auf privaten Geräten weit verbreitet sind. Die Office-Software nimmt unbestritten den größten Marktanteil in Deutschland ein:

Die Nutzung von Apps wie

  • Outlook
  • Word
  • Excel
  • PowerPoint
  • Publisher
  • Access
  • Exchange
  • OneDrive
  • SharePoint
  • Teams

haben sich als fester Bestandteil der Büroarbeit etabliert. Entsprechend wichtig sind auch bei Office 365 die Datenschutz-rechtlichen Aspekte. Doch hier kam 2019 erhebliche Kritik an Microsoft auf, denn die Verknüpfung der verschiedenen Dienste basierte auf einer erweiterten Erfassung personenbezogener Daten. Dies betrifft unter anderem die cloudbasierte Zusammenarbeit und Dokumentenablage.Die Kritik veranlasste Microsoft dazu, mehr Transparenz und Bestimmungsrechte für die AdministratorInnen und Anwendenden in den Unternehmen zu schaffen.

Besondere Aufmerksamkeit verdienen nun die Privatsphäre-Einstellungen bei der Einrichtung von Microsoft Office 365. Denn hier lässt sich die Erfassung von als optional eingestuften Informationen blockieren. Jedoch kann dies entsprechende Funktionalitäten beeinträchtigen. Zudem ist bislang unklar, ob die Maßnahmen und laufenden Anpassungen aus Sicht der EU DS-GVO genügen werden, sodass die uneingeschränkte Verwendung von Office 365 in puncto Datenschutz an sich bislang kritisch zu betrachten ist.

WhatsApp: Datenschutz-Bestimmungen reichen nicht aus – insbesondere nicht in puncto Schutz personenbezogener Daten

Als einer der meistgenutzten Messenger-Dienste wurde WhatsApp auch während der Corona-Krise immer beliebter. Doch auch im Unternehmenskontext wird der Nachrichtendienst häufig genutzt, beispielsweise um sich im Kreis der KollegInnen zu organisieren. Aufgrund der engen Verbindung zu Mutterkonzern Facebook besteht Grund zur Sorge, dass personenbezogene Daten weitergegeben und für Werbezwecke genutzt werden könnten. Deshalb sind etwa alle Bundesbehörden dazu angehalten, Alternativen zu nutzen. Denn die Nutzung von WhatsApp beinhaltet eine automatisierte Verarbeitung verschiedener personenbezogener Daten, zum Beispiel aus der Kontaktliste.

Dabei gleicht WhatsApp die auf dem Smartphone gespeicherten Nummern mit den Listen auf seinen eigenen Servern ab. Dies betrifft alle im Adressbuch enthaltenen Nummern – unabhängig davon, ob

  • die jeweilige Person selbst WhatsApp nutzt oder nicht,
  • es sich um eine Mobil- oder Festnetznummer handelt.

Formal gesehen gibt es zwei Grundvoraussetzungen, die vor der Nutzung einzuholen sind:

  1. Auftrag zur Verarbeitung der Daten: Zwischen dem Unternehmen und WhatsApp muss ein Vertrag gemäß Artikel 28 DS-GVO zur Verarbeitung der personenbezogenen Daten vorliegen.
  2. Einwilligung: Personenbezogene Daten wie Name und Telefonnummer dürfen nur nach ausdrücklicher Einwilligung der jeweiligen Person an WhatsApp übermittelt werden.

Ohne diese beiden Bedingungen ist der Einsatz von WhatsApp im beruflichen Alltag nicht zulässig. Vorsicht: Dies gilt auch dann, wenn es sich per se um ein privates Gerät handelt, das auch für die geschäftliche Kommunikation genutzt wird. Aus der Sicht des Schutzes personenbezogener Daten jedoch sollten Unternehmen WhatsApp aus Datenschutz-Gründen grundsätzlich nicht verwenden, da sich die Datenverarbeitungsprozesse nicht EU DSGVO-konform gestalten lassen – selbst wenn formale Einwilligungen und Verarbeitungsauftrag vorliegen.

Generell empfiehlt es sich, WhatsApp nicht für die geschäftliche Kommunikation zu nutzen, insbesondere nicht für das Besprechen vertraulicher Inhalte. Idealerweise verwenden Sie von vornherein stattdessen datenschutzkonforme Messenger-Dienste.

Regelmäßige Neuerungen: Aufgaben der Datenschutzbeauftragten und Pflichten für alle Mitarbeitenden

Eine weitere Herausforderung bei der sicheren Umsetzung der vielen Vorgaben im Datenschutz besteht darin, die rechtlichen Neuerungen und Urteile im Auge behalten und auf dem Laufenden zu bleiben. Eine passende Option ist die Teilnahme an regelmäßigen Weiterbildungen, die sie auf den neuesten Stand bringen.

 

Augsburg, 20.08.2020
Online-Redaktion AKADEMIE HERKERT

Newsletter
aktuelle Neuigkeiten
wertvolles Fachwissen
verschiedene Themengebiete