Anfang Juli hat der Gesetzgeber die zweite Reform des übergreifenden Bundesdatenschutzgesetzes (BDSG) in diesem Jahr verabschiedet. Die Überarbeitung kam infolge der zahlreichen Datenschutzskandale der letzten Zeit. Die Neuerungen stärken beispielsweise die Arbeitnehmerrechte, den betrieblichen Datenschutz und regeln die Auftragsdatenverarbeitung.
Verschärfung des Arbeitnehmerdatenschutzes
Bevor ein Arbeitgeber Daten erheben, verarbeiten und nutzen darf, um eine Straftat aufzudecken, müssen nach dem neuen Bundesdatenschutzgesetz (Paragraf 32 BDSG) konkrete Verdachtsmomente vorliegen. Die Maßnahmen sollten sorgfältig gewählt werden und verhältnismäßig sein: Ein IT-gestütztes Massenscreening sämtlicher E-Mails aller Mitarbeiter, um Vergehen eines Einzelnen aufzudecken, ist jetzt nicht mehr zulässig.
Alternativ kann der Arbeitgeber die schriftliche und freiwillige Einwilligung seiner Arbeitnehmer frühzeitig einholen oder eine entsprechende Betriebsvereinbarung schließen. Damit werden die Maßnahmen datenschutzrechtlich legitimiert. Dennoch bleiben Risiken bestehen, denn die Rechte der Arbeitnehmer dürfen trotz Vereinbarung nicht unverhältnismäßig beschnitten werden. Dies wäre beispielsweise der Fall, wenn der Arbeitnehmer einer Kontrolle zustimmen soll, ihm aber der Grund nicht genannt wird. Ein legitimer Zweck wäre etwa die Bekämpfung von Korruption oder die IT-Sicherheit. Ohne Zweckangabe sind eine Einwilligung und entsprechende Betriebsvereinbarung nicht wirksam.
Was der CIO beachten muss
-
Ohne explizite Einwilligung der Arbeitnehmer oder eine entsprechende Betriebsvereinbarung dürfen personenbezogene Daten der Mitarbeiter nur erhoben werden, wenn sie das Beschäftigungsverhältnis betreffen. Hat der Arbeitnehmer nicht eingewilligt, bedarf es zur Datenerhebung eines konkreten Straftatsverdachts.
-
Bei einem IT-Screening nach Straftaten müssen die Anhaltspunkte, die den Verdacht begründen, dokumentiert werden.
-
Der Gesetzgeber hat nicht explizit geregelt, ob auch Ordnungswidrigkeiten oder andere Pflichtverletzungen des Mitarbeiters Grundlage dafür sein können, die E-Mails zu durchleuchten. Hier gilt die alte Rechtslage, die die Interessen des Arbeitgebers und des Arbeitnehmers abwägt und eine Verhältnismäßigkeitsprüfung fordert. Der CIO sollte darauf bestehen, dass solche Maßnahmen von der Geschäftsleitung, vom Datenschutzbeauftragten und grundsätzlich auch vom Betriebsrat genehmigt werden.
Archivierung von E-Mails
Trotz der Datenschutzrechts-Novelle gibt es für die Archivierung von geschäftlichen E-Mails weiterhin keine konkreten gesetzlichen Vorgaben. Handelsrecht und Steuergesetzbuch machen den Blick in die E-Mail-Fächer notwendig, dennoch müssen die Unternehmen die strengen Vorgaben des TK-Gesetzes (TKG) und des Bundesdatenschutzgesetzes (BDSG) beachten. Dürfen Mitarbeiter E-Mails privat verschicken, ist der Arbeitgeber also weiterhin ein "Telefonanbieter".
Was der CIO beachten muss
-
Die Mitarbeiter des CIO dürfen keine Postfächer ohne Einwilligung der Besitzer einsehen. Damit könnten sie gegen das Fernmeldegeheimnis verstoßen und sich strafbar machen.
-
Zur Einführung eines Archivierungssystems sollten der Betriebsrat und der Datenschutzbeauftragte ins Boot geholt werden.
-
Die Geschäftsleitung und nicht der CIO hat darüber zu entscheiden, welche Archivierungskonzepte implementiert werden sollen. Der IT-Abteilung kann nicht zugemutet werden, über Aufbewahrungs- und Verjährungsfristen zu entscheiden.
-
Trotz hartnäckiger Gerüchte: Der Gesetzgeber verlangt kein Echtzeit-Journalling, ein Spam-Filter ist also zulässig.
Auftragsdatenverarbeitung
Für die Auftragsdatenverarbeitung (ADV) gibt es jetzt einen aus zehn Punkten bestehenden Katalog an gesetzlich festgelegten Mindestangaben. Fehlen sie, begehen die Unternehmen eine Ordnungswidrigkeit. Gleiches gilt, wenn der Auftraggeber es versäumt, vor der Datenverarbeitung zu prüfen, ob der Auftragnehmer den gesetzlichen technischen und organisatorischen Anforderungen genügt.
Was der CIO beachten muss
Der CIO sollte vorhandene Vereinbarungen (Outsourcing, Dienstleistungsvereinbarungen) daraufhin prüfen, ob sie die die geforderten Mindestangaben enthalten
Mitteilungspflichten
Der Paragraf 42 a des Bundesdatenschutzgesetzes verlangt, dass bestimmte Verstöße gegen das Datenschutzrecht gemeldet sowie die Betroffenen informiert werden müssen. Geschieht dies nicht, droht ein Bußgeld. Die Pflicht ist allerdings auf die unrechtmäßige Verarbeitung besonders sensibler, personenbezogener Daten wie Gesundheitsdaten oder Bank- sowie Kreditkartendaten beschränkt.
Was der CIO beachten muss
Wichtig ist, dass die vorgeschriebenen internen Prozesse implementiert wurden. Der CIO sollte sich vergewissern, ob sein Unternehmen in der Lage ist, Verstöße an die zuständigen Stellen zu melden.
Die nächste Novelle kommt bestimmt.
Weitere Änderungen des Datenschutzrechtes sind schon in Vorbereitung. Dazu zählt etwa das Datenschutz-Auditgesetz mit zusätzlichen Anforderungen an die IT-Sicherheit. Die internen Datenverarbeitungs-Vorgänge und die oft in die Jahre gekommenen IT-Richtlinien sollten daher vom CIO schon jetzt auf den Prüfstand gestellt werden. Der IT-Chef sollte dabei der Geschäftsleitung die Konsequenzen darstellen, falls er Lücken im Datenschutz und der IT-Compliance entdeckt. Neben schlechter Presse drohen behördliche Kontrollen und Sanktionen wie Bußgelder. Im schlimmsten Fall kann es auch zu einer persönlichen Haftung der Geschäftsführung kommen. Entsprechende Beispiele gibt es in der Rechtssprechung. Beispielsweise hat das Landgericht Karlsruhe im Falle einer Unterlizenzierung so entschieden. (Urteil vom 23. April 2008, Haftung für Unterlizenzierung von Software).