Kategorie: Beschäftigtendatenschutz
20. März 2019
Daimler musste in einem Prozess erfahren, dass dem Arbeitnehmer ein gestärktes Auskunftsrecht gegenüber dem Arbeitgeber zusteht und muss deshalb einem Manager umfassend Auskunft zu über ihn gesammelten Daten geben. Das Auskunftsrecht aus Art. 15 DSGVO könnte angesichts des noch nicht veröffentlichten Urteils des Landesarbeitsgerichts Baden-Württemberg zu einer Welle von Prozessen führen. In dem Urteil wird dem Autokonzern auferlegt, die über einen klagenden Manager vorliegenden Informationen umfassend offenzulegen; dazu gehören auch Erkenntnisse über interne Ermittlungen. Bundesweit erstmals wurde das Auskunftsrecht damit auch in der zweiten Instanz sehr weitreichend ausgelegt.
Durch die DSGVO wurde das bisher schon bestehende Auskunftsrecht durch die Möglichkeit hoher Sanktionen gestärkt. Außerdem ist das Recht des Betroffenen auf eine Kopie aller seiner gespeicherten personenbezogenen Daten ganz neu hinzugekommen. Auf diese Regelung der DSGVO hatte sich der klagende Daimler-Manager in der zweiten Instanz berufen. Das Landesarbeitsgericht gab ihm nicht nur im Streit um Abmahnungen und Kündigungen fast vollständig recht. Es verurteilte den Autokonzern auch dazu, ihm Auskunft über nicht in seiner Personalakte gespeicherte Leistungs- und Verhaltensdaten samt einer Kopie zu geben. Daimler hatte dies mit der Begründung verweigert, die Anonymität von Hinweisgebern schützen zu müssen. Derzeit streitet Daimler mit dem Manager um die Vollstreckung des Urteils, also den Umfang der herauszugebenden Daten. Bei Konflikten zwischen Arbeitnehmern und Arbeitgebern könnte das Auskunftsrecht in Zukunft zu einem beliebten Druckmittel werden.
6. Februar 2019
Sofern im Rahmen einer unternehmensinternen Veranstaltung Fotografien von Mitarbeitern und/oder Gästen angefertigt werden, liegt darin grundsätzlich ein Eingriff in das Recht am eigenen Bild der betroffenen Personen gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Da es allein dem Betroffenen obliegt, darüber zu entscheiden, wer unter welchen Umständen Fotos von ihm anfertigen und veröffentlichen darf, ist eine Rechtfertigung erforderlich.
Bei den Fotografien handelt es sich um personenbezogene Daten i.S.d. Art. 4 Nr. 1 Datenschutzgrundverordnung (DSGVO). Deren Verarbeitung ist auf Grund von Art. 6 Abs. 1 S. 1 lit. f DSGVO dann rechtmäßig, wenn die Veröffentlichung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Es ist eine umfassende Interessenabwägung durchzuführen. Wirtschaftliche Interessen des Unternehmens können zum Beispiel die Dokumentation einer betrieblichen Veranstaltung zu Werbezwecken, die interne Stärkung des Betriebsklimas oder der Betriebstreue und ggf. auch die Kundenbindung im Rahmen weiterer Marketingmaßnahmen sein.
Daneben kommt außerdem die Einwilligung gemäß Art. 4 Nr. 11, Art. 7 DSGVO als rechtssichere Rechtfertigungsgrundlage in Betracht. Sofern es sich bei den fotografierten Personen u.a. um Mitarbeiter handelt, wovon bei einem betrieblichen Ereignis auszugehen ist, sind hierbei die strengen Anforderungen des § 26 Abs. 2 Bundesdatenschutzgesetz (BDSG) zu beachten.
Während die Einwilligung im Sinne der DSGVO formfrei erteilt werden kann, sieht § 26 Abs. 2 S. 3 BDSG grundsätzlich die Schriftform für Einwilligungen im Rahmen eines Beschäftigtenverhältnisses vor.
Darüber hinaus muss die Einwilligung bestimmt, informiert und freiwillig abgegeben werden. Für die Beurteilung der Freiwilligkeit der Einwilligung von Mitarbeitern sieht § 26 Abs. 2 S. 1 BDSG ergänzend zu den Bestimmungen der DSGVO vor, dass bei der Beurteilung die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt wurde, zu berücksichtigen sind. Von der Freiwilligkeit kann jedoch gemäß § 26 Abs. 2 S. 2 BDSG ausgegangen werden, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.
Um der Informationspflicht ausreichend nachzukommen, sollte sich der Verantwortliche an den Art. 12 ff. DSGVO orientieren. Wegen der sog. Rechenschaftspflicht des Verantwortlichen sollte die Information schriftlich erfolgen. Es empfiehlt sich ein Aushang am Eingang des jeweiligen Veranstaltungsortes sowie innerhalb des Veranstaltungsgeländes. Die Aushänge müssen hierbei deutlich platziert werden, gut lesbar und inhaltlich verständlich sein. Sofern von den Mitarbeitern vorab eine schriftliche Einwilligung, etwa im Rahmen eines Onboarding-Prozesses, eingeholt wird, sollten die erforderlichen Informationen bereits im Rahmen der Einwilligung erteilt werden.
Schließlich ist die freie Widerrufbarkeit der Einwilligung gemäß Art. 7 Abs. 3 S. 1 DSGVO zu beachten, wobei der Widerruf seine Wirkung nur für die Zukunft entfaltet.
Fazit:
Sofern nicht ausgeschlossen werden kann, dass auch Fotos von einzelnen Mitarbeitern bzw. Gästen angefertigt und veröffentlicht werden, wobei eine Veröffentlichung im Intranet schon ausreicht, stellt die Eiwilligungserklärung den rechtssichersten Weg dar. Es sollte für diesen Fall vor Beginn einer betrieblichen Veranstaltung eine Einwilligung aller Teilnehmer schriftlich eingeholt werden.
Sofern von einem Mitarbeiter oder Gast keine Einwilligung vorliegt, dürfen von ihm/ihr keine Fotografien angefertigt und veröffentlicht werden, auf welchen der Betroffene im Fokus der Aufnahme steht und nicht lediglich als Beiwerk abgebildet wird.
20. November 2018
Durch das Inkrafttreten der Datenschutz-Grundverordnung und des BDSG-neu sind die Anforderungen an Unternehmen im Allgemeinen schärfer geworden. Auch im Bereich des Bewerberdatenschutzes hat sich der Umgang mit den Daten stark verändert. Bei den wenigsten Unternehmen gehen noch Bewerbungen in Papierform ein. Zumeist erhalten die Unternehmen Online-Bewerbungen via E-Mail oder Website. Doch wie müssen Unternehmen mit den unterschiedlichen Bewerbungseingängen umgehen?
Bewerbungen die in Papierform bei einem Unternehmen eingehen sind datenschutzrechtlich weniger problematisch als Online-Bewerbungen zu bewerten. Erst wenn die Bewerbung digitalisiert wird oder die Bewerberdaten in ein System eingetragen werden spricht man von einer Verarbeitung im Sinne der DSGVO. Sobald die Daten in einen Verarbeitungsprozess eingebunden werden, sollte der Bewerber gemäß Art. 13 sowie Art. 14 DSGVO über die Verarbeitung sowie die Betroffenenrechte informiert werden.
Bei Bewerbungen die via E-Mail bei einem Unternehmen eingehen sollte vor allem eine verschlüsselte Übermittlung gewährleistet werden. Außerdem ist es zu empfehlen, dass die interne Weiterleitung zwischen den jeweiligen Mitarbeitern oder Abteilungen durch eine Arbeitsanweisung geregelt wird.
Ähnlich der Bewerbungen via E-Mail, muss im Fall einer Bewerbung durch die Website eine Verschlüsselung der Daten sichergestellt werden. Bei Bewerbungen die mittels eines externen Dienstleisters generiert werden, besteht die Möglichkeit, dass Dritte Zugang zu den Daten erlangen. Um sich dahingehend abzusichern sollte ein Vertrag zur Auftragsverarbeitung zwischen dem Unternehmen und dem externen Dienstleister abgeschlossen werden.
Generell gilt, das Daten von Bewerbern strikt von anderen Datensätzen zu trennen sind.
24. August 2018
Das Bundesarbeitsgericht (BAG) hat am 23.08.2018 entschieden, dass die Speicherung von Bildsequenzen aus einer rechtsmäßigen offenen Videoüberwachung keinem Verwertungsverbot unterliegen (Az.: 2 AZR 133/18).
Der Entscheidung liegt ein Fall aus NRW zu Grunde. Die Klägerin wurde von ihrem Arbeitgeber fristlos gekündigt, nachdem dieser auf gespeichertem Material einer offenen Videoüberwachung gesehen hat, dass die ehemalige Mitarbeiterin während der Arbeitszeit Straftaten zu seinen Lasten begangen hat.
Die Diebstähle wurden durch das Material einer Videoüberwachungskamera aufgedeckt, die der Arbeitgeber offen in dem Geschäft installiert hatte. Die Kamera filmte die ehemalige Mitarbeiterin bei ihren Taten. Darauf folgte sodann die fristlose Kündigung und eine Klage auf Schadensersatz. Dagegen wand sich die ehemalige Mitarbeiterin mit einer Kündigungsschutzklage. Der Grund auf den die Frau die Klage stützte war allerdings nicht die Videoüberwachung oder die Auswertung des Materials an sich, sondern die Dauer der Speicherung und vor allem die späte Auswertung.
Die Unregelmäßigkeiten fielen dem Betreiber im dritten Quartal 2016 auf, ab August 2016 wurde das Material gesichtet, wobei auffiel, dass die ehemalige Mitarbeiterin bereits Anfang Februar die Taten begangen hat. Die Überwachungsaufnahmen wurden demnach mehrere Monate gespeichert, bevor sie überhaupt gesichtet wurden.
Die Kündigungsschutzklage war in der Vorinstanzen, unter anderem Landesarbeitsgericht Hamm (Az.: 2 Sa 192/17), erfolgreich. Das LAG urteilte, dass der Betreiber die Kündigung nicht auf die Auswertung der Videoaufnahmen stützen kann, da diese wegen der langen Dauer, einem Verwertungsverbot unterliegen. Das Beweisverwertungsverbot beruht zum einen auf datenschutzrechtlichen Aspekten und zum einem auf dem Verstoß gegen das Allgemeine Persönlichkeitsrecht. Die Daten hätten zum Zeitpunkt der Auswertung längst gelöscht sein müssen.
Dieser strengen Anwendung des Datenschutzrechts erteilte das BAG auf die Revision des Betreibers eine Absage. Das Urteil des LAG wurde aufgehoben und zur Entscheidung, unter Beachtung der Rechtsansicht des BAG, an das LAG zurückverwiesen. Das BAG begründete seine Entscheidung damit, dass der Betreiber einer Videoüberwachung die Daten ohne Anlass nicht sofort sichten muss. Es ist ausreichend, die gespeicherten Materialien erst auf Anlass zu untersuchen.
Zumindest die Pressemitteilung hat offen gelassen, wie lange Videomaterial schlussendlich gespeichert werden darf, ob in den Entscheidungsgründen Ausführungen dazu enthalten sind, bleibt abzuwarten.
Das Urteil ist nicht als Freibrief zu verstehen, Material aus Videoüberwachung jahrelang zu Speichern, um die Option offen zu lassen, irgendwann, wenn Anlass für eine Überprüfung besteht, eine Sichtung vorzunehmen. Eine Speicherdauer, die im Einklang mit den einschlägigen Gesetzen steht, sollte definiert und eingehalten werden.
8. Juni 2018
Auch wenn der Vorgesetzte es verlangt: Beschäftigte müssen ihre private Handynummer bei der Arbeit nicht mitteilen. Das hat das Thüringer Landesarbeitsgericht mit seinem Urteil vom 16.05.2018 entschieden.
Verhandelt wurde eine Klage von Mitarbeitern des kommunalen Gesundheitsamtes gegen den Landkreis Greiz. Der Kreis hatte die Bereitschaftszeiten neu organisiert und von seinen Beschäftigten verlangt, auch außerhalb der Dienstzeiten für die Rettungsleitstelle erreichbar zu sein. Zwei Mitarbeiter hatten sich dagegen zur Wehr gesetzt und nur ihre privaten Festnetznummern, nicht aber ihre Handynummern angegeben, was eine Abmahnung des Arbeitnehmers zur Folge hatte. Das Landesarbeitsgericht gab dem Kläger Recht und bestätigte damit ein Urteil des Arbeitsgerichts Gera von 2017. Nur unter besonderen Bedingungen und in engen Grenzen habe ein Arbeitgeber das Recht auf Kenntnis der privaten Handynummer eines Angestellten. Dies sei beispielsweise der Fall, wenn es keine andere Möglichkeit gebe, die Arbeitspflichten des Arbeitnehmers sinnvoll zu organisieren.
Eine Pflicht des Arbeitnehmers, stets die private Handynummer mitzuteilen, sei in der Regel ein nicht gerechtfertigter Eingriff in dessen Recht auf informationelle Selbstbestimmung.
Weiterhin heißt es im Urteil, eine Pflicht zur Bekanntgabe der privaten Mobilfunknummer greife besonders tief in die persönliche Sphäre des Arbeitnehmers ein. Der Arbeitnehmer könne sich aufgrund der ständigen Erreichbarkeit dem Arbeitgeber ohne Rechtfertigungsdruck nicht mehr entziehen und so nicht zur Ruhe kommen. Das gelte auch dann, wenn die Telefonnummer nur im Notfall verwendet werden soll. Entscheidend sei allein die potenzielle Erreichbarkeit.
Aus datenschutzrechtlicher Sicht ist hier entscheidend, ob die Datenverarbeitung tatsächlich zur Vertragserfüllung erforderlich ist. Der Arbeitgeber darf die Daten des Arbeitnehmers gemäß Art. 6 Absatz 1b DSGVO nur verarbeiten, soweit dies zur Vertragserfüllung notwendig ist. Dass zur Vertragserfüllung die private Handynummer des Mitarbeiters notwendig sein soll, dürfte auf wohl eher seltene Einzelfälle beschränkt bleiben. Arbeitgebern, die die private Handynummer ihrer Mitarbeiter nutzen wollen, müssten hierfür wohl eine eindeutige Einwilligung einholen.
7. Mai 2018
Polizeibeamte in Niedersachen können nun mithilfe der neuen App NIMes Textnachrichten, Audio-, Bild- und Videoaufnahmen austauschen, ohne dass jemand anderes darauf Zugriff hat. Nach Auffassung des niedersächsischen Landesdatenschutzbeauftragten besteht dennoch eine Gefahr hinsichtlich des Datenschutzes, da der größte Teil der Beamten die App auf ihrem Privathandy nutzen. „Wenn der Nutzer das auf dem privaten Mobiltelefon vorhandene Betriebssystem nicht fortlaufend durch Updates zur Virenabwehr aktualisiert, wird Tür und Tor für eine Infizierung der App mit Schadsoftware geöffnet“, sagte Datenschützerin Barbara Thiel.
Damit wäre es empfehlenswert die App nur auf Diensthandys zu installieren. Innenminister Boris Pistorius ist jedoch anderer Ansicht, da NIMes getrennt vom Betriebssystem läuft und damit in einem geschlossenen Benutzerkreis.
Die App hat eine wichtige Bedeutung in der Informationssteuerung bei Einsatzkräften. So können Polizeibeamte wichtige Informationen sicherer als bei der Nutzung von WhatsApp weiterleiten.
Als Pilotprojekt wird NIMes zunächst in Celle und Hannover-Mitte, sowie in der Zentralen Polizeidirektion eingesetzt.
20. März 2018
Das Interesse am Beschäftigtendatenschutz soll im Jahr 2017 erheblich gewachsen sein. So soll laut der Bremer Datenschutzbeauftragten, Imke Sommer, der Beschäftigtendatenschutz einen deutlich größeren Anteil der datenschutzrechtlichen Beschwerden in Bremen ausmachen. Nach dem Tätigkeitsbericht der Datenschutzbeauftragten weisen mittlerweile 20 % der Beschwerden einen Bezug zu Fragen des Beschäftigtendatenschutzes auf.
Der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, betrachtet den Beschäftigtendatenschutz als kommenden Tätigkeitsschwerpunkt im Bereich des Datenschutzrechts und hat deshalb einen Ratgeber für den Beschäftigtendatenschutz verfasst.
Unklar ist, ob das gewachsene Interesse in ein Beschäftigtendatenschutzgesetz erwächst. Zum aktuellen Zeitpunkt bestehen lediglich Forderungen nach einem Gesetz, jedoch kein Konsens dazu. Es bleibt abzuwarten, ob sich dies in der aktuellen Legislaturperiode ändert
29. Januar 2018
Seit Mai 2017 ist gesetzlich geregelt, dass die Bundespolizei kleine, am Körper getragene Kameras zum präventiven Schutz vor gewalttätigen Übergriffen einsetzen kann.
Hessen gilt als Vorreiter für den Einsatz von Bodycams. Dort werden die Bodycams vor allem in den sozialen Brennpunktgebieten eingesetzt. Die Gefilmten werden dabei ausdrücklich darauf hingewiesen, dass das Geschehen mitaufgezeichnet wird.
Kritisch beurteilt wird der Mitarbeiterdatenschutz hinsichtlich des Einsatzes der Bodycams.
Insbesondere betrifft es die Frage über die Zugriffsmöglichkeiten von Beurteilern und Disziplinarvorgesetzten auf die mitgeschnittenen Filme und die Frage der Anonymisierung bei Herausgabe an Dritte.
Die nordrhein-westfälische Polizei hat das Pilotprojekt aufgrund von Impraktikabilität und datenschutzrechtlichen Bedenken abgebrochen. Es müsse schon vorher geklärt werden, dass die Aufzeichnungen nicht zur Kontrolle der Polizeibeamten verwendet werden.
Es bleibt abzuwarten, wie die datenschutzrechtlichen Bedenken aufgelöst werden und dementsprechend der Einsatz von Bodycams verstärkt werden kann.
In seinem Urteil vom 16.05.2017 (AZ. 7 Sa 38/17) entschied das Landesarbeitsgericht Berlin-Brandenburg zu Gunsten des Arbeitgebers: Eine außerordentliche Kündigung des Arbeitsnehmers ist gerechtfertigt, wenn der Mitarbeiter nach durchgeführten Vertragsverhandlungen unmittelbar vor Abschluss eines Arbeitsvertrages mit einem Konkurrenten E-Mails mit betrieblichen Informationen in ungewöhnlichen Umfang an seinen privaten E-Mail-Account weiterleitet.
Das LAG sah in der Weiterleitung der E-Mails eine Verletzung der vertraglichen Rücksichtnahmepflicht aus § 241 Abs. 2 BGB. Der Mitarbeiter kann nicht ohne Einverständnis des Arbeitgebers sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu nutzen. Die schuldhafte Nebenpflichtverletzung stellt einen wichtigen Grund im Sinne von § 626 Abs. 1 BGB dar, sodass eine fristlose Kündigung gerechtfertigt sei.
Es stellt sich die Frage, ob eine Weiterleitung von dienstlichen E-Mails überhaupt an den privaten E-Mail-Account erlaubt ist. Eine Weiterleitung könnte grundsätzlich strafbewehrt sein, soweit es sich um Unterlagen, die dem Geschäfts- oder Betriebsgeheimnis unterliegen, handelt. Es handelt sich unter Umständen um die Herstellung einer Kopie gem. § 17 Abs. 2 Nr. 1b Gesetz gegen den unlauteren Wettbewerb (UWG). Mit der EU-Datenschutzgrunverordnung werden umfangreiche Dokumentations- und Nachweispflichten eingeführt, sodass jeder Zeit nachgewiesen werden muss, dass die Datenverarbeitung zulässig ist. Auch eine Weiterleitung stellt eine Verarbeitung dar und muss datenschutzrechtliche Vorgaben einhalten.
Entscheidend ist vor allem die dienstliche Notwendigkeit der Weiterleitung. Im vorliegenden Fall konnte der Mitarbeiter einen unternehmenseigenen Laptop für die Arbeit von zu Hause aus nutzen, dort hätte er auch die notwendigen Daten abspeichern können. Da viele Unternehmen eine private Nutzung von E-Mails oder Diensthandys ausschließen, spielen außerdem die Vorgaben im Arbeitsvertrag oder Betriebsvertrag eine entscheidende Rolle bei der Bewertung, ob eine Weiterleitung der E-Mails an notwendig ist.
3. Januar 2018
Spätestens seit der jüngsten Finanzkrise, die neben (betriebs-) wirtschaftlichen Fehleinschätzungen vor allem durch individuelles sowie kollektives Fehlverhalten (u.a. Manipulation von Referenzzinssätzen, Verstoß gegen Embargos) geprägt war, hat die innerbetriebliche Compliance-Funktion zunächst innerhalb der Finanzindustrie in nie dagewesenem Maße an Bedeutung hinzugewonnen. Auch in der Industrie hat man spätestens im Zuge der aktuellen Verfehlungen in der Automobilbranche erkannt, dass eine effektive Compliance-Funktion geradezu essentiell für den Fortbestand eines ganzen Konzerns sein kann.
Das den obigen Beispielen jeweils zugrundeliegende Fehlverhalten führte jedes Mal zu exorbitant hohen Strafzahlungen und nicht quantifizierbaren Reputationsschäden für die betroffenen Unternehmen. Vor diesem Hintergrund scheint es nicht verwunderlich, dass Unternehmen unterschiedlichster Größe und verschiedenster Branchen ihre Compliance-Abteilungen seitdem massiv auf- und ausbauen. Dabei geht es einer effektiven Compliance-Funktion vor allem darum, durch regelmäßige sowie anlassbezogene Kontrollen das Unternehmen vor Vermögensschäden durch rechtswidriges Verhalten seiner Mitarbeiter bzw. Kunden zu schützen. Dabei ist die Compliance-Abteilung naturgemäß daran interessiert, über möglichst weitreichende Zugangs-, Einsichts- und Auskunftsrechte zu verfügen.
Doch wie verträgt sich dieser grundsätzlich zu begrüßende Trend hin zu „mehr Compliance“ mit der ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu)?
Fest steht, dass Verstöße gegen die Vorschriften der DSGVO mit Bußgeldern von bis zu vier Prozent des Vorjahresumsatzes eines Unternehmens geahndet werden können (Art. 83 Abs. 5 DSGVO). In Bezug auf den VW-Konzern mit einem Jahresumsatz in Höhe von rund 217 Mrd. Euro in 2016 würde dies ein Bußgeld von maximal rund 8,7 Mrd. Euro bedeuten. Hinzu kommen, wie auch im Falle gravierender Compliance-Verstöße, nicht quantifizierbare Reputationsschäden.
Klar ist auch, dass weder die Befolgung der jeweiligen einschlägigen Compliance-Verpflichtungen einen umfassenden Datenschutz verhindern, noch die Einhaltung der neuen Datenschutz-Normen eine effektive innerbetriebliche Compliance-Funktion unterbinden soll. Vielmehr sind diese beiden Interessen in einen angemessenen Ausgleich miteinander zu bringen. Allerdings wird sich nur in wenigen Fällen aus einer zugrundzulegenden Compliance-Vorschrift ergeben, welche Daten im Rahmen der Ausübung der Kontrollfunktion erhoben werden dürfen. Ungeachtet dessen, muss die weitere Verarbeitung grundsätzlich den Vorgaben aus der DSGVO sowie dem BDSG-neu entsprechen. Die Herausforderung für Unternehmen wird künftig also mehr denn je darin bestehen, weder gegen Compliance- noch gegen Datenschutzauflagen zu verstoßen.
Dementsprechend sollten sich Unternehmen bereits mit den drei folgenden Aspekten eingehend beschäftigt haben:
Überprüfung existierender Compliance-Maßnahmen
Der Überprüfung bereits implementierter Compliance-Maßnahmen kommt eine große Bedeutung zu, denn eine Art Bestandsschutz für bereits implementierte Kontrollpläne existiert in diesem Sinne nicht. Die Maßnahmen müssen künftig DSGVO- und BDSG-konform ausgestaltet sein. Daher ist zwingend zu prüfen, ob eine Anpassung an die neuen Regelungen erforderlich ist. Das Ergebnis der Prüfung sowie die ggf. vorgenommenen Anpassungen sind revisionssicher zu dokumentieren.
Abläufe bei künftigen Compliance-Maßnahmen (insb. Einbeziehung des Beauftragten für den Datenschutz)
Neben der Überprüfung und etwaigen Anpassung der bereits existierenden Kontrollpläne, ist ebenfalls die Einhaltung datenschutzrechtlicher Vorgaben bei der Durchführung künftiger Kontrollpläne sicherzustellen. Diesbezüglich erscheint es geboten, den Beauftragten für den Datenschutz in den Prozess der Erstellung jedes neuen Kontrollplanes mit einzubeziehen. Dies gilt umso mehr, wenn es sich bei der Compliance-Maßnahme nicht um eine regelmäßige Kontrolle, sondern um eine einzelfallbezogene außerordentliche Investigativ-Maßnahme handelt. Die Einbeziehung des Beauftragten für den Datenschutz selbst, aber auch die Art und Weise sind im Form von internen Richtlinien/Arbeitsanweisungen festzulegen.
Angemessene Ausstattung des Beauftragten für den Datenschutz
Vor allem mit Blick auf die neue potentielle Tragweite datenschutzrechtlicher Verstöße erscheint es doch sehr verwunderlich, warum eine Vielzahl von Unternehmen sich noch immer nicht ausreichend mit den Auswirkungen der DSGVO und des BDSG-neu auseinandergesetzt zu haben scheint. Wie oben bereits gezeigt, werden die möglichen Bußgelder sowie Reputationsschäden bei mangelndem Datenschutz den Sanktionen im Compliance-Bereich künftig in keiner Weise mehr nachstehen. Dementsprechend und auch um einer Haftung aus § 130 Abs. 1 OWiG zu begegnen sollte zeitnah überprüft werden, ob die Ausstattung des Beauftragten für den Datenschutz vor dem Hintergrund der gestiegenen Anforderungen noch als dem Risiko angemessen erscheint.
