TÜV NORD Akademie zur DSGVO: Unternehmen in der Pflicht
Keine zwei Monate bleiben noch, bis die Datenschutz-Grundverordnung (DSGVO) zur Anwendung kommt. Noch ist es nicht zu spät aktiv zu werden. Die TÜV NORD Akademie hält ein breites Seminar-Angebot zur DSGVO und zum Datenschutz parat. Zudem kann man sich zum TÜV-geprüften Datenschutzbeauftragten fortbilden. Bis zum 25. Mai sind aber fast alle Kurse zum Datenschutzbeauftragten ausgebucht, es besteht aber die Möglichkeit, sich auf eine Warteliste setzen zu lassen. Die Ausbildung zum Datenschutzbeauftragten dauert vier Tage und kostet 1.800 Euro netto. Die TÜV-Prüfung dauert 75 Minuten und beläuft sich auf 260 Euro netto.
Datenschutzbeauftragte gewährleisten Einhaltung
Um den datenschutzrechtlichen Anforderungen gerecht zu werden, sind Unternehmen mit mindestens zehn Bildschirmarbeitsplätzen grundsätzlich dazu verpflichtet, einen betrieblichen Datenschutzbeauftragten oder eine Datenschutzbeauftragte zu beschäftigen. »Datenschutzbeauftragte kontrollieren die Einhaltung der Datenschutzrechte und weisen bei Bedarf auf Verstöße hin. Wichtig dabei ist, dass sie wirklich nur eine unterstützende Funktion haben und nicht zuständig sind, den betrieblichen Datenschutz zu organisieren«, erklärt Prof. Dr. Ralf Imhof, Of Counsel der Kanzlei Schulz Noack Bärwinkel in Hamburg und Referent der TÜV NORD Akademie. Außerdem haben Datenschutzbeauftragte ein Recht auf thematische Fortbildungen und Seminare.
Bei Bedarf können sich Datenschutzbeauftragte auch Unterstützung von den Landesdatenschutzbeauftragten ihres jeweiligen Bundeslandes holen. Neben der Beratung überprüfen sie hauptsächlich die Einhaltung der Verordnung und verhängen gegebenenfalls entsprechende Bußgelder. Dabei können die Landesdatenschutzbeauftragten entweder proaktiv stichprobenartige Untersuchungen durchführen oder auf einen Hinweis aus der Belegschaft hin tätig werden.
Betriebsrat eine Art zweiter Datenschutzbeauftragter
Der Betriebsrat ist laut Imhof übrigens ein Sonderfall: »Der Betriebsrat kümmert sich in Unternehmen um die Wahrung der Arbeitnehmerrechte. Dazu gehören auch die Datenschutzrechte. Mit diesem Verständnis ist der Betriebsrat quasi eine Art zweiter Datenschutzbeauftragter. Er überprüft im Interesse der Mitarbeiter, ob das Unternehmen korrekt mit den Daten umgeht.«
Probleme gebe es vor allem bei der erlaubten privaten Nutzung von Computern. Private Informationen dürfen Arbeitgeberinnen und Arbeitgeber nur einsehen, wenn das datenschutzrechtlich zulässig ist. Sie könnten laut DSGVO von jedem Mitarbeitenden die Einwilligung einholen, beispielsweise das Postfach bei Abwesenheiten einsehen zu dürfen. Das ist aufwendig und wenig praktikabel. Sofern vorhanden, darf ein Betriebsrat stellvertretend für die Mitarbeiterinnen und Mitarbeiter im Rahmen einer Betriebsvereinbarung eine Einwilligung aussprechen. So hat die Geschäftsführung die Möglichkeit mit dem Betriebsrat eine einheitliche Regelung für solche Situationen zu finden – sofern dieser kooperiert.
Digitalisierung forciert das Datenwachstum
Personenbezogene Daten sind im Arbeitsleben allgegenwärtig: Diensthandys, E-Mails, Surfen im Netz, private Geräte, die dienstlich genutzt werden, oder Dienstwagen mit GPS-Tracking. In Zeiten der Digitalisierung fallen mehr Daten an als je zuvor – und das ständig und überall. Potenziell vereinfachen es die erhobenen Daten Führungskräften, ihre Mitarbeitenden zu überwachen.
Mit der DSGVO ändern sich ab Mai vor allem zwei wesentliche Punkte, die besonders für Unternehmen relevant sind: Zum einen erhalten Beschäftigte das Recht auf vollständige Transparenz ihrer Daten. »Die Geschäftsführung ist verpflichtet die Angestellten zu informieren, welche Daten gesammelt werden, zu welchem Zweck das geschieht, wer Zugriff darauf hat, ob die Daten an Dritte weitergereicht werden und wer diese Dritten gegebenenfalls sind«, meint Imhof.
Zum anderen besteht gegenüber den Mitarbeiterinnen und Mitarbeitern ab Mai eine Rechenschaftspflicht bezüglich der gesammelten Daten. Konkret bedeutet das: Auf direkte Nachfrage muss das Unternehmen Auskunft darüber geben, weshalb es dazu befugt ist, die betroffenen Daten zu sammeln und zu verarbeiten.
Ein Verstoß gegen die datenschutzrechtlichen Auflagen wird mit hohen Bußgeldern geahndet. Bislang liegt die Höchstgrenze bei 300.000 Euro. Nach Ablauf der Frist werden es 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens sein – abhängig davon, welcher Betrag höher ist. Gerade in Deutschland droht Unternehmen zudem ein enormer Imageschaden bei Verletzung des Datenschutzes, was wiederum deren Wirtschaftlichkeit nachhaltig schaden kann.