70
RECHT
_DATENSICHERHEIT
personalmagazin 12/17
Bei Fragen wenden Sie sich bitte an
81
D
aten sind eine Quelle der Arbeit der Zukunft: Sie
werden schon heute in der Personalverwaltung und
für Personalentscheidungen genutzt – etwa für Ein-
stellungen, Bonusverteilung oder das berufliche Fort-
kommen. Damit werden die Daten immer mehr zur Grundlage
personalbezogenen Handelns und Entscheidens. Dies gilt insbe-
sondere, wenn große Datenbestände zu „Big Data“ zusammen-
gefasst und unter Anwendung von Algorithmen und künstlicher
Intelligenz zu Leitplanken für Personalmaßnahmen
verdichtet werden. Dass Daten dabei auch in
falsche Hände geraten können, ist evident.
Daher hat der Gesetzgeber mit dem gesetz-
lichen Datenschutz Rahmenbedingun-
gen erlassen, um die Datensicherheit
bei den Unternehmen einzufordern.
Die Einhaltung der Datensicherheit
ist folglich eine wichtige Pflicht der
Unternehmen. Sie hat gerade für Per-
sonalabteilungen große Bedeutung,
da diese mit ihren vielfältigen Quer-
schnittsaufgaben tagtäglich sensible
Informationen bearbeiten.
Aus rechtlicher Sicht bestehen bei Ver-
kennung dieser Pflicht viele Risiken: Indivi-
dualarbeitsrechtlich können bei Verletzung der
Pflicht zur Datensicherheit Schadenersatzansprüche der
Arbeitnehmer entstehen. Dies gilt insbesondere, wenn Bank-
daten oder sozialversicherungsrechtliche Informationen von
Dritten abgefangen und zumNachteil oder Schaden der Arbeit-
nehmer verwendet werden. Hierfür gab es in den vergange-
nen Jahren viele Beispielfälle. Betriebsverfassungsrechtlich ist
zwar weniger ein materieller Schaden zu befürchten, dennoch
wird bei ungenügender Datensicherheit das Verhältnis von HR
zum Betriebsrat leiden und der Betriebsrat kann mit erhöhten
Datenschutz-Forderungen aufwarten. Existenzbedrohend kön-
nen wiederum die Folgen einer Verletzung der Datensicherheit
sein: Hohe Strafen und Geldbußen drohen, wenn ein Unter-
nehmen gegen die Datensicherheitsnormen verstößt. Die neue
Von
Manteo Eisenlohr
Datenschutzgrundverordnung, die zum 25. Mai 2018 in Kraft
treten wird, sowie das zum selben Tag in Kraft tretende neue
Bundesdatenschutzgesetz sehen massive Strafen vor.
Folglich müssen Unternehmen und besonders Personal-
abteilungen der Datensicherheit besondere Aufmerksamkeit
schenken und technische Sicherungsmaßnahmen schaffen,
die juristisch (etwa durch eine Betriebsvereinbarung) unter-
mauert sind. Die folgenden Fragen dienen als Leitlinie zur Er-
arbeitung der Grundlagen eines Systems der Datensicherheit:
• Wer hat Zugriff auf die Daten? In welchem Umfang und zu
welchem Zweck?
• Wie sind Zugriffberechtigte in einer Schnitt-
stelle definiert, lassen sie sich reduzieren?
• Wie ist die Rechtmäßigkeit des Daten-
gebrauchs und des Datenzugriffs sicher-
gestellt?
• Wie soll die Archivierung, die Lö-
schung oder Sperrung der Daten be-
stimmt sein?
Die technische Umsetzung hängt von
der jeweiligen betrieblichen Situati-
on ab. In jüngster Zeit wird jedoch die
Schaffung einer „Blockchain“ für Per-
sonalabteilungen diskutiert. Bei dieser
datenschutzrechtlich weitgehend siche-
ren Technologie werden Daten nicht zentral
abgelegt, sondern auf vielen verschiedenen
Computern gespeichert. Die „Blockchain“ ist
wie eine Kette von Datenblöcken, die miteinander verknüpft
sind. Die enthaltenen Informationen können automatisiert
ausgetauscht werden, ohne dass Inhalte manipuliert werden
können. Ob diese Lösung geeignet ist, wird sich erweisen. Die
Betriebe beginnen bereits heute, darüber nachzudenken und
auch die rechtlichen Aspekte abzuwägen.
KOLUMNE.
Personaler müssen die Datensicherheit garantieren. Andernfalls drohen
Strafen und Mehraufwand. Die Antworten auf Leitfragen zeigen, was zu beachten ist.
Mehr Daten, mehr Sicherheit
DR. MANTEO EISENLOHR,
Rechtsanwalt und
Partner bei K&L Gates LLP, äußert sich regelmäßig an
dieser Stelle zu den aktuellen Entwicklungen in der
digitalen Arbeitswelt.
