30
TITEL
_DATENSCHUTZ
personalmagazin 01/18
Bei Fragen wenden Sie sich bitte an
A
m 5. Mai 2017 hat der Bun-
destag ein neues Bundes-
datenschutzgesetz (BDSG)
verabschiedet. Damit richtet
sich Deutschland rechtlich auf die EU-
Datenschutz-Grundverordnung (DSGVO)
aus, die am 25. Mai 2018 in Kraft tritt.
Für Unternehmen ergeben sich aus der
veränderten Gesetzeslage etliche Neue-
rungen. Zunächst einmal legt die DSGVO
einige Grundsätze hinsichtlich der Erhe-
bung, Verarbeitung und Speicherung
solcher Daten fest. Unternehmen müssen
alle aktuellen Prozesse und bestehenden
Systeme einer eingehenden Prüfung un-
terziehen und gegebenenfalls anpassen
und neue Prozesse und Systeme gleich
unter Einhaltung aller Datenschutzbe-
dingungen etablieren.
Tipp eins: Richten Sie ein Daten-
schutzmanagementsystem ein.
Nach Artikel 5 Absatz 1 b DSGVO müs-
sen „geeignete technische und organi-
satorische Maßnahmen“ die Daten vor
unrechtmäßiger Verarbeitung, Verlust,
Zerstörung oder Beschädigung schützen
und die Betroffenenrechte wahren. Um
diese Anforderungen gewährleisten zu
können, müssen Unternehmen ein Da-
tenschutzmanagementsystem einführen,
das alle Prozesse und Regelungen, die
das Unternehmen zur Einhaltung von Da-
tenschutz und Datensicherheit festlegt,
dokumentiert und verwaltbar macht.
An dieser Stelle kann ein modernes
Dokumentenmanagementsystem da-
für sorgen, dass alle erforderlichen Da-
Von
Matthias Kunisch
und
Michael Steiner
tenschutzunterlagen vorliegen. Dazu
gehören nicht nur Dokumente wie Ver-
trags- und Personalakten, die direkt per-
sonenbezogene Daten enthalten, sondern
auch Vorgabe- und Nachweisdokumente,
beispielsweise Prozessdokumentationen
wie Arbeitsanweisungen oder Einwil-
ligungserklärungen. Entscheidend für
die Einhaltung der Datenschutzanforde-
rungen ist dabei stets die Aktualität die-
ser Dokumente: Arbeiten die betroffenen
Mitarbeiter noch im Unternehmen? Sind
die Verträge noch gültig? Haben sich
unter Umständen Zuständigkeiten geän-
dert? Ein Dokumentenmanagementsy-
stem kann die regelmäßige Überprüfung
automatisch veranlassen.
Tipp zwei: Gewährleisten Sie die
sichere Verfügbarkeit von Daten.
Die Systeme im Unternehmen, die per-
sonenbezogene Daten speichern und
verarbeiten, müssen zuverlässig be-
triebsbereit sein, damit ausschließlich
der berechtigte Zugriff auf relevante
Daten gewährleistet ist. Aus daten-
schutzrechtlicher Sicht ist auch die
Verfügbarkeit wichtig: Mitarbeiter, Ver-
tragspartner und Kunden haben ein In-
formationsrecht, wo das Unternehmen
welche Daten über sie vorliegen hat und
zu welchem Zweck es sie verwendet.
Achten Sie bei der Verwendung eines
Dokumentensystems darauf, dass die
Such- und Filterfunktionen einen ein-
fachen Überblick über die vorhandenen
Datenbestände ermöglichen und auch
alle Prozessschritte der Datenverarbei-
tung festhalten. Nach der DSVGO müs-
sen Vorfälle, bei denen die Sicherheit
personenbezogener Daten gefährdet
ist, unverzüglich der jeweiligen Daten-
schutzbehörde angezeigt werden.
Tipp drei: Sichern Sie die Vertraulich-
keit und Integrität Ihrer Daten.
So wichtig der Zugriff auf personenbe-
zogene Daten ist, um Unternehmens-
und Arbeitgeberaufgaben adäquat er-
füllen zu können, so unverzichtbar ist
es auch, den Zugang zu beschränken,
damit die Daten nur für diejenigen ver-
fügbar sind, die sie tatsächlich benöti-
gen (Vertraulichkeit). Auch wer Daten
eingibt, verändert oder löscht muss
zum Schutz der Betroffenenrechte und
zur Gewährleistung der Datensicherheit
nachvollziehbar sein (Integrität). Ein
gutes Dokumentenmanagementsystem
sollte deshalb alle Versionierungen von
Dokumenten protokollieren und er-
fassen, wer wann welche Änderungen
vorgenommen hat sowie rollenbasierte
Zugriffsberechtigungen für bestimmte
Personen oder Personengruppen er-
möglichen. Im Sinne der Vertraulich-
keit gehört beispielsweise auch dazu,
dass Protokolle der Eingabekontrolle
beispielsweise nur zur Gewährleistung
von Informationssicherheit und Daten-
schutz und nicht zur Arbeitszeitkontrol-
le verwendet werden.
Tipp vier: Erhebung und Verarbeitung
nur recht- und zweckmäßig.
Rechtmäßig ist die Erhebung und Ver-
arbeitung personenbezogener Daten
nur dann, wenn eine Einwilligung des
Betroffenen vorliegt oder ein gesetzli-
cher Erlaubnis-Tatbestand besteht und
Sechs Tipps zur Datensicherheit
AUSBLICK.
Im Umgang mit personenbezogenen Daten müssen Unternehmen ab Mai
2018 das neue Datenschutzrecht beachten. Die Vorbereitungen sollten ab sofort laufen.