Datenschutz und Aushänge im Unternehmen

In jeder Einrichtung gibt es organisatorische Themen zu klären. Nicht selten erscheint die einfachste Variante die eines Aushanges zu sein. Wie aber steht es um den Datenschutz und Aushänge im Unternehmen?

Datenschutz und Aushänge

Aushänge enthalten verschiedenste Informationen. So kann es auch vorkommen, dass personenbezogene Daten in Form von Dienstplänen, Teilnahme- oder Geburtstagslisten etc. preisgegeben werden. So können sie essentiell für die Arbeitsplanung sein oder aber einfach das kollegiale Miteinander fördern.

Die korrekte Rechtsgrundlage

Egal, welche Aufgabe sie erfüllen, Verantwortliche müssen auch hierbei den Datenschutz beachten. Auch für die Verarbeitung der personenbezogenen im Zusammenhang mit Aushängen muss es eine Rechtsgrundlage geben. Dabei ist es wichtig, sich als Verantwortlicher die Frage zu stellen, weshalb man die Möglichkeit eines Aushanges tatsächlich nutzt. Beruht es eventuell auf dem berechtigten Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f) DSGVO), wobei die Interessen der betroffenen Person die seine nicht überwiegen? Handelt es sich eventuell um Informationen, für die ein Verantwortlicher die Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) einholen muss? Oder ist eventuell eine andere Rechtsgrundlage einschlägig? Dies ist für jeden Aushang separat zu betrachten.

Technische und organisatorische Maßnahmen

Ganz gleich, welche Rechtsgrundlage für die Verarbeitung personenbezogener Daten auf Aushängen heranzuziehen ist, es sind immer Maßnahmen zum Schutz dieser Daten zu implementieren. Der Ort des Aushanges ist zu betrachten. Eventuell ist es bisher üblich gewesen, jegliche Aushänge im Eingangsbereich anzubringen. Dabei bestand demnach die Möglichkeit für Außenstehende die Information einzusehen. Dabei kann es tatsächlich sein, dass es sich um Informationen handelt, die Außenstehende nicht wissen müssen oder eventuell sogar gar nicht dürfen. Es wäre also eine der Maßnahmen, den Aushang an einem Ort anzubringen, wo er für unbefugte Personen nicht einsehbar ist.

Eventuell sollte ein Verantwortlicher überlegen, ob es nicht sogar andere Wege gibt, die Informationen zur Verfügung zu stellen. Ist es eine Option, ein Portal für nur befugte Personen zu erstellen? Dabei sind dann zusätzliche technische Maßnahmen einzuführen, wie individuelle Login-Profile, die Erstellung möglichst sicherer Passwörter, Verschlüsselung der Daten usw. Möglicherweise bietet sich auch die postalische Zustellung der jeweiligen Information an oder auch die Einrichtung individueller, verschließbarer Brieffächer am Arbeitsplatz.

Einem Verantwortlichen steht es frei, zu entscheiden, welche Maßnahmen er zum Schutz und zur Sicherheit der personenbezogenen Daten einrichtet. Zu beachten ist, dass sie einen angemessenen Standard an Schutz bieten (Art. 32 Abs. 1 DSGVO).

Grundsätze der Datenverarbeitung

Auch die Grundsätze der Datenverarbeitung muss ein Verantwortlicher einhalten. Dies bedeutet, dass die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren sind (Art. 5 Abs. 1 lit. a) DSGVO; Datenschutzhinweis gemäß Art. 12 Abs. 1 DSGVO). Ein Verantwortlicher muss sicherstellen, dass die Daten korrekt (Art. 5 Abs. 1 lit. d) DSGVO) und nicht unbefugt änderbar oder einsehbar sind (Art. 5 Abs. 1 lit. f) DSGVO). Sie müssen einem bestimmten Zweck dienen (Art. 5 Abs. 1 lit. b) DSGVO) und nur in dem Maß erhoben werden, in dem sie benötigt werden, um den Zweck zu erfüllen (Art. 5 Abs. 1 lit. c) DSGVO). Darüber hinaus darf ein Verantwortlicher die Daten nicht nutzen. Ist der Zweck erfüllt, hat ein Verantwortlicher die Daten zu löschen (Art. 5 Abs. 1 lit. e) DSGVO), sofern dem nicht andere gesetzliche Vorgaben entgegenstehen.

Datenschutzrechtliche Dokumentation

All diese Dinge hat ein Verantwortlicher entsprechend zu dokumentieren (Art. 5 Abs. 2 DSGVO). Dies kann eine vollständige Dokumentation zum Datenschutz und zur -sicherheit (auch Datenschutz-Management-System genannt) in der Einrichtung erfüllen. Folglich muss ein Verantwortlicher die Verarbeitung personenbezogener Daten auch bei Aushängen im Verzeichnis von Verarbeitungstätigkeiten dokumentieren. Zusätzlich muss er die Leitlinie, Richtlinien, das Lösch– und Berechtigungskonzept entsprechend ergänzen, sodass alle Mitarbeiter wissen, was zu beachten ist. Sofern ein Verantwortlicher sich gegebenenfalls dafür entscheidet, ein Portal o. Ä. für die Übermittlung von „Aushang“-Informationen zu nutzen, kann der Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 Abs. 3 DSGVO vonnöten sein. Wie schon unter dem Punkt „Grundsätze der Datenverarbeitung“ bezüglich Art. 5 Abs. 1 lit. a) DSGVO erwähnt, muss es einen Datenschutzhinweis zu dieser Verarbeitung personenbezogener Daten geben. Je nach Rechtsgrundlage der Verarbeitung ist diese eventuell nur möglich, sofern die betroffene Person einwilligt.

Fazit

Auch bei dieser Verarbeitungstätigkeit muss ein Verantwortlicher den Datenschutz einhalten und die Vorgaben der DSGVO beachten. Setzt er dies nicht um, verarbeitet er personenbezogene Daten eventuell ohne Rechtsgrundlage, eventuell ohne ein angemessenes Maß technischer und organisatorischer Maßnahmen und/oder allgemein nicht im Einklang mit der DSGVO. Die Folgen können hier ebenfalls Bußgelder, Schadenersatzansprüche oder Abmahnungen sein. Wenn Sie also nicht recht wissen, wie oder wann sie die DSGVO in Ihrer Einrichtung umsetzen sollen oder ihr Datenschutz-Management-System aktualisieren möchten, kontaktieren Sie uns. Wir beraten Sie gern dazu.