Florian Padberg
Datenschutzbeauftragter
Wer kennt die erfolgreiche englische Ratesendung „The Weakest Link“? Charakteristisch für den Ablauf dieser Show ist es, dass eine Gruppe von Teilnehmern nur gemeinsam Erfolg hat, wenn auch der „Schwächste“ im Team fleissig seine Punkte sammelt. Mag man ob dieser Zurschaustellung von Lampenfieber-Aussetzern und Sozialdruck geteilter Meinung sein, im Kern spiegelt diese Show ein Problem wider, das jede Organisation hat: Auch ausgeklügelte und erfolgversprechende Strategien funktionieren nur dann, wenn die in der operativen Umsetzung Beteiligten Ihre Aufgabe auch konsequent erfüllen, im übertragenen Sinne also nicht „schwächeln“.
Im Datenschutz ist es genauso: Ein klar definiertes Datenschutzmanagement-System beinhaltet Prozesse, Ressourcen, Systeme und Regeln, wie dies alles effektiv und transparent miteinander zusammenspielt.
Automatische Löschregeln, zugriffsgesteuerte Datenverarbeitungen in Fachsystemen, gut durchdachte und an alle kommunizierte Richtlinien – diese typischen Strukturbestandteile eines Gesamtkonzepts können aber nur dann ihre Wirkung entfalten, wenn sie entsprechend den Regeln genutzt, eingesetzt und am Arbeitsplatz „gelebt“ werden.
Brüchig wird das System, wenn Schlendrian Einzug hält (im CRM wird einfach immer die gleiche Datenherkunftsquelle angeklickt weil sie als erste im Auswahlfenster steht), sich Prozess-Umgehungen entwickeln (man hinterlegt in der Kunden-Datenbank ein Leer-File anstatt der Standard-Datenschutz-Checkliste, dann ist der Datensatz trotzdem grün) oder Vorgaben einfach ignoriert werden weil sie als „unsinnig“ empfunden werden (wo soll ich denn sonst meine privaten Daten zwischenspeichern, wenn ich sie doch eh demnächst wieder aus dem „Sonstiges“-Ordner lösche?).
Dabei ist in den allerseltensten Fällen im Kern der „uneinsichtige“ oder „renitente“ Mitarbeiter schuld,
sondern die Datenschutz-Prozesse wurden meist nicht ausreichend in die bestehende operative Arbeitslandschaft integriert sondern mehr oder weniger „aufgepropft“.
Da es in den meisten Unternehmen so ist, dass der Datenschutz nachträglich eingeführt wird und nicht von Anfang an in die Geschäftsprozesse eingeplant wurde, ist es auch nicht verwunderlich, dass es zu solchen Problemen kommen kann. Daher ist bei Datenschutz-Setup-Projekten besonders darauf zu achten, dass sich die neu hinzukommenden Aktivitäten möglich sanft in die bestehenden Prozesse einfügen – dann klappt es auch mit der Umsetzung.
Das Unternehmen hat zusammen mit dem Datenschutzbeauftragten sein Bestes gegeben, um vernünftige Vorgaben zu implementieren und die Mitarbeiter so wenig wie möglich mit Zusatzarbeiten zu belasten, um den Datenschutz auf ein gutes Level zu heben. Was kann man nun als Mitarbeiter konkret im Arbeitsalltag tun, um seinen Teil zum Erfolg der Maßnahmen beizutragen?
Manches mag sich trivial anhören, jedoch zeigt die Datenschutz-Praxis, dass es oft die einfachen Dinge sind, die übersehen werden und damit zu ungewollten Offenlegungen, Störungen der Datenintegrität oder sonstigen Datenschutzvorfällen führen.
Bisweilen ist man sich nicht immer ganz sicher, wie man mit bestimmten Daten umgehen soll, die auf dem eigenen Tisch landen. Das intuitive Bauchgefühl und der „logische Menschenverstand“ sind dabei nicht selten ein ganz guter Ratgeber: Was man nicht mit den eigenen persönlichen Daten geschehen sehen möchte, sollte man ggf. auch nicht mit den Daten anderer tun.
Und wenn es wirklich knifflig wird: Fragen Sie einfach jemanden, der sich mit dem Datenschutz auskennt, sei es ein Datenschutzkoordinator oder der Datenschutzbeauftragte – dafür sind sie da.
Die moderne Arbeitswelt hat auch den „üblichen Arbeitsort“ verändert: Mobiles Arbeiten auf der Geschäftsreise, das Homeoffice, der tägliche Meeting-Marathon – man ist ständig auf dem Sprung, und personenbezogene Daten in diversen Arbeitsunterlagen springen mit einem mit. Daher ist auch an Stellen abseits des eigenen Schreibtisches Aufmerksamkeit geboten.
Im Wesentlichen können die Risiken für ein Datenschutz-Leck auf Dienstreisen sowohl durch technische Vorkehrungen als auch durch klare Verhaltensvorgaben geregelt werden. Verschlüsselte Notebooks und Sichtschutzfolien sind inzwischen Stand der Technik, über VPN-Verbindungen oder Cloud-Lösungen müssen lokale Inhalte quasi auch gar nicht mehr langfristig vorgehalten werden.
Richtlinien zur sicheren Aufbewahrung mobiler Datenträger bis hin zur „richtigen“ Art der Kommunikation im öffentlichen Raum (Stichwort „Handy-Laut-Sprecher“ im Großraumabteil) stellen wichtige organisatorische Maßnahmen zum Datenschutz-konformen Verhalten dar. Stellen Sie sich denkbare mobile Arbeitssituationen vor und versuchen Sie, diese mit entsprechenden Regelungen abzudecken.
Der inzwischen klassische Anwendungsfall für eine vertragliche Zusatzregelung zwischen Arbeitgeber und Mitarbeiter ist das Thema Homeoffice. Es handelt sich um extrem heterogene Arbeitssituationen, mit diversen potenziellen Risiken für den Schutz personenbezogener Daten, von der teilweise nötigen Nutzung privater Peripheriegeräte (Drucker, WLAN-Router) über Fragen der Zugriffs-Sicherung beim Arbeits-Notebook (Passwort-Schutz ist ein Muss) bis hin zu ungewöhnlichen Zusatzaspekten (Schreibtisch im Keller neben dem Heißwasser-Boiler).
Diese Sondersituation lässt sich transparent und fair durch eine von beiden Seiten gegengezeichnete Homeoffice-Vereinbarung als optionalem Zusatz zum Arbeitsvertrag regeln.
Der Arbeitnehmer muss dabei bestimmte (aber nicht alle!) Anforderungen des Arbeitgebers in punkto angemessenem Datenschutz hinnehmen, bisweilen wird zusätzlich benötigte Infrastruktur dann auch gestellt.
Und auch das Business-Meeting kann für Aufregung aus Datenschutz-Sicht sorgen: Die im Konferenzraum vergessene Aktenmappe mit dem Stellenbesetzungsplan, die ungewollt auf den Großbildschirm geworfene Gehaltsübersicht der Abteilung, oder der leider doch nicht private Kommentar im Online-Meeting wegen der vergessenen Stummschaltung über die kürzliche Abmahnung des Kollegen X. in diesem Umfeld greifen technische und organisatorische Maßnahmen nicht immer, es ist stets Raum für individuelle Unachtsamkeiten wenn man mit mehreren Personen zusammen ist.
Eine regelmäßige Sensibilisierung auf Datenschutzthemen im Rahmen der internen Schulungsaktivitäten ist in diesen Fällen oft hilfreich und sollte daher integraler Bestandteil dieser Programme sein.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!