Gerade in dieser Krisenzeit ist die Datenschutzbehörde im Hinblick auf die Einhaltung datenschutzrechtlicher Vorgaben hoch sensibilisiert. Wir bieten Ihnen daher einen Überblick, auf welche datenschutzrechtlichen Aspekte Sie in Zeiten der Digitalisierung der Arbeitsplätze achten und warum Sie diese Krise auch als Chance für Ihr Unternehmen sehen sollten, um jetzt die Basis für künftige Entwicklungen zu schaffen.
Der Umstieg auf Home-Office
Viele Unternehmen ordneten für ihre Mitarbeiter das Arbeiten im Home-Office an, um diese vor einer potentiellen COVID-19 Infektion zu schützen. Doch auch in den eigenen vier Wänden ist der Datenschutz zu beachten. Die Verarbeitung personenbezogener Daten muss daher natürlich auch im Home-Office den geltenden Datenschutzstandards entsprechen und somit durch geeignete technische und organisatorische Maßnahmen gemäß Art 32 DSGVO abgesichert sein. Was zunächst vielleicht überstürzt und als bloße vorrübergehende Maßnahme eingeführt wurde, soll und muss inhaltlich streng geprüft werden. Denn auch nach der COVID-19 Pandemie wird sich eine deutlich verstärkte Präsenz von digitalen Arbeitsplätzen im Home-Office zeigen – und Unzulänglichkeiten, die Unternehmen in der Krise vielleicht akzeptiert haben, dürfen nicht für die Zukunft „einzementiert“ werden.
Interne Datenschutzrichtlinie
Viele Unternehmen verfügen über Datenschutzrichtlinien, oft sparen diese jedoch das Thema Home-Office aus. Eine solche Regelung ist allerdings von immenser Bedeutung, da es gerade außerhalb des gewohnten und gesicherten Arbeitsplatzes schnell zu (ungewollten) Datenpannen kommen kann, die sich durch exakte Vorgaben und Verhaltensregeln vermeiden ließen. Ohne Datenschutzrichtlinie für das Home-Office ist nicht dokumentiert, wie sich Mitarbeiter zu verhalten haben, womit das Unternehmen zweifelsfrei seinen datenschutzrechtlichen Verpflichtungen nicht nachkommen würde – und zwar selbst dann, wenn es an einem konkreten Datenschutzvorfall noch mangelt, denn bereits unzureichende Vorgaben stellen ein datenschutzwidriges Verhalten dar.
Überprüfen Sie daher (allenfalls in Abstimmung mit dem/der Datenschutzbeauftragten), ob Ihr Unternehmen über eine Datenschutzrichtlinie verfügt und wenn ja, ob diese auch den Themenbereich Home-Office und somit die Maßnahmen, die Ihre Mitarbeiter im Home-Office ergreifen müssen, in zulässiger Weise und ausreichend regelt.
Organisatorische Maßnahmen
Im nächsten Schritt müssen Sie Ihren Mitarbeitern klare organisatorische Maßnahmen vorgeben, welche diese stets einzuhalten haben. Dabei sollte es sich um verständliche und praktisch umsetzbare datenschutzrechtliche Regelungen und Vorgaben handeln. Insbesondere für folgende Punkte sind organisatorische Maßnahmen festzulegen:
- Wie erfolgt der Transport von Daten zwischen Unternehmen und Home-Office, sowie der allfällige Rücktransport?
- Welche Dokumente dürfen das Unternehmen verlassen?
- Wie wird der sichere Transport dieser Dokumente zwischen dem Unternehmen und dem privaten Arbeitsplatz im Home-Office gewährleistet?
- Wie ist der Arbeitsplatz im Home-Office datenschutzkonform einzurichten, sodass ein Fremdzugriff ausgeschlossen ist?
- Wie haben die Mitarbeiter Dokumente bzw. Unterlagen datenschutzkonform zu verwahren und zu vernichten?
- Welche Maßnahmen sind im Falle eines Datenverlustes oder widerrechtlichen Fremdzugriffs zu ergreifen?
Technische Maßnahmen
Die technische Sicherheit im Home-Office sollte oberste Priorität für das Unternehmen haben. Die Umsetzung technischer Maßnahmen zur datenschutzrechtlichen Absicherung des Home-Office muss stets dem aktuellen Stand der Technik entsprechen. Im Vordergrund steht in diesem Zusammenhang die Datenverarbeitung an technischen Geräten im Home-Office sowie der (interne als auch externe) Datenversand. Insbesondere zu folgenden Punkten sind jedenfalls ausreichende technische Maßnahmen zu ergreifen:
- Stellt das Unternehmen den Mitarbeitern die IT-Ausstattung (Laptops, PCs, Handy etc.) zur Verfügung oder greifen diese auf ihre privaten IT-Geräte zurück?
- Bieten die IT-Geräte einen sicheren und verschlüsselten Datentransfer und erfüllen den einzuhaltenden technischen Sicherheitsstandard?
- Wo und wie sind die IT-Geräte zu nutzen?
- Welche Mindestanforderungen sind an WLAN- oder LAN-Verbindungen zu stellen?
- Ist im Unternehmen ein Virtual Private Network (VPN) installiert und sind die IT-Geräte der Mitarbeiter an dieses angeschlossen?
- Welche Video- bzw Chat/Kommunikationstools sind für die interne wie externe Kommunikation zu nutzen?
- Wie sind Daten von privaten IT-Geräten der Mitarbeiter zu löschen?
Betriebsvereinbarung
Oft wird übersehen, dass bereits die automationsunterstützte Verarbeitung von Arbeitnehmerdaten (und dies geschieht in Praxis in jedem Unternehmen schon durch Anwendungen wie Microsoft Outlook oder eine VoIP-Telefonanlage) in Unternehmen mit Betriebsrat im Regelfall einer entsprechenden Betriebsvereinbarung bedarf. Darüber hinaus brachte die DSGVO im Arbeitnehmerdatenschutz zudem neue Verpflichtungen mit sich, deren Einhaltung gerade in Zeiten der Digitalisierung von höchster Bedeutung ist. Diese betreffen nicht nur zahlreiche Informations- und Aufklärungspflichten, sondern lösen auch einen Anpassungsbedarf bei den Betriebsvereinbarungen aus. In betriebsratspflichtigen Betrieben sind Betriebsvereinbarungen, welche die Verarbeitung von Beschäftigtendaten regeln oder voraussetzen, nun nach den allgemeinen Anforderungen der Transparenz und Nachvollziehbarkeit der DSGVO aufzusetzen. Und wo solche Betriebsvereinbarungen fehlen, sollten diese ohne Verzug erstellt und abgeschlossen werden.
Wir empfehlen Ihnen daher, eine konkrete Erhebung und Beschreibung der Datenverarbeitung (Datenkategorien, Übermittlung, Zwecke und mögliche Zweckänderung, IT-Systeme, Speicherorte, etc.) vorzunehmen und die notwendigen Maßnahmen zur Wahrung der Rechte der Betroffenen genau zu definieren. Weiters sollten genau Zugriffsberechtigungskonzepte sowie Speicherfristen und Löschzeitpunkte festgelegt werden, denn viele der in Europa bislang ausgesprochenen Geldstrafen erfolgten vor dem Hintergrund zu lange (und somit widerrechtlich) aufbewahrter Daten.
Datenschutzrechtlich sachgerecht gestaltete Betriebsvereinbarungen können in der Praxis auch unter der Geltung der DSGVO ein ausgesprochen sinnvolles Mittel sein, um Kontrollinteressen des Arbeitgebers und die Datenschutzrechte der Arbeitnehmer zu einem angemessenen Ausgleich zu bringen. Sie können daher ein hohes Maß an Rechtssicherheit bei der Datenverarbeitung am Arbeitsplatz schaffen.
Die Implementierung des Datenschutzes im gesamten Unternehmen
Gerade wenn eine digitalisierte Welt auf eine solche Krise stößt, die wohl auch in nähere Zukunft anhalten wird, dürfen Unternehmen die Wichtigkeit des Datenschutzes nicht unterschätzen. Der richtige Umgang mit den datenschutzrechtlichen Vorgaben (der DSGVO und des DSG) muss nicht nur im Home-Office, sondern im gesamten Unternehmen gewährleistet sein. Ist der Datenschutz im Unternehmen vollständig implementiert, sind Herausforderungen, wie wir sie jetzt erleben, in Zukunft leichter, effizienter und rascher zu meistern. Es seien nun einige Aspekte dargestellt, die Ihr Unternehmen zweifelsfrei vor Herausforderungen stellen, jedoch vor möglichen Verstößen und drohenden Strafen der Datenschutzbehörde bewahren können und werden.
Digitaler Personalakt
Der digitale Personalakt ist nicht mehr ein fernes Zukunftsmodell, sondern für viele Unternehmen bereits selbstverständliche Realität. Die Vorteile des digitalen Personalakts sind unzählig: alle Dokumente sind digitalisiert und in einer zentralen Ablage gespeichert, der Dokumentenzugriff erfolgt rasch und einfach. Nur mit einem digitalen Personalakt kann ein Unternehmen in praktischer Hinsicht die Vorgaben des Datenschutzes umfassend und effizient erfüllen. Doch der digitale Personalakt birgt bei nicht korrekter Implementierung auch gehörige Gefahren. Welche Daten/Dokumente dürfen überhaupt gespeichert werden und wie lange (dazu gleich unten)? Und wer darf Zugriff auf welche Daten/Dokumente haben? So notwendig, wie der digitale Personalakt selbst ist, so notwendig ist auch seine (datenschutz)rechtlich korrekte Implementierung sowie sein (datenschutz)rechtskonformer Betrieb.
Datenbankanalyse sowie Datenbankbereinigung
Nicht nur, aber auch im Rahmen der Einrichtung eines digitalen Personalakts werden sämtliche vorhandenen Daten oft unüberlegt und voreilig digitalisiert. Viele Unternehmen besitzen und verarbeiten daher (ob nun ein digitaler Personalakt vorhanden ist oder nicht) noch immer, trotz strikter Vorgaben der DSGVO, Unmengen an Daten, darunter auch hoch sensible Daten, für deren Verarbeitung jedoch eine Rechtsgrundlage fehlt. Hier blickt man der Gefahr hoher Strafen durch die Datenschutzbehörde unmittelbar ins Auge. Wir empfehlen daher, so rasch wie möglich eine Datenbankbereinigung vornehmen zu lassen, um ein nicht notwendiges aber real vorhandenes Gefahrenpotenzial zu beseitigen.
Erstellung eines Löschkonzepts
Viele Unternehmen verfügen über eine immense Anzahl an personenbezogenen Daten, deren Verarbeitung/Speicherung jedoch nicht (mehr) notwendig und somit verboten ist. Denken Sie an E-Mail Accounts und sonstige Daten längst ausgeschiedener Mitarbeiter, für die mittlerweile jeglicher Verarbeitungsgrund fehlt. Die DSGVO sieht hier eine strikte Bindung der Verarbeitung an einen Zweck vor. Verarbeitet (speichert) man Daten über diesen Zweck hinaus weiter, stellt dies einen Verstoß gegen die datenschutzrechtlichen Vorgaben dar. Umgekehrt sollte man allerdings, schon aus unternehmerischem Eigeninteresse, Daten auch nicht zu früh löschen und dabei womöglich gegen Aufbewahrungspflichten verstoßen oder sich selbst wichtiger Daten und Informationen (etwa zur Abwehr von Rechtsansprüchen oder Verteidigung vor Gericht) begeben.
Auch hier legen wir Ihnen nahe, ein präzises Löschkonzept festlegen zu lassen, welches für jegliche Datenverarbeitung eine bestimmte Aufbewahrungsdauer sowie einen bestimmten Löschzeitpunkt festlegt. Dies alles natürlich unter dem Aspekt der Einhaltung sämtlicher (datenschutz)rechtlicher Vorgaben und Pflichten.
Gewappnet für die Herausforderungen von morgen
Ein vollständiges, rechtlich abgesichertes und praktisch funktionierendes Datenschutzkonzept hilft natürlich auch beim Umgang mit neuen Herausforderungen. Änderungen der vorhandenen IT-Infrastruktur, die Aufnahme neuer Geschäftsfelder und Tätigkeitsbereiche oder die Implementierung neuer Tools und Prozesse – all dies bringt datenschutzrechtliche Pflichten mit sich. Funktioniert das Datenschutzkonzept im Unternehmen heute, sind auch Einführungen neuer oder Änderungen bestehender Maßnahmen morgen problemlos machbar Je mehr man hierbei auf digitale Lösungen setzt, desto mehr reduzieren sich der organisatorische und finanzielle Aufwand sowie rechtliche Risiken.
Bereits nächstes Jahr wird etwa die Whistleblowing-Richtlinie in österreichisches Recht umzusetzen sein. Für alle Unternehmen mit 50 Mitarbeitern oder mehr sowie für Unternehmen aus bestimmten Bereichen sowie dem öffentlichen Sektor losgelöst von der Mitarbeiteranzahl wird es dann Pflicht sein, ein Meldesystem zum Schutz von Hinweisgebern zu führen, die Betrugsfälle melden. Dass dies einer datenschutzkonforme Implementierung bedarf, liegt auf der Hand. Ebenso liegt auf der Hand, dass dies in einem sicheren, digitalen Umfeld leichter fällt.
Fazit
Es ist jedem bewusst, dass in solch ungewissen Krisenzeiten viele Unternehmen unter Hochspannung stehen und weiterhin funktionieren müssen. Man sollte gerade diese Zeiten, die Unternehmen (manchmal früher als von diesen gewollt) in die Digitalisierung zwingen, jedoch auch als Chance verstehen. Als Chance, jetzt mit den richtigen Tools ein digitales Umfeld aufzubauen und sogleich ein vollständiges Datenschutzkonzept zu erstellen und umzusetzen. Dies auch vor dem Hintergrund der aktuell hohen Sensibilisierung der Datenschutzbehörde. Wer jetzt die ersten oder weiteren Schritte in die Digitalisierung setzt und dabei sowohl auf technischer wie auch auf rechtlicher Ebene alle notwendigen Maßnahmen ergreift, ist für die Zukunft gut gewappnet.