Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Tag

Art. 30 DSGVO

Mittlerweile haben sehr viele Unternehmen die Beschäftigten,  bei denen die Tätigkeit auch im Home Office möglich ist, in selbiges verfrachtet. Im ersten Teil haben wir Sie dabei unterstützt: Wie Sie ein Einvernehmen mit den Beschäftigten über das Home Office herstellen, wie notfalls auch mit privaten Geräten gearbeitet werden kann, wie der Zugriff auf E-Mails von statten gehen und wie die benötigte IT-Richtlinie aussehen kann. Das waren unsere 6 Schritte per UYOD ins Home Office – HEUREKA, mag nun die ein oder andere denken.

Nun, da die Arbeitsfähigkeit zumindest in Teilen gesichert ist, kommt jedoch noch ein wenig Arbeit auf Sie zu. Ein paar Dokumente werden schon benötigt, damit auch der Schutz von personenbezogenen Daten sichergestellt und vor allem auch nachgewiesen ist.

Wir haben das im ersten Teil schon angedeutet und versprochen zu erläutern, was „später“ noch getan werden muss. Nun denn:

Was muss jetzt noch getan werden?

Nicht dass hier Klagen kommen: Ja, Pragmatismus ist super und es ist toll, dass das Unternehmen dank Home Office noch handlungsfähig ist. Wenn aber Daten verloren gehen, seien es personenbezogene Daten oder auch schlicht Betriebsinterna, kann das auch sehr unschöne Folgen für das Unternehmen haben. Die Aufsichtsbehörden haben angekündigt, dass die inoffizielle Schonzeit vorbei sei und Datenschutzverstöße nun geahndet werden. Möglicherweise mag das während der aktuellen Krise ein wenig langsamer von statten gehen – aber die Krise geht vorbei. Ganz abgesehen von Bußgeldern: Es ist auch im eigenen Interesse, dass IT-Sicherheit und Datenschutz beachtet wird. Niemand möchte schlechte Presse wegen Datenschutzverstößen. Vor allem möchte niemand wertvolle Arbeitszeit zur Schadensbegrenzung einsetzen, weil bspw. durch falsche Berechtigungskonzepte der gekündigte Mitarbeiter alles löschte, was ihm in die Finger kam. Daher ist es besser, Sie kümmern sich drum.

In normalen Zeiten, wenn Sie also nicht gerade holterdipolter die Belegschaft in Home Office verfrachtet hätten und nun die Dinge gerade ziehen müssten, wäre für die DSGVO-Compliance nun ein klarer Fahrplan angesagt, so wie er hier ausgeführt wird. Sofern Sie das noch nicht gemacht haben, sollten Sie sich darum kümmern, sobald es die Prioritäten zulassen.

Erster Punkt ist dann immer das Verzeichnis von Verarbeitungstätigkeiten – weshalb, erkläre ich Ihnen unten. Die folgende Liste ist der aktuellen Situation geschuldet und entspricht NICHT der regulär empfohlenen Reihenfolge. Die nun folgende Sortierung ist (ausnahmsweise, Sie wissen schon) auch nicht zwingend:

  • Regelungen zum Home Office
  • IT- und Datenschutzrichtlinie
  • Dokumentation über Meldepflichten bei einer Datenpanne
  • Verpflichtung auf Vertraulichkeit nach dem Datenschutz
  • Auftragsverarbeitungsvereinbarungen
  • Information zur Datenverarbeitung
  • Verzeichnis der Verarbeitungstätigkeiten

Nur, damit wir uns nicht missverstehen: Das hier ist nicht die Kür. Wir sprechen von Pflichten, die die DSGVO Ihnen auferlegt. Pflichten, die Sie erfüllen müssen, um Ihre IT-Sicherheit im Griff zu haben und Bußgeldern zu entgehen.

Den ganzen Artikel lesen.

Im August erschien an dieser Stelle der erste Teil des Fachaufsatzes zu den vielen Mythen und Halbwahrheiten, die sich um den Datenschutz im Beschäftigungsverhältnis ranken.

Dort konnten Sie unter anderem erfahren, warum es gerade keiner Unterschrift von Bewerbern unter die Datenschutzerklärung bedarf, man weiterhin Personalmanagement-Systeme nutzen kann und nicht wegen der DSGVO zur analogen Personalverwaltung zurückkehren muss.

Nachdem mit diesen Mythen und Halbwahrheiten aufgeräumt wurde, geht es nun um die ToDos, den Leitfaden, an dem Sie sich für eine DSGVO-konforme Arbeit im Beschäftigungsverhältnis orientieren müssen. Dabei geht es unter anderem um das gefürchtete Verzeichnis von Verarbeitungstätigkeiten, den konkreten Maßnahmen und was bei einer Datenpanne zu tun ist.

Was nun aber genau an notwendigen Maßnahmen (*spoiler, es sind nur *acht* Punkte!) ergriffen werden muss, um den Anforderungen an die DSGVO gerecht zu werden und somit sicher die Personalverwaltung zu digitalisieren und das volle Potential aktueller wissenschaftlicher Feststellungen der Eignungsdiagnostik zu nutzen, erklärt Rechtsanwältin Nina Diercks im zweiten Teil ihres Fachaufsatzes

Datenschutz im Beschäftigungsverhältnis – Teil 2

Zeit, mit den Mythen aufzuräumen und endlich das Notwendige zu tun!

der in der zfm, 2019, 186 erschien und der wieder freundlicherweise in Absprache mit der Schriftleiterin (Danke an @DanielaGaub!) an dieser Stelle öffentlich zugänglich gemacht werden darf.

Nun können Sie voll durchstarten und brauchen endgültig keine Sorge mehr vor Einwilligungsmonstern, DSGVO-Schreckgespensten und anderen Befürchtungen rund um den Beschäftigtendatenschutz haben.

Artikel lesen

Der erste Teil findet sich übrigens im Blogbeitrag aus dem August!

In diesem Sinne,

bis bald!

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.