2010/3 | Fachbeitrag | Datenschutz

Der neue Datenschutz - und die Auswirkungen für das betriebliche Wissensmanagement

von Karl-Uwe Lüllemann

Inhaltsübersicht:

 

Das Bundesdatenschutzgesetz (BDSG) wurde in drei Wellen überarbeitet und erneuert. Diese Änderungen haben gravierende und ganz praktische Auswirkungen für jedes Unternehmen. Es gibt eine große Anzahl neuer Pflichten sowie eine Erhöhung und Erweiterung des Bußgeldkataloges bis hin zur neuen „Gewinnabschöpfung“. Die Vielzahl der Änderungen lassen sich hier nicht in aller Breite darstellen, sodass im Folgenden nur auf die für das Wissensmanagement relevanten Neuerungen eingegangen wird.

 

Welche Relevanz hat der neue Datenschutz für das Wissensmanagement?

Die folgenden acht Punkte zeigen die wesentlichen Änderungen bzw. Neuerungen des neuen Datenschutzes, die Relevanz für das Wissensmanagement haben:

 

Verbot der „Andersnutzung“ von Daten aus Wahrnehmung von Datenschutzrechten (§ 6 Abs. 3 BDSG)

Bedeutung: Übt ein Betroffener Rechte aus dem BDSG oder einer anderen Vorschrift zum Datenschutz aus, so darf diese Nutzung nicht anderweitig verwendet werden. Beispiel: In der Vergangenheit hat die Nutzung der gesetzlichen Auskunftspflicht gegenüber der Schufa zu einer Verschlechterung des Score-Wertes geführt.

 

Kennzeichnungspflicht von Schätzdaten (§ 35 Abs. 1 S. 2 BDSG)

Bedeutung: Wer beispielsweise Datamining betreibt oder Score-Werte bildet bzw. nutzt, muss diese Werte als Schätzwerte kennzeichnen.

 

Verbot der automatischen Einzelentscheidung mit negativer Entscheidung für den Betroffenen (§ 6a BDSG)

Bedeutung: Keine beeinträchtigenden Entscheidungen ausschließlich auf Basis automatisierter Datenverarbeitung Beispiel: Score-Verfahren

 

Zulässigkeit des Scorings

Anwendungsbereich: Score-Werte (Wahrscheinlichkeitswerte) dürfen zur Entscheidung verwendet werden, wenn es um den Beginn, die Durchführung oder die Beendigung eines Vertrages geht. Zulässigkeitsvoraussetzungen: Es muss ein wissenschaftlich anerkanntes mathematisch-statisches Verfahren zur Berechnung des Score-Wertes Verwendung finden. Für die Berechnung des Score-Wertes dürfen nicht nur Anschriftendaten genutzt werden. Wenn Anschriftendaten hinzugezogen werden, ist der Betroffene zuvor hierüber zu informieren und diese Info-Pflicht ist zu dokumentieren. Außerdem erfolgt eine starke Erweiterung der Auskunftspflichten, z.B. welche Datenarten zur Berechnung des Score-Wertes genutzt werden und welche Bedeutung der Score-Wert hat. Die Bußgelder werden auf 50.000 bzw. 300.000 Euro erhöht; die Geldbuße soll den wirtschaftlichen Vorteil übersteigen.

 

Auftragsdatenverarbeitung (§ 11 BDSG)

Es bestehen neue Anforderungen an die Vertragsgestaltung beim Outsourcing sowie neue Pflichten zur Auftragskontrolle vor und während des Outsourcings plus Dokumentation.

 

Arbeitnehmerdatenschutz (§ 32 BDSG)

Regelt die Datenverarbeitung im Beschäftigungsverhältnis. Erlaubt die Datenverarbeitung für die Anbahnung, Durchführung oder Beendigung des Beschäftigungsverhältnisses. Erlaubt Maßnahmen des Arbeitgebers zur Kontrolle der vertraglichen Pflichten der Arbeitnehmer (z.B. automatische Zeiterfassung). Erlaubt die Datenverarbeitung zur Aufdeckung einer Straftat.

 

Die von § 4 BDSG geforderte Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist, neben § 32, nach wie vor die individuelle Einwilligung (gem. § 4a BDSG) beziehungsweise die Betriebsvereinbarung.

 

Wie müssen Unternehmen auf die Datenschutzänderungen reagieren?

Da die ersten und wichtigsten Änderungen (Novelle II) bereits seit dem 1. September 2009 in Kraft sind (die Novelle I tritt zum 01.04.2010 in Kraft), besteht dringender Handlungsbedarf. Der Datenschutzbeauftragte des Unternehmens muss sich mit den Gesetzesänderungen vertraut machen. Anschließend geht es darum, den Neuerungen zeitnah Rechnung zu tragen sowie eventuelle Defizite abzustellen. Empfehlenswert ist es deshalb, die Gesetzesänderung zum Anlass zu nehmen, eine Datenschutzanalyse bzw. ein Audit auf Basis der aktuellen Novellen durchzuführen, um das bisher Umgesetzte zu validieren und sich die verbleibenden Risiken aufzeigen zu lassen.

 

Ziel muss es hier sein, Klarheit über den Status Quo des Datenschutzes im Unternehmen und die Aufgaben, die noch zu bearbeiten sind, zu erhalten und eine Handlungsanweisung für die nächsten Jahre zu erarbeiten, um die Ergebnisse im Bereich Datenschutz für den Datenschutzbeauftragten und die Geschäftsführung messbar zu machen.

Diese Artikel könnten Sie auch interessieren

Effektiver Schutz vor Cyber-Kriminalität muss nicht teuer sein

WISSENplus
Russische Hacker attackierten bei einer Serie von Cyber-Angriffen etwa 420.000 Websites und stahlen rund 1,2 Milliarden Nutzernamen und Passwörter. Diese Meldung sorgte in der Internetgemeinde Anfang August für Wirbel. Aber das wirklich Erschreckende daran ist die Tatsache, dass solche Nachrichten anscheinend mittlerweile zu unserem Alltag gehören....

Weiterlesen

DSGVO: Abmahnungen vorbeugen, Bußgelder vermeiden

WISSENplus
Während die Aufsichtsbehörden sich kurz nach Inkrafttreten der DSGVO noch mit Bußgeldern zurückhielten, ist diese Übergangsphase nun beendet. Beispiele aus jüngerer Zeit zeigen, dass Bußgelder v.a. für die Verlet­zung des Transparenzgebotes und wegen Verletzung der Grundsätze zur Sicherheit der Verarbeitung verhängt werden. Doch wie lassen sich Bußgelder vermeiden? Und drohen auch Abmahnungen d...

Weiterlesen

BYOD – ja oder nein? Über die Sinnhaftigkeit eines Trends

WISSENplus
Mit BYOD (Bring Your Own Device) konfrontiert, sehen Mitarbeiter oft nur die Vorteile dieser Entwicklung, unterschätzen aber die Konsequenzen. Denn hier geht es vornehmlich um die Entscheidung Bequemlichkeit versus Privatsphäre. Dabei ist ein Kompromiss kaum machbar, es müssen jeweils massive Einschränkungen in Kauf genommen werden....

Weiterlesen

Compliance 2.0: Worauf kommt es an?

WISSENplus
Wir leben heute in einer digitalen Welt, in der die Faktoren Gesellschaft, Technologie, Business und Recht eine dynamische Einheit bilden. Sie bedingen und beeinflussen einander: So ermöglichen neue Technologien neue Business-Modelle und der Mensch wird durch die Möglichkeit des mobilen Arbeitens zu einem Smart Worker. Diese Entwicklung krempelt nach und nach auch bestehende Gesetze und Richtlinien um. F...

Weiterlesen

Mitarbeiterportal auf Leistungsfähigkeit prüfen

WISSENplus
Das Internet hat sich als wichtiger Vertriebskanal längst etabliert. Dementsprechend investieren Marketing- und Sales-Verantwortliche viel in professionelle Online-Auftritte. In zahlreichen Unternehmen haben Abteilungen wie die interne Unternehmenskommunikation, das Produkt- oder das Wissensmanagement parallel dazu viel Geld in den Aufbau von Intranets und sogenannten Employee-Self-Service-Portalen gesteck...

Weiterlesen

IT-Sicherheit: ISO 27001 nimmt Unternehmen in die Pflicht

WISSENplus
Das Spielfeld Informationsdiebstahl ist bunt, lebhaft und abwechslungsreich. Beispielsweise staunte die mobile Community nicht schlecht, als vor einigen Wochen Sicherheitsexperten bekannt gaben, dass sie einen Trojaner auf einem Smartphone entdeckt haben. Frei Haus, nicht zu desinstallieren und der erste seiner Art auf einem Smartphone, das „bereits ab Werk mit einem umfassenden Spionageprogramm ausgelief...

Weiterlesen

IT-Security gehört auf die Manager-Agenda

WISSENplus
Die Digitalisierung hat zweifelsohne vielen Unternehmen zu höherer Effizienz und dadurch zu wachsendem wirtschaftlichen Erfolg verholfen. Doch es gibt eine Kehrseite der Medaille: Mit dem zunehmenden Ausbau der Breitbandversorgung, dem Einsatz von mobilen Endgeräten und auch der steigenden Bedeutung von neuen Technologien wie Cloud Computing ergeben sich immer neue Angriffspunkte auf die IT-Sicherheit. Di...

Weiterlesen

Neue EU-Datenschutzgrundverordnung: Wie übermittle ich sensible Daten?

Binding Corporate Rules, kurz BCR, haben sich gerade in großen Konzernen, welche innerhalb ihres Unternehmens personenbezogene Daten übermitteln wollen, bereits seit einigen Jahren etabliert. Diese spielen dann eine Rolle, wenn Daten nicht nur in der EU, sondern auch in sog. unsichere Drittstaaten, also solche für die keine Angemessenheitsbeschlüsse der EU-Kommission vorliegen, übermittelt werden solle...

Weiterlesen