2010/3 | Fachbeitrag | Datenschutz

Der neue Datenschutz - und die Auswirkungen für das betriebliche Wissensmanagement

von Karl-Uwe Lüllemann

Inhaltsübersicht:

 

Das Bundesdatenschutzgesetz (BDSG) wurde in drei Wellen überarbeitet und erneuert. Diese Änderungen haben gravierende und ganz praktische Auswirkungen für jedes Unternehmen. Es gibt eine große Anzahl neuer Pflichten sowie eine Erhöhung und Erweiterung des Bußgeldkataloges bis hin zur neuen „Gewinnabschöpfung“. Die Vielzahl der Änderungen lassen sich hier nicht in aller Breite darstellen, sodass im Folgenden nur auf die für das Wissensmanagement relevanten Neuerungen eingegangen wird.

 

Welche Relevanz hat der neue Datenschutz für das Wissensmanagement?

Die folgenden acht Punkte zeigen die wesentlichen Änderungen bzw. Neuerungen des neuen Datenschutzes, die Relevanz für das Wissensmanagement haben:

 

Verbot der „Andersnutzung“ von Daten aus Wahrnehmung von Datenschutzrechten (§ 6 Abs. 3 BDSG)

Bedeutung: Übt ein Betroffener Rechte aus dem BDSG oder einer anderen Vorschrift zum Datenschutz aus, so darf diese Nutzung nicht anderweitig verwendet werden. Beispiel: In der Vergangenheit hat die Nutzung der gesetzlichen Auskunftspflicht gegenüber der Schufa zu einer Verschlechterung des Score-Wertes geführt.

 

Kennzeichnungspflicht von Schätzdaten (§ 35 Abs. 1 S. 2 BDSG)

Bedeutung: Wer beispielsweise Datamining betreibt oder Score-Werte bildet bzw. nutzt, muss diese Werte als Schätzwerte kennzeichnen.

 

Verbot der automatischen Einzelentscheidung mit negativer Entscheidung für den Betroffenen (§ 6a BDSG)

Bedeutung: Keine beeinträchtigenden Entscheidungen ausschließlich auf Basis automatisierter Datenverarbeitung Beispiel: Score-Verfahren

 

Zulässigkeit des Scorings

Anwendungsbereich: Score-Werte (Wahrscheinlichkeitswerte) dürfen zur Entscheidung verwendet werden, wenn es um den Beginn, die Durchführung oder die Beendigung eines Vertrages geht. Zulässigkeitsvoraussetzungen: Es muss ein wissenschaftlich anerkanntes mathematisch-statisches Verfahren zur Berechnung des Score-Wertes Verwendung finden. Für die Berechnung des Score-Wertes dürfen nicht nur Anschriftendaten genutzt werden. Wenn Anschriftendaten hinzugezogen werden, ist der Betroffene zuvor hierüber zu informieren und diese Info-Pflicht ist zu dokumentieren. Außerdem erfolgt eine starke Erweiterung der Auskunftspflichten, z.B. welche Datenarten zur Berechnung des Score-Wertes genutzt werden und welche Bedeutung der Score-Wert hat. Die Bußgelder werden auf 50.000 bzw. 300.000 Euro erhöht; die Geldbuße soll den wirtschaftlichen Vorteil übersteigen.

 

Auftragsdatenverarbeitung (§ 11 BDSG)

Es bestehen neue Anforderungen an die Vertragsgestaltung beim Outsourcing sowie neue Pflichten zur Auftragskontrolle vor und während des Outsourcings plus Dokumentation.

 

Arbeitnehmerdatenschutz (§ 32 BDSG)

Regelt die Datenverarbeitung im Beschäftigungsverhältnis. Erlaubt die Datenverarbeitung für die Anbahnung, Durchführung oder Beendigung des Beschäftigungsverhältnisses. Erlaubt Maßnahmen des Arbeitgebers zur Kontrolle der vertraglichen Pflichten der Arbeitnehmer (z.B. automatische Zeiterfassung). Erlaubt die Datenverarbeitung zur Aufdeckung einer Straftat.

 

Die von § 4 BDSG geforderte Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist, neben § 32, nach wie vor die individuelle Einwilligung (gem. § 4a BDSG) beziehungsweise die Betriebsvereinbarung.

 

Wie müssen Unternehmen auf die Datenschutzänderungen reagieren?

Da die ersten und wichtigsten Änderungen (Novelle II) bereits seit dem 1. September 2009 in Kraft sind (die Novelle I tritt zum 01.04.2010 in Kraft), besteht dringender Handlungsbedarf. Der Datenschutzbeauftragte des Unternehmens muss sich mit den Gesetzesänderungen vertraut machen. Anschließend geht es darum, den Neuerungen zeitnah Rechnung zu tragen sowie eventuelle Defizite abzustellen. Empfehlenswert ist es deshalb, die Gesetzesänderung zum Anlass zu nehmen, eine Datenschutzanalyse bzw. ein Audit auf Basis der aktuellen Novellen durchzuführen, um das bisher Umgesetzte zu validieren und sich die verbleibenden Risiken aufzeigen zu lassen.

 

Ziel muss es hier sein, Klarheit über den Status Quo des Datenschutzes im Unternehmen und die Aufgaben, die noch zu bearbeiten sind, zu erhalten und eine Handlungsanweisung für die nächsten Jahre zu erarbeiten, um die Ergebnisse im Bereich Datenschutz für den Datenschutzbeauftragten und die Geschäftsführung messbar zu machen.

Diese Artikel könnten Sie auch interessieren

IT-Sicherheit: ISO 27001 nimmt Unternehmen in die Pflicht

WISSENplus
Das Spielfeld Informationsdiebstahl ist bunt, lebhaft und abwechslungsreich. Beispielsweise staunte die mobile Community nicht schlecht, als vor einigen Wochen Sicherheitsexperten bekannt gaben, dass sie einen Trojaner auf einem Smartphone entdeckt haben. Frei Haus, nicht zu desinstallieren und der erste seiner Art auf einem Smartphone, das „bereits ab Werk mit einem umfassenden Spionageprogramm ausgelief...

Weiterlesen

IT-Sicherheit vs. Totalüberwachung

WISSENplus
IT-Sicherheit und der Schutz personenbezogener Daten sind nicht erst seit dem NSA-Skandal um den Whistleblower Edward Snowden heiß diskutierte Themen in der IT-Branche und darüber hinaus. Die Gefahren gehen von Geheimdiensten, staatlichen Hackern und Trojanern aus, ebenso wie von konkurrierenden Unternehmen. Selbst die eigenen Mitarbeiter können durch Unachtsamkeit oder Unwissenheit Firmendaten gefährde...

Weiterlesen

Mitarbeiterportal auf Leistungsfähigkeit prüfen

WISSENplus
Das Internet hat sich als wichtiger Vertriebskanal längst etabliert. Dementsprechend investieren Marketing- und Sales-Verantwortliche viel in professionelle Online-Auftritte. In zahlreichen Unternehmen haben Abteilungen wie die interne Unternehmenskommunikation, das Produkt- oder das Wissensmanagement parallel dazu viel Geld in den Aufbau von Intranets und sogenannten Employee-Self-Service-Portalen gesteck...

Weiterlesen

Neue EU-Datenschutzgrundverordnung: Wie übermittle ich sensible Daten?

Binding Corporate Rules, kurz BCR, haben sich gerade in großen Konzernen, welche innerhalb ihres Unternehmens personenbezogene Daten übermitteln wollen, bereits seit einigen Jahren etabliert. Diese spielen dann eine Rolle, wenn Daten nicht nur in der EU, sondern auch in sog. unsichere Drittstaaten, also solche für die keine Angemessenheitsbeschlüsse der EU-Kommission vorliegen, übermittelt werden solle...

Weiterlesen

Compliance 2.0: Worauf kommt es an?

WISSENplus
Wir leben heute in einer digitalen Welt, in der die Faktoren Gesellschaft, Technologie, Business und Recht eine dynamische Einheit bilden. Sie bedingen und beeinflussen einander: So ermöglichen neue Technologien neue Business-Modelle und der Mensch wird durch die Möglichkeit des mobilen Arbeitens zu einem Smart Worker. Diese Entwicklung krempelt nach und nach auch bestehende Gesetze und Richtlinien um. F...

Weiterlesen

End-of-Life-Management: Sensible Daten zuverlässig & revisionssicher löschen

WISSENplus
Das richtige Handling der immer schneller anwachsenden digitalen Datenmengen ist in Zukunft ein wichtiger Faktor für den unternehmerischen Erfolg, vor allem wenn es sich um sensible Geschäfts- und Personendaten handelt. Ein professionelles Datenmanagement geht dabei bereits heute weit über das reine Speichern und Verwalten der Daten während ihres Lebenszyklus hinaus und betrifft, u.a. aus rechtlichen Gr...

Weiterlesen

DSGVO: Abmahnungen vorbeugen, Bußgelder vermeiden

WISSENplus
Während die Aufsichtsbehörden sich kurz nach Inkrafttreten der DSGVO noch mit Bußgeldern zurückhielten, ist diese Übergangsphase nun beendet. Beispiele aus jüngerer Zeit zeigen, dass Bußgelder v.a. für die Verlet­zung des Transparenzgebotes und wegen Verletzung der Grundsätze zur Sicherheit der Verarbeitung verhängt werden. Doch wie lassen sich Bußgelder vermeiden? Und drohen auch Abmahnungen d...

Weiterlesen

Datenschutz in der Cloud: Rechtliche Hürden beim Online-Recruiting

WISSENplus
Mit cloud-basierten Recruiting-Management-Plattformen können Unternehmen Bewerbungsprozesse schneller, effizienter und kostengünstiger gestalten. Denn das gesamte Bewerbungsverfahren von der Stellenausschreibung bis hin zur Einstellung kann damit verwaltet und gesteuert werden. So ist es für Personalverantwortliche nicht mehr notwendig, auf Excel-Tabellen oder ähnliche Tools zurückzugreifen. Personalab...

Weiterlesen