.png?width=225&height=45&name=Logo_mit_Bechtle_s%20(4).png){kind=logo}
.png?width=163&height=32&name=Logo_mit_Bechtle_s%20(4).png){kind=logo}
Was sind Herausforderungen des Datenschutzes bei der Implementierung von modernen Technologien im Arbeitskontext?
Bei der Implementierung von modernen Technologien müssen Unternehmen nach den Vorgaben der Datenschutzgesetze handeln. Dieses Vorgehen ist jedoch auch mit einigen Herausforderungen verbunden, welche im Folgenden kurz vorgestellt werden (ohne Anspruch auf Vollständigkeit):
| Die Datenverarbeitung ist nach DSGVO nur unter bestimmten Bedingungen erlaubt: |
|
| Einhaltung von Pflichten und den Grundsätzen der Datenverarbeitung als datenschutzrechtlich Verantwortliche:r: |
|
| Neue Technologien (insbesondere solche, wo es noch keine Praxiserfahrungen der Aufsichtsbehörden gibt) müssen genau analysiert werden: |
|
| Zuvor: Betrachtung der Anforderungen und Abgleich mit Leistungsspektrum der Software: |
|
Ist sich das Unternehmen dieser Anforderungen bewusst und handelt entsprechend, ist bereits ein guter Grundstein für DSGVO-Konformität gegeben.
Was sind die wichtigsten Datenschutzanforderungen, die Unternehmen bei der Implementierung von Technologien im Arbeitskontext beachten müssen?
Die datenschutzrechtlichen Anforderungen sind entscheidend für die Umsetzung einer rechtskonformen Implementierung von Technologien im Arbeitskontext. Unternehmen sollten sich daher sorgfältig mit diesen auseinandersetzen, bevor sie neue Technologien implementieren. Einige der wichtigsten Anforderungen werden im Folgenden aufgeführt:
Berücksichtigung aller Gesetze, die sich auf den Datenschutz beziehen (DSGVO, BDSG, …):
- Bei erlaubter oder geduldeter Privatnutzung von Mail und Internet auf weitere geltende Gesetze achten
- Prüfen, welche Gesetze gelten für das jeweilige Unternehmen und die dazugehörigen Technologien
TOM (technische und organisatorische Maßnahmen) umsetzen:
- Sie müssen dokumentiert sein, nachweisbar und sollten regelmäßig geprüft werden, ob diese noch ausreichen
- Dadurch werden u.a. personenbezogene Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Beschädigung geschützt
Kommunikation der Prozesse:
- Datenverarbeitungen müssen dokumentiert und sollten als Prozesse standardisiert sein, da sonst ein Kontrollverlust droht
Verträge, Gesetze, Einwilligungen und Rechtsgrundlagen für die Rechtmäßigkeit der Verarbeitung:
- Grundlagen/Basis, um überhaupt Daten verarbeiten zu dürfen
- Bei der Einwilligung gilt es zu beachten, dass diese ein Kopplungsverbot hat und somit nicht an etwas anderes gekoppelt werden darf
- Es dürfen nur Daten, die zur Erbringung der Dienstleistung nötig sind, erhoben werden
Allgemeine Definition von Prozessen, wie im Falle eines Datenschutzvorfalles zu agieren ist sowie ein Prozess, wann der/die Datenschutzbeauftragte eingebunden wird:
- Die/ der Datenschutzbeauftragte sollte bei der Implementierung von neuen Technologien von Anfang an beratend dabei sein und Verantwortliche in datenschutzrechtlichen Themen unterstützen
- Wird sie/ er erst am Ende hinzugezogen, kann es zum Showstopper kommen, wenn festgestellt wird, dass die Implementierung nicht datenschutzkonform möglich ist
- Verantwortliche nach DSGVO ist dafür zuständig, was mit den Prozessen passiert und trägt am Ende immer die Verantwortung, wenn etwas schiefläuft
Werden diese Anforderungen im Prozess der Implementierung berücksichtigt, kann das Unternehmen bereits einige Risiken zur Datenschutzverletzung umgehen und verhindert, dass die DSGVO zum Showstopper wird.
Welche Risiken bestehen bei Nichteinhaltung rechtlicher Anforderungen?
Die Nichteinhaltung rechtlicher Anforderungen, in Bezug auf Datenschutz, bei der Implementierung von Technologien im Arbeitskontext, kann zu verschiedenen Risiken führen. Hier sind einige mögliche Risiken:
Insgesamt kann die Nichteinhaltung datenschutzrechtlicher Anforderungen bei der Implementierung von Technologien im Arbeitskontext zu einer Vielzahl von Risiken führen. Diese können für das Unternehmen teuer werden und gegebenenfalls langfristig schädigend sein. Es ist daher wichtig, sicherzustellen, dass alle datenschutzrechtlichen Anforderungen erfüllt sind, um diese Risiken zu minimieren.
Wie können Unternehmen die DSGVO-konforme Implementierung von Technologien im Arbeitskontext sicherstellen?
Um die DSGVO-konforme Implementierung von Technologien im Arbeitskontext sicherzustellen, können Unternehmen die folgenden Schritte unternehmen:
Konform gibt es nicht, höchstens konformer:
- Das Unternehmen sollte immer so konform wie möglich handeln, da stetig neue Vorgaben und Entscheidungen erscheinen
- Überspitzt gesagt: „ Was gestern noch konform war, kann es heute schon wieder nicht sein“
- Datenschutzbeauftrage spätestens ernennen, wenn dies verpflichtend nach DSGVO und/oder BDSG neu vorgegeben ist
Klären, wofür die neue Technologie eingesetzt werden soll:
- Zu Beginn einen Plan erstellen, was will und kann das Unternehmen mit der Technologie machen
- Wie verhält sich die neue Technologie datenschutzrechtlich
- Fachliche sowie rechtliche Betrachtung der Technologie und ihrem Einsatz
- Datenschutzbeauftragte einbinden
Verarbeitungsverzeichnis führen:
- Ist verpflichtend zu führen
- Dort werden alle Verarbeitungstätigkeiten personenbezogener Daten dokumentiert
- Z.B. 1 x jährlich mit der Fachabteilung prüfen, ob die Verarbeitung noch im Einsatz ist oder ob sich etwas geändert hat und entsprechend aktualisieren (PDCA – Plan, Do, Check, Act)
Recht der betroffenen Personen:
- Prozessdefinition bei Anfragen zu Betroffenenrechten: Wer kümmert sich um die Einhaltung der Rechte
- Im Prozess definieren: Wie sieht der Meldeweg aus, um zu informieren, wie die Daten verarbeitet werden
TOM-Maßnahmen:
- Müssen dokumentiert werden und regelmäßig geprüft (PDCA – Plan, Do, Check, Act)
- Wichtig, um die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten zu gewährleisten
- Dokumentation: Was macht das Unternehmen und wie werden die Daten geschützt - z.B. Verschlüsselung, Anonymisierung, Passwortschutz, Zugangsbeschränkung
- Sinnvoll, um mögliche Risiken bei der Verarbeitung personenbezogener Daten zu identifizieren und geeignete Maßnahmen zu ergreifen, um diese Risiken zu minimieren
- Wenn Verarbeitungstätigkeiten auf der Blacklist stehen, oder wenn es nötig erscheint (beispielsweise bei neuen Technologien)
- Wenn die DSGVO es vorsieht
- Im Zweifelsfall für eine DSFA entscheiden, sonst kann es zu Problemen mit der Aufsichtsbehörde kommen
Schulung und Sensibilisierung der Mitarbeiter
- Nicht nur datenschutzrechtlich schulen, sondern auch die IT-Sicherheit integrieren
- Sensibilisierungsmaßnahmen, um den Umgang mit Daten sowie die Bedeutung des Datenschutzes zu verstehen
- Auch externe Trainer einsetzen, da so ein neutrales Training stattfindet, wodurch keine interne Voreingenommenheit, wie ggf. bei Kolleg:innen bestehen
- Offen kommunizieren, dass Fehler menschlich sind und unverzüglich gemeldet werden müssen
Diese Schritte können Sie dabei unterstützen, dass die Implementierung von Technologien im Arbeitskontext so DSGVO-konform wie möglich ist und dass die Rechte und der Datenschutz der betroffenen Personen gewahrt bleiben.
Fazit
Datenschutz ist häufig ein notwendiges Übel, mit dem sich Unternehmen nicht gerne auseinandersetzen möchten, jedoch können bei frühzeitiger Einbindung der/des Datenschutzbeauftragen das Projekt und die neuen Technologien unter Betrachtung des Datenschutzes implementiert werden. Datenschutz kann zudem als Qualitätsmerkmal angesehen werden und so positive Auswirkungen auf das Image des Unternehmens haben.
Bei Fragen zum Datenschutz sollte sich immer zuerst an die/ den benannten Datenschutzbeauftragen (DSB) richten. Diese:r stellt die erste Anlaufstelle für die Verantwortlichen im Unternehmen dar. Entstehen Fragen zu allgemeinen Datenschutzthemen, welche nicht durch die/den DSB beantwortet werden können, empfiehlt es sich, externe Beratung für Datenschutz einzuschalten. Soll hingegen eine spezifische rechtliche Beratung erfolgen, sollte ein Rechtsanwalt hinzugezogen werden.
