Datenschutz: Unterschiedliche Rollen der Mitarbeiter nicht verwechseln

PrintMailRate-it
veröffentlicht am 18. September 2019 | Lesedauer ca. 4 Minuten
Die Beratungspraxis zu Datenschutzangelegenheiten in Unternehmen der Sozialwirtschaft zeigt häufig eine Verwirrung der Verantwortlichen darüber, welche unterschiedlichen Rollen die Mitarbeiter einnehmen und was zu jeder dieser Rollen durch den Arbeitgeber zu beachten ist. Da finden sich Datenschutz-Informationen als Teil der Verpflichtungserklärung, es werden daten­schutzrechtliche Einwilligungen der Dienstanweisung Datenschutz vorangestellt und es gibt beliebige andere Vermischungen unterschiedlicher Rollen der Mitarbeiter in Bezug auf den Datenschutz.

„Mitarbeiter als Betroffener” gedanklich trennen vom „Mitarbeiter als Erfüllungsgehilfe”

 

Schematische Darstellung am Beispiel einer Pflegeeinrichtung: Der Mitarbeiter ist sowohl der Handelnde zur tatsächlichen Erbringung der Pflegeleistung als auch seinerseits Betroffener der Datenverarbeitung durch den Arbeitgeber.

 

Da jeder Arbeitgeber gezwungen ist, die personenbezogenen Daten seiner Mitarbeiter zu verarbeiten, zählt die Einhaltung der damit verbundenen datenschutzrechtlichen Pflichten zum Standardgeschäft jeder Personal­abteilung. Die Informationspflichten gegenüber dem Mitarbeiter nach Art. 13 und ggf. 14 sind zu erfüllen, was normalerweise in Form eines Informationsschreibens erfolgt. Notwendige Informationen sind die Zwecke der Verarbeitung und deren Rechtsgrundlage, die Empfänger bzw. deren Kategorien, Speicherdauer, Information über die Betroffenenrechte sowie Informationen, die meist lediglich als „Fehlanzeige” aufzuzeigen sind wie Profiling und Übermittlungen in ein Drittland. Zu den im Informationsschreiben häufig vergessenen Empfänger­kategorien gehören der Betriebsrat oder auch Behörden, mit denen man als Sozialunternehmen nicht regelmäßig Kontakt hat, z.B. Ausländerbehörde, Zoll o.ä.

 

 

 

Der Mitarbeiter als Erfüllungsgehilfe: Weisungsrecht ausüben und Verpflichtung dokumentieren

Die Einhaltung des Datenschutzes ohne das aktive Mitwirken der Mitarbeiter ist in einem Sozialunternehmen nicht zu gewährleisten. Daraus ergeben sich für den Arbeitgeber, der der datenschutzrechtlich Verantwortliche ist, mehrere Notwendigkeiten, wenn Bußgeld- und Schadensersatzrisiken vermieden werden sollen. Zum einen sollte der Arbeitgeber gegenüber dem Arbeitnehmer klar und nachvollziehbar von seinem Weisungsrecht Gebrauch machen und bestimmte Verhaltensweisen, „Dos” und „Don’ts”, vom Mitarbeiter ausdrücklich einfordern. Wichtige Inhalte darin sind beispielsweise der Vertraulichkeitsgrundsatz an sich, Grundregeln im Umgang mit den Klienten und ihren Angehörigen sowie mit Kollegen, Sorgfalt in der IT-Nutzung, Verbot der privaten E-Mail-Nutzung dienstlicher Accounts und die ausschließliche Nutzung dienstlicher Infrastruktur für dienstliche Zwecke. Zu beachten ist dabei, dass die Anweisung so gestaltet wird, dass sie ggf. auch in Streitfällen arbeitsrechtlich durchsetzbar ist. Dabei ist neben der eindeutigen Formulierung insbesondere auch die Frage einer eventuellen Mitbestimmungspflicht zu prüfen.

 

Zum anderen muss darauf geachtet werden, jeden Mitarbeiter förmlich durch eine unterschriebene Erklärung auf das Datengeheimnis hinzuweisen, wobei auch ausdrücklich auf die geltenden betriebsinternen
Anweisung­en zum Datenschutz verwiesen werden sollte.

 

 

 

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu