Tag x – ein neuer Mitarbeiter hat seinen Arbeitstag in Ihrem Unternehmen. Der Onboarding-Prozess sollte schon längst
laufen und nicht erst, wenn der Mitarbeiter klingelt. Die meisten Unternehmen haben diesen Prozess etabliert. Der Prozess,
damit neue Mitarbeiter*innen „abgeholt“ werden. Es werden bspw.
• Arbeitsplätze eingerichtet
• Computer oder Software bestellt
• E-Mail-Adressen eingerichtet
• Erste (interne) Termine gemacht
• Arbeitsstrukturen vorbereitet
Ok, was hat das mit dem Datenschutz zu tun?
Sehr viel! Zum einen ist es ein großes Qualitätsmerkmal, wie die neuen Mitarbeiter empfangen werden, zum anderen muss
bspw. geschaut werden, welche Berechtigungen eben diese erhalten sollen oder welche Verteilergruppen wichtig sind.
Checklisten sind hier eine große Unterstützung, damit keine wichtigen Punkte vergessen werden, denn neue Mitarbeiter
sollen möglichst schnell sicher und effektiv arbeiten.
Aber auch, wenn Mitarbeiter*innen das Unternehmen verlassen, dem sogenannten Offboarding-Prozess, müssen
schnellstmöglich diverse Punkteerledigt werden, wie bspw.
• E-Mail-Empfang (was passiert mit den E-Mails)
• Entzug von Berechtigungen und Zugängen
• Rückgabe von Hardware
• Löschung von privaten Daten des Mitarbeiters (hier sollte eine Bestätigung eingeholt werden)
• Kontakt der wichtigsten Partner
Ist es nicht egal, wann diese Punkte umgesetzt werden?
Nein! Auch hier geht es nicht um den Wohlfühl-Bereich alleine, auch hier spielt der Datenschutz bzw. die Datensicherheit
eine große Rolle. Ausgeschiedene dürfen keinen Zugriff mehr auf personenbezogene Daten vom Unternehmen haben.
Auch ist es ein Sicherheitsrisiko, wenn ehemalige Mitarbeiter noch andere Möglichkeiten haben, dem Unternehmen
Probleme zu bereiten, weil die Zusammenarbeit weniger positiv beendet wurde.
Tracking – die Zurückverfolgung von Personen ist mehr als Google Analytics und Co.
Wenn man Tracking hört, denken die meisten an das klassische Tracking bei einer Website, oftmals mit Google Analytics.
Es gibt auch mehr Tracking-Möglichkeiten bzw. Bereiche bei denen personenbezogene Daten erfasst und bewertet werden.
Und auch hier ist das Vorgehen und die Rechtsgrundlage zu beachten.
Was sind das bspw. für Möglichkeiten?
• Event Tracking bestimmte Interaktionen bzw. Ereignisse werden analysiert
• Eye- oder Mouse-Tracking Aufzeichnung der Interaktion eines Webseitenbesuchers oder Nutzers
• E-Mail-Tracking Erreichbarkeit bei E-Mail-Empfängern
• Geo-Targeting Ansprache und Auswertung von bestimmten Regionen
• WLAN-Tracking Auswertung der WLAN-Nutzung
• GPS-Tracking Auswertung von Routen
• Website-Tracking Auswertung der Websites und deren Inhalte
Im Bereich Tracking muss der Datenschutz genau beachtet werden, da wir schnell in eine Bewertung und Analyse von
Personen hineinkommen. In der Regel ist diese Analyse einwilligungspflichtig. Auf jeden Fall muss die betroffene Person
transparent über die gesamte Verarbeitung informiert werden.
Je nachdem was mit den gewonnenen Daten gemacht werden soll, müssen diese auch anonymisiert werden, da das
Thema „Profilbildung“ sehr großgeschrieben wird, je mehr Daten man erhält, wie bspw. die Bewertung des
Einkaufsverhaltens.
Fakt ist, wie bei vielen Dingen, dass ein Bußgeld droht, wenn sich aufgrund einer Beschwerde das Ganze als
datenschutzwidrig herausstellt.
„Geliebtes“ Thema: Videokonferenz und die Information an die Betroffenen
Fakt ist, dass Videokonferenzen in den Unternehmen zum Alltag gehören. Je nach Dienstleistung und Branche bis zu
100%, es gibt dann keine klassischen Konferenzen mehr.
Auch, wenn es eigentlich bekannt sein müsste, so zeigt der Alltag, dass eine datenschutzkonforme Umsetzung nicht immer
der Fall ist bzw. diese mit der Zeit weniger wird. Man schickt mal eben schnell eine Einladung. Aber genau diese
Entwicklung ist schon fast ein Garant dafür, dass es zu Beschwerden und ggf. Kontakt mit den Aufsichten kommt.
Auch bei einer Einladung zu einer Videokonferenz muss Art. 13 DSGVO (Informationspflicht) beachtet und umgesetzt
werden. Auch muss die einladende Partei auf Einwilligungen achten, die für eine Speicherung oder die Weiterleitung in ein
Drittland erforderlich sind.
Bußgelder im Juli 2022? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle
, die ggf. auch bei Ihnen auftreten können.
• Profilbildung zu Werbezwecken
Behörde: Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Branche: Finanzbranche
Verstoß: Art. 6 Abs. 1 lit. a) DSGVO
Bußgeld: 900.000 Euro
• Forschungsfahrt mit Kameras
Behörde: Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Branche: Automobilbranche
Verstoß: Art. 13 DSGVO, Art. 28 DSGVO, Art. 35 DSGVO, Art. 30 DSGVO
Bußgeld: 1.100.000 Euro
• Verarbeitung der Standortdaten von Mietfahrzeugen
Behörde: CNIL (FR), Branche: Fahrzeugvermietung
Verstoß: Art. 5 Abs. 1 lit. c), e) DSGVO, Art. 12 DSGVO
Bußgeld: 175.000 Euro
• Versand eines Vertrages an alte Adresse
Behörde: AEPD (ES) ,Branche: Energiebranche
Verstoß: Art. 5 Abs. 1 lit. d)
Bußgeld: 60.000 Euro
Fazit?
Eigentlich ist es doch immer das Gleiche. Es geht um Dinge, die ein Unternehmen bestenfalls mal eingerichtet hatte und
welche auch datenschutzkonform waren, nun es aber nicht mehr sind, da der Alltag die Menschen „einschleift“. Das ist
auch ein Grund dafür, dass der Datenschutz immer wieder geprüft werden muss.
Wichtig bei jeglichen Aktionen des Unternehmens sollte der Austausch mit der und dem Datenschutzbeauftragten sein.
Auch wenn ein Unternehmen nicht QM-zertifiziert ist, so achtet ja eigentlich jedes Unternehmen auf eine gute Qualität. Das
bedeutet, dass man sich im administrativen Bereich Gedanken machen muss, ob Prozesse so ausreichend sind oder
vielleicht angepasst werden müssen. Hierbei werden automatisch mögliche Defizite entdeckt, die einem Unternehmen
aufgrund von Beschwerden von bspw. ehemaligen Mitarbeitern oder Kunden Probleme bereiten können.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!