Vorsicht mit sensiblen Daten!

Vorsicht mit sensiblen Daten!

Der betriebliche Datenschutz ist ein wichtiger Aspekt innerhalb der betrieblichen Organisation. Vor dem Hintergrund der fortschreitenden Digitalisierung gewinnt er immer mehr Bedeutung – nicht zuletzt auch wegen der Datenschutzgrundverord-nung, kurz: DSGVO. Seit ihrem Inkrafttreten im Mai 2018 wird über den Umgang mit Daten, Informations- und Auskunftspflichten, Verarbeitungsver-zeichnissen, Auftragsverarbeitung usw. viel diskutiert.
Das Wichtigste vorweg: Datenschutz ist Grundrechtsschutz. Jeder Mensch hat das Recht auf informationelle Selbstbestimmung, dazu gehört die Kontrolle über seine Daten. Mit Blick auf die Digitalisierung und Internationalisierung der Datenströme – Wer weiß schon, in welchem Land welcher Server steht? – hat die Europäische Union die Datenschutzgrundverordnung erlassen.

Informationen über Mieter und Kunden Im Rahmen der Mietverwaltung werden unterschied-lichste Daten zu unterschiedlichen Zeitpunkten erho-ben und verarbeitet. Als personenbezogene Daten gelten alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen, also z. B. Name, Anschrift, Telefonnummer, E-Mail-Adresse, Familienstand, Kontoverbindung, Bonitäts-auskunft, Geburtsdaten usw. Zur Verarbeitung zählt jeder Vorgang bzw. jedes Verfahren im Zusammenhang mit personenbezogenen Daten. Das Gesetz benennt als Verarbeitungsvorgänge ausdrücklich: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermitteln, Verbreiten oder eine andere Form, Abgleichen, Verknüpfen, Ein-schränken, Löschen und Vernichten. Das bedeutet: Wann immer ein Name, eine Anschrift oder E-Mail-Adresse erfasst oder übermittelt oder vernichtet wird, werden personenbezogene Daten verarbeitet.

Informationen über Mitarbeiter  Beim betrieblichen Datenschutz ist in zwei Richtun-gen zu denken, nämlich nach außen und nach innen. Immobilienverwaltungen haben es nicht nur mit per-sonenbezogenen Daten ihrer Kunden, Mieter oder Dienstleister zu tun, sondern auch mit denen ihrer Mitarbeiter. Der Mitarbeiterdatenschutz stellt einen wichtigen Teil der Gesamtthematik dar, denn hier wer-den sogar besondere Kategorien personenbezogener Daten verarbeitet, wie etwa zu Religionszugehörigkeit und Gesundheitszustand. Diese sensiblen Daten sind besonders schützenswert. Die Führung der Personal-akten verlangt daher höchste Aufmerksamkeit Daten, die nicht gebraucht werden, müssen aus Personalak-ten entfernt werden. Dies gilt insbesondere für Infor-mationen, die auf den Gesundheitszustand schließen lassen. Es gibt keine Rechtsgrundlage dafür, dass ein Arbeitgeber über Jahre hinweg Fehlzeiten aufgrund von Erkrankungen speichert.
Aber nicht nur das, auch für die Unternehmens-Homepage gefertigte Mitarbeiterfotos oder solche, die bei der Betriebsfeier entstehen, zählen zur Datenverarbeitung. Hier geht es sogar um biometrische Daten. Regelungen über den Umgang mit die-sen Fotos innerhalb eines Unternehmens sind daher zwingend zutreffen. Sie dürfen in der Regel nur mit Einwilligung der Mitarbeiter verarbeitet werden. Diese Einwilligung muss tatsächlich freiwillig erfolgen und nicht in Folge sozialen Drucks. Der Mitarbeiterdatenschutz umfasst auch private Telefonate über die Firmenleitung oder private E-Mails über den Firmenaccount. Auch wenn viele Unternehmer ihren Mitarbeitern dies gestatten, besteht hier die erhebliche Gefahr, dass das Unternehmen dann als Telekommunikationsdienstleister gegenüber den Mitarbeitern gilt und zusätzlich noch die Regeln des Telekommunikationsgesetzes bzw. des Teleme-diengesetzes einzuhalten sind. Daher ist auch hier Vorsicht geboten. Für den Schutz der Daten von Mitarbeitern gilt das Gleiche wie für den Umgang mit Daten von Kunden und Dienstleistem, und es sind die gleichen Vorkehrungen zu treffen:

  • Benennung eines Datenschutzbeauftragten (wenn erforderlich),
  • Erstellung eines Verzeichnisses für die Verarbeitungstätigkeiten,
  • Erstellung von Mustern für Informations-und Auskunftsschreiben einschließlich der Erklärungen auf der Homepage,
  • Abschluss von Auftragsverarbeitungs
  • verträgen mit Auftragsverarbeitern und
  • Prüfung der Technik sowie ggf. Anpassung an den Stand der Technik.

Autor: Groß Rechtsanwälte, Katharina Gündel