Viele Leute glauben, dass die Einwilligung die einzig gültige Rechtsgrundlage für die Verarbeitung persönlicher Daten ist, aber das ist nicht richtig. Auch ein berechtigtes Interesse oder ein Vertrag können eine Rechtsgrundlage bilden. Aber wie viel Wissen über die verschiedenen Formen von Rechtsgrundlagen kannst du von deinen Mitarbeitern erwarten? Dieser Blogpost gibt dir eine Einführung in das Thema der Rechtsgrundlagen für die Verarbeitung persönlicher Daten und führt auch Beispiele dafür an, was deine Mitarbeiter im täglichen Arbeitsleben wissen und tun sollten, wenn sie bei der Verarbeitung persönlicher Daten auf Probleme stoßen.
Unabhängig von ihrer Größe und der Branche verarbeiten fast alle Unternehmen auf die eine oder andere Weise persönliche Daten. Der Grund dafür ist, dass persönliche Daten überall vorkommen und alles Mögliche sein können – von einem Namen, einer Adresse, einer Haarfarbe, einem Browserverlauf im Internet bis hin zu politischen Ansichten. Im Grunde genommen alles, was zu einer bestimmten Person führen kann.
Das bedeutet, dass es eine Menge Berührungspunkte gibt, an denen dein Unternehmen möglicherweise persönliche Daten verarbeiten muss. Denke immer daran, dass dein Unternehmen der Datenverantwortliche ist, und dass du stets sicherstellen musst, dass du in jeder Situation eine Rechtsgrundlage für die Verarbeitung persönlicher Daten hast.
Du hast in deinem Unternehmen vielleicht schon gute Praktiken eingeführt, um diverse Regeln und Vorschriften zum Schutz der Privatsphäre und der Daten – wie z.B. die DSGVO – einzuhalten. Deine Anwälte kennen sich vielleicht mit den Datenverarbeitungsgesetzen aus und du hast vielleicht sogar deine Mitarbeiter im Umgang mit persönlichen Daten geschult.
Doch auch wenn dein Team in der täglichen Routinearbeit bereits hinsichtlich der Einhaltung der DSGVO geschult ist, kommt es doch häufig vor, dass es Zweifel hat, wie es in ungewohnten Situationen mit persönlichen Daten umgehen soll.
Fast jeder verarbeitet persönliche Daten
Die meisten Menschen, die am Computer arbeiten, müssen mit persönlichen Daten umgehen, und dein Unternehmen hat wahrscheinlich eine Rechtsgrundlage für ihre Verarbeitung geschaffen. Das gilt in der Regel zumindest für Routineaufgaben, zum Beispiel das Einholen der Zustimmung von Kunden, die sich für deinen Newsletter eintragen, oder um sicherzustellen, dass du für die Verarbeitung notwendiger persönlicher Daten über deine Mitarbeiter im Rahmen ihrer Arbeitsverträge eine Rechtsgrundlage hast.
Und das ist alles gut, aber …
Dies gilt in der Regel nur für die Personen im Team, die im Rahmen ihrer Routineaufgaben persönliche Daten verarbeiten. Sie sind daran gewöhnt und wissen, was sie zu tun haben. Da persönliche Daten jedoch überall vorkommen, treten ständig neue Situationen auf, in denen jemand persönliche Daten verarbeiten muss, und dann wissen die Mitarbeiter vielleicht nicht, woher sie die Rechtsgrundlage nehmen sollen – oder dass sie überhaupt eine solche benötigen.
Ungewohnte Situationen treten immer wieder auf
Wie bereits erwähnt, tritt das Problem häufig auf, wenn sich deine Teammitglieder in neuen und ungewohnten Situationen befinden. Dies könnte zum Beispiel dann der Fall sein, wenn sie eine neue Idee zu einem Projekt haben oder wenn ein Mitarbeiter mit einer Aufgabe vertraut ist, die nur einmal erledigt werden muss.
Nehmen wir zum Beispiel einmal an, dass dein Unternehmen eine Weihnachtsfeier für das Team ausrichtet und dazu auch die Familien der Mitarbeiter einladen möchte. Einer deiner Mitarbeiter wird mit der Organisation der Veranstaltung beauftragt. Diese Person muss dann Informationen darüber sammeln, wer mit seiner Familie an der Veranstaltung teilnehmen wird, wie die Familienmitglieder heißen und ob sie irgendwelche besonderen Ernährungsgewohnheiten haben. Es geht hier um eine große Menge persönlicher Daten, die verarbeitet werden, und als Datenverantwortlicher muss dein Unternehmen sicherstellen, dass es dafür eine Rechtsgrundlage gibt.
Weitere Beispiele für ungewohnte Situationen könnten wie folgt aussehen:
Online-Talentpool: Deine Personalabteilung möchte einen neuen Talentpool einrichten, in dem Kandidaten, die an einer Arbeit in deinem Unternehmen interessiert sind, ihre Lebensläufe einreichen können. Die Personalabteilung kann ihnen dann in Zukunft relevante Stellenangebote zukommen lassen. Deine Personalabteilung hält dies für eine großartige Idee, um zu sehen, wer an deinem Unternehmen interessiert ist, und um einen Pool möglicher Kandidaten zu haben, wenn es neue Stellenangebote gibt.
Instagram-Wettbewerb: Deine Marketingabteilung hatte eine tolle Idee, um eure Online-Präsenz zu verstärken. Um so viel Interaktion wie möglich zu generieren, wollen sie einen Verlosungswettbewerb auf Instagram veranstalten. Die Kunden müssen nur euren Beitrag liken und als Kommentar posten, was ihnen an euren Produkten am besten gefällt, und am Ende des Monats zieht ihr einen Gewinner, der einen Gutschein von eurem Unternehmen bekommt.
Kontakte zu Lieferanten: Dein Unternehmen wächst, und es gibt jetzt mehrere Personen in deinem Unternehmen, die für den Kontakt mit den Lieferanten verantwortlich sind. Um leichter erkennen zu können, wer eure Kontaktperson für jeden eurer Lieferanten ist, beschließt du, eine gemeinsam zu nutzende Excel-Datei zu erstellen, in der eure Lieferanten und die Kontaktperson für den jeweiligen Lieferanten mit Titel, E-Mail-Adresse und Telefonnummer aufgeführt sind.
Wie die Beispiele demonstrieren, muss nicht nur die Rechtsabteilung deines Unternehmens die Rechtsgrundlage für die Verarbeitung persönlicher Daten berücksichtigen. Der Großteil deines Teams wird persönliche Daten verarbeiten müssen, und es ist unerlässlich, dass es dafür eine Rechtsgrundlage gibt.
Welche Rechtsgrundlagen gibt es für die Verarbeitung persönlicher Daten?
Eine Form der Rechtsgrundlage für die Verarbeitung persönlicher Daten, die wahrscheinlich jeder kennt, ist die Einwilligung. Wenn du dich auf einer Website für einen Online-Newsletter anmeldest, wirst du gebeten, dich damit einverstanden zu erklären, dass das Unternehmen deine persönlichen Daten – wie zum Beispiel deine E-Mail-Adresse und deinen Namen – verarbeiten und speichern darf. Für gewöhnlich gewährst du diese Zustimmung, indem du ein Kästchen ankreuzt, neben dem ausdrücklich steht, dass du damit einverstanden bist, dass die Website deine Daten verarbeiten darf.
Wir alle sind mit der Erteilung der Zustimmung zur Verarbeitung persönlicher Daten äußerst vertraut. Eine solche Einwilligung ist jedoch nur eine unter vielen Formen von Rechtsgrundlagen für die Verarbeitung persönlicher Daten. Im Folgenden stellen wir – unter Angabe einiger Beispiele – noch ein paar andere Formen von Rechtsgrundlagen für die Verarbeitung persönlicher Daten vor.
Dies sind nur einige unter vielen Formen von Rechtsgrundlagen für die Verarbeitung persönlicher Daten. Welche Form der Rechtsgrundlage wo verwendet werden soll, hängt von der jeweiligen Situation ab, und es gibt keine Form, die überall die beste ist oder in jeder Situation passt. Daher ist es die Aufgabe deines Unternehmens, die Rechtsgrundlage jeweils in dem spezifischen Kontext zu ermitteln.
Dein Team muss nicht aus juristischen Experten bestehen
Auch wenn die meisten Mitarbeiter Daten verarbeiten, reicht es aus, dass sie die Rechtsgrundlage kennen und darauf vertrauen, dass sie den Regeln folgen. Das bedeutet nicht, dass jeder ein Experte in Sachen DSGVO und anderer Gesetze sein muss. Wichtig ist nur, dass du bei deinen Mitarbeitern ein Bewusstsein dafür erzeugen musst, dass sie auf die Rechtsgrundlage für die Verarbeitung persönlicher Daten achten müssen, insbesondere in neuen und ungewohnten Situationen.
Wenn wir etwa an das Beispiel der Organisation einer Weihnachtsfeier zurückdenken, könnte der Mitarbeiter, der mit der Organisation der Veranstaltung beauftragt ist, den Datenschutzbeauftragten (DSB) in deinem Unternehmen über das weitere Vorgehen befragen. Die Rechtsgrundlage für eine solche Datenverarbeitung könnte als berechtigtes Interesse angesehen werden, da eure Mitarbeiter wissen, wer die Informationen sammelt und wofür sie verwendet werden. Dein Datenschutzbeauftragter könnte der für die Veranstaltung verantwortlichen Person jedoch auch einige nützliche Ratschläge geben, zum Beispiel wie man die Daten speichert und wie man sie danach wieder löschen kann.
Kurz gesagt, es sind deine Rechtsanwälte, deine Rechtsabteilung oder dein DSB, die dafür verantwortlich sein sollten, die Rechtsgrundlage für die Verarbeitung persönlicher Daten zu ermitteln. Sie sind es, die die juristischen Vorbereitungen zur Erlangung der Rechtsgrundlage treffen sollten, nicht die regulären Mitarbeiter selbst.
Dein Team muss sich aber darüber im Klaren sein, dass es möglicherweise eine Rechtsgrundlage braucht, und es muss in der Lage sein, sich im Zweifelsfall an das Rechtsteam zu wenden. Deine Aufgabe in diesem Zusammenhang sollte es sein, deine Mitarbeiter für das Thema zu sensibilisieren und dafür zu sorgen, dass sie jemanden haben, bei dem sie sich bezüglich der Rechtsgrundlagen beraten lassen können.
Das Bewusstsein für das Problem ist das A und O
Zusammenfassend lässt sich sagen, dass es viele Berührungspunkte gibt, an denen deine Mitarbeiter möglicherweise persönliche Daten verarbeiten müssen, und du musst dafür sorgen, dass es dafür eine Rechtsgrundlage gibt. Persönliche Daten kommen überall vor, ebenso wie die Notwendigkeit, sie zu verarbeiten. Ganz gleich, ob es sich um dein Team, deine Kunden, Lieferanten oder andere Personen handelt, die mit deinem Unternehmen interagieren, es muss eine Rechtsgrundlage für die Verarbeitung persönlicher Daten vorhanden sein. Du kannst nicht erwarten, dass deine Mitarbeiter zu DSGVO-Experten werden, aber du kannst dafür sorgen, dass die Rechtsgrundlage beachtet wird, indem du deine Mitarbeiter dafür sensibilisierst, sich im Zweifelsfall an die zuständige Person oder Abteilung im Unternehmen zu wenden. Das heißt, dass deine oberste Priorität hier darin besteht, bei deinen Mitarbeitern ein Bewusstsein für das Problem zu schaffen und sicherzustellen, dass es eine Person oder Abteilung gibt, an die sich deine Mitarbeiter wenden können.