Schutz vor Daten-Missbrauch im Netz
Der Umgang mit personenbezogenen Daten ist gesetzlich geregelt: Sobald persönliche Daten von Kunden und auch Mitarbeitern im Spiel sind, haben Unternehmen und Behörden sie vor Missbrauch zu schützen. Doch das Internet macht die Sache kompliziert.
Der Umgang mit personenbezogenen Daten ist gesetzlich geregelt: Sobald persönliche Daten von Kunden und auch Mitarbeitern im Spiel sind, haben Unternehmen und Behörden sie vor Missbrauch zu schützen. Doch das Internet macht die Sache kompliziert.
Darum wurde das Bundesdatenschutzgesetz (BDSG) im Mai 2018 eng mit der europaweiten Datenschutz-Grundverordnung (DSGVO) verknüpft. Die DSGVO verpflichtet die Verantwortlichen dazu, die Verarbeitung von personenbezogenen Daten rechtmäßig, nachvollziehbar und transparent zu gestalten. Hinweis der IT-Experten des Versicherungsunternehmens ARAG: Sobald sich BDSG und DSGVO widersprechen, hat die DSGVO immer Vorrang.
Verantwortliche Personen oder Unternehmen haben dem Verbraucher gegenüber eine Informationspflicht. Das bedeutet, dass betroffene Personen umfassend darüber informiert werden müssen, welche Daten in welcher Form über sie gespeichert sind - und auch wie diese verwendet werden. Die mit der DSGVO verschärfte Dokumentations- und Rechenschaftspflicht verpflichtet Verantwortliche zudem dazu nachzuweisen, dass Kunden ihre ausdrückliche Zustimmung zur Datenspeicherung und -verwendung gegeben haben.
Neu eingeführt wurde mit der DSGVO auch das sogenannte "Recht auf Vergessen werden". Demnach sind personenbezogene Daten unverzüglich zu löschen, sobald die Daten zum ursprünglichen Verarbeitungszweck nicht mehr notwendig sind, bzw. die betroffene Person ihre Einwilligung widerrufen hat und die Daten nicht aus anderen notwendigen Aspekten oder Sachverhalten benötigt werden.
Sind auf einer Unternehmenswebsite Cookies oder Tracking-Tools im Einsatz, muss der Nutzer darüber klar und umfassend informiert werden und seine ausdrückliche Einwilligung geben. Das stillschweigende Einverständnis genügt schon lange nicht mehr. Dafür gibt es Kontrollkästchen und die Auswahl spezifischer Einstellungen. Zudem müssen strenge Datenschutzeinstellungen Standard sein.
Im Anstellungsverhältnis greift der Beschäftigtendatenschutz. Dieser regelt den datenschutzrechtlichen Rahmen innerhalb eines Arbeitsverhältnisses - also welche Informationen ein Arbeitgeber über Beschäftigte erheben, speichern, nutzen oder weitergeben darf. Hierzu gehören zum Beispiel Personalnummer, Kontaktdaten, Gehaltsinformationen, Krankheitsdaten oder auch Daten aus Mitarbeitergesprächen.
Das BDSG enthält eine spezielle Regelung für den Beschäftigtendatenschutz. Danach ist die Verarbeitung von Mitarbeiterdaten in Deutschland zulässig, wenn sie für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist oder der Beschäftigte eingewilligt hat.
Auch bei der internen Kommunikation zwischen Kollegen in einem Unternehmen gilt das Prinzip, dass personenbezogene Daten nur mit Zustimmung der betroffenen Person weitergegeben werden dürfen. Das bedeutet, dass Informationen über einen Kollegen, wie zum Beispiel Krankheitsgründe, private Kontaktdaten oder persönliche Angelegenheiten, nicht ohne dessen Einwilligung an andere Mitarbeiter weitergeleitet werden dürfen.
Hinweis der ARAG IT-Experten: Schon während des Bewerbungsprozesses findet diese Regelung Anwendung. Bewerber gelten somit bereits als "Beschäftigte". Kommt es nicht zur Einstellung, sollten die Daten aber spätestens nach sechs Monaten gelöscht werden. Denn laut DSGVO dürfen Daten nur so lange gespeichert werden, wie dies für den vorgesehenen Zweck erforderlich ist.
